Понятие информационной безопасности и защиты информации

ПОНЯТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ЗАЩИТЫ ИНФОРМАЦИИ

Основные определения

Под информационной безопасностью будем понимать защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.

Согласно  определению, информационная безопасность зависит не только от способа хранения и обработки информации, но и от всей инфраструктуры, обеспечивающей информационные процессы. К инфраструктуре можно отнести системы водо-, тепло-, электроснабжения, кондиционирования, коммуникации, а также персонал, обслуживающий все эти системы, либо непосредственно занимающийся сбором, обработкой и использованием информации.

Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.

Проблема  защиты информации актуальна для  любой организации и частного лица, владеющих, использующих или предающих какую-либо информацию. Однако особую актуальность проблемы защиты информации приобретают в системах электронной обработки данных.

Системы электронной обработки данных – это системы любой структуры и функционального назначения, в которых информация обрабатывается с помощью средств электронной вычислительной техники.

Проблему  защиты информации можно рассматривать  как совокупность тесно связанных  между собой вопросов в области  права, организации управления, разработки технических средств, программирования и математики.

Аспекты информационной безопасности

В проблеме информационной безопасности можно выделить следующие аспекты:

Обеспечение целостности информации

Под целостностью информации понимается её физическая сохранность, защищённость от разрушения и искажения, а также её актуальность и непротиворечивость.

Например, записывая на винчестер компьютера информацию о студентах колледжа, мы надеемся, что она будет храниться  там неопределённо долгое время (пока мы сами её не сотрём) в неизменном виде (то есть самопроизвольно, без нашего ведома, в этом списке не изменяются фамилии студентов). Кроме того, мы рассчитываем на непротиворечивость информации, например, на то, что в списке студентов не окажется годовалого ребёнка, или что один и тот же студент не окажется в списках сразу двух групп.

Обеспечение доступности информации

Доступность информации подразумевает, что субъект информационных отношений (пользователь) имеет возможность за приемлемое время получить требуемую информационную услугу.

Например, создавая информационную систему с  информацией о студентах колледжа, мы рассчитываем, что с помощью  этой системы в любое время  в течение нескольких секунд сможем получить требующуюся информацию (список студентов любой группы, полную информацию о конкретном студенте, итоговые данные, например, средний возраст студентов, число юношей и девушек и так далее).

Следует отметить, что системы электронной  обработки данных создаются именно для предоставления определённых информационных услуг. Если предоставление таких услуг становится невозможным, то это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, её выделяют как важнейший элемент информационной безопасности.

Обеспечение конфиденциальности информации.

Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц. Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником.

Например, если Саша отправил Маше письмо по электронной почте, то информация в этом письме является конфиденциальной, так как тайна личной переписки охраняется законом. Если Машин брат, взломав пароль, получил доступ к Машиному почтовому ящику и прочитал письмо, то имеет место несанкционированный доступ к конфиденциальной информации, а Машин брат является злоумышленником.

Обеспечение конфиденциальности информации является наиболее проработанным разделом информационной безопасности.

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом  федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.

Однако  не по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:

·        соответствующая информация неизвестная третьим лицам

·        к данной информации не  установлено на законном основании свободного доступа

·        меры по обеспечению конфиденциальности информации принимает собственник информации.

Конфиденциальную  информацию можно разделить на предметную и служебную. Предметная информация представляет собой сведения о какой-то области реального мира, которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки или сведения о месте нахождения Усамы Бен-Ладена. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации.

Соблюдение  авторских и иных прав.

Этот  аспект информационной безопасности стал исключительно актуальным в последнее  время в связи с принятием  ряда международных правовых актов  по защите интеллектуальной собственности. Данный аспект касается в основном предотвращения нелегального использования программ.

Так, например, если пользователь устанавливает  на свой компьютер нелицензионную систему  Windows, то имеет место факт нарушения защиты информации.

Кроме того, данный аспект касается использования информации, полученной из электронных источников. Эта проблема стала наиболее актуальной в связи с развитием сети Интернет. Сложилась ситуация, когда пользователь Интернет рассматривает всю размещенную там информацию как свою личную собственность, и пользуется ей без каких-либо ограничений, зачастую выдавая за собственный интеллектуальный продукт.

Например, студент «скачивает» из Интернета  реферат и сдает преподавателю  под своей фамилией.

Законодательные акты и правоприменительная практика, касающиеся данной проблемы, пока находятся в стадии становления.

Следует отметить, что хотя во всех цивилизованных странах на страже безопасности граждан (в том числе  информационной) стоят законы, но в  сфере вычислительной техники правоприменительная  практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому процесс обеспечения информационной безопасности во многом опирается на меры самозащиты.

Следовательно, необходимо представлять, откуда могут исходить и в чем состоять угрозы информационной безопасности, какие меры могут быть предприняты для защиты информации, и уметь грамотно применять эти меры.

Понятие информационной угрозы.

Информационная угроза – потенциальная возможность определенным образом нарушить информационную безопасность.

Попытка реализации угрозы называется информационной атакой.

Лицо, осуществляющее информационную атаку, называется злоумышленником.

Потенциального злоумышленника называют источником угрозы.

Например, если у Вас есть электронный почтовый ящик, Вы, естественно, предполагаете, что никто, кроме Вас, не может получить к нему доступ и прочитать, изменить или уничтожить Ваши письма. Для этого Вы используете пароль для доступа к своей электронной почте.

 Однако существует возможность, что кто-то все-таки получит доступ к Вашей электронной почте, например, подобрав пароль, либо дождавшись момента, когда Вы отойдете от компьютера, не закрыв окно электронной почты. Следовательно, имеется информационная угроза.  Если Ваш знакомый решил реализовать эту угрозу и стал пытаться получить доступ к Вашему почтовому ящику, перебирая различные пароли, значит, он предпринимает информационную атаку и тем самым является злоумышленником. Следует учитывать, что доступ к Вашей электронной почте может понадобиться не только Вашим знакомым и родственникам, чтобы узнать Ваши личные секреты. В получении доступа к Вашему электронному почтовому ящику могут быть заинтересованы так называемые спамеры, которые рассылают рекламные сообщения, причем предпочитают делать это не со своего, а с чужого почтового ящика. Кроме того, чужими почтовыми ящиками пользуются хакеры для осуществления атак на различные серверы.  Следовательно, весь этот круг лиц следует признать потенциальными злоумышленниками, или источниками угроз.

Чаще  всего угроза является следствием наличия  уязвимых мест в системе защиты информации. Промежуток времени от момента, когда  появляется возможность использовать уязвимое место, и до момента, когда  в систему защиты вносятся изменения, ликвидирующие данную уязвимость, называется окном опасности, ассоциированным (связанным) с данным уязвимым местом.

Причины уязвимости системы

Уязвимость  может быть обусловлена следующими причинами:

·        Особенностями технических средств, используемых  в системе электронной обработки данных.

Например, если информация записывается на дискету, то ее целостность может быть легко  нарушена вследствие механических повреждений, воздействия температуры и влажности, электромагнитных полей и других факторов.

·        Особенностями используемого программного обеспечения.

Например, пароли для доступа в Интернет могут сохраняться в некотором  файле на диске. Следовательно, существует угроза, что злоумышленник найдет этот файл и воспользуется чужим  паролем для доступа в Интернет.

·        Особенностями поведения персонала, работающего с системой электронной обработки данных.

Например, некоторые пользователи записывают свои пароли для доступа к различным  ресурсам на отдельных листочках  и хранят эти записи прямо на рабочем месте. Естественно, существует угроза, что злоумышленник может найти такой листочек и воспользоваться чужим паролем.

Многие  уязвимые места не могут быть ликвидированы  и являются постоянной причиной существования  угрозы. Что же касается особенностей программного обеспечения, то, как правило, уязвимые места выявляются в процессе эксплуатации и устраняются путем выпуска новых версий и «пакетов обновлений» программ. Именно для таких уязвимых мест чаще всего используется понятие «окно опасности». Оно «открывается» с появлением средств использования данного пробела  в защите и ликвидируется при ликвидации данного уязвимого места.

Для большинства уязвимых мест окно опасности  существует сравнительно долго, поскольку  за это время должны произойти  следующие события:

·        Должно стать известно о средствах использования данного пробела в защите

·        Должны быть найдены способы ликвидации данного пробела

·        Должны быть реализованы способы ликвидации данного пробела, то есть внесены соответствующие изменения в программу

·        Эти изменения должны быть осуществлены у всех пользователей, использующих данную программу

Классификация информационных угроз

Угрозы  можно классифицировать по нескольким критериям:

Классификация по аспекту информационной безопасности, против которого в первую очередь направлена угроза

·        Угрозы целостности связаны со следующими возможностями:

o      Физическое уничтожение или порча носителей информации.

Например, злоумышленник может сломать  дискету, на которую Вы записали свой реферат.

o      Уничтожение определенной информации.

Например, злоумышленник может удалить  Ваш файл с отчетом по лабораторной работе

o      Изменение информации, вследствие которого информация перестает отражать реальное положение дел либо становится противоречивой.

Например, злоумышленник может увеличить  данные о сумме денег на своем  счете.

·        Угрозы доступности связаны со следующими возможностями

o      Прекращение функционирования системы электронной обработки данных вследствие разрушения обеспечивающей инфраструктуры.

Например, система может прекратить функционирование вследствие отключения электричества, прорыва водопровода, поломки системы  кондиционирования и повышения  вследствие этого температуры до недопустимых значений.