Объект защиты информации

Информация не может существовать вне материальных носителей. Защищать информацию - означает защищать ее материальную основу. В информационной системе все ее компоненты, в том числе и люди, хранят, преобразуют и передают информацию. Поэтому в качестве объекта защитынеобходимо рассматривать информационную систему в целом.

Основными компонентами ИС, которые характеризуют ее как объект защиты, являются:

¨ компьютерные системы;

¨ средства связи;

¨ организационно-технические средства (оргтехника);

¨ сотрудники организационной структуры.

Компьютерная система (КС) представляет собой комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.

Понятие КС очень широкое и оно охватывает следующие системы:

¨ ЭВМ всех классов и назначений;

¨ вычислительные комплексы и системы;

¨ вычислительные сети (локальные, региональные и глобальные).

Такой широкий диапазон систем объединяется одним понятием по двум причинам: во-первых, для всех этих систем основные проблемы защиты информации являются общими; во-вторых, более мелкие системы являются элементами более крупных систем.

Анализ средств связи, оргтехники и тенденций их развития показывает, что имеет место устойчивая тенденция к стиранию различий между ними и КС. Современные средства связи и оргтехника, как правило, имеют встроенные микропроцессоры и память, позволяющие вести обработку и передачу информации в цифровом представлении в соответствии с введенной программой. Кроме того, средства связи и ЭВМ часто интегрируются в едином комплексе (транспьютеры, сетевые карты, встроенные модемы и т. п.). В вычислительных сетях средства связи и компьютеры образуют единую систему.

Поэтому при рассмотрении вопросов защиты информации, средства связи и оргтехнику вполне допустимо отнести к компьютерным системам. Если защита информации в каких-либо системах имеет свои особенности, то они могут быть рассмотрены отдельно.

Таким образом, в информационной системе можно выделить две основные компоненты:

¨ компьютерные системы;

¨ сотрудники.

Компьютерные системы как объект защиты могут быть охарактеризованы следующим образом.

Материальной основой существования информации в КС являются электронные и электромеханические устройства (подсистемы), а также машинные носители. С помощью устройств ввода или систем передачи данных (СПД) информация попадает в КС. В системе информация хранится в запоминающих устройствах (ЗУ) различных уровней, преобразуется (обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств вывода или СПД.

В качестве машинных носителей используются бумага, магнитные ленты, диски различных типов. Ранее в качестве машинных носителей информации использовались бумажные перфокарты и перфоленты, магнитные барабаны и карты. Большинство типов машинных носителей информации являются съемными, т.е. могут сниматься с устройств и использоваться (бумага) или храниться (ленты, диски, бумага) отдельно от устройств.

Таким образом, для защиты информации (обеспечения безопасности информации) в КС необходимо защищать устройства (подсистемы) и машинные носители от несанкционированных (неразрешенных) воздействий на них.

Второй важной компонентой ИС являются сотрудники. Под сотрудниками понимаются работники организации, в интересах которой используются ИС (пользователи ИС) и персонал организации, обеспечивающий функционирование ИС (обслуживающий персонал).

В последние годы пользователи имеют самый непосредственный доступ к системе. В некоторых ИС пользователи выполняют простые функции обслуживающего персонала (замена картриджей, тестирование, использование антивирусных средств и некоторые другие).

Обслуживающий персонал и пользователи по роду своей служебной деятельности имеют доступ к определенным сведениям об организации и компьютерной системе, эксплуатируемой в интересах этой организации. Поэтому от несанкционированных воздействий необходимо защищать не только устройства и носители, но также обслуживающий персонал и пользователей.

При решении проблемы защиты ИС необходимо учитывать также противоречивость человеческого фактора системы. Обслуживающий персонал и пользователи могут быть как объектом, так и источником несанкционированного воздействия на информацию.

Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных ИС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.

Одними из основных понятий теории защиты информации являются понятия «безопасность информации» и «защищенные ИС». Безопасность (защищенность) информации в ИС – это такое состояние всех компонент информационной системы, при котором обеспечивается защита информации от возможных угроз на требуемом уровне. Информационные системы, в которых обеспечивается безопасность информации, называются защищенными.

Безопасность ИС (информационная безопасность) является одним из основных направлений обеспечения безопасности государства, отрасли, ведомства, государственной организации или частной фирмы.

Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности. Этот документ разрабатывается и принимается как официальный руководящий документ высшими органами управления государством, ведомством, организацией. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты ИС. В программах информационной безопасности содержатся также общие требования к системам защиты информации и принципы их построения. Политика информационной безопасности нашего государства изложена в "Доктрине информационной безопасности Российской Федерации".

Политика информационной безопасности должна предусматривать комплексную защиту ИС, позволяющую парировать угрозы безопасности всех ее компонент на всех жизненных циклах системы от разработки до утилизации. Для решения этой задачи в соответствии с выбранной политикой информационной безопасности создается система защиты информации (система обеспечения безопасности )

Под системой защиты информации (СЗИ) понимается единый комплекс правовых норм, организационных мер, технических, программных и криптографических средств, обеспечивающий защищенность информации в ИС в соответствии с принятой политикой безопасности.

2. Угрозы безопасности информационных систем

Под угрозами безопасности информации понимаются потенциально возможные события, процессы или явления, которые могут привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.

Существует множество подходов к классификации угроз безопасности информации. Так все угрозы безопасности информации могут быть разделены на две группы: внешние и внутренние.

Внешние угрозы исходят от источников, не входящих в состав ИС. Внутренние же угрозы порождаются внутри самой информационной системы. Сложившийся стереотип о наибольшей опасности, грозящей безопасности системы извне, опровергается статистическими данными. Ранее на долю внутренних угроз приходилось 80% всех зарегистрированных угроз безопасности информации. В настоящее время соотношение несколько изменилось, но по-прежнему внутренние угрозы безопасности ИС составляют 60%.

Разделение на внутренние и внешние угрозы полезно для выбора приоритетов при определении политики информационной безопасности. Но оно не позволяет проводить более детальную классификацию угроз, направленную на выбор комплекса методов и средств защиты от угроз определенного класса. Так компьютерный вирус может быть создан и внедрен пользователем или специалистом из подразделения обслуживания. Аналогичный вирус может попасть в систему и извне. Средства же защиты от такой угрозы не зависят от происхождения вируса. Кроме того, некоторые угрозы порождаются как внешними факторами, так и внутренними. Например, компьютерный вирус попадает извне в ЭВМ в результате нарушения пользователем запрета на применение непроверенного носителя информации.

Поэтому целесообразно все множество потенциальных угроз безопасности ИС классифицировать таким образом, чтобы выделенная группа угроз парировалась своим определенным подмножеством методов и средств защиты (рис 1).