Цели и задачи защиты информации в автоматизированных системах

Современный бизнес немыслим без широкого использования автоматизированной обработки информации, средств вычислитель­ной техники, связи. Создаваемые на основе этих информацион­ных технологий системы и сети носят глобальный, территориаль­но распределенный характер. В компьютерах на носителях дан­ных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей боль­шую ценность для ее владельца. Однако компьютерная обработка информации, при всех ее положительных сторонах, порождает целый ряд сложных и крупномасштабных проблем. Одной из та­ких проблем является надежное обеспечение сохранности и уста­новленного статуса использования информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, автоматизированных системах. Для решения этой пробле­мы разрабатывается система зашиты информации (СЗИ) в АС.

СЗИ включает меры по защите процессов создания данных, их ввода, хранения, обработки и вывода. СЗИ должна обезопасить ценности системы, защитить и гарантировать точность и целост­ность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разру­шена. Защита информации требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспе­чивается доступ или она распространяется.

Защита информации направлена на достижение следующих целей:

• конфиденциальность критической информации;

• целостность информации и связанных с ней процессов (со­здания, ввода, обработки и вывода);

• доступность информации, когда она нужна;

• учет всех процессов, связанных с информацией (например, неотказуемость авторства).

Работы по защите информации у нас в стране ведутся доста­точно интенсивно и уже продолжительное время. Накоплен опре­деленный опыт. Его анализ показал, что весь период работ по защите информации в АС достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в прин­ципиальных подходах к защите информации.

Первый этап характеризуется упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представ­ления информации в ЭВМ в закодированном виде и обработки ее по специфическим алгоритмам является серьезным защитным средством. Поэтому для обеспечения защиты информации вполне достаточно включить в состав АС некоторые технические и программные средства и осуществить ряд организационных ме­роприятий. Надежды эти не оправдались, специалисты пришли к выводу о том, что для зашиты информации требуется некоторая вполне организованная система со своим управляющим элемен-iom. Такой элемент получил название ядра защиты, или ядра без­опасности. Тем не менее, все еще сохранялась надежда, что си-стема защиты с ядром в дальнейшем будет обеспечивать надеж­ную защиту во все время функционирования АС, хотя существен­но повысилось внимание к организационным мероприятиям.

Изложенный подход был характерен и для второго этапа. Од­нако нарушения в организации безопасности информации неу­клонно росли, что вызывало серьезную озабоченность, поскольку могло стать серьезным препятствием на пути внедрения вычислительной техники. Усиленные поиски выхода из такой почти кри-шеной ситуации привели к выводу, что защита информации в современных АС есть не одноразовая акция, а непрерывный про­цесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий. Сделанный вывод шаменовал начало третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время. Так

in самых общих чертах может быть охарактеризовано существо за­рубежного и отечественного опыта зашиты информации в АС. На основе сказанного, теоретических исследований и практи­ческих работ в области защиты информации сформулирован так называемый систем но-концептуальный подход к защите инфор­мации в АС. Под системностью как составной частью системно-концепту-нльного подхода понимается [6]:

• во-первых, системность целевая, т.е. защищенность инфор­мации рассматривается как составная часть общего понятия каче-CIва информации;

• во-вторых, системность пространственная, предполагающая Взаимоувязанное решение всех вопросов защиты во всех компо­нентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;

• в-третьих, системность временная, означающая непрерывность работ по защите информации, осуществляемых по взаимоувязан­ным планам;

• в-четвертых, системность организационная, означающая един­ство организации всех работ по защите информации и управле­ния их осуществлением. Она предопределяет объективную необ­ходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную организацию надежной защиты во всех АС, обладающих необхо­димыми полномочиями. Главной целью указанной системы орга­нов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите инфор­мации как государственного, так и коммерческого характера.

Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взгля­дов, положений и решений, необходимых и достаточных для оп­тимальной организации и обеспечения надежности защиты ин­формации, а также для целенаправленной организации всех ра­бот по ее защите. Разработка такой концепции в настоящее время находится в стадии завершения, и ее содержание охватывает все направления обеспечения надежной защиты информации.

Комплексность системы защиты информации достигается охва­том всех возможных угроз и согласованием между собой разно­родных методов и средств, обеспечивающих защиту всех элемен­тов АС.

Основные требования к комплексной системе защиты инфор­мации в АС:

• должна обеспечивать выполнение АС своих основных функ­ций без существенного ухудшения характеристик последней;

• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;

• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;

• в систему зашиты информации должны быть заложены воз­можности ее совершенствования и развития в соответствии с усло­виями эксплуатации и конфигурации АС;

• должна обеспечивать в соответствии с установленными пра­вилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;

• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разгра­ничения доступа;

• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;

• не должна своим применением ухудшать экологическую об­становку, быть сложной для пользователя, вызывать психологи­ческое противодействие и желание обойтись без нее.

Перечень основных задач, которые должны решаться систе­мой защиты информации в АС:

• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вме­шательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информаци­онным, программным и аппаратным ресурсам со стороны посто­ронних лиц, а также лиц из числа персонала организации и пользо-иателей;

• защита данных, передаваемых по каналам связи;

• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отноше­ние к ее безопасности;

• контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;

• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;

• обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут со­держаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;

• управление средствами защиты информации. Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы об­работки и передачи данной информации от несанкционирован­ного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения дюбых компонентов данной системы.

Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается за­щищенность всех ее компонентов (технических средств, програм­много обеспечения, данных и персонала) от подобного рода не­желательных для соответствующих субъектов информационных от­ношений воздействий.