Опубликован: 16.07.2017 | Уровень: для всех | Доступ: платный
Лекция 20:

Основы информационной безопасности

В 1983 г. министерство обороны США выпустило книгу "Критерии оценки надежных компьютерных систем" (TCSEC - Trusted Computer Systems Evaluation Criteria, "Оранжевая книга"), положив тем самым начало систематическому распространению знаний об информационной безопасности (ИБ) за пределами правительственных ведомств. Во второй половине 1980-х гг. аналогичные по назначению документы были изданы в ряде европейских стран, в 1992 г. в России Государственная техническая комиссия при Президенте РФ издала серию документов, посвященных проблеме защиты от несанкционированного доступа.

Для чего необходимы знания по основам информационной безопасности? Как строить безопасные, надежные системы? Как поддерживать режим безопасности? "Оранжевая книга" и последующие подобные издания были ориентированы в первую очередь на корпоративных разработчиков программного обеспечения и информационных систем, а не на пользователей или системных администраторов. Однако бурное развитие техники, новейших компьютерных технологий и широкое применение их в бизнесе показало, что информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне ни рассматривать эту проблему - национальном, корпоративном или персональном. Для иллюстрации можно привести несколько примеров.

По распоряжению президента США Клинтона (№ 13010 от 15 июля 1996 г.) была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 г. при подготовке доклада президенту глава Комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни коммерческие компании не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.

Российские хакеры с 1994 по 1996 г. предприняли почти 500 попыток проникновения в компьютерную сеть Центрального банка РФ. В 1995 г. ими было похищено 250 млрд руб. (ИТАР-ТАСС, 17 сентября 1996 г.). Аналогичные атаки российские хакеры предприняли и на ряд банков Западной Европы и США.

Согласно результатам совместного исследования Института информационной безопасности США и ФБР, в 1997 г. ущерб от компьютерных преступлений достиг 136 млн дол., что на 36% больше, чем в 1996 г. Каждое компьютерное преступление наносит ущерб примерно в 200 тыс. дол. Потери крупнейших компаний, вызванные компьютерными вторжениями, продолжают увеличиваться, несмотря на рост затрат на средства обеспечения безопасности ("Internet Week", 23 марта 1998 г.).

В феврале 2001 г. двое бывших сотрудников компании "Commerce One", воспользовавшись паролем администратора, удалили с сервера файлы, содержавшие крупный (на несколько миллионов долларов) проект для иностранного заказчика. В соответствии с требованиями обеспечения информационной безопасности, имелась резервная копия проекта, так что реальные потери ограничились расходами на следствие и судебное преследования злоумышленников и средства защиты от подобных инцидентов в будущем.

Еще несколько цифр. В марте 1999 г. в США года был опубликован четвертый по счету годовой отчет "Компьютерная преступность и безопасность: проблемы и тенденции" ("Issues and Trends: 1999 CSI/FBI Computer Crime and Security Survey"). В отчете отмечается увеличивающийся рост числа обращений в правоохранительные органы по поводу компьютерных преступлений (32% из числа опрошенных). Информационные системы 30% респондентов были взломаны внешними злоумышленниками. Атакам через Internet подвергались 57% опрошенных. В 55% случаях отмечались нарушения со стороны собственных сотрудников. 33% респондентов не следили за состоянием безопасности своих компьютерных и сетевых систем.

Столь же тревожные результаты содержатся в обзоре "InformationWeek" (12 июля 1999 г.). Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. В аналогичном отчете, опубликованном в апреле 2002 г., тенденция осталась прежней:

  • 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности;
  • 80% констатировали финансовые потери от этих нарушений;
  • 44% оценили потери количественно - их общая сумма составила более 455 млн дол.

Наибольший ущерб нанесло манипулирование доступом во внутреннее информационное пространство: кражи данных и информации из корпоративных сетей и баз данных, подмена информации, подлоги документов в электронном виде, промышленный шпионаж (более 170, 115 и 1500 млн дол. соответственно). Наряду с возрастанием числа внешних атак в последние годы отмечается резкий рост распространения вирусов через Интернет.

Увеличение числа атак - еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении. Ракетный крейсер "Йорктаун" (США) был вынужден вернуться из боевого патрулирования в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 ("Government Computer News", июль 1998 г.). Два школьника, используя компьютерную игру "Ответный удар", сумели проникнуть в систему управления ракетами NORAD Министерства обороны США и инициировали процесс запуска ракет с ядерными боеголовками - это едва не поставило мир на грань новой мировой войны. Отметим, что Министерство максимально широко использует коммерческое программное обеспечение с целью снижения стоимости систем компьютерного управления военной техникой.

В информационном письме Национального центра защиты инфраструктуры США (USA NIPC - National Infrastructure Protection Center) от 21 июля 1999 г. сообщается, что за период с 3 по 16 июля 1999 г. выявлено девять проблем с ПО, риск использования которых оценивается как средний или высокий (общее число обнаруженных уязвимых мест равно 17). Среди "пострадавших" операционных платформ - почти все разновидности ОС Unix, Windows, MacOS, .NET. В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть разработки, внедрения и эксплуатации информационных технологий - области, развивающейся беспрецедентно высокими темпами. К сожалению, современная технология программирования не позволяет создавать полностью безошибочные программы. Поэтому следует исходить из того, что необходимо создавать надежные системы ИБ с привлечением не стопроцентно надежных программных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности программно-аппаратного обеспечения и телекоммуникационных устройств на всем протяжении жизненного цикла ИС.

В Доктрине информационной безопасности Российской Федерации защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.

К настоящему времени сложилась общепринятая точка зрения на концептуальные основы ИБ. Суть ее заключается в том, что подход к обеспечению ИБ должен быть комплексным, сочетающим меры следующих уровней:

  • законодательного (федеральные и региональные законы, подзаконные и нормативные акты, международные, отраслевые и корпоративные стандарты);
  • административного (действия общего и специального характера, предпринимаемые руководством организации);
  • процедурного (меры безопасности, закрепленные в соответствующих методологиях и реализуемые ответственными менеджерами и персоналом);
  • научно-технического (конкретные методики, программно-аппаратные, технологические и технические меры).

20.1. Угрозы экономической, информационной и материальной безопасности

В общем случае понятие "безопасность" можно определить как состояние и тенденцию развития защищенности жизненно важных интересов социума и его жизненно важных структур. В статье 2 Закона Российской Федерации "О безопасности" сказано: "Безопасность - это состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. К основным объектам безопасности относятся: личность - ее права и свободы, организации и общество - их материальные и духовные ценности, государство - его конституционный строй, суверенитет и территориальная целостность". Из этого следует, что главными принципами обеспечения безопасности в соответствии с законом "О безопасности" являются: законность, соблюдение баланса жизненно важных интересов личности, общества и государства, взаимная ответственность перечисленных субъектов, интеграция системы безопасности в рамках компании, общества, государства, взаимодействие с международными системами безопасности.

Экономическая безопасность предпринимательской деятельности и хозяйствующего субъекта является материальной основой национальной безопасности страны. Ее можно определить как защищенность жизненно важных интересов государственного или коммерческого предприятия от внутренних и внешних угроз, защиту кадрового и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, которая обеспечивается системой мер правового, экономического, организационного, информационного, инженерно-технического и социального характера. Это такое состояние хозяйствующего субъекта, при котором он при наиболее эффективном использовании корпоративных ресурсов добивается предотвращения, ослабления или защиты от существующих или потенциальных опасностей и угроз или других непредвиденных обстоятельств и обеспечивает достижения целей бизнеса в условиях конкуренции и хозяйственного риска.

Стратегия обеспечения экономической безопасности Российской Федерации строится на основании официально действующих правовых и нормативных актов, основными из которых являются:

  • Конституция Российской Федерации;
  • Закон РФ "О безопасности" от 5 марта 1992 г. с изменениями и дополнениями от 25 декабря 1992 г.;
  • Государственная стратегия экономической безопасности РФ (Основные положения), одобренная Указом Президента РФ от 29 апреля 1996 г. № 608.
  • Концепция национальной безопасности Российской Федерации, введенная Указом Президента РФ от 10 января 2000 г. № 24.

Решение задач обеспечения экономической безопасности осуществляется на трех уровнях: стратегическом, тактическом, оперативном.

  1. Стратегический уровень обеспечения экономической безопасности предполагает ликвидацию экономических и политических противоречий, приводящих к угрозам, либо, как минимум, их локализацию и ослабление. На стратегическом уровне должны приниматься и реализовываться системообразующие (с точки зрения национальной экономики), решения.
  2. Тактический уровень предполагает решение задач, связанных с ликвидацией самих угроз или предотвращением их воздействия на экономическую сферу. На тактическом уровне должны разрабатываться комплексы превентивных мероприятий.
  3. На оперативном уровне экономическая безопасность обеспечивается путем ликвидации последствий угроз. Результаты решения задач на данном уровне представляют собой преимущественно комплексы оперативных мероприятий.

Содержание перечисленных документов говорит о том, что Государственная стратегия обеспечения экономической безопасности включает следующие основные разделы:

  • национальные интересы в области экономики, критерии и показатели ее состояния, отвечающие требованиям экономической безопасности страны;
  • общую характеристику адекватной совокупности внешних и внутренних угроз безопасности и общий перечень таких угроз;
  • меры экономической политики, направленные на обеспечение безопасности, и механизмы ее реализации.

К наиболее значимым показателям экономической безопасности следует отнести:

  • уровень и качество жизни населения ("совокупный индекс развития человеческого потенциала", предложенный ООН в конце 90-х гг.);
  • темпы роста валового национального продукта (ВНП) и валового внутреннего продукта (ВВП), а также основных отраслей экономики;
  • дефицит бюджета, состояние платежного баланса, сальдо внешней торговли, государственный долг;
  • степень управляемости экономики, структуру собственности, уровень монополизации, размер и масштабы деятельности "теневой" экономики, состояние налоговой системы;
  • уровень производительности труда и эффективность производства, состояние и воспроизводство производственного и научного потенциала, обеспеченность ресурсами.

Исходя из необходимости достижения целей в области обеспечения экономической безопасности предпринимательской деятельности, можно выделить следующие основные проблемные направления: организация эффективной защиты материальной, финансовой и интеллектуальной собственности, защиту информационных ресурсов предприятия, эффективное управление ресурсами и персоналом.

Отметим, что в связи с глобализацией экономических процессов, появлением быстродействующих средств сбора, обработки, преобразования, анализа информации и ее доставки конечному потребителю информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Она приобрела ощутимый (стоимостный) вес, который определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации. Вместе с тем развитие индустрии создания, переработки и распространения информации породило целый ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях.

В современных условиях коммерческий успех любого предприятия в большой степени зависит от оперативности и мобильности бизнеса, от своевременности и быстроты принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия между различными участниками бизнес-процессов. Сегодня предприятия в качестве среды для информационного обмена все чаще используют открытые каналы связи сетей общего доступа (Интернет) и внутреннее информационное пространство предприятия (Интранет). Чаще всего выбор в пользу открытых каналов Интернета делается по причине их дешевизны по сравнению с выделенными каналами. Однако сетям общего пользования присущ существенный недостаток - открытость и доступность информационной среды. Другими словами, компания не может полностью контролировать передачу и прием своих данных по каналам Интернета, и, следовательно, гарантировать их целостность и конфиденциальность. Злоумышленникам не составляет особого труда перехватить деловую информацию с целью ознакомления с нею, ее искажения, кражи и т. п.

Информационную безопасность в общем случае можно определить как защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений - владельцам и пользователям информации и поддерживающей инфраструктуры. Информационная безопасность обеспечивает, прежде всего, сохранность, целостность, конфиденциальность и доступность данных и информации, работоспособность информационной системы, ее подсистем и сервисов, средств взаимодействия и связи.

Требования по обеспечению безопасности в различных ИС могут существенно отличаться, однако они всегда направлены на достижение трех основных свойств:

  • целостность - информация, на основе которой принимаются решения, должна быть достоверной и точной, защищенной от возможных непреднамеренных и злоумышленных искажений;
  • доступность (готовность) - информация и соответствующие автоматизированные службы должны быть доступны, готовы к работе всегда, когда в них возникает необходимость;
  • конфиденциальность - засекреченная информация должна быть доступна только тому, кому она предназначена.

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и(или) получить моральный ущерб) не только от несанкционированного доступа, но и от отказов системы, вызвавшей перерыв в работе. Угрозы информационной безопасности - это оборотная сторона использования информационных технологий.

Для большинства государственных и коммерческих организаций вопросы защиты от несанкционированного доступа и сохранности данных и информации имеют более высокий приоритет, чем проблемы локальных неисправностей компьютерного и сетевого оборудования. Напротив, для многих открытых организаций (общественных, учебных) защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте. Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать:

  • несанкционированный доступ к информационным ресурсам;
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Угрозы возникают из противоречий экономических интересов различных элементов, взаимодействующих как внутри, так и вне социально-экономической системы. Они и определяют содержание и направления деятельности по обеспечению безопасности. Следует отметить, что анализ проблем экономической безопасности необходимо проводить, учитывая взаимосвязи экономических противоречий, угроз и потерь, к которым может приводить реализация угроз. Такой анализ приводит к следующей цепочке: источник угрозы (внешняя и(или) внутренняя среда) - зона риска (сфера экономической деятельности и способ ее реализации) - фактор (степень уязвимости данных, информации, программного обеспечения, компьютерных и телекоммуникационных устройств, ресурсов, персонала) - угроза (вид, величина, направление действия) - возможность реализации (предпосылки, объект, способ действия, скорость и временной интервал действия) - последствия (материальный ущерб, моральный вред, размер ущерба и вреда, возможность компенсации).

Угрозу отождествляют обычно либо с характером (видом, способом) дестабилизирующего воздействия на информацию или материальные объекты, либо с последствиями (результатами) такого воздействия. Однако такого рода термины могут иметь много трактовок. Возможен и иной подход к определению угрозы безопасности информации, базирующийся на самом понятии "угроза".

С правовой точки зрения понятие "угроза" жестко связано с юридической категорией "ущерб", которую Гражданский кодекс РФ (часть I, ст. 15) определяет как "фактические расходы, понесенные субъектом в результате нарушения его прав (например, разглашения или использования нарушителем конфиденциальной информации), утраты или повреждения имущества, а также расходы, которые он должен будет произвести для восстановления нарушенного права и стоимости поврежденного или утраченного имущества".

валентина петрашева
валентина петрашева
rozybayev kemal
rozybayev kemal