Цели и задачи защиты информации в автоматизированных системах
Работа любого современного предприятия немыслима без широкого использования автоматизированной обработки информации, средств вычислительной техники, связи. Создаваемые на основе этих информационных технологий системы и сети носят глобальный, территориально распределенный характер. В компьютерах на носителях данных накапливаются значительные объемы информации, зачастую носящей конфиденциальный характер или представляющей большую ценность для ее владельца. Однако компьютерная обработка информации, при всех ее положительных сторонах, порождает целый ряд сложных и крупномасштабных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса использования информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях, автоматизированных системах.
Для решения этой проблемы разрабатывается система защиты информации (СЗИ) в автоматизированных системах (Рис. 1).
Рис.1. Система защиты информации.
СЗИ включает меры по защите процессов создания данных, их ввода, хранения, обработки и вывода. СЗИ должна обезопасить ценности системы, защитить и гарантировать точность и целостность информации, минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена.
Защита информации требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Защита информации направлена на достижение следующих целей:
• конфиденциальность критической информации;
• целостность информации и связанных с ней процессов (создания, ввода, обработки и вывода);
• доступность информации, когда она нужна;
• учет всех процессов, связанных с информацией (например, отказоустойчивость).
Работы по защите информации у нас в стране ведутся достаточно интенсивно и уже продолжительное время. Накоплен определенный опыт. Его анализ показал, что весь период работ по защите информации в автоматизированных системах (АС) достаточно четко делится на три этапа, каждый из которых характеризуется своими особенностями в принципиальных подходах к защите информации.
Первый этап характеризуется упрощенным подходом к самой проблеме, порожденным убеждением, что уже сам факт представления информации в ЭВМ в закодированном виде и обработки ее по специфическим алгоритмам является серьезным защитным средством. Поэтому для обеспечения защиты информации вполне достаточно включить в состав АС некоторые технические и программные средства и осуществить ряд организационных мероприятий.
Надежды эти не оправдались, специалисты пришли к выводу о том, что для защиты информации требуется некоторая вполне организованная система со своим управляющим элементом.
Такой элемент получил название ядра защиты, или ядра безопасности.
Тем не менее, все еще сохранялась надежда, что система защиты с ядром в дальнейшем будет обеспечивать надежную защиту во все время функционирования АС, хотя существенно повысилось внимание к организационным мероприятиям.
Изложенный подход был характерен и для второго этапа. Однако нарушения в организации безопасности информации неуклонно росли, что вызывало серьезную озабоченность, поскольку могло стать серьезным препятствием на пути внедрения вычислительной техники. Усиленные поиски выхода из такой почти кризисной ситуации привели к выводу, что защита информации в современных АС есть не одноразовая акция, а непрерывный процесс, целенаправленно осуществляемый во все время создания и функционирования систем с комплексным применением всех имеющихся средств, методов и мероприятий.
Сделанный вывод знаменовал начало третьего этапа в развитии подходов к защите информации, который осуществляется и в настоящее время. Так в самых общих чертах может быть охарактеризовано существо зарубежного и отечественного опыта защиты информации в АС.
На основе сказанного, теоретических исследований и практических работ в области защиты информации сформулирован так называемый системно-концептуальный подход к защите информации в АС.
Под системностью как составной частью системно-концептуального подхода понимается:
• во-первых, системность целевая, т.е. защищенность информации рассматривается как составная часть общего понятия качества информации;
• во-вторых, системность пространственная, предполагающая взаимоувязанное решение всех вопросов защиты во всех компонентах отдельно взятой АС, во всех АС учреждения (заведения, ведомства), расположенных на некоторой территории;
• в-третьих, системность временная, означающая непрерывностьработ по защите информации, осуществляемых по взаимоувязанным планам;
• в-четвертых, системность организационная, означающая единство организации всех работ по защите информации и управления их осуществлением. Она предопределяет объективную необходимость создания в общегосударственном масштабе стройной системы органов, профессионально ориентированных на защиту информации, несущих полную ответственность за оптимальную организацию надежной защиты во всех АС, обладающих необходимыми полномочиями. Главной целью указанной системы органов должна быть реализация в общегосударственном масштабе принципов системно-концептуального подхода к защите информации как государственного, так и коммерческого характера.
Концептуальность подхода предполагает разработку единой концепции как полной совокупности научно обоснованных взглядов, положений и решений, необходимых и достаточных для оптимальной организации и обеспечения надежности защиты информации, а также для целенаправленной организации всех работ по ее защите. Разработка такой концепции в настоящее время находится в стадии завершения, и ее содержание охватывает все направления обеспечения надежной защиты информации.
Комплексность системы защиты информации достигается охватом всех возможных угроз и согласованием между собой разнородных методов и средств, обеспечивающих защиту всех элементов АС.
Основные требования к комплексной системе защиты информации в АС:
• должна обеспечивать выполнение АС своих основных функций без существенного ухудшения характеристик последней;
• должна быть экономически целесообразной, так как стоимость системы защиты информации включается в стоимость АС;
• должна обеспечиваться на всех этапах жизненного цикла, при всех технологических режимах обработки информации, в том числе при проведении ремонтных и регламентных работ;
• в систему защиты информации должны быть заложены возможности ее совершенствования и развития в соответствии с условиями эксплуатации и конфигурации АС;
• должна обеспечивать в соответствии с установленными правилами разграничение доступа к конфиденциальной информации с отвлечением нарушителя на ложную информацию, т.е. обладать свойствами активной и пассивной защиты;
• при взаимодействии защищаемой АС с незащищенными АС должна обеспечивать соблюдение установленных правил разграничения доступа;
• должна позволять проводить учет и расследование случаев нарушения безопасности информации в АС;
• не должна своим применением ухудшать экологическую обстановку, быть сложной для пользователя, вызывать психологическое противодействие и желание обойтись без нее.
Перечень основных задач, которые должны решаться системой защиты информации в АС:
• управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вмешательства в работу системы и несанкционированного (с превышением предоставленных полномочий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и пользователей;
• защита данных, передаваемых по каналам связи;
• регистрация, сбор, хранение, обработка и выдача сведений обо всех событиях, происходящих в системе и имеющих отношение к ее безопасности;
• контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкционированного доступа к ресурсам системы;
• контроль и поддержание целостности критичных ресурсов системы защиты и среды исполнения прикладных программ;
• обеспечение замкнутой среды проверенного программного обеспечения с целью защиты от бесконтрольного внедрения в систему потенциально опасных программ (в которых могут содержаться вредоносные закладки или опасные ошибки) и средств преодоления системы защиты, а также от внедрения и распространения компьютерных вирусов;
• управление средствами защиты информации.
Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, становится очевидной необходимость обеспечения защиты всей системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.
Поэтому под безопасностью автоматизированной системы обработки информации (компьютерной системы) понимается защищенность всех ее компонентов (технических средств, программного обеспечения, данных и персонала) от подобного рода нежелательных для соответствующих субъектов информационных отношений воздействий.