В настоящее время в деятельности современных организаций широко применяются информационные системы и технологии. И, как следствие, необходимо сделать всё возможное для обеспечения доступности, целостности, а также конфиденциальности обрабатываемой информации. Необходимо грамотно управлять рисками, способными существенно затруднить достижение миссии организации.
Ключевые слова: информационная безопасность, информационные технологии, доступ, базы данных, конфиденциальность, целостность, доступность, защита, метки безопасности, проверка подлинности, предоставление надежности пути, анализ регистрационной информации.
За последние годы в современном обществе произошло широкое внедрение информационных технологий, что, кроме явных положительных тенденций, породило и ряд проблем, связанных с их деятельностью. С ростом роли информационных систем увеличивается конкуренция, число пользователей, а также несанкционированный доступ к информации, хранящейся и передающейся в этих сетях.
На наш взгляд за последние года информация стала гораздо уязвимей, так как произошел сильный толчок в развитии методов и способов получения каких-либо знаний путем автоматизации процессов хранения и обработки информации. К тому же происходит массовое применение персональных компьютеров, в которых циркулируют данные, применяемые либо со слабой степенью защиты, либо вовсе игнорирующее ее.
Рассмотрим суть проблемы информационной безопасности и определим способы, повышающие защищенность этих систем.
При защите информационных технологий особое внимание нужно уделять сохранности данных от злоумышленных разрушений, искажений и хищений программных средств и информации. Для этих целей разработаны и активно развиваются методы и средства поддержки сохранности, такие как защита от несанкционированного доступа, вирусов и утечки информации.
Все угрозы могут различаться в зависимости от способа и места воздействия, поэтому и подход к их устранению должен быть уникальным.
Выделяют несколько методов защиты информации: физические препятствия, законодательные, управление доступом и криптографическое закрытие, каждый из них помогает предотвратить разрушение, кражу и нелегальный доступ к информационным ресурсам. Рассмотрим их более подробно.
Способ физической защиты создает некое препятствие для нарушителя и ограничивает ему доступ к данным. Яркий минус данного метода состоит в том, что он защищает информацию только от «внешних» пользователей, не реагируя на тех, кто имеет доступ для входа. Второй же способ, законодательный, содержит в себе определенные законодательные акты, которые несут в себе меры наказания за нарушение правил использования данных. Третий метод, на наш взгляд, является наиболее действенным, с помощью управления доступом можно регулировать возможность входа в систему. Это осуществляется путем аутентификации пользователя, авторизации, регистрации и реагирования. Суть криптографии заключается в шифровании данных с помощью определенных программ. Возможность дешифрования получает только санкционированный пользователь.
С целью защиты данных были созданы основополагающие документы, в которых раскрываются основные понятия, требования, методы и средства обеспечения информационной безопасности:
«Оранжевая книга»;
«Гармонизированные критерии Европейских стран»;
Рекомендации Х.800;
Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.
Рассмотрим каждый из них подробней.
В 1983 году в Соединенных Штатах Америки Министерством обороны был опубликован документ под названием «Оранжевая книга», в котором раскрываются понятия и способы защиты информации. Документ четко разъясняет, какие системы считаются надежными и что нужно делать для обеспечения сохранности данных.
Уровень доверия системы защиты осуществляется в выполнении двух принципов: концепция безопасности и гарантированность.
Первый принцип заключается в системе правил и норм, которые использует организация для обеспечения безопасности и защиты данных. Активным и действующим компонентом защиты является концепция безопасности системы, которая состоит из исследования угроз и возможности их устранения. Согласно «Оранжевой книге» концепция безопасности разрабатываемой системы должна состоять из отдельных компонентов. Рассмотрим их более подробно.
Ограничение доступа к данным базируется на учете личности группы или субъекта. Лично владелец информации по своему усмотрению может предоставлять и ограничивать доступ, в этом и заключается принцип произвольного управления доступом. У данного компонента есть как достоинства, например, гибкость, так и недостатки, например, разбросанная форма управления и сложность централизованного контроля. Однако, наиболее яркий недостаток, это — оторванность прав доступа от данных, то есть появляется возможность копировать секретную информацию в средствах массовой информации (СМИ).
Безопасность повторного использования объектов защищает от преднамеренного или случайного извлечения конфиденциальной информации. В первую очередь, данный тип безопасности должен быть по максимуму обеспечен для областей оперативной памяти.
Метки безопасности бывают двух видов, относительно субъекта и относительно объекта информации для реализации принудительного управления доступом. Метки субъекта содержат в себе данные о его благонадежности, а метки объекта- уровень конфиденциальности информации. Исходя из «Оранжевой книги», метки безопасности состоят из двух частей: уровень секретности и список категорий. При работе с метками необходимо заострять внимание на их целостности, то есть все субъекты и объекты должны быть помечены, чтобы не было разрыва данных, а также нужно обеспечивать и контролировать сохранность самой метки.
На сопоставление меток безопасности объектов и субъектов базируется принудительное управление доступом. Название обусловлено тем, что на него не влияют мнения субъектов.
Система безопасности подразумевает правила и методы разграничения доступа, в которой дополнительно функционирует механизм подотчетности. Его целью является контроль за деятельностью пользователей в системе в любой момент времени. Выделяют три вида средств подотчетности, это проверка подлинности, предоставление надежности пути, анализ регистрационной информации.
Второй принцип, именуемый «Гарантированность», раскрывается в степени доверия, которая может быть предоставлена при использовании системы. Она может выявляться как из тестирования, так и из проверки использования системы в целом и отдельных ее частей, и показывает на сколько точно работают механизмы, ответственные за обеспечение безопасности. Относительно «Оранжевой книги» выделяют два вида гарантированности — операционная и технологическая. Первая рассматривает архитектурные и реализационные аспекты системы, а вторая способы построения и сопровождения.
Если придерживаться трактовки «Оранжевой книги», то надежное администрирование логически выделяет три роли: системного администратора, системного оператора и администратора безопасности.
Отметим, что технологическая гарантированность должна включать весь жизненный цикл системы безопасности, то есть этапы ее проектирования, реализации, тестирования, внедрения и сопровождения. Все эти действия обязаны безоговорочно выполняться в соответствии с их стандартами для максимального обеспечения защиты от утечки данных и несанкционированного доступа.
Как уже было сказано, за последнее время число информационных систем резко увеличилось, следовательно, увеличилось и число систем информационной защиты. Для того, чтобы облегчить выбор между огромным перечнем систем обеспечения безопасности, специалисты ранжируют относительно данных из «Оранжевой книги» все эти системы по степени надежности. Выделяют четыре уровня надежности — D, C, B и A (с постепенным возрастанием надежности).
Далее рассмотрим второй основополагающий документ, в котором отражаются правила, методы и оценки системы информационной безопасности для информационных систем, «Гармонизированные критерии Европейских стран» (ITSEC). Документ был опубликован в 1991 году четырьмя организациями Европейских стран: Франции, Германии, Великобритании и Нидерландов.
Отличительная черта этих критериев состоит в отсутствии априорных требований к факторам, в которых функционирует информационная система. То есть организация при запросе сертификационной услуги четко формулирует цель оценки, в которую входят и условия, при которых будет работать система, и потенциальные угрозы, и ожидаемые функции системы безопасности.
В свою очередь орган сертификации измеряет, насколько полноценно выполняются заданные цели, в какой степени корректны и эффектны механизмы защиты в описанных разработчиком условиях.
Информационная безопасность в Европейских критериях базируется на следующих понятиях:
конфиденциальность;
целостность;
доступность.
В отличие от «Оранжевой книги», критерии функций обеспечения защиты более расширены. В состав разделов входят: идентификация и аутентификация, управление доступом, подотчетность, аудит, повторное использование объектов, точность, надежность обслуживания, обмен данными.
Так как организации сами формулируют цель оценки, европейские критерии облегчают им эту задачу, предоставляя в качестве приложения описание классов функциональности. При этом выделяют три степени мощности обеспечения безопасности: высокая, средняя и базовая.
Рассмотрим третий вид документа для систем информационной безопасности, который называется «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (далее по тексту — Концепция защиты СВТ и АС от НСД к информации). В 1992 году были опубликованы пять руководящих документов, описывающие проблему несанкционированного доступа к данным. Идейной основой послужила «Концепция защиты СВТ и АС от НСД к информации».
Выделяют ряд способов кражи, взлома и НСД к информации- радиотехнические, акустические, программные и т. п.
Основные принципы защиты информации заключаются в обеспечении комплекса программно-технических средств на всех технологических стадиях обработки данных. Кроме этого, должен проводиться контроль эффективности средств защиты НСД и т. п.
Функции системы, описанные в Концепции, по своей сущности близки с положениями «Оранжевой книги».
В документе раскрываются десять классов защиты информационных систем от несанкционированного доступа. Каждый из них содержит в себе минимальные условия по защите. В свою очередь, эти классы делятся на группы:
Первая группа предполагает, что системой пользуются много пользователей, но не все они имеют право доступа ко всем данным.
Вторая группа предполагает, что несколько пользователей имеют равные права использования информацией.
Третья группа предполагает, что в системе работает один пользователь, имеющий доступ ко всем данным
Четвертый документ «Рекомендации Х.800» рассматривает основные функции безопасности, относящиеся к распределенным системам и к роли, которую они могут играть. Так же здесь отображаются основные механизмы для реализации сервисов.
Документ был создан по причине того, что за последнее время произошло совершенствование не только информационных систем, но и угроз, связанных с ними. С этими новыми проблемами не справлялись традиционные механизмы защиты, поэтому возникла острая необходимость в создании новых функций системы защиты.
По нашему мнению, выбор способов и методов защиты информации в автоматизированных системах представляет собой сложную задачу, так как необходимо учитывать различные угрозы, стоимость программных систем защиты и условия, в которых эти системы будут работать. На наш взгляд, при выборе способа обеспечения безопасности, лучше всего руководствоватьсядокументом «Гармонизированные критерии Европейских стран» (ITSEC).
Литература:
- «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (утв. решением Гостехкомиссии РФ 30.03.1992).
- Конвергенция средств защиты информации / А. С. Марков, А. А. Фадин // Защита информации. Инсайд. 2013. № 4.
- Программно-аппаратная защита информации. Учебное пособие: П. Б. Хорев — Москва, Форум, Инфра-М, 2015 г.- 352 с.
- Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978–5-8041–0378–2.
- http://www.infobez.com — сайт «Безопасность информационных систем».
