|
Скачати 2.3 Mb.
|
Поняття інформаційної безпеки. Основні складові. Важливість проблеми 1.1. Поняття інформаційної безпеки Словосполучення "інформаційна безпека" у різних контекстах може матирізне значення. У даному курсі наша увага буде зосереджена на зберіганні, обробці тапередачі інформації незалежно від того, якою мовою (російською чи якою-небудь іншою) вона закодована, хто або що є її джерелом та який психологічнийвплив вона має на людей. Тому термін "інформаційна безпека" використовуєтьсяу вузькому змісті, так, як це прийнято, наприклад, в англомовній літературі. Під інформаційною безпекою ми будемо розуміти захищеністьінформації й інфраструктурою, яка її підтримує від випадкових або навмиснихвпливів природного або штучного характеру, які можуть завдати неприйнятноїшкоди суб'єктам інформаційних відносин, у тому числі власникам ікористувачам інформації й підтримуючої інфраструктури. ( Далі ми пояснимо,що варто розуміти під підтримуючою інфраструктурою.) Захист інформації - це комплекс заходів, спрямованих на забезпеченняінформаційної безпеки. Таким чином, правильний з методологічної точки зору підхід до проблемінформаційної безпеки починається з виявлення суб'єктів інформаційнихвідносин й інтересів цих суб'єктів, пов'язаних з використанням інформаційнихсистем (ІС). Загрози інформаційної безпеки - це зворотний бік використанняінформаційних технологій. Із цього положення можна вивести два важливі висновки: 1 Трактування проблем, пов'язаних з інформаційною безпекою, длярізних категорій суб'єктів може істотно розрізнятися. Для ілюстрації доситьзіставити режимні державні організації й навчальні інститути. У першомувипадку "нехай краще все зламається, ніж ворог довідається хоч одинсекретний біт", у другому - "так немає в нас ніяких секретів, аби тільки всепрацювало". 2 Інформаційна безпека не зводиться винятково до захисту віднесанкціонованого доступу до інформації, це принципово більш широкепоняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитківй/або одержати моральний збиток) не тільки від несанкціонованого доступу,але й від поломки системи, що викликала перерву в роботі. Більше того, длябагатьох відкритих організацій (наприклад, навчальних) власне захист віднесанкціонованого доступу до інформації стоїть по важливості аж ніяк не напершому місці. Повертаючись до питань термінології, відзначимо, що термін"комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам занадтовузьким. Комп'ютери - тільки одна зі складових інформаційних систем, і хочанаша увага буде зосереджена в першу чергу на інформації, що зберігається,обробляється й передається за допомогою комп'ютерів, її безпека визначаєтьсявсією сукупністю складових й, у першу чергу, найслабшою ланкою, якою впереважній більшості випадків є людина, яка (написала, наприклад, свій парольна "гірчичнику", наклеєному на монітор). Відповідно до визначення інформаційної безпеки, вона залежить не тількивід комп'ютерів, але й від інфраструктури, яка її підтримує, до якої можнавіднести системи електро-, водо- і теплопостачання, кондиціонери, засобикомунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура маєсамостійну цінність, але нас цікавити не лише те, як вона впливає на виконанняінформаційною системою запропонованих їй функцій. Звернемо увагу, що у визначенні ІБ перед іменником "збиток" стоїтьприкметник "неприйнятний". Вочевидь, застрахуватися від усіх видів збитківнеможливо, тим більше неможливо зробити це економічно доцільним чином, коливартість захисних засобів і заходів не перевищує розмір очікуваного збитку.Виходить, із чимось доводиться миритися й захищатися потрібно тільки від того, зчим змиритися ніяк не можна. Іноді таким неприпустимим збитком є нанесенняшкоди здоров'ю людей або стану навколишнього середовища, але частіше порігнеприйнятності має матеріальне (грошове) вираження, а метою захистуінформації стає зменшення розмірів збитків до припустимих значень. 1.2. Основні складові інформаційної безпеки Інформаційна безпека - багатогранна, можна навіть сказати, багатомірнаобласть діяльності, у якій успіх може принести лише систематичний,комплексний підхід. Спектр інтересів суб'єктів, пов'язаних з використанням інформаційнихсистем, можна розділити на наступні категорії: забезпечення доступності,цілісності й конфіденційності інформаційних ресурсів і підтримуючоїінфраструктури. Іноді в сукупність основних складових ІБ включають захист віднесанкціонованого копіювання інформації, але, на наш погляд, це занадтоспецифічний аспект із сумнівними шансами на успіх, тому ми не будемо йоговиділяти. Пояснимо поняття доступності, цілісності й конфіденційності. Доступність - це можливість за прийнятний час одержати необхіднуінформаційну послугу. Під цілісністю мається на увазі актуальність і несуперечність інформації, їїзахищеність від руйнування й несанкціонованої зміни. Нарешті, конфіденційність - це захист від несанкціонованого доступу доінформації. Інформаційні системи створюються (купуються) для одержання певнихінформаційних послуг. Якщо з тих або інших причин надати ці послугикористувачам стає неможливо, це, мабуть, завдає шкоди всім суб'єктамінформаційних відносин. Тому, не протиставляючи доступність іншимаспектам, ми виділяємо її як найважливіший елемент інформаційної безпеки. Особливо яскраво провідна роль доступності виявляється в різного родусистемах керування - виробництвом, транспортом і т.п. Зовні меншдраматичні, але також досить неприємні наслідки - і матеріальні, і моральні -може бути тривала недоступність інформаційних послуг, якими користуєтьсявелика кількість людей (продаж залізничних та авіаквитків, банківськіпослуги й т.п.). Цілісність можна підрозділити на статичну (що розуміється як незмінністьінформаційних об'єктів) і динамічну (яка стосується коректного виконанняскладних дій (транзакцій)). Засоби контролю динамічної цілісностізастосовуються, зокрема, при аналізі потоку фінансових повідомлень із метоювиявлення крадіжки, перевпорядкування або дублювання окремих повідомлень. Цілісність виявляється є найважливішим аспектом ІБ у тих випадках, колиінформація слугує "керівництвом до дії". Рецептура ліків, запропонованімедичні процедури, набір і характеристики комплектуючих виробів, хідтехнологічного процесу - все це приклади інформації, порушення цілісностіякої може виявитися в буквальному значенні смертельним. Неприємно йперекручування офіційної інформації, будь-то текст закону або сторінка Web-сервера якої-небудь урядової організації. Конфіденційність - найпроблемніший у нас у країні аспект інформаційноїбезпеки. На жаль, практична реалізація засобів по забезпеченнюконфіденційності сучасних інформаційних систем натрапляє в Україні насерйозні труднощі. По-перше, відомості про технічні канали витоку інформації єзакритими, так що більшість користувачів позбавлені можливості скластиуявлення про потенційні ризики. По-друге, на шляху використовуваноїкриптографії як основного засобу забезпечення конфіденційності стоятьчисленні законодавчі перепони й технічні проблеми. Якщо повернутися до аналізу інтересів різних категорій суб'єктівінформаційних відносин, то майже для всіх, хто реально використовує ІС, напершому місці стоїть доступність. Практично не поступається їй по важливостіцілісність - який сенс в інформаційній послузі, якщо вона містить перекрученівідомості? Нарешті, конфіденційні моменти є також у багатьох організацій (навіть узгадуваних вище навчальних інститутах намагаються не розголошувативідомості про зарплату співробітників) і окремих користувачів (наприклад,паролі). 1.3. Важливість і складність проблеми інформаційної безпеки Інформаційна безпека є одним з найважливіших аспектів інтегральноїбезпеки, на якому б рівні ми не розглядали останню - національному,галузевому, корпоративному або персональному. Для ілюстрації цього положення обмежимося декількома прикладами.
Інституту інформаційної безпеки й ФБР. в 1997 році збиток відкомп'ютерних злочинів досяг 136 мільйонів доларів, що на 36% більше,ніж в 1996 році. Кожен комп'ютерний злочин завдає шкоди приблизно в200 тисяч доларів.
Зрозуміло, що подібних прикладів безліч, можна згадати й інші випадки -недоліків в порушеннях ІБ немає й не передбачається. Чого коштує одна тільки"Проблема 2000" - сором і ганьба програмного співтовариства! При аналізі проблематики, пов'язаної з інформаційною безпекою, необхідновраховувати специфіку даного аспекту безпеки, що полягає у тому, щоінформаційна безпека є складовою частиною інформаційних технологій -області, що розвивається надзвичайно високими темпами. Тут важливі нестільки окремі рішення (закони, навчальні курси, програмно-технічні засоби),що перебувають на сучасному рівні, скільки механізми генерації нових рішень,що дозволяють жити в темпі технічного прогресу. На жаль, сучасна технологія програмування не дозволяє створюватибезпомилкові програми, що не сприяє швидкому розвитку засобів забезпеченняІБ. Варто виходити з того, що необхідно конструювати надійні системи(інформаційної безпеки) із залученням ненадійних компонентів (програм). Упринципі, це можливо, але вимагає дотримання певних архітектурнихпринципів і контролю стану захищеності протягом усього життєвого циклу ІС. Наведемо ще кілька цифр. У березні 1999 року був опублікований черговий,четвертий по рахунку, річний звіт "Комп'ютерна злочинність і безпека-1999:проблеми й тенденції" (Issues and Trends: 1999 CS1/FB1 Computer Crime and SecuritySurvey). У звіті відзначається різкий ріст числа звернень до правоохоронних органівіз приводу комп'ютерних злочинів (32% із числа опитаних); 30% респондентівповідомили про те, що їхні інформаційні системи були зламані зовнішнімизловмисниками; атакам через Internet піддавалися 57% опитаних; у 55% випадкахвідзначалися порушення з боку власних співробітників. Примітно, що 33%респондентів на питання " чи були зламані ваші Web-сервери й системи електронноїкомерції за останні 12 місяців? " відповіли "не знаю". В аналогічному звіті, опублікованому у квітні 2002 року, цифри змінилися,але тенденція залишилася колишнюю: 90% респондентів (переважно з великихкомпаній й урядових структур) повідомили, що за останні 12 місяців у їхніхорганізаціях мали місце порушення інформаційної безпеки; 80% констатувалифінансові втрати від цих порушень; 44% (223 респондента) змогли й/або захотілиоцінити втрати кількісно, загальна сума склала більше 455 млн. доларів.Найбільший збиток нанесли крадіжки й підробки (більше 170 й 115 млн. доларіввідповідно). Настільки ж тривожні результати втримуються в огляді information Week,опублікованому 12 липня 1999 року. Лише 22% респондентів заявили провідсутність порушень інформаційної безпеки. Поряд з поширенням вірусіввідзначається різкий ріст числа зовнішніх атак. Збільшення кількості атак - ще не найбільша неприємність. Гірше те, щопостійно виявляються нові уразливі місця в програмному забезпеченні (вище мивказувати на обмеженість сучасної технології програмування) і, як наслідок,з'являються нові види атак. Так, в інформаційному листі Національного центру захисту інфраструктуриСША (National Infrastructure Protection Center, NIPC) від 21 липня 1999 рокуповідомляється, що за період з 3 по 16 липня 1999 року виявлено дев'ять проблемз ПЗ, ризик використання яких оцінюється як середній або високий (загальнечисло виявлених уразливих місць дорівнює 17). Серед "потерпілих" операційнихплатформ - майже всі різновиди ОС Unix, Windows, MacOS, так що ніхто не можепочуватися спокійно, оскільки нові помилки відразу починають активновикористовуватися зловмисниками. У таких умовах системи інформаційної безпеки повинні вміти протистоятирізноманітним атакам, як зовнішнім, так і внутрішнім, атакам автоматизованим іскоординованим. Іноді напад триває долі секунди; часом промацуванняуразливих місць ведеться повільно й розтягується на години, так що підозрілаактивність практично непомітна. Метою зловмисників може бути порушення всіхскладових ІБ - доступності, цілісності або конфіденційності. Розділ 2. Поширення об'єктно-орієнтованого підходуна інформаційну безпеку 2.1. Про необхідність об'єктно-орієнтованого підходудо інформаційної безпеки У наш час інформаційна безпека є відносно замкнутою дисципліною,розвиток якої не завжди синхронізований зі змінами в інших областяхінформаційних технологій. Зокрема, в ІБ поки не знайшли відображення основніположення об'єктно-орієнтованого підходу, що став основою при побудовісучасних інформаційних систем. Не враховуються в ІБ і досягнення в технологіїпрограмування, засновані на нагромадженні й багаторазовому використанніпрограмістських знань. На наш погляд, це дуже серйозна проблема, щоускладнює прогрес в області ІБ. Спроби створення більших систем ше в 60-х роках розкрили численніпроблеми програмування, головною з яких є складність створюваних ісупроводжуваних систем. Результатами досліджень в області технологіїпрограмування стали спочатку структуроване програмування, потім об'єктно-орієнтований підхід. Об'єктно-орієнтований підхід є основою сучасної технологіїпрограмування, випробуваним методом боротьби зі складністю систем. Єприродним й, більше того, необхідним, прагнення поширити цей підхід і насистеми інформаційної безпеки, для яких, як і для програмування в цілому, маємісце згадана проблема складності. Складність ця має двояку природу. По-перше, складні не тільки апаратно-програмні системи, які необхідно захищати, але й самі засоби безпеки. По-друге,швидко наростає складність сімейства нормативних документів, таких,наприклад, як профілі захисту на основі "Загальних критеріїв", мова про які підедалі. Ця складність менш очевидна, але нею також не можна нехтувати; необхідноспоконвічно будувати сімейства документів по об'єктному принципу. Будь-який розумний метод боротьби зі складністю базується на принципі"devide et impera" - "розділяй і пануй". У даному контексті цей принцип означає,що складна система (інформаційної безпеки) на верхньому рівні повиннаскладатися з невеликої кількості відносно незалежних компонентів. Відноснанезалежність тут і далі розуміється як мінімізація кількості зв'язків міжкомпонентами. Потім декомпозиції піддаються виділенню на першому етапікомпонента, і так далі до заданого рівня деталізації. У результаті системавідображається у вигляді ієрархії з декількома рівнями абстракції. Найважливіше питання, що виникає при реалізації принципу "розділяй іпануй", - як, власне кажучи, розділяти. Згадуваний вище структурний підхідопирається на алгоритмічну декомпозицію, коли виділяються функціональніелементи системи. Основна проблема структурного підходу полягає в тому, щовін незастосовний на ранніх етапах аналізу й моделювання предметної області,коли до алгоритмів і функцій справа ще не дійшла. Потрібний підхід "широкогоспектру", що не має такого концептуального розриву з аналізованими системами йзастосований на всіх етапах розробки й реалізації складних систем. Минамагатимемося показати, що об'єктно-орієнтований підхід задовольняє такимвимогам. |
К-сть годин Структура інформаційної системи. Апаратна й інформаційна складові інформаційної системи. Взаємозв’язки апаратної та інформаційної... |
Урок №4. Тема: Структура інформаційної системи. Апаратна та програмна... Мета: ознайомити учнів із структурою інформаційної системи, основними пристроями апаратної складової інформаційної системи, їх функціями... |
ФОРМУВАННЯ ІНВЕСТИЦІЙНОЇ МОДЕЛІ У НАПРЯМКУ ПІДВИЩЕННЯ ІННОВАЦІЙНОЇ БЕЗПЕКИ РЕГІОНІВ У статті розкриті теоретико-методологічні основи дослідження економічної безпеки, визначено сутність і структуру категорії, систему... |
Лекція 1 ПОНЯТТЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ Перш ніж говорити про інформаційну безпеку необхідно з’ясувати, що таке інформація |
НАВЧАЛЬНО-МЕТОДИЧНІ МАТЕРІАЛИ ДО СЕМІНАРСЬКИХ ЗАНЯТЬ з дисципліни... Правові та організаційні основи безпеки підприємницької діяльності: навчально-методичні матеріали до семінарських занять / Розробник:... |
КАЛЕНДАРНЕ ПЛАНУВАННЯ З "ОСНОВИ БЕЗПЕКИ ЖИТТЄДІЯЛЬНОСТІ" |
Напрямки інформаційної безпеки Інформаційна безпека має кілька напрямків В условиях ужесточения конкуренции успех предпринимательства, гарантия получения прибыли все в большей мере зависят от сохранности... |
Організація позамашинної та машинної інформаційної бази Поняття машинної інформаційної бази. Особливості розміщення інформації на машинних носіях |
ПВНЗ «ЄВРОПЕЙСЬКИЙ УНІВЕРСИТЕТ» КАФЕДРА “ОРГАНІЗАЦІЇ КОМПЛЕКСНОГО ЗАХИСТУ ІНФОРМАЦІЇ” Поняття, специфіка та витоки правового забезпечення захисту інформації. Проблеми інформаційної безпеки України Основні терміни та... |
ЗАТВЕРДЖЕНО Призначення і основи організації технічної служби Державного департаменту пожежної безпеки МВС України |