ГЛАВА 1. Предмет і об'єкт захисту

ВСТУП

Входження людства в XXI століття знаменується бурхливим розвитком інформаційних технологій у всіх сферах громадського життя. Інформація все більше стає стратегічним ресурсом держави, продуктивною силою і дорогим товаром. Це не може не викликати прагнення держав, організацій та окремих громадян отримати переваги за рахунок володіння інформацією, недоступною опонентам, а також за рахунок нанесення шкоди інформаційних ресурсів противника (конкурента) і захисту своїх інформаційних ресурсів. Значимість забезпечення безпеки держави в інформаційній сфері підкреслена в прийнятій у вересні 2000 року «Доктрині інформаційної безпеки Російської Федерації»: національна безпека Російської Федерації істотним чином залежить від забезпечення інформаційної безпеки, і в ході технічного прогресу ця залежність буде зростати. Гостроту міждержавного інформаційного протиборства можна спостерігати в оборонній сфері, вищою формою якої є інформаційні війни.

Елементи такої війни вже мали місце в локальних військових конфліктах на Близькому Сході і на Балканах. Так, військам НАТО вдалося вивести з ладу систему протиповітряної оборони Іраку за допомогою інформаційної зброї. Експерти припускають, що війська альянсу використовували програмну закладку, впроваджену завчасно в принтери, які були закуплені Іраком у французької фірми і використовувалися в АСУ ПВО. Не менш гостро стоїть питання інформаційного протиборства і на рівні організацій, окремих громадян. Про це свідчать численні спроби кримінальних елементів отримати контроль над комп'ютерними технологіями для здобуття матеріальної вигоди.

Важливо також, щоб забезпечити конституційних прав громадян, щоб отримати достовірну інформацію про його використання для законних діяльності, а також для захисту інформації, яка забезпечує особисту безпеку. Протистояння держав у сфері інформаційних технологій, кримінальних структур незаконно IP-користувача інформаційних ресурсів, необхідність забезпечення прав громадян у сфері інформації, безліч випадкових загроз викликати гострий необхідно забезпечити захист інформації в комп'ютерних системах (CS), нематеріальних основі інформатизації суспільства. Проблеми інформаційної безпеки на всіх рівнях можна досягти успішно, лише якщо створений і працює комплексної системи захисту інформації, що охоплюють весь життєвий цикл комп'ютерних систем від проектування до утилізації і весь технологічний ланцюжок збирання, зберігання, обробки та видачі інформації. Питання побудови та організації функціонування такої системи захисту розглядаються в цьому навчальному посібнику. Воно дозволить виробити у читачів цілісний, системний погляд на проблему захисту інформації в комп'ютерних системах.

I. ОСНОВНІ ПОНЯТТЯ І ПОЛОЖЕННЯ ЗАХИСТУ ІНФОРМАЦІЇ В КОМП'ЮТЕРНИХ СИСТЕМАХ

ГЛАВА 1. Предмет і об'єкт захисту

1.1. Предмет захисту

У Законі України «Про інформацію», визначено, що «інформація - відомості про осіб, предмети, факти, події, явища і процеси, незалежно від форми їх подання». Інформація має ряд особливостей [48]:

• вона нематеріальна;

• інформація зберігається і передається за допомогою матеріальних носіїв;

• будь-який матеріальний об'єкт містить інформацію про самого себе або про інший об'єкт.

Нематеріальність інформації розуміється в тому сенсі, що не можна виміряти її параметри відомими фізичними методами і приладами. Інформація не має маси, енергії і т. п. Інформація зберігається і передається на матеріальних носіях. Такими носіями є мозок людини, звукові і електромагнітні хвилі, папір, машинні носії (магнітні й оптичні диски, магнітні стрічки і барабани) та ін. Інформації притаманні такі властивості [48]:

1. Інформація доступна людині, якщо вона міститься на матеріальному носії. Тому необхідно захищати матеріальні носії інформації, так як за допомогою матеріальних засобів можна захищати тільки матеріальні об'єкти.

2. Інформація має цінність.

Цінність інформації визначається її корисністю для власника. Володіння істинною (достовірною) інформацією дає її власнику певні переваги. Істинною або достовірною інформацією є інформація, яка з достатньою для власника (користувача) точністю відображає об'єкти і процеси навколишнього світу в певних часових і просторових рамках. Інформація, викривлено представляє дійсність (недостовірна інформація), може завдати власнику значи-них матеріальний і моральний збиток. Якщо інформація перекручена навмисне, то її називають дезінформацією. Законом «Про інформацію, інформатизацію і захист інформації» гарантується право власника інформації на її використання та захист від доступу до неї інших осіб (організацій). Якщо доступ до інформації обмежується, то така інформація є конфіденційною. Конфіденційна інформація може містити державну або комерційну таємницю. Комерційну таємницю можуть містити відомості, що належать приватній особі, фірмі, корпорації тощо. Державну таємницю можуть містити відомості, що належать державі (державними установі). Відповідно до закону "Про державну таємницю" [17] відомостями, що становлять цінність для державу, може бути присвоєна одна з трьох можливих ступенів секретності. У порядку зростання цінності (важливості) інформації їй може бути присвоєно ступінь (гриф) «секретно», «цілком таємно» або «особливої ​​важливості». У державних установах менш важливої ​​інформації може присвоюється гриф «для службового користування». Для позначення цінності конфіденційної комерційної інформації часто використовуються три категорії:

• «комерційна таємниця - строго конфіденційно»,

• «комерційна таємниця - конфіденційно»,

• «комерційна таємниця».

Використовується також інший підхід до градації цінності комерційних чеський інформації:

• «строго конфіденційно - строгий облік»;

• «строго конфіденційно»;

• «конфіденційно».

3. Цінність інформації змінюється в часі.

Як правило, з часом цінність інформації зменшується. Залежність цінності інформації від часу наближено визначається у відповідності з виразом:

С(t)=C₀e^-2.3vτ

де Со - цінність інформації в момент її виникнення (отримання): t - час від моменту виникнення інформації до моменту визначення її вартості; т - час від моменту виникнення інформації до моменту її старіння. Час, через який інформація стає застарілою, змінюється в дуже широкому діапазоні. Так, наприклад, для пілотів реактивних літаків, автогонщиків інформація про стан машин в просторі застаріває за долі секунд. У той же час інформація про закони природи залишається актуальною протягом багатьох століть.

4. Інформація купляється і продається.

Її слід розглядати як товар, що має певну ціну. Ціна, як і цінність інформації, пов'язані з корисністю інформації для конкретних людей, організацій, держав. Інформація може бути цінним для її власника, але безкорисною для інших. У цьому випадку інформація не може бути товаром, а, отже, вона не має і ціни. Наприклад, відомості про стан здоров'я звичайного громадянина є цінною інформацією для нього. Але ця інформація, швидше за все, не заінтересує когось іншого, а, отже, не стане товаром, і не буде мати ціни. Інформація може бути отримана трьома шляхами:

1. проведенням наукових досліджень;

2. купівлею інформації;

3. протиправним здобуванням інформації.

Як будь-який товар, інформація має собівартість, яка визначається витратами на її отримання. Собівартість залежить від вибору шляхів отримання інформації та мінімізації витрат при добуванні необхідних відомостей обраним шляхом. Інформація видобувається з метою отримання прибутку або переваг перед конкурентами, протиборчими сторонами.

Для цього інформація:

• продається на ринку;

• впроваджується у виробництво для отримання нових технологій і товарів, які приносять прибуток;

• використовується в наукових дослідженнях;

• дозволяє приймати оптимальні рішення в управлінні.

4. Складність об'єктивної оцінки кількості інформації.

Існує декілька підходів до вимірювання кількості інформації.

А. Ентропійний підхід. У теорії інформації кількість інформації оцінюється мірою зменшення в одержувача невизначеності (ентропії) вибору або очікування подій після отримання інформації. Кількість інформації тим більша, чим нижча ймовірність події. Ентропійний підхід широко використовується при визначенні кількості інформації, що передається по каналах зв'язку. Вибір при прийомі інформації здійснюється між символами алфавіту у прийнятому повідомленні. Нехай повідомлення, прийняте за каналу зв'язку, складається з N символів (без урахування зв'язку між символами в повідомленні). Тоді кількість інформації в повідомленні може бути підрахована за формулою Шеннона [59]:

 

I=N P_i log₂ P_i,

 

де Pi - імовірність появи в повідомленні символу i, k - кількість символів в алфавіті мови. Аналіз формули Шеннона показує, що кількість інформації в двійковому представленні (в бітах чи байтах) залежить від двох величин: кількості символів в повідомленні і частоти появи того чи іншого символу в повідомленнях для використовуваного алфавіту. Цей підхід абсолютно не відображає наскільки корисна отримана інформація, а дозволяє визначити лише витрати на передачу повідомлення.

Б. Тезаурусний підхід. Цей підхід запропонований Ю.А. Шрейдером [60]. Він заснований на розгляді інформації як знань. Відповідно до цього підходу кількість інформації, що добуває людина з повідомлення, оцінюється ступенем зміни його знань. Структурування знання, представлені у вигляді понять і відносин між ними, називаються тезаурусом. Структура тезауруса ієрархічна. Поняття і відносини, групуючись, утворюють інші, більш складні поняття і відносини. Знання окремої людини, організації, держави утворюють відповідні тезауруси. Тезауруси організаційних структур утворюють тезауруси складових їх елементів. Так тезаурус організації утворюють, перш за все, тезауруси співробітників, а також інших носіїв інформації, таких як документи, обладнання, продукція і т. д.

Для передачі знань потрібно, щоб тезауруси передаючого і елемента та елемента, що приймає, перетиналися. В іншому випадку власники тезаурусів не зрозуміють одне одного. Тезауруси людини і будь-яких організаційних структур є їх капіталом. Тому власники тезаурусів прагнуть зберегти і збільшити свій тезаурус. Збільшення тезауруса здійснюється за рахунок навчання, купівлі ліцензії, запрошення кваліфікованих співробітників або розкрадання інформації. В суспільстві спостерігаються дві тенденції: розвиток тезаурусів окремих елементів (людей, організованих структур) і вирівнювань тезаурусів елементів суспільства. Вирівнювання тезаурусів відбувається як у результаті цільових перевірок спрямованої діяльності (наприклад, навчання), так і стихійно. Стихійне вирівнювання тезаурусів відбувається за рахунок випадкової передачі знань, у тому числі і незаконної передачі.

В. Практичний підхід. На практиці кількість інформації вимірюють, використовуючи поняття «об’єм інформації». При цьому кількість інформації може вимірюватися у кількості біт (байт), у кількості сторінок тексту, довжині магнітної стрічки з відео - або аудіо записом і т.п. Однак очевидно, що на одній сторінці інформації може затриматися більше або менше, принаймні, по з двох причин. По-перше, різні люди можуть розмістити на сторінці різну кількість відомостей про одне й тому самому об'єкті, процесі або явищі матеріального світу. По-друге, різні люди можуть отримати з одного і того ж тексту різну кількість корисної, зрозумілої для них інформації. Навіть одна і та ж людина в різні роки життя отримує різну кількість інформації при читанні книги. В результаті копіювання без зміни інформаційних параметрів носія кількість інформації не змінюється, а ціна знижується. Прикладом копіювання без зміни інформаційних параметрів може служити копіювання тексту із використанням якісних копіювальних пристроїв. Текст копії, при відсутності збоїв копіювального пристрою, буде містити точно таку ж інформацію, як і текст оригіналу. Але при копіюванні зображень вже не вдасться уникнути спотворень. Вони можуть бути тільки більшими чи меншими. У відповідностями із законами ринку, чим більше товару з’являється, тим він дешевший. Цей закон справедливий і у відношенні копій інформації. Дія цього закону можна простежити на прикладі піратського розповсюдження програмних продуктів, відеопродукції і т. п.

Як предмет захисту розглядається інформація, що зберігається, обробляється і передається в комп'ютерних системах. Особливостями цієї інформації є:

• двійкове подання інформації всередині системи, незалежно від фізичної сутності носіїв вихідної інформації;

• висока ступінь автоматизації обробки і передачі інформації;

• концентрація великої кількості інформації в КС.

 

1.2. Об'єкт захисту інформації

Об'єктом захисту інформації є комп'ютерна система або автоматизована система обробки даних (АСОД). У роботах, присвячених захисту інформації в автоматизованих системах, до останнього часу використовувався термін АСОД, який все частіше замінюється терміном КС. Що ж розуміється під цим терміном? Комп'ютерна система - це комплекс апаратних і програмних засобів, призначених для автоматизованого збирання, зберігання, обробки, передачі і отримання інформації. Поряд з терміном «інформація» стосовно КС часто використовують термін «дані». Використовується й інше поняття - «Інформаційні ресурси». Під інформаційними ресурсами розуміють окремі документи і окремі масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних та інших інформаційних системах). Поняття КС дуже широке і воно охоплює такі системи:

• ЕОМ усіх класів і призначень;

• обчислювальні комплекси та системи;

• обчислювальні мережі (локальні, регіональні та глобальні).

Такий широкий діапазон систем об'єднується одним поняттями з двох причин: по-перше, для всіх цих систем основні проблеми захисту інформації є загальними, по-друге, більш дрібні системи є елементами більших систем.

Якщо захист інформації в будь-яких системах має свої особливості, то вони розглядаються окремо. Предметом захисту в КС є інформація. Матеріальною основою існування інформації в КС є електронні і електромеханічні пристрої (підсистеми), а також машинні носії. За допомогою пристроїв введення або систем передачі даних (СПД), інформація потрапляє в КС. В системі інформація зберігається в запам'ятовувальних пристроях (ЗУ) різних рівнів, перетворюється (обробляється) процесорами (ПЦ) і виводиться з системи за допомогою пристроїв виведення чи СПД.

Як машинні носії використовуються папір, магнітні стрічки, диски різних типів. Раніше як машинні носії інформації використовувалися паперові перфокарти і перфострічки, магнітні барабани і карти. Більшість типів машинних носіїв інформації є знімними, тобто можуть зніматися з пристроїв і використовуватися (папір) або зберігатися (стрічки, диски, папір) окремо від пристроїв.

Таким чином, для захисту інформації (забезпечення безпеки інформації) в КС необхідно захищати пристрої (підсистеми) і машинні носії від несанкціонованих (недозволених) впливів на них. Однак такий розгляд КС з точки зору захисту інформації є неповним. Комп'ютерні системи відносяться до класу людино-машинних систем. Такі системи експлуатуються фахівцями (обслуговуючим персоналом) в інтересах користувачів. Причому, в останні роки користувачі мають найбільший безпосередній доступ до системи. У деяких КС (наприклад, ПЕОМ) користувачі виконують функції обслуговуючого персоналу. Обслуговуючий персонал і користувачі є також носіями інформації. Тому від несанкціонованих впливів необхідно захищати не тільки пристрої і носії, але також обслуговуючий персонал та користувачів. При вирішенні проблеми захисту інформації в КС необхідно враховувати також суперечливість людського фактора системи. Обслуговуючий персонал і користувачі можуть бути як об'єктом, так і джерелом несанкціонованої дії на інформацію.

Поняття «об'єкт захисту» або «об'єкт» найчастіше трактується в ширшому сенсі. Для зосереджених КС або елементів розподілених систем поняття «об'єкт» включає в себе тільки інформаційні ресурси, апаратні, програмні засоби, обслуговуючий персонал, користувачів, а й помешкання, будівлі, і навіть прилеглу до будинків територію. Одними з основних понять теорії захисту інформації не є поняття «безпека інформації» та «захищені КС». Безпека (захищеність) інформації в КС - це такий стан всіх компонентів комп'ютерної системи, коли забезпечується захист інформації від можливих загроз на необхідному рівні. Комп'ютерні системи, в яких забезпечуються безпека інформації, називаються захищеними. Безпека інформації в КС (інформаційна безпека) є одним з основних напрямків забезпечення безпеки держави, галузі, відомства, державної організації або приватної фірми. Інформаційна безпека досягається проведенням керівництвом відповідного рівня політики інформаційної безпеки.

Основним документом, на основі якого проводиться політика інформаційної безпеки, є програма інформаційної безпеки. Цей документ розглядається і приймається як офіційний керівний документ вищими органами управління державою, відомством, організацією. У документі наводяться цілі політики інформаційної безпеки та основні напрямки вирішення завдань захисту інформації в КС. У програмах інформаційної безпеки містяться також загальні вимоги та принципи побудови систем захисту інформації в КС. Під системою захисту інформації в КС розуміється єдиний комплекс правових норм, організаційних заходів, технічних, програмних і криптографічних засобів, що забезпечують захищеність інформації в КС відповідно до прийнятої політики безпеки.

 

1.3. Контрольні питання

1. Охарактеризуйте інформацію та її властивості.

2. Що є об'єктом захисту інформації?

3. Дайте характеристику основних понять теорії захисту ін-

формації.

12345678910Следующая ⇒

Поделиться:

Воспользуйтесь поиском по сайту: