Технологии и технические средства обеспечения информационной безопасности
⇐ ПредыдущаяСтр 19 из 19 § 1. Правовые технологии обеспечения информационной безопасности
Как уже упоминалось, при переходе от индустриального общества к информационному наряду с традиционными ресурсами — материальными, энергетическими, техническими и др. — резко возрастает роль ресурсов информационных и интеллектуальных. Знания и информация становятся стратегическим ресурсом общества, определяющим перспективы его экономического, социального, культурного развития в новом тысячелетии. Кроме того, информационные ресурсы — объект собственности конкретных юридических и физических лиц, они нуждаются в защите, обеспечении правового режима их владения, распоряжения и пользования. Особое место отводится информационным ресурсам в условиях рыночной экономики. В конкурентной борьбе широко распространены разнообразные действия, направленные на получение конфиденциальной информации различными способами. Установлено, что сегодня в мире 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа'. В этих условиях защите информации от неправомерного овладения ею отводится значительная и всевозрастающая роль. Как мы уже говорили, под информационной безопасностью в целом понимается защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий, чреватых нанесением ущерба как владельцам или пользователям информации, так и соответствующим техническим структурам, причем независимо от того, носят ли эти действия естественный или искусственный характер. В соответствии с Законом РФ от 25 января 1995 г. «Об информации, информатизации и защите информации» целями обеспечения информационной безопасности являются:
■ предотвращение разглашения, утечки и несанкционирован ■ предотвращение противоправных действий по уничтожению, ■ предотвращение других форм незаконного вмешательства в ■ обеспечение правового режима документированной инфор ■ защита конституционных прав граждан на сохранение лич ■ сохранение государственной тайны, конфиденциальности ■ обеспечение прав субъектов в информационных процессах Как показывает практика, для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней: ■ законодательного (законы, нормативные акты, стандарты и т.п.); ■ административного (действия общего характера, предпри ■ процедурного (конкретные меры безопасности, имеющие ■ программно-технического (конкретные технические меры).
На законодательном уровне закладываются общие предпосылки для обеспечения безопасности. Так, Конституция РФ непосредственно не регулирует отношения в области производства и применения новых информационных технологий. Но создает условия для такого регулирования, закрепляя как права граждан (свободно искать, получать, передавать, производить и распространять информацию любым законным способом —
ст. 29, ч. 4; на охрану личной тайны — ст. 24, ч. 1 и др.), так и обязанности государства (по обеспечению возможности ознакомления гражданина с документами и материалами, непосредственно затрагивающими его права и свободы, — ст. 24, ч. 2). На законодательном уровне различают две группы мер: направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности. К первой группе следует отнести гл. 28 («Преступления в сфере компьютерной информации») разд. IX новой редакции Уголовного кодекса, в которой достаточно полно охарактеризованы основные угрозы информационным системам. Однако до реализации соответствующих статей кодекса еще далеко. Закон «Об информации, информатизации и защите информации» также можно причислить к этой группе. Важнейшими элементами лежащей в его основе концепции являются объявление информационных ресурсов объектом права собственности и включение их в состав имущества (ст. 6). В отношении этих объектов установлены: ■ основы правового режима информационных ресурсов (ст. 4); ■ состав государственных информационных ресурсов (ст. 7) и ■ режимы доступа к информационным ресурсам (ст. 10) и по ■ порядок использования информации о гражданах (персо ■ порядок сертификации информационных систем, техноло ■ принципы защиты информации и прав субъектов в области Насколько можно судить по планам Государственной думы, в настоящее время готовятся законы «О праве на информацию», «О коммерческой тайне», «О персональных данных». Это, безусловно, шаги в правильном направлении, так как они позволяют государству охватить все категории субъектов информационных отношений.
20 - 4386 Ко второй группе — направляющих и координирующих законов и нормативных актов — относится пакет документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехко-миссии) при Президенте Российской Федерации. В связи с этим стоит упомянуть Указ Президента РФ от 3 апреля 1995 г. № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации». Данный указ вводит запрет на: ■ использование государственными организациями и предпри ■ деятельность юридических и физических лиц, связанную с ■ ввоз на территорию РФ шифровальных средств иностранного Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации. Действия по защите информации от несанкционированного доступа регламентирует Указ Президента РФ от 8 мая 1993 г. № 664 «О защите информационно-телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи», а также постановление Правительства РФ от 15 сентября 1993 г. № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам».
В области информационной безопасности законы дополняются нормативными документами, подготовленными соответствующи- ми ведомствами. Очень важны руководящие документы Гостех-комиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем (ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН* при ее обработке средствами вычислительной техники»; ГОСТ Р 50739-95 «СВТ. Защита от несанкционированного доступа к информации»; ГОСТ Р 3410-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.В. 50170-92 «Противодействие иностранной технической разведке. Термины и определения»). Особенно выделим утвержденный в июле 1997 г. руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самых современных классов защитных средств.
В мире глобальных сетей нормативно-правовая база должна разрабатываться с учетом международной практики. Российские стандарты и сертификационные нормативы еще не приведены в соответствие с международными информационными технологиями и уровнем информационной безопасности. Есть много причин, по которым это следует сделать в ближайшем будущем. Одна из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций. Вторая (более существенная) — доминирование аппаратно-программных продуктов зарубежного производства. Требует законодательного решения и вопрос об отношении к таким изделиям. Здесь выделяются два аспекта: независимость в области информационных технологий и информационная безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей их сертификации) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.
* ПЭМИН — побочные электромагнитные излучения и наводки. 20*
Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно сложна, однако она может быть успешно решена. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять противоречие между независимостью в области информационных технологий и информационной безопасностью без снижения уровня национальной безопасности. Главное же, чего не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной направленности. Информационная безопасность — новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Необходимо осознать важность данной проблематики, понять основные пути решения соответствующих задач, скоординировать научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются лишь интеллектуальные вложения. Пример позитивного законодательства — Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности. Более 60% крупных организаций используют этот стандарт в своей практике, хотя закон этого не требует. Еще один пример — Computer Security Act (США), возлагающий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988) действительно было разработано много важных и полезных документов. В заключение перечислим перспективные направления законодательной деятельности государства в области обеспечения информационной безопасности: ■ разработка новых законов с учетом интересов всех катего ■ ориентация на созидательные, а не карательные законы; ■ интеграция в мировое правовое пространство; ■ учет современного состояния информационных технологий.
Опираясь на государственные правовые акты и ведомственные руководящие документы, отдельные организации (фирмы, предприятия) могут разрабатывать собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся: ■ положение о сохранении конфиденциальной информации; ■ перечень сведений, составляющих конфиденциальную ин ■ положение о специальном делопроизводстве и документоо ■ перечень сведений, разрешенных к опубликованию в откры ■ положение о работе с иностранными фирмами и их пред ■ обязательство сотрудника о сохранении конфиденциальной ■ памятка сотруднику о сохранении коммерческой информа Основанием мер административного уровня, т.е. мер, предпринимаемых руководством организации, является политика безопасности — совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Она определяет стратегию организации в области информационной безопасности, а также меру внимания и то количество ресурсов, которые руководство считает целесообразным выделить для этих целей. Работы по созданию комплексной системы информационной безопасности в организации включают в себя следующие этапы: ■ анализ состава и содержания конфиденциальной информа ■ анализ ценности информации для организации с позиций ■ оценка уязвимости информации, доступности ее для средств ■ исследование действующей системы информационной бе ■ оценка затрат на разработку новой (или совершенствование ■ организация мер защиты информации; ■ закрепление персональной ответственности; ■ реализация новой технологии обеспечения информацион ■ создание обстановки сознательного отношения к информа ■ контроль результатов разработки и прием в эксплуатацию Эти этапы можно считать типовыми для разработки системы защиты, так как они охватывают практически весь объем работ на организационном уровне. Стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы: ■ вводный, подтверждающий озабоченность высшего руковод ■ организационный, содержащий описание подразделений, ■ классификационный, описывающий материальные и ин ■ штатный, характеризующий меры безопасности, применя ■ освещающий вопросы физической защиты; ■ управляющий, описывающий подход к управлению компь ■ описывающий правила разграничения доступа к производ ■ характеризующий порядок разработки и сопровождения ■ описывающий меры, направленные на обеспечение непре ■ юридический, подтверждающий соответствие политики безо Разработка и осуществление политики безопасности строятся на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п. Что касается российского общества, то на сегодняшний день административный уровень — это белое пятно в отечественной практике информационной безопасности. В нашей стране, по сути, нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеет. В то же время без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными, поэтому в первую очередь необходимо определить, какие угрозы чреваты наибольшим ущербом. (По статистике, наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламентирование его деятельности.) Разрабатывая политику безопасности, следует учитывать специфику конкретных организаций. Бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. Для того чтобы1 избежать подобной ситуации, целесообразно разработать, во-первых, основные принципы политики безопасности, а во-вторых — готовые шаблоны для наиболее важных разновидностей организаций. Анализ ситуации на административном уровне информационной безопасности доказывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.
В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер безопасности, т.е. мер, реализуемых людьми. Однако проблема состоит в том, что это меры из докомпьютерного прошлого, и они поэтому нуждаются в существенном пересмотре. На наш взгляд, целесообразно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности: управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ. Управление персоналом в контексте информационной безопасности является в России весьма неразработанным направлением деятельности как в государственных, так и в корпоративных структурах. Во-первых, для каждой должности должны существовать квалификационные требования по информационной безопасности. Во-вторых, в должностные инструкции следует в обязательном порядке включать разделы, касающиеся информационной безопасности. В-третьих, каждому работнику необходимо освоить меры безопасности как в теории, так и на практике (причем подобные тренировки желательно проводить не менее двух раз в год). Государству и корпорациям в равной степени необходима собственная система информационной (гражданской) обороны. Кроме того, нужно спокойно, без нагнетания страстей разъяснять населению не только преимущества, но и опасности использования современных информационных технологий. Причем акцент, на наш взгляд, следует делать не на военную или криминальную сторону вопроса, а на чисто гражданские аспекты, связанные с поддержанием нормального функционирования аппаратного и программного обеспечения, т.е. на проблемы доступности и целостности данных. Разумеется, разделы, касающиеся информационной безопасности, должны стать частью школьных и тем более вузовских курсов информатики. Меры физической защиты информации известны с давних времен, но сегодня они нуждаются в доработке в связи с распрост- i ранением сетевых технологий и миниатюризацией вычислительной техники. Прежде всего следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия России. Поддержание работоспособности компьютерных сетей — еще одно неразработанное направление, издержки невнимания к которому стали видны сравнительно недавно. В эпоху господства больших ЭВМ удалось создать инфраструктуру, способную обеспечить, по существу, любой заданный уровень работоспособности (доступности) на всем протяжении жизненного цикла информационной системы. Эта инфраструктура включала в себя как технические, так и процедурные регуляторы (обучение персонала и пользователей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии «клиент—сервер» инфраструктура обеспечения доступности во многом оказалась утраченной, однако важность данной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организациями стоит задача соединения упорядоченности и регламентированности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем. Еще одна проблема общенационального характера — реагирование на нарушения информационной безопасности. Допустим, пользователь или системный администратор понял, что произошло нарушение. Что он должен делать? Попытаться проследить злоумышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? В настоящее время ни одно ведомство, в ведении которого находятся вопросы информационной безопасности, еще не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Так что совершенно очевидно, что необходимо организовать национальный центр информационной безопасности, в круг обязанностей которого входили бы, в частности, отслеживание состояния этой области знаний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь организациям в случае нарушения их информационной безопасности. Нуждается в дальнейшем совершенствовании и работа по планированию восстановительных работ, т.е. все направления деятельности государственных и коммерческих организаций, связанные с восстановлением работоспособности организационных структур после аварий. Ведь ни одна организация от таких нарушений не застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации резервных производственных площадок, предусмотреть процедуру переноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. Подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери. В целом решение задачи комплексного обеспечения информационной безопасности на процедурном и программно-техническом уровнях предполагает выполнение следующих требований: ■ защита информации (с целью обеспечения ее конфиденци ■ подтверждение подлинности объектов данных и пользова ■ обнаружение и предупреждение нарушения целостности ■ живучесть сети связи при компрометации части ключевой ■ защита технических средств и помещений, в которых ведет ■ защита программных продуктов от внедрения программных ■ защита от несанкционированного доступа к информацион ■ реализация организационно-технических мероприятий, на
Львиная доля активности в области информационной безопасности приходится на программно-технический уровень ее обеспечения. Зарубежные разработки в этой области содержат полный спектр решений. В нашей стране картина, к сожалению, далеко не столь радужная. Согласно современным воззрениям в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности: ■ идентификация и проверка подлинности (аутентификация) управление доступом; протоколирование и аудит; криптография; межсетевое экранирование; обеспечение высокой доступности. Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент—сервер, а следовательно: ■ опираться на общепринятые стандарты; ■ быть устойчивыми к сетевым угрозам; ■ учитывать специфику отдельных сервисов. В соответствии с действующим в России порядком за идентификацию (аутентификацию), управление доступом, протоколирование (аудит) отвечает Гостехкомиссия России, за криптографию — ФАПСИ. Межсетевое экранирование является спорной территорией, никто конкретно не занимается и доступностью. На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. Наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но в первую очередь существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств. Рассмотрим типичную государственную организацию, имеющую несколько производственных площадок, и на каждой — критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, и мобильные пользователи. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами данных (СУБД), web-сервис и т.д. В локальных сетях и при межсетевом доступе основным является протокол ТСРЛР.
Для построения эшелонированной обороны подобной информационной системы необходимы по крайней мере следующие защитные средства программно-технического уровня: ■ межсетевые экраны (разграничение межсетевого доступа); ■ средства поддержки частных виртуальных сетей (реализация ■ средства идентификации/аутентификации, поддерживающие ■ средства протоколирования и аудита, отслеживающие ак ■ комплекс средств централизованного администрирования ■ средства защиты, входящие в состав приложений, сервисов До недавнего времени из интересующего нас спектра продуктов по требованиям безопасности для применения в госорганизациях были сертифицированы межсетевые экраны, операционные системы и реляционные СУБД. Даже если включить в этот перечень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему ШИП, поддерживающую виртуальные частные сети, и средства криптографической защиты семейства «Верба»), большинство рубежей остается без защиты. Таким образом, государственной организации сегодня чрезвычайно трудно получить современную информационную систему, защищенную сертифицированными средствами. Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Тем не менее в силу ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия государственной тайны — «гостайна по совокупности», необходимость получения лицензии на эксплуатацию криптосредств, ограничения на их импорт) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений распространяются требования, рассчитанные на госструктуры.
По мере расширения использования Интернета и других открытых технологических решений в качестве транспортной сети передачи данных особую значимость приобретает вопрос обеспечения конфиденциальности, целостности и достоверности передаваемой информации. Проблема защиты информации путем преобразования, исключающего ее прочтение посторонним лицом, волновала человеческий ум с давних времен. История криптографии — ровесница истории человеческого языка. Первоначально письменность сама была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии — тому примеры. С широким распространением письменности криптография стала формироваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей переписке использовал более или менее систематический шифр, получивший его имя. Бурное развитие криптографические системы получили в годы Первой и Второй мировых войн. Появление в послевоенное время вычислительных средств ускорило разработку и совершенствование криптографических методов, которые продолжаются и по нынешний день. Почему проблема использования криптографических методов в информационных системах (ИС) сегодня особо актуальна? С одной стороны, расширилось использование компьютерных сетей, по которым передаются большие объемы информации государственного, военного, коммерческого и частного характера, не допускающего возможности доступа к ней посторонних лиц. С другой — появление новых мощных компьютеров, технологий сетевых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся нераскры-ваемыми. Проблемой защиты информации путем ее преобразования занимается криптология {kryptos— тайный, logos— наука).Она разделяется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны. т Криптография занимается поиском и исследованием математических методов преобразования информации. Сфера интересов криптоанализа — исследование возможности расшифровывания информации без знания ключей.
Современная криптография включает в себя четыре крупных раздела: ■ симметричные криптосистемы; ■ криптосистемы с открытым ключом; ■ системы электронной подписи; ■ управление ключами. Криптографические методы используются для передачи конфиденциальной информации по каналам связи (например, электронная почта), установления подлинности передаваемых сообщений, хранения информации (документов, баз данных) на носителях в зашифрованном виде. Итак, криптография дает возможность преобразовать информацию таким образом, что ее прочтение (восстановление) возможно только при знании ключа — шифра. Под шифрованием принято понимать преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шифрованным текстом. Дешифрование — обратный шифрованию процесс, преобразование текста в исходный. Он осуществляется с помощью ключа — информации, необходимой для беспрепятственного шифрования и дешифрования текстов. Электронной (цифровой) подписью называется присоединяемое к тексту его криптографическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения. Содержание терминов распределение ключей и управление ключами — составление и распределение ключей между пользователями. Криптостойкостью называется характеристика шифра, определяющая его стойкость к дешифрованию без знания ключа (т.е. криптоанализу). Имеется несколько показателей криптостойкости, главные из которых: ■ количество всех возможных ключей; ■ среднее время, необходимое для криптоанализа. Процесс криптографического закрытия данных может осуществляться как программно, так и аппаратно. Аппаратная реализа-
ция отличается существенно большей стоимостью, однако у нее есть и преимущес
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|