Тема 2: Основные понятия информационной безопасности

Прежде всего необходимо разобраться, что такое безопасность информационных технологий, определить что (кого), от чего (от кого), почему (зачем) и как (в какой степени и какими средствами) надо защищать. Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности и переходить к обсуждению вопросов построения соответствующих систем зашиты.

Информация и информационные отношения. Субъекты информационных отношений, их безопасность

Под информацией будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами.

Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В дальнейшем будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке.


Под автоматизированной системой (АС) обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов:

• технических средств обработки и передачи данных (средств вычислительной техники и связи)

• методов и алгоритмов обработки в виде соответствующего программного обеспечения

• информации (массивов, наборов, баз данных) на различных носителях

• обслуживающего персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.

Под обработкой информации в АС будем понимать любую совокупность операций (прием, накопление, хранение, преобразование, отображение, передача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС.

В дальнейшем субъектами будем называть:

государство (в целом или отдельные его органы и организации)

• общественные или коммерческие организации (объединения) и предприятия (юридических лиц)

отдельных граждан (физических лиц).

В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений.

Различные субъекты по отношению к определенной информации могут (возможно одновременно) выступать в качестве (в роли):

• источников (поставщиков) информации

• потребителей (пользователей) информации

• собственников, владельцев, распорядителей информации

• физических и юридических лиц, о которых собирается информация

• владельцев систем обработки информации

• участников процессов обработки и передачи информации и т.д.

Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении:

своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам

конфиденциальности (сохранения в тайне) определенной части информации

• достоверности (полноты, точности, адекватности, целостности) информации

защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть от дезинформации)

• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п.)

разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией

• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации и т.д.

Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию, ее носители и процессы обработки либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей информационной безопасности.

Для обеспечения законных прав и удовлетворения перечисленных выше интересов субъектов (т.е. обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки:

доступность информации - такое свойство системы (инфраструктуры, средств и технологии обработки, в которой циркулирует информация), которое характеризует ее способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам (готовность к обслуживанию поступающих от субъектов) запросов всегда, когда в обращении к ним возникает необходимость;

целостность информации - такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию).

Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы информационной безопасности;

конфиденциальность информации - такую субъективно определяемую (приписываемую) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих прав на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений.

Поскольку ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и ее носители, то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации, ее носителей и систем обработки.

Отсюда следует, что в качестве объектов, подлежащих защите в целях обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые ее носители (отдельные компоненты АС и АС в целом) и процессы обработки (передачи).

Однако, всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда следует понимать под этим косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия.

Следовательно, термин «безопасность информации» нужно понимать как защищенность информации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности информации, а также незаконного ее тиражирования (неправомерного использования).

Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы.

Поэтому под «безопасностью автоматизированной системы» (системы обработки информации, компьютерной системы) следует понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействий.

Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности.

Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия.

Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для этого соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени.

Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы.

Цель защиты АС и циркулирующей в ней информации

При рассмотрении проблемы обеспечения компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы ее обработки не является самоцелью.

Конечной целью создания системы компьютерной безопасности АС является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи.

 

В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки.

Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты, блокирования (снижения степени доступности) или незаконного тиражирования информации.

Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных (информации) и ее персонала.

В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как "несанкционированный доступ" (к информации), а шире, - как "несанкционированные (неправомерные) действия", наносящие ущерб субъектам информационных отношений.