рекламодателям фирмы/add расшифровка штрих-кодов links/add
http://kiev-security.org.ua
Содержание
118. Возможные пути обеспечения сохранности информации в сложных информационных системах
В современной динамичной обстановке возникают проблемы связанные
с повышением эффективности и качества управления. Постоянно
возрастающий объем сведений, необходимых для принятия
обоснованных решений требует внедрения сложных систем сбора,
обработки и анализа различной информации. Широкое применение в
таких системах нашли персональные компъютеры, локальные сети,
средства передачи данных и другие технические устройства. Они
пронизали структуры управления на всех уронях и являются ее
неотъемлемой частью. Высокие темпы роста парка ПК,находящихся в
эксплуатации,высокая степень концентрации информации в сложных
информационных системах(ИС),усложнение вычислительного
процесса,методов и средств организации машинной обработки
информациии,постоянное расширение круга пользователей,имеющих
доступ как к ресурсам ПЭВМ,так и к программам и данным,хранящимся
в ИС,приводит к тому,что информации становится все более
уязвимой.По данным американских фирм[1] утечка информациии
наносит им убытки до 500 млн.дол. в год.А так, как проблема
защиты информации стоит не только перед комерческими фирмами,а
последствия утечки информации из ИС,работающих с
данными,являющимися государственными,военными или
'noy-hay'секретами, могут быть непредсказуемы,то эту проблему во
всех развитых странах ставят в ранг
общигосударственных,предпринимают большие усилия и расходуют
значительные средства на защиту информации.Постоянное
совершенствование средств несанкционированного доступа(НСД) к
информации,средств обхода систем защиты трребует постоянного
совершенствования как организационных,так и аппаратно-программных
технических средств защиты
информации(ЗИ),системного,профессионального подхода не только к
разработке,выбору и контролю новейших совершеннейших методов и
технических средств ЗИ,но и их постоянной модернизации с учетом
развития методов и средств злоумышленного доступа к информации.С
целью поиска путей и методов посттрооения защищенных ИС в
предлагаемой статье предпринимается попытка рассмотреть проблему
ЗИ в разных ее аспектах,обобщая разнообразные взгляды и сведения
по этим вопросам. Для однозначного понимания рассматриваемых
вопросов приведены некоторые термины и определения. Защита
информации - это комплекс организационно-технических мероприятий,
направленных на исключение возможности ознакомления с этой
информацией, ее изменения или уничтожения лицами, не имеющими на
это права, а также утечки ее за счет побочных электромагнитных
излучений и наводок, специальных устройств перехвата
(уничтожения) и при передаче между объектами информационных
систем. Обеспечение защиты информации - это создание условий
исключающих несанкционированный доступ или другие
несанкционированные действия с ней путем выполнения комплекса
организационных мероприятий, применения аппаратных, программных и
криптографических средств защиты. Защищаемые ресурсы - это
ресурсы, находящиеся под защитой системы обеспечения безопасности
информации, к которым устанавливаются ограничения по доступу.
Угрозы данным - потенциально существующая опасность случайного
или преднамеренного разрушения, несанкционированного получения
или модификации данных, обусловленная структурой системы
обработки, а также условиями обработки и хранения данных.
Защищаемые данные - данные на использование и модификацию которых
накладывается ограничение в соответствии с их секретностью или
объявленной конфиденциальностью. Следует отметить, что число лиц,
имеющих доступ к конфиденциальной информации, растет быстрыми
темпами, в то время как техника защиты информации резко отстает
от уровня развития вычислительных систем и количества их
пользователей. Особую остроту эта проблема приобретает с
появлением информационных систем. Большую опасность представляет
бесконтрольное использование дискет с так называемым "свободным"
или свободно распространяемым программным обеспечением. Это
повышает вероятность нарушения целостности обрабатываемых
массивов данных, нарушения функционирования информационных
систем, заражения компьютерным вирусом. Не в полной мере
отработаны законодательные акты и нормативные документы,
определяющие права и ответственность пользователей компьютерных
систем по вопросам защиты информации. Существуют и другие
трудности, от преодоления которых зависит эффективность защиты
информации в компьютерных сетях и информационных системах. В
процессе функционирования ИС накапливаемая и обрабатываемая
информация является достаточно уязвимой, подверженной как
разрушению,так и несанкционированному использованию, т.е. утечке.
Основными путями утечки или потери информации[2...5]
ограниченного использования считаются: - хищение носителей
информации и документов, получаемых в результате работы
информационных систем; - копирование информации на ПК; -
несанкционированное подключение к аппаратуре и линиям связи,
попытки проникновения могут быть вызваны не только простым
удовлетворением любопытства грамотного
программиста(пользователя), но и преднамеренным получением
информации ограниченного использования; - перехват
электромагнитных излучений[6] в процессе обработки информации,
электромагнитные излучения при работе ПК и других технических
средств могут быть перехвачены, декодированы и представлены в
виде битов, составляющих поток информации; -ошибки ввода
данных,приводящие к искажению хранимой информации, ошибочно
введенные данные могут стереть записанную ранее информацию, быть
источником ошибочной информацации; - сбои и ошибки в работе
аппаратуры, ошибки пользователей и операторов. Возможны и другие
виды нарушений, приводящих к утрате или утечке информации. В
связи с этим для сложных ИС возникает необходимость создания
комплексной системы защиты информации (СЗИ), которая представляет
собой действующие в единой совокупности законодательные,
организационные, технические и другие способы и средства,
обеспечивающие защиту важной информации. Комплексная система
защиты информации должна отвечать следующим требованиям: -
оперативно реагировать на изменение факторов, определяющих методы
и средства защиты информации; - базироваться на лучших алгоритмах
закрытия информации, гарантирующих надежную криптографическую
защиту; - иметь важнейшие элементы идентификации пользователей и
контроля подлинности передаваемой и хранимой информации; -
осуществлять защиту от несанкционированного доступа к информации
в базах данных, файлах, на носителях информации, а также при
передаче ее по линиям связи в локальных и глобальных сетях; -
обеспечивать режим специально защищенной электронной почты для
обмена секретной информацией с высокой скоростью и достоверностью
передачи информации адресату; - иметь удобную и надежную ключевую
систему, обеспечивающую гарантию безопасности при выработке и
распределении ключей между пользователями; - обеспечивать
различные уровни доступа пользователей к защищаемой информации; В
СЗИ для конкретной ИС должны быть включены: 1. структурные
органы, осуществляющие разработку и реализацию организационных
мер, на основе нормативных и руководящих документов по
обеспечению защиты информации и проводящие контроль выполнения
этих мер; 2. совокупность различных методов (физических,
организационных, криптографических, и т.п.) и средств
(программных, аппаратных, аппаратно- программных) осуществляющих
всеобъемлющую защиту аппаратного и программного обеспечения
информационных систем, а также обпспечивающих безопасность и
контроль самих систем защиты. Что представляют собой структурные
органы? В зависимости от сложности построения ИС, объема и
важности обрабатываемой информации состав и назначение таких
органов может быть различным. Например в США существует
Национальный центр обеспечения безопасности ЭВМ. Основной задачей
Центра является внедрение во все сферы производства и управления
надежных вычислительных систем, безопасность информации в которых
обеспечивается всем комплексом доступных средств - аппаратных,
программных и процедурных. Это реализуется путем оценки уровня
защиты разрабатываемых фирмами систем, консультативными услугами
и другими средствами. В наших условиях похожие функции выполняет
Государственная служба по вопросам технической защиты информации,
а на структурные органы, входящие в систему защиты информации для
конкретных ИС целесообразно возложить: - составление перечня
угроз, каналов утечки и каналов специального воздействия на
информацию на основе анализа модели функционирования ИС и модели
угроз; - реализацию требований руководящих и
нормативно-методических документов, разработанных Службой
технической защиты информации, министерствами и ведомствами, а
так же осуществление контроля за их выполнением; -организацию
разработки и осуществление мероприятий по вопросам технической
защиты информации ; - анализ состояния работы по защите
информации на объектах ИС, оценку эффективности и выработку
предложений по ее совершенствованию; - участие в проведении
расследований по фактам незаконного использования секретной
информации. - организацию взаимодействия со службами, которые
обеспечивают защиту информации в ИС. - прием в эксплуатацию
объектов ИС и назначение лиц, ответственных за обеспечение
мероприятий по защите информации; - анализ и ввод в эксплуатацию
средств защиты от воздействия программ-вирусов; - ввод в
эксплуатацию средств специального преобразования и
криптографической защиты информации; Что представляют собой
методы, средства и мероприятия по обеспечению сохранности
информации? Как отмечалось, совокупность защитных мероприятий
включает организационные мероприятия, аппаратные средства,
программные методы, а также защитные преобразования.
Организационные мероприятия предполагают разработку и реализацию
совокупности общережимных мер, определяющих порядок работы
обслуживающего персонала, пользователей и технических средств
(оборудования), защиты апппаратуры и носителей информации от
несанкционированного доступа, а также организацию системы
контроля за обеспечением безопасности информации. К мероприятиям
организационного характера относятся: - разработка руководящих
документов и планирование работ по обеспечению режима секретности
и безопасности информации; - выбор, оборудование и охрана
помещений; - обеспечение необходимой контролируемой территорией;
- допуск к работе обслуживающего персонала и пользователей,
проведение с ними занятий по специальной подготовке; -
определение функциональных обязанностей и персональной
ответственности должностных лиц; - организация пропускного
режима; - категорирование объектов электронно-вычислительной
техники(ЭВТ) в целях дифференцированного подхода к определению
специальных требований по размещению и монтажу технических
средств, оборудованию помещений; - составление перечня
технических средств, используемых для сбора, обработки, хранения,
передачи и отображения информации, подлежащей защите и контролю;
- определение степени секретности и порядка работы информации; -
организация секретного и служебного делопроизводства,
упорядочение хранения документации и носителей информации; -
разработка мер защиты информации пр проведении ремонта и
профилактических обслуживаний СВТ; - организация контроля за
обеспечением безопасности информации, функционированием программ
и средств защиты, учет нарушений и их анализ. Организационные
методы защиты информации, не требуют специальных технических
средств и больших материальных затрат, поэтому находят широкое
применение. Сущность аппаратной, или схемной, защиты состоит в
том, что в устройствах ЭВМ и других технических средствах
обработки информации предусматривается наличие специальных схем,
обеспечивающих защиту и контроль информации, например схемы
контроля информации на четность, осуществляющей контроль за
правильностью передачи информации между различными устройствами
ЭВМ, а также экранирующих устройств, локализующих
электромагнитные излучения. Аппаратные средства защиты
подразделяются: - на общесистемные средства защиты информации
(используются в соответствии с предписаниями на эксплуатацию
оборудования); - на средства, исключающие (препятствующие) доступ
посторонних лиц к оборудованию и носителям информации
(замки,блокировки, сигнализация); - на средства защиты,
применяющиеся в аппаратуре ЭВМ, например в процессорах, в
запоминающих устройствах, контроллерах ввода-вывода, терминалах.
Программные методы защиты - это совокупность алгоритмов и
программ, обеспечивающих разграничение доступа и исключение
несанкционированного использования информации. Программные
(программно-математические) методы защиты реализуются
совокупностью специальных программ, выполняющих следующие
основные функции: - идентификацию пользователей, файлов,
технических средств и устройств; - регистрацию и контроль работы
технических средств и пользователей; - защиту операционных систем
и программ пользователей; - сигнализацию о нарушениях правил
использования ресурсов ЭВМ; - очистку оперативной памяти и
внешних рабочих носителей после окончания секретных работ.
Сущность методов защитных преобразований состоит в том, что
информация, хранимая в системе и передаваемая по каналам связи,
представляется в некотором коде, исключающем возможность ее
непосредственного использования. Такие методы предназначены
обеспечить защиту информации с помощью шифрования и кодирования.
Для этого может использоваться как специальная аппаратура, так и
программные средства. Специальная аппаратура шифрования или
кодирования находит применение в основном при передаче данных по
каналам связи. Так обеспечивается защита информации только на
этапе ее нахождения в каналах связи, что составляет малую долю
времени циркуляции информации в вычислительных системах. Поэтому
представляется важным использовать для криптографической защиты
программные средства, которыми можно дополнительно охватить
достаточно длительный этап хранения информации на внешних
носителях. Несмотря на то, что применение программных шифраторов
(ПШ) связано с дополнительным расходом вычислительных ресурсов
ИС, в других компонентах преимущества ПШ над аппаратными
средствами защиты информации очевидны: ПШ имеют большой период
гарантированного использования; обладают достаточной гибкостью -
для получения нового шифратора необходимо изменить только вид
полинома или выражения, согласно которому происходит наложение
(снятие) гаммы на исходную информацию; запуск их в работу может
осуществлять сам пользователь ПК. Учитывая высокую
криптостойкость современных шифров, это даст возможность
ликвидировать такие каналы утечки, как копирование информации,
хищение носителей и несанкционированный доступ к секретным
файлам[7...14]. Важной областью применения криптографических
методов является защита баз данных. Здесь к ним предъявляются
следующие дополнительные требования: - из-за возможности чтения и
возобновления записей с середины файлов шифрование и
расшифрование каждой записи должно производиться независимо от
других записей; - во избежание перегрузки системы
вспомогательными преобразованиями все операции с файлами нужно
проводить, когда содержащиеся в них данные представлены в
зашифрованном виде. Следует отметить, что лишь комплексное
использование различных защитных мероприятий может обеспечить
надежную защиту, так как каждый прием или метод имеет свои слабые
и сильные стороны. В решении вопросов защиты информации
заинтересованны различные специалисты, из которых можно выделить
три группы: 1. Специалисты управленческой и
административнохозяйственной деятельности; 2. Специалисты по
вычислительной технике и автоматизированным системам управления;
3. Специалисты по защите информации. Каждая из этих групп имеет
свои приоритетные цели, направления и методы работы. Это приводит
к возникновению целого ряда противоречий при решении совместных
задач, что в конечном итоге существенно усложняет структуру
организации (предприятия) и снижает эффективность ее
деятельности. Как правило специалисты по обеспечению безопасности
информации накладывают целый ряд ограничений, которые зачастую
затрудняют использование систем сбора, обработки и хранения
данных. В настоящее время создана группа ученых и специалистов,
которая на основе комплексного подхода занимается разработкой
путей и методов решения вопросов защиты информации с учетом
требований всех заинтересованных сторон. Предполагается создание
стройной комплексной системы защиты, позволяющей оперировать
большими массивами данных сохраняя при этом конфедециальность
информации. Можно выделить следующие этапы создания такой
системы: 1. Создание информационной модели организации с учетом
всех возможных угроз и каналов утечки. 2. На основании
результатов анализа модели осуществление выбора вариантов
организационных и технических решений, удовлетворяющих
требованиям, задачам и характеру деятельности конкретной
организации (предприятия); 3. Проведение мероприятий по
воплощению принятых решений в существующую структуру органризации
(предприятия), обучение руководящего состава и персонала навыкам
работы с учетом выполнения требований по обеспечению ЗИ; 4.
Осуществление контроля, проведение анализа эффективности
использования комплексной системы защиты информации и в случае
необходимости выработка предложений по усовершенствованию
системы. На указанных этапах работы принимают участие все
заинтересованные специалисты. Такой подход к решению проблемы
позволяет в рабочем порядке преодолеть существующие противоречия
и обеспечить высокую степень защиты информации при сохранении
максимальных удобств для пользователей. Несколько слов следует
сказать о существующих взглядах на построение систем защиты
информации. Предлагаемые и реализованные системы защиты
информации очень разнообразны. В качестве классификационного
признака можно выбрать их функциональные свойства. На основе
иэтого признака выделяются системы: без схем защиты, с полной
защитой, с единой схемой защиты, с программируемой схемой защиты
и системы с засекречиванием. В системах с полной защитой
обеспечивается взаимная изоляция пользователей, нарушаемая только
для информации общего пользования (например, библиотеки общего
пользования). В отдельных системах средства работы с библиотеками
общего пользования позволяют включить в них информацию
пользователей, которая тоже становится общим достоянием. В
системах с единой схемой защиты для каждого файла создается
список авторизованных пользователей. Кроме того, применительно к
каждому файлу указываются разрешаемые режимы его использования:
чтение, запись или выполнение, если этот файл является
программой. Основные концепции защиты здесь довольно просты,
однако их реализация довольно сложная. В системах с
программируемой схемой защиты предусматривается механизм защиты
данных с учетом специфических требований пользователя, например,
ограничение календарного времени работы работы системы, доступ
только к средним значениям файла данных, локальная защита
отдельных элементов массива данных и т.д. В таких системах
пользователь должен иметь возможность выделить защищаемые объекты
и подсистемы. Защищаемая подсистема представляет собой
cовокупность программ и данных, правом доступа к которым наделены
лишь входящие в подсистему программы. Обращение к этим программам
возможно, в свою очередь, только в заранее ограниченных точках.
Таким образом, программы подсистемы контролируют доступ к
защищаемым объектам. Подобный механизм защиты с различными
модификациями реализован только в наиболее совершенных ИС. Для
того чтобы спроектировать и реализовать систему защиты информации
необходимо: 1. Определить информацию, подлежащую защите; 2.
Выявить полное множество потенциально возможных каналов утечки
информации; 3. Призвести оценку уязвимости информации при
имеющемся множестве каналов утечки; 4. Определить перечень
требований к системе защиты; 5. Осуществить выбор средств защиты
информации и определить их характеристики ; 6. Внедрить и
организовать использование выбранных мер защиты в процессе
функционирования информационных систем. 7. Предусмотреть контроль
и управление системой защиты. Опыт проектирования систем защиты
еще недостаточен. Однако уже можно сделать некоторые обобщения.
Погрешности защиты могут быть в значительной мере снижены, если
при проектировании учитывать следующие основные принципы
построения системы защиты. 1. Простота механизма защиты. Этот
принцип общеизвестен, но не всегда глубоко осознается. 2.
Контроль должен быть всеобъемлющим. Этот принцип предполагает
необходимость проверки полномочия любого обращения к любому
объекту и является основой системы защиты. 3. Механизм защиты
может не засекречиваться,т.е. не имеет смысла засекречивать
детали реализации системы защиты, предназначенной для широкого
использования. Эффективность защиты не должна зависеть от того,
насколько опытны потенциальные нарушители. 4. Разделение
полномочий , т.е. применение нескольких ключей защиты. Наличие
нескольких ключей защиты удобно в тех случаях, когда право на
доступ определяется выполнением ряда условий. 5. Минимальные
полномочия. Для любой программы и любого пользователя должен быть
определен минимальный круг полномочий, необходимых для выполнения
порученной работы. 6. Максимальная обособленность механизма
защиты, т.е. защита должна быть отделена от функций управления
данными. Пакет программ, реализующих защиту, должен размещаться
для работы в защищенном поле памяти, чтобы обеспечить системную
локализацию попыток проникновения извне. Даже попытка
проникновения со стороны программ операционной системы должна
автоматически фиксироваться, документироваться и отвергаться,
если вызов выполнен некорректно. 7. Психологическая
привлекательность. Схема защиты должна быть в реализации простой.
При проектировании ИС устанавливается определенный порядок
проведеня работ. Вопросы конструирования системы защиты
информации должны решаться с учетом определенных групп требований
уже на предпроектной стадии. Рассмотрим содержание некоторых
требований, предъявляемых к системам защиты информации. 1. Общие
требования. Одно из существенных требований к системе обеспечения
сохранности информации - отдельная идентификация индивидуальных
пользователей, терминалов, индивидуальных программ(заданий) по
имени и функции, а также данных при необходимости до уровня
записи или элемента. Ограничить доступ к информации позволяет
совокупность следующих способов: - иерархическая классификация
доступа; - классификация информации по важности и месту ее
возникновения; - указание специфических ограничений и приложение
их к специфическим объектам, например пользователь может
осуществлять только чтение файла без права записи в него; -
процедуры, представленные только конкретным пользователям.
Пользователи программ должны ограничиваться только одной или
всеми привилегиями: чтением, записью, удалением информации. При
реализации записи предусматривается ее модификация (увеличение,
уменьшение, изменение), наращивание и введение (элемента, записи,
файла). Система обеспечения сохранности информации должна
гарантировать, что любое движение данных идентифицируется,
авторизуется, обнаруживается и документируется. 2.
Организационные требования. к системе защиты реализуются
совокупностью административных и процедурных мероприятий.
Требования по обеспечению сохранности должны выполняться прежде
всего на административном уровне. С этой целью: - ограничивается
несопровождаемый доступ к вычислительной системе (регистрация и
сопровождение посетителей); - осуществляется контроль за
изменением в системе программного обеспечения; - выполняется
тестирование и верификация изменения в системе программного
обеспечения и программах защиты; - организуется и поддерживается
взаимный контроль за выполнением правил обеспечения сохранности
данных; - ограничиваются привилегии персонала, обслуживающего ИС;
- осуществляется запись протокола о доступе к системе; -
гарантируется компетентность обслуживающего персонала.
Организационные мероприятия, проводимые с целью повышения
эффективности обеспечения сохранности информации, могут включать
следующие процедуры: - разработку последовательного подхода к
обеспечению сохранности информации для всей организации; -
организацию четкой работы службы ленточной и дисковой библиотек;
- комплектование основного персонала на базе интегральных оценок
и твердых знаний; - организацию системы обучения и повышения
квалификации обслуживающего персонала. С точки зрения обеспечения
доступа к ИС необходимо выполнять следующие процедурные
мероприятия: - разработать и утвердить письменные инструкции на
запуск и останов системы; - контролировать использование
магнитных лент, дисков, карт, листингов, порядок изменения
программного обеспечения и доведение этих изменений до
пользователя. - разработать процедуру восстановления системы при
сбойных ситуациях; -разработать методологию ограничений на выдачу
информации разрешенным визитерам на вычислительный центр; ; -
разработать систему протоколирования использования ЭВМ, ввода
данных и вывода результатов; - обеспечить проведение
периодической чистки архивов и хранилищ лент, дисков,карт для
изъятия из обращения и ликвидации неиспользуемых носителей
информации ; - поддерживать документацию вычислительного центра в
соответствии с установленными стандартами. 3. Требования к
программному обеспечению. Программные средства обеспечения
сохранности информации должны выполнять реализацию контроля
доступа, безопасность и целостность данных и защиту самой системы
обеспечения сохранности. Для обеспечения контроля доступа к ИС
необходимо выполнить следующие условия: - объекты защиты должны
идентифицироваться в явном виде при использовании паролей,
пропусков и идентификации по голосу; - система контроля доступа
должна быть достаточно гибкой для обеспечения многообразных
ограничений и различных наборов объектов; - каждый доступ к файлу
данных или устройству должен прослеживаться через систему
контроля доступа для того, чтобы фиксировать и документировать
любое обращение. Безопасность данных может обеспечиваться
следующим комплексом мероприятий: - объекты данных
идентифицируются и снабжаются информацией службы безопасности.
Целесообразно эту информацию размещать не в отдельном каталоге, а
вместе с информацией, имеющей метки; - кодовые слова защиты
размещаются внутри файлов, что в значительной мере повышает
эффективность защиты; - доступ к данным целесообразен с помощью
косвенных ссылок, например списка пользователей, допущенных
владельцем файла к размещенным в нем данным; - данные и программы
могут преобразовываться (кодироваться) внутренним способом для
хранения. Система обеспечения сохранности информации должна быть
защищена от воздействия окружающей среды. С этой целью
выполняется следующая совокупность мероприятий: - информация по
отрицательным запросам не выдается; - повторные попытки доступа
после неудачных обращений должны иметь предел; - при уменьшении
конфигурации системы или при ее тестировании функции защиты
сохраняются; - никакие изменения таблиц безопасности кроме
изменения со специального устройства или пульта управления не
разрешаются. 4. Требования к документированию. Можно выделить
отдельные группы требований к документированию системы
обеспечения сохранности информации: протоколирование,
тестирование и обработка угроз. При разработке системы
протоколирования следует учитывать следующие специфические
требования: - необходимость записей всех движений защищаемых
данных; - возможность воссоздания при необходимости ретроспективы
использования защищаемого объекта, для реализации которой
обеспечивается запоминание состояний программы и окружающей
среды; - накопление статистики по протоколам использования
информации в системе. Существенной особенностью тестирования
программ системы обеспечения сохранности информации должно быть
наличие специальной программы генерации ложных адресов,
несанкционированных попыток доступа к данным, моделирования
сбойных ситуаций и других специфических свойств. При тестировании
системы обеспечения сохранности информации необходимо также
обратить внимание на тщательную проверку таблиц безопасности,
системы паролей и программ доступа. Система обеспечивания
сохранности информации должна иметь специальное программное
обеспечение обработки угроз, включающее: - регистрацию событий в
системном журнале, защищенном от попыток изменения со стороны
программ пользователей; - использование собранных сведений для
анализа качественного решения проблемы обеспечения сохранности
информации и разработки мероприятий по ее совершенствованию.
Перечисленные требования и мероприятия по обеспечению сохранности
инфоромации показывают, что сохранность информации связана с
решением серьезных математических и технических проблем. В
процессе проектировния и реализации систем защиты информации
немаловажное значение имеют экономические аспекты проблемы. К
сожалению нет систем защиты, дающих 100% гарантию сохранности
информации. Степень надежности тем выше, чем больше усилий и
средств будет вложено в решение поставленных задач. Однако такая
зависимость не является прямопропорциональной в полной мере. Как
отмечалсь, для каждого типа угроз может быть одна или несколько
мер противодействия. В связи с неоднозначностью выбора мер
противодействия необходим поиск некоторых критериев, в качестве
которых могут быть использованы надежность обеспечения
сохранности информации и стоимость реализации защиты. Принимаемая
мера противодействия с экономической точки зрения будет
приемлема, если эффективность защиты с ее помощью, выраженная
через снижение вероятного экономического ущерба, превышает
затраты на ее реализацию. В этой ситуации можно определить
максимально допустимые уровни риска в обеспечении сохранности
информации и выбрать на этой основе одну или несколько
экономически обоснованных мер противодействия, позволяющих
снизить общий риск до такой степени, чтобы его величина была ниже
максимально допустимого уровня. Из этого следует, что
потенциальный нарушитель, стремящийся рационально использовать
предоставленные ему возможности, не будет тратить на выполнение
угрозы больше, чем он ожидает выиграть. Следовательно, необходимо
поддерживать цену нарушения сохранности информации на уровне,
превышающем ожидаемый выигрыш потенциального нарушителя.
Отмечается, что существуют два возможных фактора, определяющих
величину отношения "затраты/уровень защиты" для механизмов,
реализованных с помощью аппаратных средств: 1) достигнутый
уровень технологии, т.е. механизм защиты должен быть создан с
использованием существующей и вновь разрабатываемой технологии
при приемлемых затратах. Достигнутые успехи в создании
микропроцессоров, мини-ЭВМ, памяти, контроллеров ввода-вывода
позволили значительно расширить работы по применению аппаратных
средств защиты; 2) правильное планирование разработок. Основа
этого подхода - выяснение необходимости проведения защитных
мероприятий. С другой стороны, целесообразность конструктивной
реализации механизма защиты адекватна удовлетворению требований
по минимизации затрат на его разработку с учетом вероятных
попыток нарушения защиты. Очевидно, что определение ценности
информации является основой для принятия решения о степени
защиты. Известно множество попыток формализовать этот процесс на
базе методов теории информации, однако процесс оценки до сих пор
остается весьма субъективным. Необходимо отметить, что пока нет
достаточных методов измерения степени безопасности информации,
однако при проектировании системы защиты первостепенным остается
требование обеспечения заданного уровня сохранности при
приемлимой стоимости ее реализации. ЗАКЛЮЧЕНИЕ. 1.В настоящее
время в Украине высокими темпами идет процесс внедрения
современных информационных технологий. Во многих государственных
ведомствах и коммерческих структурах развернуты локальные
компъютерные сети, следущим шагом будет создание распределенных
информационных систем. Анализ обзоров по материалам зарубежной
печати [2,4,5,6,10,14,15,16] показывает ,что каждый новый шаг в
развитии ИС сопровождается активизацией методов и средств
злоумышленного доступа к информации.Учитывая опыт развитых стран
в области организации методов и средств защиты информации,можно
утверждать,что внедрение новых информационных технологий как в
государственных,так и в других структурах невозможно без
обеспечения безопасности информации.Тот,кто не тратит деньги на
ЗИ ,в конечном итоге,либо попадает в зависимость,либо становится
нищим. 2.Без создания единой общегосударственной сети структурных
органов по ЗИ,обладающих большими юридическими правами,владеющих
самыми новейшими методами и средствами ЗИ и контроля,имеющих
достаточно сил,средств и информации для органнизации
разработки,производдства и внедрения новейших методов и срредств
защиты информациии,сохранить от постороннего вмешательства
государственные,военные и комеррческие секкреты не возможно.
Поэтому к ближайшим первоочередным задачам следует отнести:
-создание концепции ЗИ на Украине; -определение правового и
организационного статуса сети структурных органов ЗИ; -создание
базовых центров разработки и внедрения методов и средств
ЗИ,сконцентрировав в них научный и производственный потенциал,
обладающий новейшими методами и технологиями ,позволяющими
создавать высокоэффективные средства ЗИ; -создание базовых
центров по подгоотовке специалистов по ЗИ. систем защиты
информации. 3.Проблема ЗИ многогранна,имеет много
аспектов,требует постоянного внимания.Для поддержания
определенного уровня защищенности информации необходимо
объединение усилий разноплановых специалистов на основе
комплексного подхода к решению задач ЗИ.Отставание в решении
вопросов ЗИ может принести не только огромные убытки ,стать
тормозом в дальнейшем развитии СВТ,во внедрении новых ИС,но и
поставить под угрозу вопросы безопасности, суверинитета
государства.
Содержание
HOME
Если у вас есть сайт или домашняя страничка - поддержите пожайлуста наш ресурс, поставьте себе кнопочку, скопировав этот код:
<a href="http://kiev-security.org.ua" title="Самый большой объем в сети онлайн инф-ции по безопасности на rus" target="_blank"><img src="http://kiev-security.org.ua/88x31.gif" width="88" height="31" border="0" alt="security,безопасность,библиотека"></a> |
Идея проекта(C)Anton Morozov, Kiev, Ukraine, 1999-2022,