7.1. Основы информационной безопасности

Интенсивное развитие компьютерных средств и инфор­мационных технологий повышают требования к обеспече­нию информационной безопасности.

Под информационной безопасностью (ИБ) будем пони­мать защищенность информации и поддерживающей ин­фраструктуры от случайных или преднамеренных воздей­ствий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отноше­ний, в том числе владельцам и пользователям информации и поддерживающей инфраструктуре.

Средства и методы поддержки ИБ должны обеспечи­вать:

• доступность — информация, ресурсы, сервисы, сред­ства взаимодействия и связи должны быть доступны и гото­вы к работе всегда, когда возникает необходимость;

• целостность — сохранение структуры информации и/или ее содержания в процессе передачи и хранения. Цело­стность можно подразделить на статическую — неизменность информационных объектов, и динамическую — корректное выполнение транзакций. Средства контроля динамической целостности применяются в частности при анализе потока финансовых сообщений с целью выявления кражи, переупо­рядочения или дублирования отдельных сообщений;

• конфиденциальность — обеспечение доступа к инфор­мации только ограниченному кругу субъектов информаци­онной системы (пользователям, процессам, программам).

Доступность информации (ресурсов ИС) предполагает, что субъекты, имеющие права доступа, могут беспрепят­ственно их реализовывать.

Под доступом к информации понимается возможность получения информации и ее использование (ознакомление, обработка, копирование, модификация или уничтожение). Различают санкционированный и несанкционированный до­ступ к информации.

Санкционированный доступ к информации - это до­ступ, не нарушающий установленные правила разграничения доступа. Несанкционированный доступ характеризуется на­рушением установленных правил разграничения доступа и является наиболее распространенным видом компьютер­ных нарушений.

Права доступа — совокупность правил, регламентиру­ющих порядок и условия доступа субъекта к информации, ее носителям и другим ресурсам ИС, установленных право­выми документами или собственником, владельцем инфор­мации.

Разграничение доступа — с одной стороны, правила, ог­раничивающие действия субъектов ИС над ее ресурсами, с другой — деятельность по реализации этих правил.

Атака на информационную систему — это действие, предпринимаемое злоумышленником с целью поиска и ис­пользования той или иной уязвимости системы. Таким обра­зом, атака — это реализация угрозы безопасности. Под угро­зой информационной безопасности понимаются события или действия, которые могут привести к искажению, несанк­ционированному использованию или даже к разрушению информационных ресурсов управляемой системы, а также программных и аппаратных средств. Комплекс мер, направ­ленных на обеспечение ИБ, должен гарантировать защиту информации и минимизировать риски ее искажения.

Важнейшей составляющей процесса обеспечения ИБ яв­ляется проведение квалифицированного аудита безопасно­сти ИС, что позволяет своевременно выявить существу­ющие недостатки и объективно оценить соответствие обеспе­чения информационной безопасности требуемому уровню решаемых задач организации. Оценка качества безопасности ИС выполняется специализированными аудиторскими организациями.

Защита информации — деятельность, направленная на сохранение государственной, служебной, коммерческой или личной тайны, на сохранение носителей информации любого содержания.

Политика безопасности — это совокупность норм и пра­вил, определяющих принятые в организации меры по обес­печению безопасности информации, связанной с деятельно­стью организации. Цель ее формулирования для ИС — изло­жение взглядов руководства организации на сущность угроз информационной безопасности. Политика безопасности долж­на быть оформлена документально на нескольких уровнях управления: на уровне высшего руководства — подготавли­вается и утверждается документ, в котором определены цели политики безопасности, структура и перечень решаемых за­дач и ответственные за реализацию политики; администра­торами безопасности ИС детализируется документ с учетом принципов деятельности организации, важности целей и на­личия ресурсов.

Политика безопасности обычно состоит из двух частей: общих принципов и конкретных правил работы с ИС для различных категорий пользователей.

В руководство по компьютерной безопасности, разрабо­танное Национальным институтом стандартов и технологий США {National Institute of Standards and Technology — NTST), рекомендовано включать в описание политики безо­пасности следующие разделы:

1. Предмет политики — определяются цели и указывают­ся причины разработки политики, область ее применения, задачи, термины и определения.

2. Описание позиции организации — описываются ресур­сы ИС, перечень допущенных к ресурсам лиц и процессов, порядок получения доступа к ресурсам.

3. Применимость — порядок доступа к данным ИС, огра­ничения или технологические цепочки, применяемые при реализации политики безопасности.

4. Роли и обязанности — определяются ответственные должностные лица и их обязанности в отношении разработ­ки и внедрения элементов политики.

5. Соблюдение политики — описываются права и обязан­ности пользователей ИС, недопустимые действия при осуще­ствлении доступа к информационным ресурсам и наказания за нарушения режимных требований, технология фиксации фактов нарушения политики безопасности и применения ад­министративных мер воздействия к нарушителям.