Вопросы для обсуждения. ранением сетевых технологий и миниатюризацией вычислитель­ной техники

J

I

Т

I

ранением сетевых технологий и миниатюризацией вычислитель­ной техники. Прежде всего следует защититься от утечки инфор­мации по техническим каналам. Этим занимается Гостехкомиссия России.

Поддержание работоспособности компьютерных сетей — еще одно неразработанное направление, издержки невнимания к ко­торому стали видны сравнительно недавно. В эпоху господства боль­ших ЭВМ удалось создать инфраструктуру, способную обеспечить, по существу, любой заданный уровень работоспособности (дос­тупности) на всем протяжении жизненного цикла информацион­ной системы. Эта инфраструктура включала в себя как техничес­кие, так и процедурные регуляторы (обучение персонала и пользо­вателей, проведение работ в соответствии с апробированными регламентами и т.п.). При переходе к персональным компьютерам и технологии «клиент—сервер» инфраструктура обеспечения дос­тупности во многом оказалась утраченной, однако важность дан­ной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организация­ми стоит задача соединения упорядоченности и регламентирован­ности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.

Еще одна проблема общенационального характера — реагиро­вание на нарушения информационной безопасности. Допустим, пользователь или системный администратор понял, что произош­ло нарушение. Что он должен делать? Попытаться проследить зло­умышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? В настоящее время ни одно ведомство, в ведении которого находятся вопросы информационной безопасности, еще не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Так что совершенно очевидно, что необходимо организовать национальный центр ин­формационной безопасности, в круг обязанностей которого вхо­дили бы, в частности, отслеживание состояния этой области зна­ний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь орга­низациям в случае нарушения их информационной безопасности.

Нуждается в дальнейшем совершенствовании и работа по пла­нированию восстановительных работ, т.е. все направления деятель­ности государственных и коммерческих организаций, связанные с восстановлением работоспособности организационных структур после аварий. Ведь ни одна организация от таких нарушений не

застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации ре­зервных производственных площадок, предусмотреть процедуру пе­реноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. По­добный план нужен не только сверхважным военным организаци­ям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.

В целом решение задачи комплексного обеспечения информа­ционной безопасности на процедурном и программно-техничес­ком уровнях предполагает выполнение следующих требований:

■ защита информации (с целью обеспечения ее конфиденци­
альности, целостности и достоверности) при ее хранении,
обработке и передаче по каналам связи;

■ подтверждение подлинности объектов данных и пользова­
телей (аутентификация сторон);

■ обнаружение и предупреждение нарушения целостности
объектов данных;

■ живучесть сети связи при компрометации части ключевой
информации;

■ защита технических средств и помещений, в которых ведет­
ся обработка конфиденциальной информации, от утечки ин­
формации по побочным каналам и от возможного внедре­
ния в технические средства устройств съема информации;

■ защита программных продуктов от внедрения программных
закладок и вирусов;

■ защита от несанкционированного доступа к информацион­
ным ресурсам и техническим средствам сети, в том числе и
к средствам ее управления, с целью предотвращения сни­
жения уровня защищенности информации и самой сети в
целом;

■ реализация организационно-технических мероприятий, на­
правленных на обеспечение сохранности и конфиденциаль­
ности данных.

Львиная доля активности в области информационной безопасности при­ходится на программно-технический уровень ее обеспечения. Зарубежные разработки в этой области содержат полный спектр решений. В на­шей стране картина, к сожалению, далеко не столь радужная.

Согласно современным воззрениям в рамках информационных систем должны быть доступны по крайней мере следующие меха­низмы безопасности:

■ идентификация и проверка подлинности (аутентификация)
пользователей;

управление доступом; протоколирование и аудит; криптография; межсетевое экранирование; обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизма­ми безопасности в особенности необходимо управлять. И управле­ние, и механизмы безопасности должны функционировать в раз­нородной, распределенной среде, построенной, как правило, в архитектуре клиент—сервер, а следовательно:

■ опираться на общепринятые стандарты;

■ быть устойчивыми к сетевым угрозам;

■ учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком за иденти­фикацию (аутентификацию), управление доступом, протоколи­рование (аудит) отвечает Гостехкомиссия России, за криптогра­фию — ФАПСИ. Межсетевое экранирование является спорной тер­риторией, никто конкретно не занимается и доступностью.

На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. Наиболее значи­мая информация концентрируется на иных, серверных платфор­мах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но в первую очередь существенно более продвинутые современные корпора­тивные системы. Пока для этого почти нет сертифицированных средств.

Рассмотрим типичную государственную организацию, имею­щую несколько производственных площадок, и на каждой — кри­тически важные серверы, в доступе к которым нуждаются работ­ники, базирующиеся на других площадках, и мобильные пользо­ватели. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами дан­ных (СУБД), web-сервис и т.д. В локальных сетях и при межсете­вом доступе основным является протокол ТСРЛР.

Для построения эшелонированной обороны подобной инфор­мационной системы необходимы по крайней мере следующие за­щитные средства программно-технического уровня:

■ межсетевые экраны (разграничение межсетевого доступа);

■ средства поддержки частных виртуальных сетей (реализация
защищенных коммуникаций между производственными пло­
щадками по открытым каналам связи);

■ средства идентификации/аутентификации, поддерживающие
концепцию единого входа в сеть (пользователь один раз до­
казывает свою подлинность при входе в сеть организации,
после чего получает доступ ко всем имеющимся сервисам в
соответствии со своими полномочиями);

■ средства протоколирования и аудита, отслеживающие ак­
тивность на всех уровнях — от отдельных приложений до
сети организации в целом, и оперативно выявляющие по­
дозрительную активность;

■ комплекс средств централизованного администрирования
информационной системы организации;

■ средства защиты, входящие в состав приложений, сервисов
и аппаратно-программных платформ.

До недавнего времени из интересующего нас спектра продук­тов по требованиям безопасности для применения в госорганиза­циях были сертифицированы межсетевые экраны, операционные системы и реляционные СУБД. Даже если включить в этот пере­чень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему ШИП, поддерживающую вир­туальные частные сети, и средства криптографической защиты семейства «Верба»), большинство рубежей остается без защиты. Таким образом, государственной организации сегодня чрезвычай­но трудно получить современную информационную систему, за­щищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в оп­ределенной степени свободнее в своем выборе защитных средств. Тем не менее в силу ряда обстоятельств (необходимость взаимо­действия с госструктурами, расширительная трактовка понятия государственной тайны — «гостайна по совокупности», необходи­мость получения лицензии на эксплуатацию криптосредств, огра­ничения на их импорт) эта свобода не слишком велика. Практи­чески на все категории субъектов информационных отношений распространяются требования, рассчитанные на госструктуры.

По мере расширения использования Интернета и других открытых тех­нологических решений в качестве транспортной сети передачи данных

особую значимость приобретает вопрос обеспечения конфиден­циальности, целостности и достоверности передаваемой инфор­мации.

Проблема защиты информации путем преобразования, ис­ключающего ее прочтение посторонним лицом, волновала че­ловеческий ум с давних времен. История криптографии — ро­весница истории человеческого языка. Первоначально письмен­ность сама была криптографической системой, так как в древних обществах ею владели только избранные. Священные книги Древнего Египта, Древней Индии — тому примеры. С широким распространением письменности криптография стала форми­роваться как самостоятельная наука. Первые криптосистемы встречаются уже в начале нашей эры. Так, Цезарь в своей пере­писке использовал более или менее систематический шифр, получивший его имя.

Бурное развитие криптографические системы получили в годы Первой и Второй мировых войн. Появление в послевоенное время вычислительных средств ускорило разработку и совершенствова­ние криптографических методов, которые продолжаются и по нынешний день.

Почему проблема использования криптографических методов в информационных системах (ИС) сегодня особо актуальна? С одной стороны, расширилось использование компьютерных се­тей, по которым передаются большие объемы информации госу­дарственного, военного, коммерческого и частного характера, не допускающего возможности доступа к ней посторонних лиц. С дру­гой — появление новых мощных компьютеров, технологий сете­вых и нейронных вычислений сделало возможным дискредитацию криптографических систем, еще недавно считавшихся нераскры-ваемыми.

Проблемой защиты информации путем ее преобразования за­нимается криптология {kryptos— тайный, logos— наука).Она разде­ляется на два направления — криптографию и криптоанализ. Цели этих направлений прямо противоположны.

Криптография занимается поиском и исследованием матема­тических методов преобразования информации. Сфера интересов криптоанализа — исследование возможности расшифровывания информации без знания ключей.

Современная криптография включа­ет в себя четыре крупных раздела:

■ симметричные криптосистемы;

■ криптосистемы с открытым ключом;

■ системы электронной подписи;

■ управление ключами.

Криптографические методы используются для передачи кон­фиденциальной информации по каналам связи (например, элект­ронная почта), установления подлинности передаваемых сообще­ний, хранения информации (документов, баз данных) на носите­лях в зашифрованном виде.

Итак, криптография дает возможность преобразовать инфор­мацию таким образом, что ее прочтение (восстановление) воз­можно только при знании ключа — шифра. Под шифрованием при­нято понимать преобразовательный процесс: исходный текст, который носит также название открытого текста, заменяется шиф­рованным текстом. Дешифрование — обратный шифрованию про­цесс, преобразование текста в исходный. Он осуществляется с по­мощью ключа — информации, необходимой для беспрепятствен­ного шифрования и дешифрования текстов. Электронной (цифровой) подписью называется присоединяемое к тексту его крипто­графическое преобразование, которое позволяет при получении текста другим пользователем проверить авторство и подлинность сообщения.

Содержание терминов распределение ключей и управление клю­чами — составление и распределение ключей между пользовате­лями.

Криптостойкостью называется характеристика шифра, опреде­ляющая его стойкость к дешифрованию без знания ключа (т.е. крипто­анализу). Имеется несколько показателей криптостойкости, глав­ные из которых:

■ количество всех возможных ключей;

■ среднее время, необходимое для криптоанализа.

Процесс криптографического закрытия данных может осуще­ствляться как программно, так и аппаратно. Аппаратная реализа-

ция отличается существенно большей стоимостью, однако у нее есть и преимущества: высокая производительность, простота, за­щищенность и т.д. Программная реализация более практична, до­пускает известную гибкость в использовании.

Криптографические методы применимы к любому носителю информации: можно пересылать дискеты по почте, шифровать го­лос при телефонном разговоре, а также видеоизображение.

Криптосистемы разделяются на симметричные и с открытым ключом.

В симметричных криптосистемах и для шифрования, и для де­шифрования используется один и тот же ключ. Достоинством этих алгоритмов (DES, GOST, BlowFish, IDEA, RC5) является то, что они хорошо изучены, в том числе теоретически обоснована их крип-тостойкость. По сравнению с «асимметричными» алгоритмами от­носительно проста как программная, так и аппаратная реализация, выше скорость работы в прямом и в обратном направлениях, а так­же обеспечен необходимый уровень защиты при использовании су­щественно более коротких ключей. Основные недостатки — необхо­димость дополнительных мер секретности при распространении клю­чей, а также то, что алгоритмы с секретным ключом работают только в условиях полного доверия корреспондентов друг к другу, так как не позволяют реализовать настоящую «цифровую подпись».

В системах с открытым ключом (RSA, PGP, ECC) используют­ся два ключа — открытый и закрытый, которые математически свя­заны друг с другом. Информация шифруется с помощью открыто­го ключа, который доступен всем желающим, а расшифровывает­ся с помощью закрытого ключа, известного только получателю сообщения. Открытые ключи публикуются для того, чтобы каж­дый мог зашифровать сообщение или проверить цифровую под­пись; расшифровать же такое сообщение или поставить подпись может только тот, кто знает второй — секретный — ключ. Такие алгоритмы по сравнению с «симметричными» более требователь­ны к вычислительным ресурсам, их реализация и использование обходятся дороже, а криптостойкость на сегодняшний день обо­снована хуже. Но они работают там, где «классические» крипто-схемы неприменимы: позволяют реализовывать различные хитро­умные протоколы, такие как цифровая подпись, открытое рас­пределение ключей и надежная аутентификация в сети, устойчивая даже к полному перехвату трафика.

За последние двадцать лет отношения между традиционной и асимметричной криптографией развивались очень драматично. С появлением асимметричной криптографии возникла определен-

ная эйфория — была организована Криптографическая ассоциа­ция (Международная ассоциация криптологических исследований, www.iacr.org), строились перспективные теоретические модели. Но когда эти идеи стали реализовывать уже в конкретных системах, выявилась не менее сложная, чем в симметричной криптографии, проблема.

В традиционных системах существовала внекриптографическая проблема — нахождение сверхнадежного канала для обмена клю­чами. Асимметричное решение выглядело многообещающе: не ну­жен скрытый обмен ключами, гарантией надежности шифра слу­жат алгоритмическая неразрешимость и экспоненциально расту­щая вычислительная сложность определенных математических задач, связанных со взломом ключа. Однако слабое место асиммет­ричной криптографии именно в том, что она может рухнуть из-за какого-то неожиданного прорыва в математике.

В «классической» криптографии таких проблем нет. Некоторые ее шифры доведены до стандарта, например, американская система DES. Есть и соответствующий российский стандарт СКЗД. Стойкость этих шифров подтверждается безрезультатными попытками вскрыть их всеми известными способами. А шифры с открытым ключом дер­жатся на вере в такие вещи, как трудность разложения числа на множители. Существует немало алгоритмов такого типа, опублико­ванных за последние 10—15 лет, которые взламывались через два месяца после публикации. С симметричными этого не происходит еще и потому, что опубликованы только стандарты. На сегодняшний день, спустя 20 лет, перспективы развития этих двух направлений асимметричной криптографии оцениваются как 50: 50.

В сфере компьютерной безопасности важнейшим условием ус­пеха остается четкое выполнение пользователями всех правил бе­зопасности при работе на компьютере. Обычно пользователи этим пренебрегают, поскольку строгое следование всем правилам тре­бует сил, времени, аккуратности, а для шифрования сообщений — дополнительных усилий. Кстати, одно из требований при разра­ботке криптографических средств: у пользователя не должно воз­никать желания их отключить. Наиболее ярко сложность реализа­ции этого требования проявилась в последние годы при разработ­ке хороших цифровых подписей для банковских приложений. Использование качественных систем подписи может существенно замедлять обработку документов. Это отдельная серьезная пробле­ма для криптографии.

При проектировании комплексной системы информационной безопасности на уровне организации и предприятия следует учи­тывать ряд организационных моментов:

21 - 4386

безопасность системы шифрования зависит от соблюдения режима секретности используемых ключей, поэтому необ­ходимо уделить особое внимание порядку безопасной гене­рации и администрирования ключей шифрования и обуче­нию пользователей этим приемам. Ключи шифрования счи­таются критической информацией, и доступ к ним должен быть ограничен кругом сотрудников, которому он требуется в силу их обязанностей; зашифрованные данные могут быть навсегда потеряны при утере или искажении ключа. Так как шифрование обычно используется для защиты важной ин­формации, утрата ключа может привести к значительным потерям. Все средства шифрования должны обеспечивать доступность ключей для руководства организации. При этом необходимо использовать утвержденную в организации тех­нологию восстановления ключа;

шифрование с отсутствием такой возможности может осу­ществляться только с письменного разрешения ответственно­го лица; секретные ключи пользователей должны храниться так же, как и пароли доступа. О любом подозрении на ком­прометацию секретного ключа пользователь должен немед­ленно доложить в службу безопасности; от порядка применения шифрования зависит способность руководства организации контролировать внутренние кана­лы связи и аудировать свои информационные системы (при­менение отдельными сотрудниками несертифицированных шифров не позволяет системным администраторам произ­водить аудит отдельных сообщений и файлов). Если органи­зации требуется подобный контроль, политика безопаснос­ти в обязательном порядке предполагает использование си­стем шифрования, поддерживающих восстановление ключей; существует большое число алгоритмов шифрования и стан­дартов длин ключей. Для соблюдения безопасности необхо­димо использовать алгоритмы, которые на практике пока­зали свою надежность. Длина ключей шифрования должна определяться на основе важности шифруемых данных. Как правило, ключи, короче чем 40 бит, используются только в корпоративной сети, защищенной брандмауэром. В Ин­тернете ведущие криптографы рекомендуют использовать ключи длиной не менее 75 бит. Стандарт DES использует 56 бит, но это приемлемо только на 1 —2 года. Пока же реко­мендуется тройной DES, имеющий эффективную длину ключа 112 бит.

При построении систем информационной безопасности необ­ходимо руководствоваться следующим принципом: затраты на со­здание систем защиты не должны превышать величину гипотети­чески предполагаемого ущерба.

Актуальные проблемы Отдельные проблемы, связанные

применения криптографических _с разработкой и применением тех-
методов защиты информации.,,

нологии криптозащиты информа­ции, имеют достаточно острый политический характер.

Так, неприятной особенностью некоторых криптографических систем оказалось наличие люков — универсальных паролей, свое­го рода отмычек, дающих доступ к информации без знания истин­ного ключа. В большинстве случаев люки — всего лишь особен­ность конкретной реализации, результат либо ошибки, либо зло­намеренности разработчиков программного продукта. Существуют влиятельные структуры, заинтересованные в доступе к зашифро­ванной информации через «черный ход» (black door). К их числу относятся правоохранительные органы и службы государственной безопасности.

Сегодня многие страны открыто (США) или завуалированно (Франция, Россия) проводят такую политику. Российское законо­дательство предполагает использование только «сертифицирован­ных» криптосистем. Широкое распространение в мировой практи­ке приобрело также законодательное ограничение длины ключа, закрепляющее легальное существование только искусственно «ос­лабленных» криптосистем. Главным ограничителем остается жест­кая политика в области экспорта криптотехнологий американско­го правительства, которое стремится ограничить свободный экс­порт криптографии не только из США, но и из других стран мира, оказывая порой политическое давление на иностранные прави­тельства и компании-производители.

Доводы в пользу либерализации криптографии сулят стимули­рование использования сети Интернет и расширение глобальной электронной торговли, резкое увеличение степени доверия пользо­вателей к безопасности онлайновых транзакций. Против «сильного крипто» категорически выступают спецслужбы, военные и право­охранительные органы ведущих стран мира.

Широкий общественный резонанс приобрела проводимая в течение последних 5 лет кампания по внедрению в сознание по­тенциальных пользователей необходимости применения так назы­ваемой доверительной технологии (или технологии «доверенного

третьего лица»), суть которой в том, что копии всех шифровальных ключей хранятся в специальных «доверенных» агентствах и могут быть доступны правоохранительным органам при необходимости.

Прямые или завуалированные требования предоставления со­ответствующим структурам «черного хода» к любой существую­щей и разрабатываемой криптосистеме значительно усилились после событий 11 сентября 2001 г. Уже во второй половине того злопо­лучного дня эксперт по вопросам национальной безопасности Дж. Данниган в интервью американской телекомпании NBC зая­вил, что ответственность за совершенные теракты следует возло­жить в том числе и на «PGP и интернет-криптование».

В июне 2001 г. защитники гражданских свобод праздновали де­сятилетие со дня рождения первой версии PGP (Pretty Good Privacy) — программы, которая впервые позволила пользователям Интернета кодировать файлы и электронные сообщения с помо­щью криптографических алгоритмов. Автор программы — Ф. Цим­мерман, будучи активистом антиядерного движения, создал в 1991 г. PGP 1.0, чтобы обеспечить безопасность общения между всеми членами этого движения. Уже через несколько дней после ее со­здания программа появилась на интернет-серверах далеко за пре­делами США. Следствие по делу Циммермана, обвиненного в не­легальном экспорте средств криптозащиты, продолжалось пять лет и было закрыто департаментом юстиции США. Теперь PGP абсо­лютно свободно можно загрузить с сайта pgp.com, а его автор раз­рабатывает новые версии своего продукты и схемы шифрования телефонных переговоров.

256-битовый код PGP существенно осложняет жизнь пра­воохранительных органов и спецслужб. Так, файлы Рамзи Юзе-фа, человека, ответственного за первую попытку взрыва во Всемирном торговом центре в 1993 г., ФБР смогло прочесть только спустя годы, и то благодаря использованию правитель­ственных суперкомпьютеров.

Альтернативная технология криптозащиты, вызывающая не меньшую головную боль у спецслужб, называется стеганографией. Суть ее в том, что секретные сообщения вкладываются в другие, открытые послания. Не будучи осведомленным заранее, посторон­ний наблюдатель, увидев такое сообщение, вряд ли заподозрит что-то неладное. Обычно зашифрованное послание «вшивается» в файлы, содержащие музыку, видео или графические изображения. Широкодоступные пользователям интернет-программы White Noise Storm, S-Tools, Steghide и т.д. «зашивают» информацию в самые ма­лозначительные биты цифровых файлов. Расшифровать такое со-

общение можно, разумеется, только имея специальный ключ-код, поэтому передают их открыто, например, размещают на общедо­ступных развлекательных, информационных и прочих сайтах. Сре­ди нескольких миллиардов сайтов и десятков миллиардов изобра­жений, наполняющих сетевое пространство, несложно спрятать несколько битов информации, а работа служб безопасности при этом превращается в поиск иголки в стоге сена. Впрочем, не сле­дует недооценивать возможностей спецслужб, активно разрабаты­вающих различные способы выявления и дешифрования данных, защищенных подобными общедоступными средствами.

В России сегодня идет процесс формирования рынка техноло­гий и услуг, связанных с криптозащитой. Растет спрос на квали­фицированных специалистов среди коммерческих и государствен­ных структур. Официально утверждены две специальности: 013200 (криптография) и 220600 (организация и технология защиты ин­формации). Для того чтобы вести обучение по каждой из них, нужна лицензия Минобразования, которая выдается после аттестации учебно-методическим объединением (УМО) по информационной безопасности. Лицензию на подготовку специалистов по крипто­графии имеет только ИКСИ (Институт криптографии, связи и информатики Академии ФСБ, http://www.fssr.ru). К числу учебных заведений, которые уже несколько лет готовят студентов по защи­те информации, относятся МИФИ (факультет информационной безопасности), РГГУ (факультет защиты информации). За после­дние два года к ним подключились МИЭМ и МИРЭА. Еще не­сколько вузов России получили лицензии.

В МГУ организуется новое подразделение «Учебно-научный центр по проблемам информационной безопасности». В его со­ставе — Высшие курсы переподготовки и повышения квали­фикации по информационной безопасности. Предполагается, что после юридического оформления и получения лицензии эти курсы будут заниматься переподготовкой дипломирован­ных специалистов, т.е. давать второе высшее образование в об­ласти информационной безопасности. В первую очередь они предназначены для людей, работавших в близких областях, в частности, для военнослужащих, увольняемых из вооружен­ных сил, офицеров войск связи, например.

Факультет защиты информации в МГУ открывать не пред­полагается. Но по вопросам, связанным с этой тематикой, чи­таются спецкурсы на механико-математическом факультете по четырем кафедрам: дискретной математики, теории чисел, мате­матической логики, математической теории интеллектуальных систем.

Сегодня руководство многих факультетов и вузов активно до­бивается получения лицензии на преподавание информацион­ной безопасности. С каждым днем появляются новые области при­менения криптографии, и специалисты остро необходимы.

1. Все согласны с тем, что проникновение и незаконное использова­
ние чужой собственности противозаконно и аморально, и трудно сегодня
найти человека, симпатизирующего квартирному вору или автоугонщику.
Почему в таком случае фигуры хакера и компьютерного пирата окружены
ореолом романтики и сочувствия? Есть ли у хакерства идеологический
«мессадж»?

2. Почему спецслужбы испытывают проблемы в противостоянии сете­
вым формам активности политических акторов?

3. Известно, что причинами нарушений информационной безопасно­
сти в организациях чаще оказываются некомпетентность, безответствен­
ность и злонамеренность собственных сотрудников, нежели действия вне­
шних злоумышленников. Представьте себя в роли руководителя. Какие меры
вы бы предприняли для того, чтобы снизить связанные с этим риски?

4. Организуйте симуляционную игру по методу «на следующий день»:
в качестве руководителей государственных ведомств, отвечающих за бе­
зопасность и стабильность в городе, вы сталкиваетесь с угрозами «кибер-
террористов» парализовать жизнь в многомиллионном мегаполисе. Какой
комплекс мер следовало бы реализовать в такой ситуации, на какие объекты
обратить особое внимание?

5. Самый верный способ обезопасить себя от угроз информационной
безопасности — вынуть штепсель компьютера из розетки (или не иметь
его вообще). Некоторые радикальные режимы (например, афганские та­
либы) полагают, что таким образом можно обеспечить «безопасность»
народов и государств. Почему такой вариант сегодня является тупиковым?
Обречено ли современное общество сосуществовать с угрозами безопас­
ности в новую информационную эпоху?

Рекомендуемая литература

Доктрина информационной безопасности РФ. Утверждена Президентом Российской Федерации В. Путиным 9 сентября 2000 г.

Колобов, О. А., В. Н. Ясенев. Информационная безопасность и антитеррори­стическая деятельность современного государства. Н. Новгород, 2001.

Ярочкин В. И. Информационная безопасность. М., 2000.

Hundley, Richard and Robert H. Anderson. «Emerging Challenge: Security And Safety In Cyberspace», in: In Athen's Camp: Preparing for Conflict in the Information Age. RAND, 1997.

«Networks, Netwar, and Information-Age Terrorism» John Arquilla, David Ronfeldt, and Michele Zanini, in: Countering the New Terrorism. RAND, 1999.

Примечания

Дата добавления: 2014-12-16; Просмотров: 508; Нарушение авторских прав?; Мы поможем в написании вашей работы!