Цели, задачи и требования к защите информации

Во вводной лекции с понятием цели защиты информации связан результат защиты, который выражается в предотвращении ущерба для собственника (владельца) информационных ресурсов. Цели защиты информации обуславливаются необходимостью предотвращения и локализации основных информационных угроз. К таким угрозам отнесем три главных – утечка, искажение (дезинформация) и потеря (невозможность получения информации, разрыв информационных связей) сведений. В более предметной постановке цели защиты информации сводятся к качественному информационному обеспечению деятельности государства, министерства, его структурных подразделений, объединений Вооруженных Сил, соединений и воинских частей, которое предполагает предотвращение (или минимизацию) ущерба по причинам несвоевременного, неполного получения нужных сведений, блокирования доступа к информации, снижения ее достоверности ввиду дезинформации, снижения актуальности ввиду утечки..

По иному целью зашиты является достижение такого состояния информации, которое категорируется как информационная безопасность. Соотношение понятий защита информации и информационная безопасность становится ясным, если рассмотреть их с точки зрения разных категорий. Понятие «защита информации» относится к категории «деятельность», понятие «информационная безопасность» относится к категории «состояние». Информационная безопасность как состояние присуще всем сложноорганизованным системам. Оно должно быть достигнуто с помощью деятельности по защите информации, как в масштабе государства, так и в масштабе более локальных организационных структур, таких как Министерство Обороны РФ, объединение Вооруженных Сил, воинская часть. Защита информации играет в системе информационной безопасности информации активную роль, и выражена в методах, способах и средствах защиты, причем в динамике их подготовки, планирования и осуществления. Информационная безопасность в свою очередь является частью национальной безопасности государства, и определяется как - защищенность информационной среды общества от внешних и внутренних угроз.

Следует отметить также, что постольку, поскольку информация может принести вред и использоваться в качестве оружия, сфера информационной безопасности включает в себя также деятельность по защите от информации (защита информационной системы, в том числе и личности как системы, от вредоносной информации). В последние годы на уровне государственных программ начато изучение методов защиты личности от воздействия на психику человека некоторых информационных продуктов, распространяемых, в том числе и через средства массовой информации. По широте охвата информационное оружие может квалифицироваться как оружие массового поражения, и является не менее грозным, чем ядерное. Оно гораздо изощреннее по форме воздействия, так как лишает разума и калечит душу человека. Тщательно спланированная информационная акция может демобилизовать население целого государства, региона, и подготовить беспрепятственное вторжение противника, способствовать экономической экспансии, усилить криминогенный фон.

Так как защита информации является деятельностью, то характеризуется признаками и критериями, присущими любой деятельности – не только целью, сферой (границами), результатом, но и методами, особыми алгоритмами, частными специфичными задачами, к такой деятельности предъявляются определенные требования.

Защита информации, в этой связи, разбивается на решение двух основных групп задач:

1. Своевременное и полное удовлетворение информационных потребностей, возникающих в процессе управленческой, научно-технической, финансово-экономической и иной деятельности, то есть обеспечение должностных лиц, принимающих решение необходимыми сведениями, в том числе категории ограниченного доступа, по должностной необходимости.

2. Ограждение информации соответствующей категории от несанкционированного доступа к ней посторонних юридических и физических лиц, не имеющих на то полномочий и прав.

При решении первой группы задач снабжение должностных лиц открытой информацией ничем не ограничивается, с точки зрения санкций на доступ. Ограничения накладывают потенциальные возможности информационной системы воинской части (пропускная способность коммуникаций, максимальные объемы носителей, максимальное время использования информации). Решение задач этой группы непосредственно не связано с деятельностью наших специалистов в войсках.

При использовании должностными лицами информации ограниченного доступа, возникает вторая группа задач, входящих в сферу деятельности выпускников вашей специальности. Решение задач данной группы направлено на защиту информационного суверенитета страны и расширение возможностей государства по укреплению своего могущества и обеспечению обороноспособности за счет формирования и надежной сохранности информационного потенциала. Основным принципом решения отмеченных задач является введение ограничений на допуск и доступ к информации (различия между допуском и доступом к сведениям введены ст.2, 21-27 Закона РФ «О государственной тайне» 1993 года).

Ограничения предполагают:

наличие у должностных лиц допуска по соответствующей форме;

наличия разрешения руководства на доступ к конкретной информации.

Исходя из вышеизложенного к защите информации должны предъявляться следующие основные требования:

1. Экономическая оправданность, зависящая от важности защищаемых сведений и требуемого уровня их защиты.

2. Практичность реализации мер защиты, то есть система защиты должна быть удобной для лиц, допущенных к определенной информации и непреодолимой для нарушителей.

3. Максимальное ограничение круга лиц, допускаемых к защищаемой информации, предполагает разграничение доступа должностных лиц к закрытым информационным массивам.

4. Обеспечение защиты закрытой информации на всех этапах ее обработки, передачи, использования и хранения во всех структурных подразделениях воинской части.

5. Реализация комплексного подхода в планировании и проведении мероприятий по защите (то есть всех мероприятий из класса организационных, правовых, технических, программных).

6. Возможность осуществления контроля должностными лицами выполнения требований по защите и доступа специалистов к защищаемой информации.

7. Установление строгой ответственности за нарушение требований по защите информации.

С позицийсистемного подхода к защите информации также предъявлены определенные требования. Защита информации должна быть:

1. Непрерывной.

2. Плановой и алгоритмичной. Планирование осуществляется разработкой службой защиты информации детальных планов работ по защите, с учетом общей цели информационного обеспечения деятельности воинской части, и необходимости координации действий других отделов и служб в этом направлении.

3. Централизованной. В рамках управленческой структуры воинской части решения по защите информации принимаются командованием.

4. Конкретной. Защите подлежат конкретные данные, нанесенные на носители, с помощью определенного руководящими документами комплекса мероприятий.

5. Активной. Используется в большинстве активные меры защиты и средства защиты, в которых реализованы активные технологии противодействия информационным угрозам.

6. Надежной. Методы и средства защиты должны гарантировано перекрывать спектр информационных угроз.

7. Целенаправленной. Должны быть обозначены не только общие цели защиты сведений, но и частные. Необходимо выделение на основе целевых установок критериев защищенности данных, формирование альтернативных вариантов защиты (моделирование процесса защиты), определение полного набора функций, задач и средств защиты.

8. Комплексной. Для защиты информации должны применяться все виды и формы, методы, средства во взаимодействии и дополнении, в ряде случаев одновременно.

Реализация целей и выполнение задач защиты предполагает деятельность по определенной методике. Метод, при общем понимании, означает совокупность приемов и способов осуществления мероприятий и использования средств защиты информации. Приведем обобщенную классификацию методов защиты информации, с некоторыми пояснениями.

Скрытие. Для скрытия используются средства шифрования, засекречивания, различные способы ослабления или устранения демаскирующих признаков объектов войск и технических средств передачи, хранения, и обработки информации. Применяется для защиты от угроз утечки и модификации.

Ограничение доступа. Ограничительные меры начинаются с определения круга лиц, допущенных к информации определенной степени важности. Число таких лиц должно быть по возможности минимальным. Лица, допущенные к защищаемой информации делятся на несколько категорий, сообразно с формой допуска. Степень важности информации должна соответствовать форме допуска того или иного лица. Ограничения распространяются не только на доступ к информации, но и на возможность присутствия лиц в расположении (территории, зоне) военных объектов. Применяется против информационных угроз всех видов.

Разграничение доступа. Заключается в создании условий, при которых лица, допущенные к информации определенной степени важности, могут работать только с теми информационными носителями, которые соответствуют их профессиональной принадлежности. Применяется против информационных угроз всех видов.

Дезинформация. Может использоваться не только как метод информационного воздействия, но и как метод защиты. Его осуществление не требует особых пояснений, так как достаточно подробно рассмотрено на примерах.

Маскировка и легендирование. Рассматриваются как разновидности методов скрытия и дезинформации. Для их реализации создаются условия, при которых дислокация или деятельность воинской части остается незамеченной для противника, или принимается им за другой объект, вид деятельности.

Уменьшение количества информационных носителей и их объема. Используется как метод защиты от утечки информации. При этом информация наносится на ограниченное количество носителей и «в малых дозах». Разновидность метода является информационное дробление и информационный разнос. Дробление (расчленение) информации на части с таким условием, что каждая часть в отдельности не позволяет восстановить информационную картину в целом, и ценности не представляет. Другое условие предполагает территориальное или иного рода разнесение информационных частей. Части должны храниться в разных сейфах, у разных лиц, сообщения должны передаваться с временным разносом. Метод зарекомендовал свою эффективность. Например, химические составляющие напитка «Кока-кола» с момента изобретения хранятся у разных лиц, что позволяет сохранить уникальность напитка для производителей до сего времени.

Резервирование компонентов информационных коммуникаций. Предусматривается создание резервных средств и линий связи, средств хранения, передачи и обработки информации. Резервирование допускается как метод защиты от утраты информации (например, при угрозе огневого поражения элементов системы связи), или как метод защиты от дезинформации – одновременная передача одной и той же информации по разным средствам связи (разным информационным коммуникациям).

Резервирование сообщений. Является аналогом предыдущего метода защиты, с той разницей, что резервируются, дублируются не информационные средства, а информационные сообщения (носители информации). Метод может реализовываться, например, в виде установленных требований по повтору трансляции сигналов боевого управления через определенные промежутки времени (по запросу получателя).

Символизация информации (формализация). Используется как разновидность метода скрытия. Символом обозначается большое сообщение, что известно только некоторым лицам. Смысл его использования для других лиц остается неизвестным, что защищает информацию от утечки. Это свойство также может использоваться для предотвращения угрозы дезинформации. В данных случаях требуется, безусловно, строжайшая сохранность в тайне символа и его содержания. Символ как сообщение передается быстрее по каналам и линиям связи, что позволяет его использовать как метод защиты от утраты информации. Поясняем, что низкая оперативность в доведении сообщений равносильна в ряде случаев их потере.

Создание зон и рубежей физической безопасности. Метод практикуется в форме пропускного режима и охраны территорий, зданий и помещений, направлен против всех видов информационных угроз. Здесь находят свое применение такие средства охраны, как ограждения, охранные сигнализации, турникеты, системы слежения и наблюдения, другое инженерно-техническое оборудование. Метод предполагает организацию элементов контрольно-пропускной системы, комендантской, караульной и патрульной службы.

Регистрация и учет информационных носителей (сообщений). Метод позволяет идентифицировать информационные носители по содержанию, принадлежности к какой-либо информационно-управленческой системе, принадлежности к определенной степени важности информации (например, к государственной тайне), позволяет контролировать наличие носителей, этапы информационного процесса и многое другое. Метод применяется в комплексе с другими для предотвращения всех видов информационных угроз.

Правовые методы защиты. Находят выражение в законах и ведомственных актах, регламентирующих защиту информации, ее использование, страховку, выяснение конфликтов и другие необходимые вопросы.

Морально-нравственные методы защиты информации предлагают воспитание должностных лиц, допущенных к информации ограниченного доступа, проведение воспитательной работы, направленной на формирование у него определенных качеств, взглядов и утверждений.

Приведенная классификация отличается условностью. Так, криптографические средства можно рассматривать как практическую реализацию метода скрытия, но наряду с этим в криптографии можно заметь воплощение методов «ограничения доступа», «символизации информации». Кроме того, для успешного решения задач защиты предусматривается комплексное применение нескольких методически подходов. При этом может достигаться защита в той или иной мере от различных видов информационных угроз.

Перечень методов можно продолжить. Некоторые авторы классифицируют методы защиты на организационно-правовые, инженерно-технические, программно-аппаратные, криптографические, но большинство из них таким образом классифицируют средства защиты информации.

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности зашиты информации [Закон РФ «О гостайне»].

Средства защиты информации - это совокупность инженерно-технических, радио- электронных, программных, оптических и других устройств и приспособлений, приборов и технических систем, используемых для решения задач защиты информации. Средства защиты информации обеспечивают возможность реализации перечисленных выше методов. Так, например, использование инженерно-технических средств позволяет:

создавать физические (механические) препятствия на путях проникновения злоумышленника к носителям информации - решетки, замки, сейфы, инженерные заграждения;

выявлять попытки проникновения на охраняемый объект, к местам сосредоточения носителей защищаемой информации (электронные, оптические и другие сигнализаторы);

предупреждать о возникновении чрезвычайных ситуаций (пожар, наводнение) и ликвидировать чрезвычайные происшествия (средства пожаротушения);

поддерживать связь с различными подразделениями, помещениями и другими точками объекта охраны;

нейтрализовывать, поглощать или отражать излучения эксплуатируемых или испытываемых изделий (экраны, защитные фильтры, разделительные устройства в сетях электроснабжения), а также обеспечивать другие функции.

При рассмотрении проблем защиты информации часто затрагивается вопрос о «режиме секретности» или «режиме конфиденциальности». Эти термины относятся к сфере защиты информации, а иногда и отождествляется с процессом защиты, что недостаточно верно. Безусловно «режим защиты» является процессуальной моделью, и представляет собой как комплекс нормативных, методических и технических предписаний, являющихся подробными условиями реализации процесса защиты, так и непосредственно деятельность по защите. Причем «режим секретности» означает деятельность по защите государственной тайны от утечки, «режим конфиденциальности» - деятельность по защите любой категории конфиденциальной информации от угрозы того же вида, например коммерческой тайны или персональных данных.

Подробное содержание режимных задач, правила режимного обеспечения будут изучаться по другим дисциплинам.

Заключение

Знание основных теоретических положений по защите информации, наличие представлений о целях и ключевых задачах защиты помогает специалистам более обоснованно и объективно подходить к комплексному планированию мероприятий защиты, проектированию защищенных информационных технологий, созданию и отладке проектов защищенных информационных систем, к детальной и конкретизированной реализации изученных требований, предъявляемых к процессу защиты.

Подробное освоение курсантами частных методик и специализированных средств защиты информации предстоит в перспективе дальнейшего обучения.

Доцент

А.Стефанович

Дата добавления: 2014-01-07; Просмотров: 1114; Нарушение авторских прав?; Мы поможем в написании вашей работы!