Возможные угрозы информации
Защита информации обычно сводится к выбору средств контроля за выполнением программ, имеющих доступ к информации, хранимой в ИС. Иногда под термином "защита" подразумеваются средства, ограничивающие последствия непреднамеренных ошибок в программном обеспечении или правилах его использования. Действительно, такие случайности необходимо исключить, однако это имеет практически мало общего с задачей защиты от преднамеренных нарушений безопасности информации. Таким образом, в более узком смысле защита представляет собой совокупность методов и средств, позволяющих управлять доступом выполняемых программ к информации в ИС. Одной из проблем утечки информации являются случайные угрозы. К случайным факторам относится, прежде всего, воздействие сильных магнитных полей на магнитные носители информации, приводящее к разрушению хранимой информации. Сохранность информации может быть нарушена в результате небрежного хранения и учета носителей, их нечеткой идентификации. Ошибки в программах пользователей считаются особенно опасными, способными привести к самым серьезным последствиям. Например, неправильное управление вводом данных приведет к записи в массив данных искаженной информации, а неправильное управление выводом данных - к печати документов с ошибками. Серьезным источником ошибок, приводящим к искажению хранимой информации, являются ошибки ввода данных. Ошибочно введенные данные могут стереть записанную ранее информацию, быть источником ошибочной информации. В процессе обработки информации существенными факторами, представляющими угрозу сохранности информации, являются сбои и ошибки в работе аппаратуры, ошибки пользователей и операторов. Попытки проникновения могут быть вызваны не только простым удовлетворением любопытства грамотного программиста(пользователя), но и преднамеренным получением информации ограниченного использования. Возможны и другие виды нарушений, приводящих к утрате или утечке информации. Так, электромагнитные излучения при работе ЭВМ и других технических средств могут быть перехвачены, декодированы и представлены в виде битов, составляющих поток информации. В современных условиях, когда имеет место целенаправленное всестороннее воздействие на информационные ресурсы, необходимо создать комплексную систему защиты информации, в которую должны быть включены: - структурные органы (с определенной иерархией), осуществляющие разработку нормативных и руководящих документов по обеспечению защиты информации и контроль их выполнения; - совокупность различных методов (физических, организационных, криптографических, и т.п.) и средств (программных, аппаратных, аппаратно-программных) осуществляющих всеобъемлющую защиту аппаратного и программного обеспечения информационных систем, а также безопасность и контроль самих систем защиты. СЗИ представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации по всем выявленным возможным каналам утечки. Что представляют собой структурные органы? В качестве примера рассмотрим деятельность некоторых организаций в США, занимающихся решением проблем защиты информации. В США существует Национальный центр обеспечения безопасности ЭВМ, круг его задач служит очевидным признанием факта, что несекретная информация по таким вопросам, как финансы, сельское хозяйство, торговля, энергетика, экономика, новые технологии и т.п. стала рассматриваться как стратегическая. Основной задачей Центра является внедрение во все сферы производства и управления надежных вычислительных систем, безопасность информации в которых обеспечивается всем комплексом доступных средств - аппаратных, программных и процедурных. Это реализуется путем оценки уровня защиты разрабатываемых фирмами систем, консультативными услугами и другими средствами. Предъявляемые Центром требования к разрабатываемым вычислительным и информационным системам указаны в специальной директиве, опубликованной в виде отдельного документа известного под названием "Оранжевая книга". В случае выполнения разработчиком всех требований, изделие (система) включается в перечень проверенных и рекомендуемых вычислительных средств (Computer Se., Evaluated Product List). "Оранжевая книга" подразделяет выпускаемые промышленностью США вычислительные и информационные системы на четыре иерархи- чески организованных уровня в зависимости от степени обеспечения безопасности информации -D,C,B,A. В свою очередь уровни С,В,А делятся на классы. D представляет собой минимальный уровень защиты, А1 - максимальный. Каждому классу соответствуют свои требования и гарантии пользователю, каждый предназначен для обработки определенного вида информации. Так, для обработки информации категории "несекретная, но важная" допускается использование систем класса С2, обеспечивающего соответствующий механизм контроля и ограничения доступа, идентификации и регистрации пользователя. Своей основной целью Национальный комитет по безопасности телекоммуникаций и информационных систем (NTISSC) считает "подтягивание" всех коммерческих систем коллективного пользования и правительственных АИС хотя бы до этого уровня.