Лекция 8 . Понятие информационной безопасности.
8.1.Основные составляющие информационной безопасности.
Под информационной безопасностью (ИБ) понимают защиту интересов субъектов информационных отношений. Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине ИБ РФ термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об информации, информационных технологиях и о защите информации" информационная безопасность определяется - как состояние защищенности информационной среды общества. "Информационная безопасность" в узком смысле: хранение, обработка и передача информации.
Под информационной безопасностью понимают защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого следует:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться (режимные государственные организации и учебные институты). "пусть лучше все сломается, чем враг узнает хоть один секретный бит", "да нет у нас никаких секретов, лишь бы все работало".
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации. Субъект информационных отношений может пострадать и от поломки системы, вызвавшей перерыв в работе. Для открытых организаций защита от несанкционированного доступа к информации стоит по важности не на первом месте.
В определении ИБ перед "ущерб" стоит "неприемлемый". Застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. С чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
В качестве стандартной модели безопасности часто приводят модель из трёх категорий:
- конфиденциальность (confidentiality) - состояние информации, при котором доступ к ней
осуществляют только субъекты, имеющие на него право;
- целостность ( integrity) - избежание несанкционированной модификации информации;
- доступность (availability) - избежание временного или постоянного сокрытия информации от
пользователей, получивших права доступа.
Точками приложения процесса защиты информации к информационной системе являются:
- аппаратное обеспечение;
- программное обеспечение;
- обеспечение связи (коммуникации).
Механизмы защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.
Рис.8.1
Конфиденциальность – это защита от несанкционированного доступа к информации.
27 июля 2006 года появился Федеральный закон Российской Федерации N 152-ФЗ «О персональных данных». Закон регулирует отношения, связанные с обработкой персональных данных. Появилось следующее определение: Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.
Новшеством в данном законе стало принуждение лиц, обрабатывающих персональные данные, использовать технические (криптографические) средства защиты информации при работе с персональными данными.
Федеральным законом от 27.12.2009 N 363-ФЗ обязанность оператора по обработке персональных данных использовать для защиты персональных данных шифровальные (криптографические) средства отменена.
Лица, виновные в нарушении требований Федерального закона о персональных данных, несут гражданскую, уголовную, административную, дисциплинарную ответственность.
Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Целостность подразделяют на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений. Целостность оказывается важнейшим аспектом ИБ, когда информация служит "руководством к действию".
Доступность – это возможность за приемлемое время получить требуемую информационную услугу.
Информационные системы создаются для получения информационных услуг. Если предоставить эти услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, выделяем ее как важнейший элемент информационной безопасности.
Конфиденциальность - самый проработанный аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности:
- сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках;
- на пути пользовательской криптографии (основное средство обеспечения конфиденциальности) стоят многочисленные законодательные препоны и технические проблемы.
Системный подход к описанию ИБ предлагает выделить следующие составляющие информационной безопасности:
- законодательная, нормативно-правовая и научная база;
- структура и задачи органов (подразделений), обеспечивающих безопасность ИТ;
- организационно-техническиемеры и методы (политика информационной безопасности);
- программно-технические способы и средства обеспечения информационной безопасности.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо:
- выявить требования защиты информации, специфические для данного объекта защиты;
- учесть требования национального и международного Законодательства;
- использовать наработанные практики (стандарты, методологии) построения подобных СОИБ;
- определить подразделения, ответственные за реализацию и поддержку СОИБ;
- распределить между подразделениями области ответственности в осуществлении требований СОИБ;
- на базе управления рисками информационной безопасности определить общие положения,
технические и организационные требования, составляющие политику информационной безопасности
объекта защиты;
- реализовать требования Политики информационной безопасности, внедрив соответствующие
программно-технические способы и средства защиты информации;
- реализовать Систему менеджмента (управления) информационной безопасности (СМИБ);
- используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости
пересмотр и корректировку СОИБ и СМИБ.
Процесс реализации СОИБ непрерывный и циклично возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
К нормативно-правовым актам в области информационной безопасности относятся:
Акты федерального законодательства:
- Международные договоры РФ;
- Конституция РФ;
- Законы федерального уровня;
- Указы Президента РФ;
- Постановления правительства РФ;
- Нормативные правовые акты федеральных министерств и ведомств;
- Нормативные правовые акты субъектов РФ.
К нормативно-методическим документам относятся:
Методические документы государственных органов России:
- Доктрина информационной безопасности РФ;
- Руководящие документы ФСТЭК (Гостехкомиссии России);
- Приказы ФСБ;
Стандарты информационной безопасности, из которых выделяют:
- Международные стандарты (Международная организация по стандартизации (International
Organization for Standardization, ISO);
- Государственные (национальные) стандарты РФ;
- Рекомендации по стандартизации.
(ISO/IEC 17799 - стандарт информационной безопасности, опубликованный в 2005 году организациями ISO и IEC. Он озаглавлен Информационные технологии - Технологии безопасности - Практические правила менеджмента информационной безопасности.Текущая версия стандарта является переработкой версии, опубликованной в 2000 году, которая являлась полной копией Британского стандарта BS 7799-1:1999.
Стандарт предоставляет лучшие практические советы по менеджменту информационной безопасности для тех, кто отвечает за создание, реализацию или обслуживание систем менеджмента информационной безопасности.
Текущая версия стандарта состоит из следующих основныхразделов:
- Политика безопасности (Security policy)
- Организация информационной безопасности (Organization of information security)
- Управление ресурсами (Asset management)
- Безопасность человеческих ресурсов (Human resources security)
- Физическая безопасность и безопасность окружения (Physical and environmental security)
- Контроль доступа (Access control))
Государственные органы РФ, контролирующие деятельность в области защиты информации:
- Комитет Государственной думы по безопасности;
- Совет безопасности России;
- Федеральная служба по техническому и экспортному контролю (ФСТЭК России);
- Федеральная служба безопасности Российской Федерации (ФСБ России);
- Служба внешней разведки Российской Федерации (СВР России);
- Министерство обороны Российской Федерации (Минобороны России);
- Министерство внутренних дел Российской Федерации (МВД России);
- Федеральная служба по надзору в сфере связи, информационных технологий и массовых
коммуникаций (Роскомнадзор).
Службы, организующие защиту информации на уровне предприятия:
- служба экономической безопасности;
- служба безопасности персонала (Режимный отдел);
- отдел кадров;
- служба информационной безопасности.
При этом, по каждому из направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
- определение информационных и технических ресурсов, подлежащих защите;
- выявление полного множества потенциально возможных угроз и каналов утечки информации;
- проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов
утечки;
- определение требований к системе защиты;
- осуществление выбора средств защиты информации и их характеристик;
- внедрение и организация использования выбранных мер, способов и средств защиты;
- осуществление контроля целостности и управление системой защиты.
Для описания технологии защиты информации конкретной информационной системы обычно строится Политика безопасности.
Политика безопасности (Organizational security policy) - совокупность документированных правил, процедур, практических приемов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий ( ІСТ security policy) - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
- защита объектов информационной системы;
- защита процессов, процедур и программ обработки информации;
- защита каналов связи;
- подавление побочных электромагнитных излучений;
- управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы разделяют по уровням описания процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её соответствие государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Политика ИБ», «Технический стандарт ИБ».
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы: «Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. (Безопасности данных, Безопасности коммуникаций, Использования средств криптографической защиты). Издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.