Современные
информационные технологии/4. Информационная безопасность
Мелешко Е.А. , Шнуренко А.С. , Чумаченко С.С.
Национальный авиационный университет (НАУ), Украина
Комплексная
безопасность компьютерных систем.
Вступление человечества в XXI
век знаменуется бурным развитием информационных технологий во всех сферах
общественной жизни. Информация все в большей мере становится стратегическим
ресурсом государства, производительной силой и дорогим товаром. Это не может не
вызывать стремления государств, организаций и отдельных граждан получить
преимущества за счет овладения информацией, недоступной оппонентам, а также за
счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты
своих информационных ресурсов.
Применение информационных технологий (ИТ) требует повышенного внимания к
вопросам информационной безопасности. Разрушение информационного ресурса, его
временная недоступность или несанкционированное использование могут нанести
значительный материальный ушерб. Без должной степени защиты информации
внедрение ИТ может оказаться экономически невыгодным в результате значительных
потерь конфиденциальных данных, хранящихся и обрабатываемых в компьютерных
системах.
Проблема обеспечения информационной безопасности на всех уровнях может быть
решена успешно только в том случае, если создана и функционирует комплексная
система защиты информации, охватывающая весь жизненный цикл компьютерных систем
от разработки до утилизации и всю технологическую цепочку сбора, хранения,
обработки и выдачи информации.
Объектом защиты информации является компьютерная система или автоматизированная
система обработки данных (АСОД). В работах, посвященных защите информации в
автоматизированных системах, до последнего времени использовался термин АСОД,
который все чаще заменяется термином КС. Компьютерная система - это комплекс
аппаратных и программных средств, предназначенных для автоматизированного
сбора, хранения, обработки, передачи и получения информации. Наряду с термином
«информация» применительно к КС часто используют термин «данные».
Понятие КС очень широкое и оно охватывает следующие системы:
• ЭВМ всех классов и назначений;
• вычислительные комплексы и системы;
• вычислительные сети (локальные, региональные и глобальные).
Такой
широкий диапазон систем объединяется одним понятием по двум причинам:
1)для
всех этих систем основные проблемы защиты информации являются общими;
2)более
мелкие системы являются элементами более крупных систем.
Если
защита информации в каких-либо системах имеет свои особенности, то они рассматриваются
отдельно.
Предметом защиты в КС является информация. Материальной основой
существования информации в КС являются электронные и электромеханические
устройства (подсистемы), а также машинные носители. С помощью устройств ввода
или систем передачи данных (СПД) информация попадает в КС. В системе информация
хранится в запоминающих устройствах (ЗУ) различных уровней, преобразуется
(обрабатывается) процессорами (ПЦ) и выводится из системы с помощью устройств
вывода или СПД. В качестве машинных носителей используются бумага, магнитные
ленты, диски различных типов. Большинство типов машинных носителей информации
являются съемными, т.е. могут сниматься с устройств и использоваться (бумага) или
храниться (ленты, диски, бумага) отдельно от устройств. Таким образом, для защиты
информации (обеспечения безопасности информации) в КС необходимо защищать
устройства (подсистемы) и машинные носители от несанкционированных
(неразрешенных) воздействий на них. Однако такое рассмотрение КС с точки зрения
защиты информации является неполным. Компьютерные системы относятся к классу
человеко-машинных систем. Такие системы эксплуатируются специалистами (обслуживающим
персоналом) в интересах пользователей. Причем, в последние годы пользователи
имеют самый непосредственный доступ к системе. В некоторых КС (например, ПЭВМ)
пользователи выполняют функции обслуживающего персонала. Обслуживающий персонал
и пользователи являются также носителями информации. Поэтому от несанкционированных
воздействий необходимо защищать не только устройства и носители, но также
обслуживающий персонал и пользователей. При решении проблемы защиты информации
в КС необходимо учитывать также противоречивость человеческого фактора системы.
Обслуживающий персонал и пользователи могут быть как объектом, так и источником
несанкционированного воздействия на информацию. Понятие «объект защиты» или «объект» чаще трактуется в более
широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие
«объект» включает в себя не только информационные ресурсы, аппаратные,
программные средства, обслуживающий персонал, пользователей, но и помещения,
здания, и даже прилегающую к зданиям территорию.
Безопасность (защищенность) информации в КС – это такое состояние всех
компонент компьютерной системы, при котором обеспечивается защита информации от
возможных угроз на требуемом уровне. Компьютерные системы, в которых обеспечивается
безопасность информации, называются защищенными. Безопасность информации в КС
(информационная безопасность) является одним из основных направлений
обеспечения безопасности государства, отрасли, ведомства, государственной организации
или частной фирмы. Информационная безопасность достигается проведением руководством
соответствующего уровня политики информационной безопасности. Основным
документом, на основе которого проводится политика информационной безопасности,
является программа информационной безопасности. Этот документ разрабатывается и
принимается как официальный руководящий документ высшими органами управления
государством, ведомством, организацией. В документе приводятся цели политики информационной
безопасности и основные направления решения задач защиты информации в КС. В
программах информационной безопасности содержатся также общие требования и
принципы построения систем защиты информации в КС. Под системой защиты
информации в КС понимается единый комплекс правовых норм, организационных мер,
технических, программных и криптографических средств, обеспечивающий
защищенность информации в КС в соответствии с принятой политикой безопасности.