Современные информационные технологии.
Информационная безопасность.
к.т.н. НАУ Чунарьова
А.В., Чунарьов А.В.
Національний авіаційний університет (НАУ),
Україна
ПРИНЦИПИ ОРГАНІЗАЦІЇ
ЗАХИСТУ ІНФОРМАЦІЇ В
СУЧАСНИХ
ІНФОРМАЦІЙНО-КОМУНІКАЦІЙНИХ
СИСТЕМАХ І
МЕРЕЖАХ
Вступ.
Розвиток нових інформаційних технологій,
загальна комп'ютеризація та різке збільшення кількості
інформаційно-комунікаційних систем і мереж (ІКСМ) призвели до того, що
інформаційна безпека не тільки стає обов'язковою, вона ще й одна з характеристик
інформаційних систем. Фактор безпеки інформаційних ресурсів і послуг при
розробці та експлуатації сучасних ІКСМ відіграє першорядну роль. При
організації систем захисту потрібно керуватися рядом принципів, які забезпечать
якісний захист та протидію від існуючих загроз.
Ціль
захисту інформації в ІКСМ є процес протидії впливу
на інформаційні ресурси та послуги, якщо даний вплив виконується з метою
порушення конфіденційності, цілісності та доступності, а саме знищення,
крадіжка, зниження ефективності функціонування або несанкціонований доступ.
Метою даною статті є аналіз та класифікація актуальних загроз інформаційним ресурсам сучасних
ІКСМ, а також задачею досліджень є визначення, на основі проведеного аналізу,
основних принципів організації захисту.
Класифікація загроз інформаційним ресурсам.
Побудова надійного та ефективного захисту інформаційної системи неможлива
без попереднього аналізу можливих загроз
безпеки системи. Цей аналіз повинен складатися з наступних етапів :
- виявлення характеру інформації, яка зберігається в системі;
- оцінку цінності інформації, яка зберігається в системі;
- побудова моделі зловмисника;
- визначення та класифікація загроз інформації в системі (несанкціоноване
зчитування, несанкціонована модифікація і т.д.);
Під загрозою безпеки
інформаційним ресурсам розуміють дії, які можуть призвести до спотворення,
несанкціонованого використання або навіть до руйнування інформаційних ресурсів
керованої системи, а також програмних і апаратних засобів [1-3].
Загрози інформаційним ресурсам та послугам можна класифікувати за
наступними критеріями (рис.1):
· інформаційної безпеки (загрози
конфіденційності даних і програм; загрози цілісності даних, програм, апаратури;
загрози доступності даних; загрози відмови від виконання операцій).
· по компонентам інформаційних систем, на які загрози
націлені (інформаційні ресурси та послуги, персональні дані, програмні засоби,
апаратні засоби, програмно-апаратні засоби;);
· за способом здійснення (випадкові,навмисні,дії природного
та техногенного характеру);
· за розташуванням джерела загроз (внутрішні та зовнішні.).
Рис.1 Класифікація базових
загроз інформаційним ресурсам та послугам в сучасних системах та мережах
Всі
загрози безпеки, спрямовані проти програмних і технічних засобів інформаційної
системи, впливають на безпеку інформаційних ресурсів і призводять до порушення
основних властивостей інформації, яка зберігається і обробляється в
інформаційній системі. Як правило, загрози інформаційній безпеці розрізняються
за способом їх реалізації.
Дослідження
і аналіз численних випадків впливів на інформацію і несанкціонованого доступу
до неї показують, що їх можна розділити на випадкові
і навмисні.
Якщо розглядати класичну
систему організації впливу на ІКСМ то всі загрози поділяються на випадкові, чи
ненавмисні та навмисні. Джерелом
ненавмисних загроз інформаційних систем можуть бути вихід з ладу апаратних
чи програмних засобів, неправильні дії працівників або її користувачів, ненавмисні помилки в програмному та
програмно-апаратному забезпеченні і т.д. Такі загрози можуть нанести значний
збиток. Однак більш значними з точки зору ефективності функціонування ІКСМ є
навмисні загрози, які, на відміну від випадкових, мають на меті завдання
збитків інформаційній системі або користувачам. Навмисні загрози можуть бути реалізовані шляхом довготривалої масованої атаки
несанкціонованими запитами або вірусами, тощо. Наслідки наступні: руйнування
(втрата) інформації, модифікація (зміна інформації на помилкову, яка коректна
за формою і змістом, але має інший сенс) і ознайомлення з нею сторонніх осіб.
Ціна вказаних подій може бути досить високою [2,3].
Для вирішення
поставленої задачі і створення ефективної системи безпеки інформації,
розроблення та вдосконалення існуючих методів захисту доцільно навести найбільш повну класифікацію загроз і шляхів
їх реалізації в ІКСМ.
Можна виділити
актуальні загрози безпеці, які спрямовані проти інформаційних ресурсів у сучасних інформаційно-комунікаційних
системах та мережах:
- протиправне збирання і використання інформації;
- порушення технології обробки інформації;
- впровадження в апаратні і програмні вироби компонентів, що реалізують
функції, не передбачені документацією на ці вироби;
- розробка і поширення програм, що порушують нормальне функціонування
інформаційних та інформаційно-телекомунікаційних систем, у тому числі систем
захисту інформації;
- радіоелектронний вплив з метою виведення з ладу, пошкодження чи руйнування
засобів і систем обробки інформації, телекомунікації зв'язку;
- вплив на парольно-ключові системи захисту автоматизованих систем обробки і
передачі інформації;
- витік інформації технічними каналами;
- впровадження електронних пристроїв для перехоплення інформації в технічні
засоби обробки, зберігання і передачі інформації з каналів зв'язку, а також у
службові приміщення органів державної влади, підприємств, установ та
організацій усіх форм власності;
- знищення, пошкодження, руйнування чи розкрадання машинних та інших носіїв
інформації;
- перехоплення інформації в мережах передачі даних та лініях зв'язку,
дешифрування цієї інформації і нав'язування хибної інформації;
- використання не сертифікованих вітчизняних і закордонних інформаційних
технологій, засобів захисту інформації, засобів інформатизації, телекомунікації
зв'язку при створенні і розвитку інформаційної
інфраструктури України;
- несанкціонований доступ до інформації, що знаходиться в банках і базах
даних;
- порушення законних обмежень на поширення інформації.
Основні принципи
організації захисту інформаційних систем
При організації ефективного та надійного захисту потрібно керуватися
системою принципів. Під принципами захисту інформації розуміються основні ідеї
і найважливіші рекомендації з питань організації та здійснення робіт для
ефективного захисту інформаційних ресурсів ІКСМ. Використання даних принципів
дозволяє ефективно організувати роботу з захисту інформації.
В загальному принципи захисту інформації можна умовно розділити на дві
основні групи:
· правові принципи;
· організаційні принципи;
Правові принципи захисту інформації
Правове регулювання захисту інформації спирається на принципи
інформаційного права. Дані принципи, що базуються на положеннях основних
конституційних норм, закріплюють інформаційні права і свободи, а так само
гарантують їх здійснення. Крім того, основні правові засади захисту інформації
ґрунтуються на особливостях і юридичних властивостях інформації як повноцінного
об'єкту правовідносин.
Узагальнено до правових принципів захисту інформації відносяться:
легітимність (законність); пріоритет міжнародного права над
внутрішньодержавним; економічна доцільність.
Організаційні принципи захисту даних
Роль організаційного захисту інформації в системі заходів безпеки
визначається своєчасністю та правильністю прийнятих управлінських рішень,
способів і методів захисту інформації на основі діючих нормативно-методичних
документів.
Організаційні методи захисту передбачають проведення
організаційно-технічних та організаційно-правових заходів, а так само включають
в себе наступні принципи захисту інформації:
· науковий підхід до організації захисту інформації;
· планування
захисту ;
· керування системою
захисту;
· безперервність процесу захисту інформації;
· мінімальна достатність організації захисту;
· системний підхід до організації та проектування систем та
методів захисту інформації;
· комплексний підхід до організації захисту інформації;
· відповідність рівня захисту цінності інформації;
· гнучкість захисту;
· багатозональність захисту, що передбачає розміщення
джерел інформації в зонах з контрольованим рівнем її безпеки;
· багаторубіжність захисту інформації;
· обмеження числа осіб,які допускаються захищеної
інформації;
· особиста відповідальність персоналу за збереження
довіреної інформації.
Висновок.
Таким
чином, на основі проведеного аналізу сучасних загроз інформаційним
ресурсам систем та мереж передачі даних проведено їх класифікацію за базовими
критеріями. На основі проведених досліджень запропоновано систему принципів організації захисту
інформаційних систем.
Література
1.
Левин
В.К., Гайкович В.Ю., Дорошкевич П.В. и др.
Информационная безопасность компьютерных сетей.// Технологии электронных
коммуникаций. – М. 1993. т.5.–128 с.
2.
Малюк А.А., Пазизин С.В., Погожин Н.С. Введение в защиту информации в автоматизированных системах: Учеб. пособие.
– М.: Горячая линия - Телеком, 2005. – 147 с.
3.
Юдін О.К., Корченко О.Г., Конахович Г.Ф. Захист
інформації в мережах передачі даних: Підручник. – К.: Вид-во ТОВ «НВП»
ІНТЕРСЕРВІС», 2009. – 716 с.