Анотація: В лекції дані основні поняття в галузі технічного захисту інформації.
У сучасному суспільстві в зв'язку з бурхливою інформатизацією все більш актуальною стає проблема захисту інформації. Але перш ніж говорити про захист інформації, важливо визначити поняття інформації, яка сама по собі є первинним в даній області. Існує безліч визначень інформації, які варіюються в залежності від контексту. В даному курсі під інформацією ми будемо мати на увазі відомості про осіб, предмети, факти, події, явища і процеси незалежно від форми їх подання [1.1]. За Ожеговим С.І. відомості - це знання [1.2].
Отже, в загальному випадку інформація - це знання в найширшому розумінні цього слова. Тобто це не тільки освітні або наукові знання, а будь-які відомості та дані, які присутні повсюдно. Захисту підлягає конфіденційна інформація і секретна інформація. до якої відноситься державна таємниця. Під конфіденційною інформацією мається на увазі інформація обмеженого доступу. яка не містить державну таємницю.
У загальному випадку захист інформації являє собою протистояння фахівців з інформаційної безпеки і зловмисників. Зловмисник - це суб'єкт, який незаконним шляхом намагається добути, змінити або знищити інформацію законних користувачів.
Захист інформації є слабоформалізуемой завданням. тобто не має формальних методів вирішення, і характеризується наступним:
- велика кількість факторів, що впливають на побудову ефективного захисту;
- відсутність точних вихідних вхідних даних;
- відсутність математичних методів досягнення оптимального результату за сукупністю вихідних даних.
В основі рішення слабоформалізуемих завдань лежить системний підхід. Тобто для вирішення завдання захисту інформації необхідно побудувати систему захисту інформації, що представляє собою сукупність елементів, функціонування яких спрямоване на забезпечення безпеки інформації. Входами будь-якої системи є дії, що змінюють стан системи. Для системи захисту інформації входами є загрози, як внутрішні, так і зовнішні. Загроза безпеки інформації - сукупність умов і факторів, що створюють потенційну або реально існуючу небезпеку порушення безпеки інформації. Атакою називається спроба реалізації загрози, а той, хто робить таку спробу, - зловмисником. Джерело загрози безпеки інформації - суб'єкт (фізична особа, матеріальний об'єкт або фізичне явище), що є безпосередньою причиною виникнення загрози безпеки інформації [1.3]. Джерелами загроз можуть бути зловмисники, технічні засоби всередині організації, співробітники організації, побічні фізичні явища та ін. Виходами системи є реакції системи на різні значення входів. Виходами системи захисту інформації є заходи захисту. До параметрів системи захисту інформації можна віднести наступне:
- цілі і завдання;
- входи і виходи системи;
- процеси всередині системи, які перетворять входи у виходи.
Мета - це бажаний результат побудови системи захисту, завдання - те, що треба зробити для досягнення мети. Метою захисту інформації є забезпечення інформаційної безпеки. Поняття інформаційної безпеки не менш багатогранно, ніж поняття самої інформації, і залежить від контексту, в якому застосовується. В ході даного курсу під інформаційною безпекою ми будемо розуміти захищеність інформації і підтримуючої інфраструктури від випадкових або навмисних впливів природного або штучного характеру, які можуть завдати неприйнятного збитку суб'єктам інформаційних відносин. в тому числі власникам і користувачам інформації і підтримуючої інфраструктури [1.4]. Тобто інформаційна безпека - це безпека не тільки інформації, а й підтримує інфраструктури. Якщо розглядати тільки інформацію, то безпеку інформації - стан захищеності інформації, при якому забезпечуються її конфіденційність. доступність і цілісність.
Конфіденційність. доступність і цілісність є три найбільш важливих властивості інформації в рамках забезпечення її безпеки:
- конфіденційність інформації - стан інформації, при якому доступ до неї здійснюють тільки суб'єкти, що мають на нього право;
- цілісність інформації - стан інформації, при якому відсутнє будь-яке її зміна або зміна здійснюється тільки навмисно суб'єктами, що мають на нього право;
- доступність інформації - стан інформації, при якому суб'єкти, що мають права доступу, можуть реалізувати їх безперешкодно [1.5].
Більш детально мети захисту інформації перераховані у Федеральному законі "Про інформацію, інформатизації і про захист інформації":
- запобігання витоку, розкрадання, втрати, спотворення, підробки інформації;
- запобігання загрозам безпеки особистості, суспільства, держави;
- запобігання несанкціонованим діям зі знищення модифікації, спотворення, копіювання, блокування інформації; запобігання інших форм незаконного втручання в інформаційні ресурси та інформаційні системи, забезпечення правового режиму документованої інформації як об'єкта власності;
- захист конституційних прав громадян на збереження особистої таємниці та конфіденційності персональних даних. наявних в інформаційних системах;
- збереження державної таємниці, конфіденційності документованої інформації відповідно до законодавства;
- забезпечення прав суб'єктів в інформаційних процесах і при розробці, виробництві і застосуванні інформаційних систем, технологій та засобів їх забезпечення [1.1]
Важливо розуміти, що система захисту інформації не може забезпечити стовідсотковий захист. Здається певний рівень інформаційної безпеки, який відображає допустимий ризик її розкрадання, знищення або зміни.
Всі заходи захисту інформації за способами здійснення поділяються на:
- правові (законодавчі);
- морально-етичні;
- технологічні;
- організаційні (адміністративні та процедурні);
- фізичні;
- технічні (апаратурні і програмні).
Серед перерахованих видів захисту базовими є правова, організаційна та технічний захист інформації.
До морально-етичним заходів належать усталені в суспільстві норми поведінки. В окремих випадках вони можуть бути оформлені в письмовому вигляді, наприклад, статутом або кодексом честі організації. Дотримання морально-етичних норм не є обов'язковим і носить скоріше профілактичний характер.
Організаційні заходи захисту - заходи організаційного характеру, призначені для регламентації функціонування інформаційних систем, роботи персоналу, взаємодії користувачів з системою. Серед базових організаційних заходів щодо захисту інформації можна виділити наступне:
- Формування політики безпеки;
- Регламентація доступу в приміщення;
- Регламентація допуску співробітників до використання ресурсів інформаційної системи та ін.
- Визначення відповідальності у разі недотримання вимог інформаційної безпеки.
Організаційні заходи самі по собі не можуть вирішити задачу забезпечення безпеки. Вони повинні працювати в комплексі з фізичними та технічними засобами захисту інформації в частині визначення дій людей.
Фізичний захист являє собою сукупність засобів, що перешкоджають фізичному проникненню потенційного зловмисника в контрольовану зону. Ними можуть бути механічні, електро- або електронно-механічні пристрої різного типу. Найчастіше, саме з побудови фізичного захисту починається забезпечення безпеки в організації, в тому числі інформаційної.
Останнім і самим великим за своїм складом ешелоном системи захисту є технічний захист інформації. Саме цьому виду захисту присвячений даний курс.
Технічний захист інформації - захист інформації. яка полягає в забезпеченні некріптографіческімі методами безпеки інформації (даних), що підлягає (підлягають) захисту відповідно до чинного законодавства, із застосуванням технічних, програмних і програмно-технічних засобів [1.3]. Важливо звернути увагу, що технічний захист - це не тільки захист від витоку інформації технічними каналами витоку, але і захист від несанкціонованого доступу, від математичного впливу, від шкідливих програм і т.п. Об'єктами технічного захисту інформації можуть бути:
- об'єкт інформатизації;
- інформаційна система;
- ресурси інформаційної системи;
- інформаційні технології;
- програмні засоби;
- мережі звязку.
З позиції системного підходу система захисту інформації повинна задовольняти ряду принципів, основними з яких є:
- безперервність. Якщо на якийсь час захист слабшає або припиняється зовсім, зловмисник може скористатися цим.
- цілеспрямованість і конкретність - мається на увазі необхідність захисту від найбільш небезпечних атак і чітке формулювання цілей.
- надійність, універсальність і комплексність.