1. ГЛАВА 1
1.1 Основные понятия
Информация — это сведения об окружающем мире и протекающих в нем процессах, воспринимаемые человеком или специальным устройством для нужд человека.
Информация необходима каждому как условие и как средство существования человека в обществе. И поэтому так же нуждается в защите, как среда обитания, пища и все остальные элементы жизнедеятельности.
Стремительное нарастание возможностей оперативного обмена экономической, научно-технической, культурной, политической, военной и другой информацией является несомненным благом и великим достижением цивилизации.
В третьем тысячелетии, на фоне перехода человечества от индустриальной цивилизации к информационной, информация стала одним из главных факторов исторического прогресса. Она имеет ключевое значение для успешного функционирования всех общественных и государственных институтов, адекватного поведения каждого отдельного человека. Без интенсивного обмена информацией, постоянной информационной связи с окружающим миром в принципе невозможна нормальная жизнедеятельность человека.
Однако, как известно, любое благо в определенных условиях или при неправильном использовании может перерасти в беду.
Прогресс в любой сфере является позитивным и полезным до определенного предела, за которым его результаты могут оказаться вредными. Так, развитие информационных технологий вызвало одновременно расширение возможностей массовой дезинформации – введения в заблуждение огромных масс людей путем сообщения неверных сведений, подтасовки фактов, подделки доказательств и т.д.
О роли влияния информационных факторов на жизнедеятельность современного общества говорит и тот факт, что созданный человечеством в природной среде «искусственный мир» образует уже не только техносфера (мир техники, технологий, сооружений и т. п.), но и информационная сфера, значимость которой для жизни каждого из нас непрерывно возрастает.
Доктрина информационной безопасности РФ определяет информационную сферу как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений.
В наиболее общем виде информационную сферу (или информационную среду) образуют:
• субъекты информационного взаимодействия или воздействия (люди, организации, системы);
• собственно информация, предназначенная для использования субъектами информационной сферы;
• информационные технологии и технические средства;
• информационная инфраструктура, обеспечивающая возможность осуществления обмена информацией между субъектами;
• общественные отношения, складывающиеся в связи с формированием, передачей, распространением и хранением информации, и система их регулирования.
Согласно Доктрине информационной безопасности РФ, под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
В специальной литературе используется более широкое определение: информационная безопасность – это такое состояние социума, при котором обеспечена надежная и всесторонняя защита личности, общества и государства от воздействия на них особого вида угроз, выступающих в форме организованных информационных потоков и направленных на деформацию общественного и индивидуального сознания.
Понятие «информационная безопасность» сегодня трактуется как в широком, так и в узком смысле. В широком смысле – это информационная безопасность человека, общества и государства. В узком смысле – это безопасность самой информации и каналов ее приема (передачи), а также организация защиты от применения противником информационного оружия в ходе боевых действий.
Информационное противоборство — это комплексное взаимное информационное воздействие сторон друг на друга, которое способно привести к принятию благоприятных для инициатора воздействия решений либо парализовать информационную инфраструктуру противника. Методы воздействия: радиоэлектронная борьба, компьютерные конфликты, действия на психологическом и мировоззренческом уровнях, вброс ложной или компрометирующей информации, внушение, навязывание и т. п.
Более острая стадия противоборства – информационная война – согласованная деятельность по использованию информации как оружия для разрушающего воздействия на противника в различных сферах: экономической, политической, социальной и на поле боя. Информационная война – война нового типа, ее основным объектом являются не только информационные системы, но, прежде всего, сознание людей, их поведение и здоровье.
В информационной войне для разрешения межгосударственных противоречий и конфликтов используются методы и средства силового воздействия на сознание общества и информационную сферу государств. Информационные войны могут происходить и внутри страны, например, при столкновении политических и экономических противников, в ситуация х обострения борьбы за власть, при проведении избирательных кампаний, судебных процессов и т. п.
Термин «информационная война» известен давно, но стал широко употребляться американскими специалистами после завершения войны с Ираком (1991–1992 гг.), где информационное оружие показало свою высокую эффективность. В 1992 г. Пентагон уже издал директиву «Информационная война» (TS 3600.1), в которой намечались основные задачи по подготовке к такого рода войнам, их методы и средства.
Информационная угроза — опасность, содержание которой составляют различная информация или ее комбинации, которые могут быть использованы против социального или социально-технического объекта (системы) с целью изменения его интересов, потребностей, ориентаций в соответствии с целями субъекта информации.
Информационный риск – вероятность информационной угрозы и реальных действий противника, мера измерения успешности или опасности возможных воздействий. Риск зависит от характера воздействий и объекта воздействий, от условий их осуществления, а также от возможностей защиты.
1.2 Под информационным оружием понимается совокупность специально организованной информации, а также информационных технологий, применяемая для деструктивных воздействий на поведение и сознание населения, военнослужащих и информационно–технические инфраструктуры государства и общества (информационно-технические системы, средства работы с информацией, подразделения, коллективы и социальные системы). Основные этапы развития информационной безопасности
За время своего существования основные принципы и способы обеспечения информационной безопасности претерпели несколько этапов развития:
I этап (до 1816 года)
Характеризуется использованием естественно возникавших средств информационных коммуникаций. В этот период основная задача
информационной безопасности заключалась в защите сведений о событиях, фактах, имуществе и др. данных.
II этап (начиная с 1816 года)
Связан с началом использования искусственно создаваемых технических средств электро-радио связи. Для обеспечения скрытности необходимо было применение помехоустойчивого кодирования и декодирования сигнала.
III этап (с 1935 года)
Появление радиолокационных и гидроакустических средств. Основным способом обеспечения информационной безопасности было сочетание организационных и технических мер, противостоящих воздействию радиоэлектронных помех.
IV этап (начиная с 1946 года)
Изобретение и внедрение в практическую деятельность ЭВМ. Задачи информационной безопасности решались способом ограничения физического доступа к оборудованию.
V этап (начиная с 1965 года)
Создание и развитие локальных сетей. Задачи информационной безопасности решались методами физической защиты оборудования объединенного в локальную сеть путем администрирования и управления доступом к сетевым ресурсам.
VI этап (с 1973)
Использование сверхмобильных коммуникационных устройств. Угрозы информационной безопасности стали гораздо серьезнее, потребовалась разработка новых критериев безопасности. Образовались сообщества людей-хакеров, цель которых нанесение ущерба информационной безопасности.
VII этап (начиная с 1985)
Создание и развитие информационно-коммуникационных сетей с использованием космических средств обеспечения. Этот этап развития связан с широким использованием сверхмобильных коммуникационных устройств.
1.3 Проблемы информационной безопасности
Проблема защиты информации с момента появления до современного состояния прошла длительный и во многом противоречивый путь в своем развитии. Изначально существовало два направления решения задачи поддержания конфиденциальности: использование криптографических методов защиты информации в средах передачи и хранения данных и программно-техническое разграничение доступа к данным и ресурсам вычислительных систем. При этом стоит учесть, что в начале 80–х. годов компьютерные системы были слабо распределенными, технологии глобальных и локальных вычислительных сетей находились на начальной стадии своего развития, и указанные задачи удавалось достаточно успешно решать.
Позже, с появлением тенденции к распределенной обработке информации, классический подход к организации разделения ресурсов и классические криптографические протоколы начали постепенно исчерпывать себя и эволюционировать. Первостепенными стали проблемы аутентификации взаимодействующих элементов системы, а также способы управления криптографическими механизмами в распределенных компьютерных системах. Вместе с тем, начало складываться мнение о том, что функции криптографической защиты являются равноправными для автоматизированной системы и должны быть рассмотрены вместе с другими функциями. Данная теория послужила отправной точкой для разделения проблематики собственно средств защиты (включая криптографические средства, средства контроля доступа и др.) и средств обеспечения их корректной работы.
В начале 80–х. годов возник ряд моделей защиты, основанных на разделении автоматизированной системы обработки информации на субъекты и объекты (модели Белла–Лападула, модель Tаkе-Grаnt и др.). В данных моделях ставятся и исследуются вопросы взаимодействия элементов системы с заданными свойствами. Целью анализа и последующей реализации модели является именно достижение таких свойств системы, как конфиденциальность и доступность. Например, описывается дискреционный механизм безопасности, разделяющий доступ поименованных субъектов к поименованным объектам или полномочное управление доступом, моделирующее систему категорий и грифов доступа. Как правило, та или иная модель безопасности исходит из априорной технологии работы с объектами (так, например мандатная модель моделирует структуру секретного делопроизводства), которая может быть формализована и обоснована. При практической реализации данных моделей в конкретных системах встал вопрос о гарантиях выполнения их свойств (фактически это выполнение условий тех или иных утверждений, обосновывающих свойства формализованной модели).
Так как процесс обеспечения информационной безопасности – это непрерывный процесс, то и существующая методология проектирования защищенной системы представляет собой итеративный процесс устранения найденных слабостей, некорректностей и неисправностей.
В 1996 г. в классической работе Грушо А. А. и Тимониной Е.Е. "Теоретические основы защиты информации" был высказан и обоснован тезис о том, что гарантированную защищенность в автоматизированной системе следует понимать как гарантированное выполнение априорно заданной политики безопасности.
Ранее условия гарантий политики безопасности формулировались в виде стандартов (без доказательства). Именно такой подход применили американские специалисты по компьютерной безопасности, опубликовав с 1983 г. несколько книг стандарта так называемой "радужной серии". В России аналогичные документы были приняты Государственной технической комиссией в 1992 г. и дополнены в 1995 г. ГОСТ Р 50739–95 (СВТ. Защита от несанкционированного доступа к информации. Общие технические требования).
Нельзя не отметить конструктивность такого подхода к формулированию гарантий политики безопасности, поскольку проверка наличия заданного набора свойств достаточно легко проводится или может быть заложена при проектировании. Однако эти требования рассматриваются без учета связи между собой, то есть формально и не структурировано. Качественное описание свойств системы (например, "идентификация и аутентификация" или "контроль целостности") не касается взаимосвязи данных механизмов и их количественных характеристик. Математическая модель политики безопасности рассматривает систему защиты в некотором стационарном состоянии, когда действуют защитные механизмы, а описание разрешенных или неразрешенных действий не меняется. На практике же система обработки информации проходит путь от отсутствия защиты к полному оснащению защитными механизмами. При этом система управляется, т.е. разрешенные и неразрешенные действия в ней динамически изменяются.
Упомянутые выше методики оценки защищенности представляют собой в какой–то мере необходимые условия. Выполнение заданного набора качественных показателей с одной стороны не позволяет оценить количественно каждый показатель, а с другой препятствует системному подходу.
Таким образом, основной особенностью информационной безопасности автоматизированных систем всегда являлась (и является сейчас) ее практическая направленность.
1.4 Классификация угроз информационной безопасности
Прежде чем рассматривать сущность информационной безопасности, необходимо сопоставить понимание терминов в области общей безопасности: "безопасность", "объект безопасности" и "угроза безопасности".
Термин "безопасность" в последнее время получил широкое распространение как при анализе геополитических ситуаций, развития процессов внутри отдельной страны, так и применительно к оценке положения человека в мире. Он является предметом исследований различных отраслей знаний и лингвистически понимается как "отсутствие опасности, сохранность, надежность" или "невозможность нанесения вреда кому-нибудь или чему-нибудь вследствие проявления угроз, т.е. защищенность от угроз".
Иначе говоря, безопасность можно понимать как "отсутствие опасности для материальных и нематериальных объектов или субъектов человеческой деятельности, их сохранность в первозданном виде или в заданных параметрах, а также невозможность нанесения им вреда вследствие проявления угроз".
В процессе жизнедеятельности происходит постоянное взаимодействие между субъектами и объектами человеческой деятельности как внутри системы, так и с внешней средой. В ходе такого взаимодействия все элементы системы и среды находятся в постоянном взаимовлиянии друг на друга. Вместе с тем влияние или воздействие может носить позитивный и негативный характер. При отрицательном воздействии возникает возможность причинения вредных последствий субъектам или объектам взаимодействия. Такая возможность обычно и подразумевается в качестве угрозы нормальному процессу взаимодействия. Поэтому исследователи подчеркивают, что объект безопасности — это "то, что защищается от угроз", а угроза безопасности — "проявление взаимодействия объекта безопасности с другими объектами, способное нанести вред его функционированию".
Кроме того, в научной литературе отмечается, что термин "безопасность" отличается смысловым дуализмом, являющимся отражением его диалектической противоречивости. С одной стороны, безопасным называют явление и/или состояние какого-либо носителя опасности, которое не содержит угрозы, возможного вреда для его окружения. С другой стороны, свойство приписывают объекту, надежно защищенному от опасных для него воздействий. Следовательно, понятие безопасности имеет две стороны: внешнюю, определяющую воздействие объекта на среду, и внутреннюю, характеризующую свойства сопротивляемости объекта по отношению к действию среды. Исходя из описанного смыслового дуализма, В. Д. Могилевский следующим образом определяет безопасность внутреннюю и внешнюю.
"Внутренняя безопасность — характеристика целостности системы или показатель ее гомеостаза. Иначе говоря, эта безопасность описывает способность системы поддерживать свое нормальное функционирование в условиях внешних и внутренних воздействий.
Внешняя безопасность — способность системы взаимодействовать со средой без нарушения гомеостаза последней. Иначе, воздействие системы на среду не приводит к необратимым изменениям или нарушениям важнейших параметров, характеризующих состояние среды, принятое за допустимое".
Таким образом, смысловое значение термина "безопасность" системы (объекта) сводится, с одной стороны, к отсутствию опасных воздействий, способных нарушить нормальное функционирование, т.е. способность находиться в состоянии равновесия при взаимодействии со средой своего существования. С другой стороны, — это отсутствие опасных воздействий со стороны системы (объекта), способных нарушить функционирование внешних систем (объектов), входящих в окружающую среду.
Заметим, что для понимания сущности информационной безопасности обе стороны смысла безопасности имеют большое значение.
Угрозы безопасности можно определить как опасные воздействия на систему (объект), способные нарушить ее (его) нормальное функционирование или динамическое равновесие. Такие опасные воздействия как прямые либо косвенные возможности негативного (деструктивного) проявления взаимодействия системы (объекта) со средой своего существования вполне допустимо также определить как угрозы безопасности.
Объектом безопасности является любая система, объект, или деятельность субъектов, находящиеся в определенном взаимодействии и представленные для защиты от угроз.
Угроза информационной безопасности — совокупность условий и факторов, создающих опасность нарушения информационной безопасности.
Под угрозой (в общем) понимается потенциально возможное событие, действие (воздействие), процесс или явление, которые могут привести к нанесению ущерба чьим-либо интересам.
Угрозы информационной безопасности могут быть классифицированы по различным признакам.
1. По аспекту информационной безопасности, на который направлены угрозы:
• угрозы конфиденциальности (неправомерный доступ к информации);
• угрозы целостности (неправомерное изменение данных);
• угрозы доступности (осуществление действий, делающих невозможным или затрудняющих доступ к ресурсам информационной системы).
2. По степени преднамеренности действий:
• случайные (неумышленные действия, например, сбои в работе систем, стихийные бедствия);
• преднамеренные (умышленные действия, например, шпионаж и диверсии).
3. По расположению источника угроз:
• внутренние (источники угроз располагаются внутри системы);
• внешние (источники угроз находятся вне системы).
4. По размерам наносимого ущерба:
• общие (нанесение ущерба объекту безопасности в целом, причинение значительного ущерба);
• локальные (причинение вреда отдельным частям объекта безопасности);
• частные (причинение вреда отдельным свойствам элементов объекта безопасности).
5. По степени воздействия на информационную систему:
• пассивные (структура и содержание системы не изменяются);
• активные (структура и содержание системы подвергается изменениям).
1.5 Методы обеспечения информационной безопасности
Общие методы обеспечения информационной безопасности Российской Федерации разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации. Наиболее важными направлениями этой деятельности являются:
• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Российская Федерация, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
• создание и совершенствование системы обеспечения информационной безопасности Российской Федерации;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
• формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
?
2. ГЛАВА 2
2.1 Информационная безопасность в телефонной связи
В наши дни информация может иметь слишком большую ценность, чтобы можно было спокойно смотреть на ее возможную утечку (по данным США вероятность утечки информации по телефонной линии составляет 5 - 20%). Поэтому не последнее место, наряду с множеством мероприятий, проводимых по защите информации, занимает организация защиты телефонных линий связи.