ЗАЩИТА ИНФОРМАЦИИ

Широкое применение компьютерных технологий в автоматизированных системах обработки информации и управления привело к обострению проблемы защиты информации от несанкционированного доступа.
Защита информации в компьютерных системах обладает рядом специфических особенностей, связанных с тем, что информация не является жёстко связанной с носителем, может легко и быстро копироваться и передаваться по каналам связи. Известно очень большое число угроз информации, которые могут быть реализованы как со стороны внешних, так и со стороны внутренних нарушителей.
Вся информация делится на две большие категории: общедоступную информацию и информацию ограниченного доступа. Общедоступную информацию защищать не требуется, необходимо своевременно обеспечивать только условие ее доступности для лиц и организаций, а также гарантировать требуемую степень ее полноты и достоверности. Защите от незаконного распространения, разглашения, использования, ознакомления, копирования и иных подобных действий подлежит только информация ограниченного доступа, включающая государственную тайну и различные виды конфиденциальных сведений.
Рассмотрим пять относительно самостоятельных и примерно равных по сложности реализации направлений информационной защиты. Ими являются:
• нормативно-правовая защита;
• инженерная защита и техническая охрана объектов информатизации;
• защита информации от утечки по техническим каналам;
• защита компьютерной системы от вредоносных программ;
• семантическое сокрытие информации;
Все рассматриваемые виды защиты отличаются друг от друга по таким параметрам, как цели, задачи, категория защищаемой информации, ее носители, возможные угрозы и информационные нарушители, средства и методы защиты. Каждое из направлений перекрывает какое-то пространство угроз, для каждого характерны свои постулаты, задачи и модели. Направления защиты не одинаковы по своим масштабам, стоимости и используемым ресурсам.
Более подробно остановимся на следующих направлениях защиты:
• Основным направлением нормативно-правовой защиты можно считать защиту жизни, здоровья, имущества и нравственности человека, морального здоровья общества и государственных устоев от воздействия оскорбительной, лживой, опасной информации. Правовая защита от распространения опасной информации обеспечивается установлением запретительных норм и санкций за их нарушение.
Нормативно-правовая защита не может быть самодостаточной для решения большинства задач информационной безопасности. Правовые нормы представляют собой лишь надстройку над другими направлениями защиты, определяя степень их допустимости и в ряде случаев направляя их использование. С другой стороны, нормативно-правовая защита лишь закрепляет сложившиеся в обществе нормы, причем делает это с большим опозданием.
• Инженерная защита и техническая охрана в равной степени используются для защиты, как вещественных ценностей, так и объектов информатизации.
Инженерная защита объекта заключается в сооружении механических препятствий на предполагаемом пути нарушителя, а также в создании контроля этих препятствий и быстрого реагирования на вторжение персоналом охраны.
• Защита информации от утечки по техническим каналам. Передача конфиденциальной информации должна быть адресной, что предполагает ее получение только санкционированным приемником. Однако процесс передачи информации по каналам связи происходит с помощью модулированных или кодированных электрических или оптических сигналов, которые в соответствии с физическими законами возбуждают в окружающем пространстве электромагнитные поля.
Часть этой энергии, даже в случае использования экранированных электрических кабелей или оптоволоконных линий, проникает за пределы канала связи, и ее можно зафиксировать с помощью достаточно чувствительных приемных устройств, а затем, зная законы модуляции, извлечь передаваемую информацию. В таких случаях принято говорить об утечке из канала связи.
Опасность технической утечки в каждом конкретном случае следует оценивать правильно. Утечка по техническим каналам становится реальностью, когда ценность защищаемой информации очень велика, а за плечами информационного противника стоят либо экономическая мощь развитого иностранного государства, либо деньги преступной организации.
• Основным объектом защиты от вредоносных программ является компьютерная информация (данные, обрабатываемые на компьютере, а также штатные программы, которые им обычно управляют). Поскольку вредоносные программы в принципе могут вызывать отказы некоторых узлов аппаратуры, объектами защиты следует также считать локальный компьютер с периферийными устройствами и компьютерные сети.
Вредоносные программы фиксируются путем обнаружения известных статических признаков или заранее известных, потенциально опасных действий. Противодействие между вредоносными и антивирусными программами, точнее, противостояние программистов длится уже несколько десятилетий, и конца этому противостоянию не видно.
Семантическое сокрытие информации является прекрасным методом информационной защиты. Главное в информации - ее смысл. Исходя из смысла определяются и прагматические свойства информации: ее ценность, полнота, достоверность и своевременность. До тех пор, пока смысл неясен, судить о других свойствах информации, в частности о ее ценности, невозможно, а бессмысленная информация по определению бесполезна.
Семантическое сокрытие информации в настоящее время реализуется тремя методами - с помощью скремблирования, криптографии и стеганографии. Но оно тоже не самодостаточно, так как информация во множестве форм ее представления просто не может быть скрыта. Безупречной в криптографии и стеганографии является только математика, но не практическая реализация математических алгоритмов.
Подводя итог, необходимо отметить, что ни одно из рассмотренных направлений не противодействует всем категориям угроз и нарушителей. Представленные в статье направления защиты, к сожалению, не образуют единого целого, не согласованы друг с другом по задачам, используемым средствам и методам. В некоторых случаях они наслаиваются друг на друга, иногда просто не стыкуются.
Следует упростить ситуацию за счет выделения особо значимых и отбрасывания незначащих направлений защиты. Если отдать эту задачу на откуп специалистам, они наверняка выберут те направления, которыми хорошо владеют. Юрист, скорее всего, будет отстаивать первенство нормативно-правовой защиты, а криптограф предложит новый криптоалгоритм или более длинный ключ шифрования. Информационный же нарушитель немного «поковыряет» построенную систему в разных местах и получит желаемое, насмехаясь над нелепо сконструированной защитой. И те защитники информации, которые предпочитают только хорошо знакомые им способы, должны вначале заключить со всеми потенциальными нарушителями своего рода конвенцию о неприменении форм и средств нападения, не предусмотренных защитой.
Узкая специализация в вопросах информационной безопасности недопустима. Защита информации, как ни один другой вид деятельности, требует комплексного подхода и комплексных решений.
<< | >>
Источник: «ПЕРМСКИЙ ИНСТИТУТ ЭКОНОМИКИ И ФИНАНСОВ». «Человек. Общество. Экономика: проблемы и перспективы взаимодействия». 2011

Еще по теме ЗАЩИТА ИНФОРМАЦИИ:

  1. ПРОБЛЕМЫ СОЗДАНИЯ ВНУТРИКОРПОРАТИВНЫХ МЕХАНИЗМОВ ЗАЩИТЫ ОТ НЕПРАВОМЕРНОГО ИСПОЛЬЗОВАНИЯ ИНСАЙДЕРСКОЙ ИНФОРМАЦИИ
  2. ЗАЩИТА.
  3. §4. ЗАЩИТА РАСЧЕТНО-ПРАКТИЧЕСКОЙ РАБОТЫ
  4. ПРОБЛЕМА ЗАЩИТЫ ПРАВ ПОТЕРПЕВШИХ ОТ ПРЕСТУПЛЕНИЙ
  5. ЗАЩИТА СВОЕГО МНЕНИЯ.
  6. ЗАЩИТА СВОЕГО МНЕНИЯ.
  7. §3. ТРУДОВОЙ КОДЕКС И СОЦИАЛЬНАЯ ЗАЩИТА НАЕМНЫХ РАБОТНИКОВ
  8. ЗАЩИТА ТРУДОВЫХ ПРАВ РАБОТНИКОВ В СФЕРЕ ИНДИВИДУАЛЬНОГО ПРЕДПРИНИМАТЕЛЬСТВА
  9. СИСТЕМА ОЦЕНКИ ЗА ВЫПОЛНЕНИЕ И ЗАЩИТУ РАСЧЕТНО-ГРАФИЧЕСКОЙ РАБОТЫ
  10. ПРИМЕР 18.3 БОСС МОЖЕТ СТАТЬ ДЛЯ ПОДЧИНЕННОГО ЛУЧШЕЙ ЗАЩИТОЙ ОТ СТРЕССА
  11. ИНФОРМАЦИЯ
  12. ИНФОРМАЦИЯ УПРАВЛЕНИЯ
  13. 10.1. Управленческая информация
  14. УПРАВЛЕНИЕ ИНФОРМАЦИЕЙ
  15. ПОТОКИ ИНФОРМАЦИИ
  16. ЭКОЛОГИЯ СОВРЕМЕННОГО ГОРОДА: ПРОБЛЕМЫ ЗАЩИТЫ НАСЕЛЕНИЯ И ОКРУЖАЮЩЕЙ СРЕДЫ ДРУГ ОТ ДРУГА
  17. ГЛАВА 10. УПРАВЛЕНЧЕСКАЯ ИНФОРМАЦИЯ. КОММУНИКАЦИИ