Стратегии защиты информации

Стратегия — это общая, рассчитанная на перспективу руководящая установка при организации и обеспечении соответствующего вида дея­тельности, направленная на то, чтобы наиболее важные цели этой дея­тельности достигались при наиболее рациональном расходовании имею­щихся ресурсов.

Организация защиты информации в самом общем виде может быть определена как поиск оптимального компромисса между потребностями в защите и необходимыми для этих целей ресурсами.

Потребности в защите обусловливаются прежде всего важностью и объемами защищаемой информации, а также условиями ее хранения, обработки и использования. Эти условия определяются уровнем (качест­вом) структурно-организационного построения объекта обработки ин­формации, уровнем организации технологических схем обработки, ме­стом и условиями расположения объекта и его компонентов и другими параметрами.


Размер ресурсов на защиту информации может быть ограничен опре­деленным пределом либо определяется условием обязательного дости­жения требуемого уровня защиты. В первом случае защита должна быть организована так, чтобы при выделенных ресурсах обеспечивался макси­мально возможный уровень защиты, а во втором — чтобы требуемый уро­вень защиты обеспечивался при минимальном расходовании ресурсов.

Сформулированные задачи есть не что иное, как прямая и обратная постановка оптимизационных задач. Существует две проблемы, затруд­няющие формальное решение.

Первая — процессы защиты информации находятся в значительной зависимости от большого числа случайных и труднопредсказуемых фак­торов, таких, как поведение злоумышленника, воздействие природных явлений, сбои и ошибки в процессе функционирования элементов систе­мы обработки информации и др.

Вторая — среди средств защиты весьма заметное место занимают ор­ганизационные меры, связанные с действием человека.

Обоснование числа и содержания необходимых стратегий будем осуществлять по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты. Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита:

1) от наиболее опасных из известных (ранее появившихся) угроз;

2) ото всех известных угроз;

3) ото всех потенциально возможных угроз.

Второй критерий выбора стратегий защиты сводится к тому, что ор­ганизаторы и исполнители процессов защиты имеют относительно пол­ную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации, а также в организацию и обеспечение техноло­гии ее функционирования. По этому аспекту удобно выделить три раз­личные степени свободы.

1. Никакое вмешательство в систему обработки информации не допус­кается. Такое требование может быть предъявлено к уже функцио­нирующим системам обработки информации, и нарушение процесса их функционирования для установки механизмов защиты не разре­шается.

2. К архитектурному построению системы обработки информации и технологии ее функционирования допускается предъявлять требова­ния неконцептуального характера. Другими словами, допускается приостановка процесса функционирования системы обработки ин­формации для установки некоторых механизмов защиты.

3. Требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при по­строении системы обработки информации, организации и обеспече­нии их функционирования.

Практически можно выделить три основные стратегии, представлен­ные в табл. 2.30.

Таблица 2.30. Стратегии защиты информации

Учитываемые

угрозы

Влияние на системы обработки информации

отсутствует

частичное

полное

Наиболее опасные

Оборонительная

стратегия

Все известные

Наступательная

стратегия

Все потенциально возможные

Упреждающая

стратегия

Так, выбирая оборонительную стратегию, подразумевают, что при недопущении вмешательства в процесс функционирования системы об­работки информации можно нейтрализовать лишь наиболее опасные уг­розы. Например, данная стратегия, применяемая для существующего объекта, может включать разработку организационных мер использова­ния технических средств по ограничению несанкционированного допуска к объекту. Упреждающая стратегия предполагает тщательное исследова­ние возможных угроз системы обработки информации и разработку мер по их нейтрализации еще на стадии проектирования и изготовления сис­темы. При этом нет смысла на данном этапе рассматривать ограниченное множество подобных угроз.

11. Способы и средства защиты информации

Множество и разнообразие возможных средств защиты информации определяется прежде всего возможными способами воздействия на дес­табилизирующие факторы или порождающие их причины, причем воз­действия в направлении, способствующем повышению значений показа­телей защищенности или (по крайней мере) сохранению прежних (ранее достигнутых) их значений.


Рассмотрим содержание представленных способов и средств обеспе­чения безопасности.

Препятствие заключается в создании на пути возникновения или распространения дестабилизирующего фактора некоторого барьера, не позволяющего соответствующему фактору принять опасные размеры. Типичными примерами препятствий являются блокировки, не позво­ляющие техническому устройству или программе выйти за опасные гра­ницы; создание физических препятствий на пути злоумышленников, эк­ранирование помещений и технических средств и т. п.

Управление есть определение на каждом шаге функционирования систем обработки информации таких управляющих воздействий на эле­менты системы, следствием которых будет решение (или способствова­ние решению) одной или нескольких задач защиты информации. Напри­мер, управление доступом на объект включает следующие функции за­щиты:

идентификацию лиц, претендующих на доступ, персонала и ресурсов системы (присвоение каждому объекту персонального идентифика­тора);

• опознавание (установление подлинности) объекта или субъекта по предъявленному идентификатору;

• проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регла­менту);

регистрацию (протоколирование) обращений к защищаемым ресурсам;

• реагирование (сигнализация, отключение, задержка работ, отказ в процессе) при попытках несанкционированных действий.

Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для злоумышленников или такой доступ существенно затрудняется, а также комплекс меро­приятий по уменьшению степени распознавания самого объекта. К мас­кировке относятся криптографические методы преобразования информа­ции, скрытие объекта, дезинформация и легендирование, а также меры по созданию шумовых полей, маскирующих информационные сигналы.

Регламентация как способ защиты информации заключается в раз­работке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия, при которых существенно за­трудняются проявление и воздействие угроз. К регламентации относится разработка таких правил обращения с конфиденциальной информацией


и средствами ее обработки, которые позволили бы максимально затруд­нить получение этой информации злоумышленником.

Принуждение — такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение есть способ защиты информации, при котором пользо­ватели и персонал объекта внутренне (т. е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к со­блюдению всех правил обработки информации.

Как отдельный, применяемый при ведении активных действий про­тивоборствующими сторонами можно выделить такой способ, как напа­дение. При этом подразумевается как применение информационного оружия при ведении информационной войны, так и непосредственное физическое уничтожение противника (при ведении боевых действий) или его средств разведки.

Рассмотренные способы обеспечения защиты информации реализу­ются с применением различных методов и средств. При этом различают формальные и неформальные средства. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, т. е. преимущественно без участия человека. К неформаль­ным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на физические, аппа­ратные и программные.

Физические средства — механические, электрические, электромеха­нические и т. п. устройства и системы, которые функционируют авто­номно, создавая различного рода препятствия на пути дестабилизирую­щих факторов.

Аппаратные средства — различные электронные и электронно­механические и т. п. устройства, схемно встраиваемые в аппаратуру сис­темы обработки данных или сопрягаемые с ней специально для решения задач защиты информации. Например, для защиты от утечки по техниче­ским каналам используются генераторы шума.

Физические и аппаратные средства объединяются в класс техниче­ских средств защиты информации.

Программные средства — специальные пакеты программ или от­дельные программы, включаемые в состав программного обеспечения ав­томатизированных систем с целью решении задач защиты информации. Это могут быть различные программы по криптографическому преобра­зованию данных, контролю доступа, защиты от вирусов и др.

Неформальные средства делятся на организационные, законода­тельные и морально-этические.

Организационные средства — специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач защиты информации, осуществляемые в виде целенаправленной деятельности людей.

Законодательные средства — существующие в стране или специаль­но издаваемые нормативно-правовые акты, с помощью которых регла­ментируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функ­ционированию системы, а также устанавливается ответственность за на­рушение правил обработки информации, следствием чего может быть нарушение защищенности информации.

Морально-этические нормы — сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение кото­рых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Именно человек, сотрудник предприятия или учреждения, допущенный к секре­там и накапливающий в своей памяти колоссальные объемы информа­ции, в том числе секретной, нередко становится источником утечки этой информации или по его вине соперник получает возможность несанкцио­нированного доступа к носителям защищаемой информации.

Морально-нравственные методы защиты информации предполагают прежде всего воспитание сотрудника, допущенного к секретам, т. е. про­ведение специальной работы, направленной на формирование у него сис­темы определенных качеств, взглядов и убеждений (патриотизма, пони­мания важности и полезности защиты информации и для него лично) и обучение сотрудника, осведомленного в сведениях, составляющих охраняемую тайну, правилам и методам зашиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной ин­формации.

Интересный подход к формированию множества способов защиты предлагает член-корреспондент Академии криптографии С. П. Расторгу­ев. В основу названной им «абсолютной системы защиты», обладающей всеми возможными способами защиты, положены основные принципы защиты, реализуемые в живой природе. Развивая этот подход, можно вы­делить следующие основные способы защиты животного мира в сравне­нии с рассмотренными способами защиты информации.

1. Пассивная защита. Перекрывает все возможные каналы воздействия

угроз и предполагает «надевание брони» на себя и создание терри-

ториальных препятствий. Налицо полное соответствие такому спо­собу защиты информации, как препятствие.

2. Изменение местоположения. Желание спрятаться можно соотнести с таким способом, как сокрытие.

3. Изменение собственной внешности, мимикрия — слияние с ландшаф­том и т. п. Цель — представиться объектом неинтересным или неза­метным для нападающей стороны. Аналогичную функцию защиты информации реализуют ее маскировкой.

4. Нападение с целью уничтожения нападающего. Выше был рассмот­рен соответствующий способ защиты информации.

5. Воспитание навыков безопасности у потомства, доведение этих на­выков до уровня инстинкта. Для систем защиты информации анало­гичные навыки у обслуживающего персонала формируются прину­ждением и побуждением.

6. Выработка определенных правил жизнедеятельности, способствую­щих выживанию и сохранению рода. К таким правилам, выработан­ным природой, можно отнести мирное существование особей одного вида, жизнь в стаях (стадах) и т. д. Другими словами, природа рег­ламентирует необходимые для безопасности правила жизни.

Таким образом, анализ присущих животному миру защитных свойств, положенный в основу так называемой «абсолютной системы за­щиты», показывает, что все они соответствует рассмотренным способам защиты информации, что подтверждает полноту их формирования.

Продам таблицу умножения без чисел.

Объявление

Leave a reply

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

Confirm that you are not a bot - select a man with raised hand: