Объективная необходимость решения актуальной в настоящее время проблемы комплексной защиты информации обусловлена влиянием на её безопасность большой совокупности различных обстоятельств, имеющих различную физическую природу и различные целевые посылки.
Ключевые слова:защита информации, угроза информации, комплексная защита, автоматизированная система.
Безопасность информации — это состояние защищенности информации, хранимой и обрабатываемой в автоматизированной системе от негативного воздействия на неё с точки зрения нарушения её физической и логической целостности (уничтожения, искажения) или несанкционированного использования [1].
Политика безопасности — набор законов, правил и практических рекомендаций, на основе которых строится управление, защита и распределение критичной информации в системе. Она должна охватывать все особенности процесса обработки информации, определяя поведение системы в различных ситуациях. Политика безопасности представляет собой некоторый набор требований, прошедших соответствующую проверку, реализуемых при помощи организационных мер и программно-технических средств, и определяющих архитектуру системы защиты. Ее реализация для конкретной компьютерной системы осуществляется при помощи средств управления механизмами защиты.
Для конкретной организации политика безопасности должна быть индивидуальной, зависимой от конкретной технологии обработки информации, используемых программных и технических средств расположения организации т. д. [2].
Комплексная защита информации — целенаправленное регулярное применение в автоматизированных системах средств и методов, а также осуществление мероприятий с целью поддержания заданного уровня защищенности информации по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения обеспечения безопасности информации.
Проблема защиты информации в автоматизированных системах является актуальным с начала использования средств вычислительной техники для обработки информации.
Реальность угроз информации в автоматизированных системах и высокая мера их опасности, как показывает практика, остается и в настоящее время
Существует большое количество каналов для несанкционированного проникновения к информации и способов использования этих каналов [1].
С точки зрения истории защиты информации интересна также картина изменения подходов к методологии выработки и реализации концепции защиты, направленной на решение трёх классов задач — задач анализа, синтеза и управления.
Основное содержание задач анализа заключается в объективной оценке потенциальных угроз информации и возможного ущерба от их проявления. Задачи синтеза решаются с целью определения наиболее эффективных форм и способов организации механизмов защиты. Задачи управления предназначены для методологического обеспечения рационального использования созданных механизмов защиты в процессе обработки защищаемой информации.
Объективная необходимость постановки проблемы комплексной защиты информации обусловлена системным характером влияния на её безопасность большой совокупности различных обстоятельств, имеющих к тому же различную физическую природу и различные целевые посылки. Очевидно, что в этих условиях адекватным современным потребностям и условиям защиты информации может быть только комплексный подход к решению данных проблем [1].
Основу политики безопасности составляет способ управления доступом, определяющий порядок доступа субъектов системы к объектам системы. Название этого способа, как правило, определяет название политики безопасности.
Для изучения свойств способа управления доступом создается его формальное описание — математическая модель. При этом модель должна отражать состояния всей системы, ее переходы из одного состояния в другое, а также учитывать, какие состояния и переходы можно считать безопасными в смысле данного управления [2].
Защищаемой может быть любая информация, находящаяся в системе обработки: документы, массивы (базы) данных, алгоритмы, программы и т. п., представленные как на машинах, так и на традиционных носителях.
Комплексная защита должна предусматривать нейтрализацию негативного воздействия на информацию всех потенциально возможных дестабилизирующих факторов, перечисленных в [1].
Защита информации в современных автоматизированных системах является крупномасштабной и весьма сложной проблемой.
Одним из принципиальных положений концепции комплексной защиты информации является наличие обратной связи от конструктивных компонентов концепции к её исходной основе, т. е. к концепциям построения и организации функционирования автоматизированных систем. Основное содержание названной обратной связи составляют условия, соблюдения которых создает объективные предпосылки для наиболее эффективного решения задач защиты.
Одним из принципиальных положений концепции комплексной защиты информации является наличие обратной связи от конструктивных компонентов концепции к её исходной основе, т. е. к концепциям построения и организации функционирования АС. Основное содержания названной обратной связи составляют условия, соблюдение которых создает объективные предпосылки для наиболее эффективного решения задач защиты. Вся совокупность этих условий может быть разделена на три класса: общеметодологические, организационные и конструктивные.
Общеметодологические условия создают общие предпосылки для повышения эффективности управления качеством информации. В данном классе выделяют две группы условий: первую — осознание проблемы и вторую — наличие предпосылок решения.
Организационные условия предполагают разработку и реализацию четкой и стройной организации как архитектурного построения АС, так и технологии автоматизированной обработки информации. Основными группами условий этого класса являются структурно — функциональная однозначность компонентов АС и организационное единство управления обработкой информации.
Конструктивные условия предполагают учет требований защиты в архитектурном построении АС и технологических схемах её функционирования. Условия данного класса являются наиболее существенными, все они делятся на три группы: концептуальная стандартизация, структурирование компонентов АС и структурирование технологии обработки информации.
Под концептуальной стандартизацией понимается стандартизация на уровне концепций, общих принципов и правил организации и обеспечения рассматриваемого вида деятельности. Если, например, речь идет о такой сфере деятельности, как организационно — распорядительное управление, то концептуальная стандартизация должна предусматривать:
во-первых, структуризацию концепции управления;
во-вторых, структуризацию концепций комплексной автоматизации обработки данных в системах управления;
в-третьих, структуризацию концепций организации ресурсов вычислительной техники, необходимой для комплексной автоматизации.
При этом структуризацию перечисленных концепций должна осуществляться не изолированно, а взаимосвязано.
Структурированность компонентов автоматизированных систем является одним из важнейших конструктивных условий. При этом основное внимание уделяется структуризации математического, программного и информационного обеспечения [1].
Принципиальным является также условие структурированности технологических схем автоматизированной обработки данных в АС. Объективные предпосылки такой структуризации состоят в том, что любая технологическая схема обработки информации может быть представлена совокупностью участков трех типов: линейных, ветвящихся и циклических. Используя это положение, можно структурировать практически все встречающиеся в настоящее время схемы обработки информации в АС. Более того, проведенные в последнее время исследования показали, что на этой основе может быть построена полностью структурированная и универсальная технология, пригодная для использования в широком диапазоне практических приложений. Такая технология может быть названа унифицированной технологией автоматизированной обработки информации (УТАОИ).
Чтобы быть в достаточной степени универсальной, УТАОИ должна удовлетворять следующей совокупности требований:
- обеспечивать комплексную обработку входных, внутренних и выходных потоков информации;
- обеспечивать комплексную обработку всех видов информации;
- обеспечивать в полном объеме как групповое, так и индивидуальное (персональное) информационное обеспечение всех пользователей и абонентов системы;
- создавать наиболее благоприятные условия для обеспечения качества информации, включая и её защищенность;
- создавать всем пользователям и абонентам системы возможно более комфортные условия работы с информацией.
Чтобы быть полностью структурированной, УТАОИ помимо общих условий структурированности должна удовлетворять ещё следующим условиям:
сквозное модульно построение на всех уровнях (от самой общей схемы до блок — схемы элементарных технологических операций);
автономность организации всех модулей на всех уровнях;
структуризация всех видов обеспечения.
При таком построении УТАОИ создает наиболее благоприятную среду для защиты информации. Строгая функциональная определенность, однозначность и специализированность каждого этапа УТАОИ создают предпосылки для целенаправленной организации защиты информации на каждом этапе обработки и в интерфейсах. Иными словами, УТАОИ создает предпосылки для реализации упреждающей стратегии защиты информации. На базе УТАОИ может создана эталонная защищенная информационная технология, в которой будут синтезированы все достижения в области обработки и защиты информации [1].
Как показывает литературный обзор, в настоящее время лучше всего изучены два вида политики безопасности: избирательная и полномочная, основанные, соответственно на избирательном и полномочном способах управления доступом.
Существует набор требований (они подробно рассмотрены в [2]), усиливающий действие этих политик и предназначенный для управления информационными потоками в системе.
Следует также отметить, что средства защиты, предназначенные для реализации какого-либо из названных выше способа управления доступом, только предоставляют возможности надежного управления доступом или информационными потоками.
Определение прав доступа субъектов к объектам и/или информационным потокам (полномочий субъектов и атрибутов объектов, присвоение меток критичности и т. д.) входит в компетенцию администрации системы [2].
Литература:
1. Введение в защиту информации в автоматизированных системах. А. А. Малюк, С. В. Пазизин, Н. С. Погожин. — М.:Горячая линия — Телеком, 2001, 145с.
2. Программно-аппаратная защита информации: учеб. пособие /С. К. Варлатая, М. В. Шаханова. — Владивосток: Изд-во ДВГТУ, 2007, 318с.
