Проблеми захисту інформації

Стрімкий розвиток і впровадження обчислювальної техніки, локальних і глобальних мереж супроводжується зростанням надзвичайних випадків, пов'язаних з порушенням збереження інформації (рис.).

Дослідження захисту інформації ведуться як у напрямку розкриття природи явища, яке полягає у порушенні збереження інформації, так і у напрямку розробки практичних методів її захисту. Серйозно вивчаються статистика порушень, причини, що їх викликають, особи порушників, сутність прийомів, які використовуються порушниками, обставини, за яких було виявлене порушення.

Головною метою будь-якої системи забезпечення інформаційної безпеки є забезпечення сталого функціонування підприємства, запобігання загрозам його безпеки, захист законних інтересів підприємства від протиправних посягань, недопущення викрадання фінансових коштів, розголошення, втрати, витоку, викривлення і знищення службової інформації.

Проблема забезпечення безпеки й надійності АРМ може бути визначена як рішення трьох взаємозалежних завдань:

· конфіденційність - забезпечення користувачам доступу тільки до даних, для яких користувач має явний або неявний дозвіл на доступ (синоніми - таємність, захищеність). Це завдання забезпечення таємності передбачає комплекс заходів щодо запобігання доступу до конфіденційної інформації несанкціонованими користувачами;

· цілісність - забезпечення захисту від навмисної або ненавмисної зміни інформації або процесів її обробки. Це завдання забезпечення цілісності передбачає комплекс заходів щодо запобігання несанкціонованої зміни або знищення інформації АРМ.

· доступність - забезпечення можливості авторизованим у системі користувачам доступу до інформації відповідно до прийнятої технології. Це завдання забезпечення доступності інформації передбачає систему заходів щодо підтримки всім легітимним користувачам доступу до ресурсів системи відповідно до прийнятої технології (наприклад, цілодобово).

 

Рис. 12.1. Проблеми захисту інформації

Для досягнення вказаної мети необхідно вирішити такі основні завдання:

· віднесення інформації до категорії обмеженого доступу (службової або комерційної таємниці);

· прогнозування і своєчасне виявлення загроз безпеки інформаційним ресурсам, причин і умов, що сприяють нанесенню фінансових, матеріальних і моральних збитків;

· створення умов функціонування з найменшою вірогідністю реалізації загроз безпеки інформаційним ресурсам і нанесення різних видів збитків;

· створення механізму і умов оперативного реагування на загрози інформаційній безпеці і прояви негативних тенденцій у функціонуванні, ефективне запобігання посяганням на ресурси на основі правових, організаційних і технічних заходів і засобів забезпечення безпеки;

· створення умов для максимального відшкодування і локалізації шкоди, завданої неправомірними діями фізичних і юридичних осіб, послаблення негативного впливу наслідків порушення інформаційної безпеки на досягнення стратегічних цілей.

Об'єктами забезпечення інформаційної безпеки є:

· споруди, приміщення і території, на яких розташовані автоматизовані ІС і де можуть проводитись переговори і обмін конфіденційною інформацією;

· технічні засоби автоматизованих ІС - комп'ютерне обладнання, обладнання локальних мереж, кабельна система, телекомунікаційне обладнання;

· програмні засоби автоматизованих ІС;

· інформація, що зберігається і обробляється у автоматизованій ІС;

· автономні носії інформації (компакт-диски, дискети тощо);

· співробітники організації, які працюють з автоматизованою ІС і є носіями конфіденційної інформації про захист системи.

Моделювання систем захисту інформації дозволяє визначити необхідні і достатні умови її захищеності. Організаційні питання відіграють важливу роль при розробці технічних аспектів захисту інформації й окремих її компонентів. Проблема захисту інформації має два завдання. Перше - переконати користувачів у необхідності захисту інформації і досягти однозначного розуміння проблеми, друге - синтезувати систему захисту. Для організатора системи захисту інформації існує правило: «не повинно бути питання з опрацювання інформації або її захисту, на який спеціалісти не могли б дати чіткої відповіді». Значну допомогу організаторам систем захисту інформації повинно надати відповідне, правове забезпечення, яке привносить до проблеми захисту інформації міру довіри користувача до системи, міру відповідальності персоналу за порушення збереження інформації.

При розробці системи захисту інформації обов'язковою є участь компетентних осіб - спеціалістів із захисту інформації, які розробляють кількісні й якісні критерії захищеності, інструкції з використання тих або інших методів і засобів захисту тощо. Слід пам'ятати, що абсолютна захищеність інформації неможлива, отже, необхідно оцінити ступінь ризику, якому піддається інформація, та відповідальність за її збереження.

При переході до експлуатації системи захисту інформації необхідно підтримувати заданий рівень її захищеності. При цьому можуть виникати проблеми, пов’язані зі зміною кадрів, з невідповідністю розробленої схеми захисту реальним умовам, тому необхідна періодична оцінка рівня захищеності інформації.

Ключовою фігурою в теорії захисту інформації е порушник, його практичні і теоретичні можливості, апріорні знання, час і місце дій.

При синтезі системи захисту необхідно відповісти на питання:

· якою має бути структура системи захисту;

· які функції захисту є обов'язковими;

· які тактика і стратегія закладаються у розроблювану систему захисту щодо порушників, фактів порушень та їх наслідків.

На практиці часто пропонується пасивний підхід до захисту інформації, який можна сформулювати так: якщо не можна запобігти порушенню або припинити його, необхідно, щоб залишились хоч які-небудь сліди порушення і можна було встановити джерело порушення, визначити масштаб втрат і відновити систему. Подібна стратегія потребує наявності в обчислювальній системі засобів реєстрації порушення і відновлення системи.

Правильний підбір кадрів, цілісність інформації і надійність апаратного забезпечення утворюють фундамент системи захисту інформації.

Проблема захисту інформації не може успішно вирішуватись без введення таких понять, як зона довіри і зона недовіри. Захищаючи інформацію, необхідно усвідомлювати, що створення, поставка, встановлення, профілактика й управління засобами захисту інформації виконуються довіреними особами. Інколи застосовуються різні прийоми, які дозволяють підвищити ступінь довіри, наприклад, дублювання технологічних операцій, повторні запити тощо.