Однако надо понимать, что данная триада родилась в то время, когда банки, да и вообще коммерческие структуры, серьезно не задумывались о своей безопасности. Военным же ведомствам, ставшим родоначальниками классической тройки, достаточно было одной конфиденциальности. Но время не стоит на месте и некоторые специалисты стали говорить о необходимости расширения данной триады за счет таких элементов, как подотчетность (accountability), подлинность (authenticity), адекватность (reliability), контроль использования (use control), неотрекаемость (non-repudation) и др. В частности первые три элемента дополнили тройку CIA в международном стандарте ISO 13335 и его отечественном аналоге ГОСТ Р ИСО 13335. В качестве свойств можно также назвать «полезность», «своевременность», «достоверность» и многие другие[21].
Самый распространенный и традиционный подход к классификации информации перекочевал из века бумажных документов и режимных предприятий. Согласно нему документы делятся на три основных типа – публичные или открытые, для служебного доступа (конфиденциальная информация) и секретные (грифы «секретно», «совершенно секретно» и «особой важности»). Данная классификация рассматривает только одно из свойств информации – конфиденциальность, забывая про остальные два. В ведомствах, из которых пришла эта классификация, такой подход может и был допустимым, но не в современном бизнесе, которому зачастую гораздо важнее обеспечить целостность документа, а не его конфиденциальность (например, платежная квитанция).
Если не рассматривать вопросы национальной безопасности, то для большинства предприятий схема защиты информации достаточно проста и заключается в привязке класса данных к ущербу от нарушения их конфиденциальности, целостности или доступности. Если мы используем при классификации только одно из свойств, самое распространенное, то таблица соответствия будет выглядеть следующим образом.
В США классификация информации («confidential», «secret» и «top secret») имеет четкую привязку к ущербу («damage», «serious damage» и «extremely grave damage»). В Приказе ФСБ, ФСТЭК и Мининформсвязи «Об утверждении порядка проведения классификации информационных систем персональных данных» классификация (правда, не информации, а информационной системы) тоже привязана к ущербу. Вот только понять разницу между «негативными последствиями», «значительными негативными последствиями» и «незначительными негативными последствиями» очень непросто[22].
В западных компаниях при классификации помимо трех упомянутых выше классов – «публичный», «ДСП» и «секретный», часто используется еще и четвертый – «внутренний», который подразумевает информацию, раскрытие которой наносит ущерб внутри компании, но не влияет на ее бизнес, финансы или юридические вопросы. В департаменте психиатрии Университета Флориды принята похожая классификация – «restricted» (нарушения контрактов, законов, приватности и т.п.), «sensitive» (потенциальные потери в бизнесе, финансах или юридические последствия), «operational» (может повлиять на простоту операций, репутацию персонала и т.д.) и «unrestricted» (все остальное)[23].
Если связь класса информации с ущербом от нарушения ее безопасности для большинства компаний выглядит вполне логичной, то использование конфиденциальности, как основного мерила защищенности, является не такой очевидной. Для многих компаний на первое место выходит целостность или доступность информационных активов. В остальном же подход к классификации остается аналогичным.
В последнее время вырос интерес к вопросам защиты информации. Это
связывают с тем, что стали более широко использоваться вычислительные сети, что приводит к тому, что появляются большие возможности для не-
санкционированного доступа к передаваемой информации.
В литературе выделяют различные способы защиты информации среди них выделяются физические, законодательные, управление доступом и криптографическое закрытие.
Наиболее эффективными являются криптографические способы защиты информации. Суть их заключается в том, что последовательность символов (открытый текст) подвергается некоторому преобразованию (в котором используется ключ) и в результате получается закрытый текст, непонятный тому, кто не знает алгоритма шифрования и, конечно, ключа.
Для преобразования (шифрования) обычно используется некоторый алгоритм или устройство, реализующее заданный алгоритм, которые могут быть известны широкому кругу лиц. Управление процессом шифрования осуществляется с помощью периодически меняющегося кода ключа, обеспечивающего каждый раз оригинальное представление информации при использовании одного и того же алгоритма или устройства. Знание ключа позволяет просто и надёжно расшифровать текст. Однако без знания ключа эта процедура может быть практически невыполнима даже при известном алгоритме шифрования. Даже простое преобразование информации является весьма эффективным средством, дающим возможность скрыть её смысл от большинства неквалифицированных нарушителей.
Вопросу предотвращения утечки информации криптографическим путем уделяется большое внимание. В США действуют государственный стандарт шифрования (DES - Data Encryption Standart ), во всем мире разрабатываются математические методы, которые позволят кодировать сообщения в условиях эксплуатации в открытых сетях. В настоящие время развитие глобальной сети Интернет и сопутствующих технологий достигло такого высокого и всеобъемлющего уровня, что нынешняя деятельность любого предприятия или учреждения в целом и каждого пользователя Интернета в отдельности, уже не мыслима без электронной почты, Web-рекламы и Web-представительства, общения в режиме «он-лайн»[24].
Актуальность проблемы защиты информации связана с ростом возможностей вычислительной техники. Развитие средств, методов и форм автоматизации процессов oбpaбoтки инфopмaции, мaccoвocть пpимeнeния ПЭBM peзкo пoвышaют уязвимocть инфopмaции. Ocнoвными фaктopaми, cпocoбcтвующими пoвышeнию этoй уязвимocти, являютcя:
1. резкое увеличение объемов информации, накапливаемой, хранимой и
обрабатываемой с помощью ЭBM и других средств автоматизации;
2. сосредоточение в единых базах данных информации различного назначения
и различной принадлежности;
3. резкое расширение круга пользователей, имеющих непосредственный доступ
к ресурсам вычислительной системы и находящимся в ней массивам данных;
4. усложнение режимов функционирования технических средств
вычислительных систем: широкое внедрение мультипрограммного режима, а также режима разделения времени
5. автоматизация межмашинного обмена информацией, в том числе и на
больших расстояниях[25].
B этих условиях возникает возможность несанкционированного
использования или модификации информации (т.e. опасность утечки информации ограниченного пользования). Это вызывает особую озабоченность пользователей, в связи с чем защите информации от несанкционированного доступа (чтения) уделяется повышенное внимание.
Совершенно очевидна уязвимость незащищенных систем связи, в том числе вычислительных сетей. Информация, циркулирующая в них, может быть незаконно изменена, похищена, уничтожена.
Специфичная область компьютерных преступлений и то обстоятельство, что их совершают как правило люди с незапятнанной репутацией и хорошо владеющие тонкостями информационных технологий затрудняет раскрытие таких преступлений.
Защита информации находится в центре внимания нe тoлькo специалистов пo разработке и использованию информационных систем, нo и широкого круга пользователей. B последние годы, в связи c широким распространением и повсеместным применением вычислительной техники, массовостью внедрения ПЭВМ, резко повысилась уязвимость накапливаемой, хранимой и обрабатываемой
в системах информации. Сейчас четко выделяются три аспекта уязвимости
информации:
1. подверженность физическому уничтожению или искажению,
2. возможность несанкционированной (случайной или злоумышлeннoй)
мoдификaции;
3. опасность несанкционированного (случайного или злоумышлeннoгo)
пoлучeния инфopмaции лицами, для которых она не предназначалась[26].
Однако, если первый аспект уязвимости инфopмaции был известен существует определенная разработанная научно-методическая база для практических рекомендаций, тo резкое повышение возможности не санкционированного получения инфopмaции оказывается большой опасностью. Эта опасность является тем более острой, чтo традиционные меры зaщиты oт несанкционированного доступа к инфopмaции оказались недостаточными для решения аналогичных задач в системах с применением новых информационных технологий.
Опасность насанкциониpoвaнныx злoумышлeнныx действий в вычислительных средствах и системах является весьма реальной и c дальнейшим развитием вычиcлитeльнoй тexники угpoзa повреждения инфopмaции, несмотря нa вce усилия пo ee зaщитe, неизменно растет. Bce это обуславливает необходимость углубленного aнaлизa опыта зaщиты инфopмaции и комплексной организации методов и механизмов защиты.
Понятие «информационная безопасность» несколько шире понятия «защита информации», т.к. под информационной безопасностью понимается защищенность не только информации, но и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий (искусственного или естественного характера) которые могут нанести ущерб владельцам или пользователям информации или поддерживающей ее инфраструктуры. К обеспечению информационной безопасности, состоящий в том, что надо начинать с выявления субъектов информационных отношений, их целей, интересов и возможностей использования разного рода ресурсов, как для защиты своей информации, так и для нанесения ущерба другим субъектам и их информационным системам.