Для иллюстрации этого положения ограничимся несколькими примерами.
В Доктрине информационной безопасности Российской Федерации (здесь, подчеркнем, термин "информационная безопасность" используется в широком смысле) защита от несанкционированного доступа к информационным ресурсам, обеспечение безопасности информационных и телекоммуникационных систем выделены в качестве важных составляющих национальных интересов РФ в информационной сфере.
По распоряжению президента США Клинтона (от 15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктуры как от физических нападений, так и от атак, предпринятых с помощью информационного оружия. В начале октября 1997 года при подготовке доклада президенту глава вышеупомянутой комиссии Роберт Марш заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.
Американский ракетный крейсер "Йорктаун" был вынужден вернуться в порт из-за многочисленных проблем с программным обеспечением, функционировавшим на платформе Windows NT 4.0 (Government Computer News, июль 1998). Таким оказался побочный эффект программы ВМФ США по максимально широкому использованию коммерческого программного обеспечения с целью снижения стоимости военной техники.
При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать специфику данного аспекта безопасности, состоящую в том, что информационная безопасность есть составная часть информационных технологий – области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.
К сожалению, современная технология программирования не позволяет создавать безошибочные программы, что не способствует быстрому развитию средств обеспечения ИБ. Следует исходить из того, что необходимо конструировать надежные системы (информационной безопасности) с привлечением ненадежных компонентов (программ). В принципе, это возможно, но требует соблюдения определенных архитектурных принципов и контроля состояния защищенности на всем протяжении жизненного цикла ИС.
В аналогичном отчете, опубликованном в апреле 2002 года, цифры изменились, но тенденция осталась прежней: 90% респондентов (преимущественно из крупных компаний и правительственных структур) сообщили, что за последние 12 месяцев в их организациях имели место нарушения информационной безопасности; 80% констатировали финансовые потери от этих нарушений; 44% (223 респондента) смогли и/или захотели оценить потери количественно, общая сумма составила более 455 млн. долларов. Наибольший ущерб нанесли кражи и подлоги (более 170 и 115 млн. долларов соответственно).
Столь же тревожные результаты содержатся в обзоре InformationWeek, опубликованном 12 июля 1999 года. Лишь 22% респондентов заявили об отсутствии нарушений информационной безопасности. Наряду с распространением вирусов отмечается резкий рост числа внешних атак.
Увеличение числа атак – еще не самая большая неприятность. Хуже то, что постоянно обнаруживаются новые уязвимые места в программном обеспечении (выше мы указывали на ограниченность современной технологии программирования) и, как следствие, появляются новые виды атак.
В таких условиях системы информационной безопасности должны уметь противостоять разнообразным атакам, как внешним, так и внутренним, атакам автоматизированным и скоординированным. Иногда нападение длится доли секунды; порой прощупывание уязвимых мест ведется медленно и растягивается на часы, так что подозрительная активность практически незаметна. Целью злоумышленников может быть нарушение всех составляющих ИБ – доступности, целостности или конфиденциальности.
ПРИНЦИПЫ ОРГАНИЗАЦИИ И ФУНКЦИОНИРОВАНИЯ СИСТЕМЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ.
Организация и функционирование системы информационной безопасности должны соответствовать следующим принципам:
- Обоснованность. Используемые возможности и средства защиты информационных ресурсов должны быть реализованы на современном уровне развития науки и техники, обоснованы с точки зрения заданного уровня безопасности.
- Комплексность. Предполагает обеспечение защиты информационных ресурсов от возможных угроз всеми доступными законными средствами, методами и мероприятиями, обеспечение согласованности организационных мер и мероприятий, инженерно-технических и программно-аппаратных средств, обеспечение безопасности информационных ресурсов в течение всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования.
- Непрерывность. Означает постоянное поддержание всей системы защиты в актуальном состоянии и совершенствование ее в соответствии с изменяющимися условиями функционирования Банка.
- Законность. Предполагает разработку системы информационной безопасности Банка на основе Федерального законодательства в области банковской деятельности, информатизации и защиты информации и других нормативных актов по безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений.
- Специализация. Эксплуатация технических средств и реализация системы мер по обеспечению информационной безопасности должны осуществляться профессионально подготовленными специалистами.
- Взаимодействие и координация. Означает осуществление мер обеспечения информационной безопасности на основе четкой взаимосвязи соответствующих подразделений и служб, координации их усилий для достижения поставленных целей.
- Совершенствование. Предусматривает развитие мер и средств обеспечения информационной безопасности на основе собственного опыта, появления новых технических средств.
- Централизация управления. Означает управление информационной безопасностью по единым организационным, функциональным и методологическим принципам.
ОТВЕТСТВЕННОСТЬ.
Ответственность за разглашение сведений, составляющих коммерческую тайну Банка, и утрату документов, изделий и магнитных носителей, содержащих такие сведения, устанавливается в соответствии с действующим законодательством Российской Федерации.
Ответственность за разглашение и утрату сведений, содержащих коммерческую тайну, несет персонально каждый сотрудник Банка, имеющий доступ к ним.
ШИФРОВАНИЕ –МЕТОД ЗАЩИТЫ ИНФОРМАЦИИ.
Испокон веков не было ценности большей, чем информация. ХХ век - век информатики и информатизации. Технология дает возможность передавать и хранить все большие объемы информации. Это благо имеет и оборотную сторону. Информация становится все более уязвимой по разным причинам:
• возрастающие объемы хранимых и передаваемых данных;
• расширение круга пользователей, имеющих доступ к ресурсам ЭВМ, программам и данным;
• усложнение режимов эксплуатации вычислительных систем.
Поэтому все большую важность приобретает проблема защиты информации от несанкционированного доступа (НСД) при передаче и хранении. Сущность этой проблемы - постоянная борьба специалистов по защите информации со своими "оппонентами".
Защита информации - совокупность мероприятий, методов и средств, обеспечивающих:
• исключение НСД к ресурсам ЭВМ, программам и данным;
• проверку целостности информации;
• исключение несанкционированного использования программ (защита программ от копирования).
Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной (текст, факс, телекс) и непрерывной (речь) информации.
Испытанный метод защиты информации от НСД - шифрование (криптография). Шифрованием (encryption) называют процесс преобразования открытых данных (plaintext) в зашифрованные (шифртекст, ciphertext) или зашифрованных данных в открытые по определенным правилам с применением ключей. В англоязычной литературе зашифрование/расшифрование - nciphering/deciphering.
С помощью криптографических методов возможно:
• шифрование информации;
• реализация электронной подписи;
• распределение ключей шифрования;
• защита от случайного или умышленного изменения информации.
К алгоритмам шифрования предъявляются определенные требования:
• высокий уровень защиты данных против дешифрования и возможной модификации;
• защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа);
• малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста (эффект "обвала");
• область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа;
• экономичность реализации алгоритма при достаточном быстродействии;
• стоимость дешифрования данных без знания ключа должна превышать стоимость данных.
КЛЮЧИ СЕРТИФИКАТОВ.
Цифровые сертификаты используют ключи при шифровании данных. Чтобы понять, каким образом работают цифровые сертификаты, необходимо знать, что такое ключи и для чего они предназначены.
Примечание. Ключ – это фрагмент данных, используемый шифром для преобразования открытого текста в шифрованный текст. Шифром является математический алгоритм, выполняющий шифрование или дешифрование данных.
Существует два типа шифрования с использованием ключей. Они используются примерно в одинаковой степени.