X Международная студенческая научная конференция Студенческий научный форум - 2018

Введение

На протяжении всего своего существования человечество получало новые знания об окружающем мире. Именно новые данные, полученные в процессе познания или обучения, называется информацией.

Вопреки распространенному мнению обычные факты сами по себе не о чем не говорят – они приобретают значение в сравнении с другими фактами. Если некие сведения не несут для нас смысловой нагрузки или же они не новы для нас, то такой факт останется для нас всего лишь фактом.

Ежедневно мы узнаем тонны новой информации, нужной и не очень. Большую ее часть мы, естественно, узнаем из Интерната. Данные и сведения о неких объектах, находящиеся в свободном доступе, принадлежит всем без исключения. Кроме того, в Интернете люди часто передают друг другу огромное количество личной информации. Поэтому наше общество часто называют «информационным», ведь человечество в буквальном смысле стало зависеть от той информации, которой оно владеет.

В современном мире информация представляет собой определенную для человека ценность. Как и любую другую ценность, информацию стоит защищать от ее неправомерного искажения или несанкционированного доступа к ней. Многие пользователи остались бы недовольными, если бы информация личного характера, которой они обмениваются в различных социальных сетях, находилась в общем пользовании. Поэтому, защита данных от несанкционированного доступа является одной из приоритетных задач при проектировании любой информационной системы.

Но как правильно защитить информацию? И существует ли абсолютная защита информации? Именно на эти вопросы я постараюсь дать ответ в своей работе.

1 Защита информации

1.1 Основные понятия защиты информации

Согласно ГОСТ Р 50922-96, под защитой информации понимается деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Также рассмотрим основные понятия защиты информации с учетом определений, указанных в вышесказанном государственном стандарте. Цель защиты информации – это желаемый результат защиты информации. Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации или несанкционированного и непреднамеренного воздействия на информацию. Защита информации от утечки – деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа (НСД) к защищаемой информации и получения защищаемой информации злоумышленниками. Защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных нецеленаправленных на изменение информации мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации. Защита информации от разглашения – деятельность, направленная на предотвращение несанкционированного доведения защищаемой информации до потребителей, не имеющих права доступа к этой информации. Объект защиты – информация, носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации. Техника защиты информации – средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации. 1.2 Цели и задачи защиты информации Защита информации является слабоформализуемой задачей, то есть не имеющая формальных методов решения. В основе решения такого рода задач стоит системный подход. То есть для решения задачи обеспечения информационной безопасности необходимо построить систему защиты информации. Эта система представляет собой совокупность органов или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации. Входами любой системы являются воздействия, меняющие состояние системы. В нашем случае, входами являются угрозы информационной безопасности, создающие потенциальную или реальную опасность для защищенной информации. Источниками таких угроз являются попытки проникновения злоумышленников к таким данным, а также ошибки персонала, выход из строя аппаратных и программных средств и стихийные бедствия. Выходами системы является ее реакция на различные значения входов. Выходами данной системы как раз и являются меры для защиты информации. В общем случае защита информации представляет собой противостояние специалистов по информационной безопасности и злоумышленников, которые незаконным путем добыть, изменить или уничтожить информацию законных пользователей. Таким образом, главной целью защиты информации является обеспечение информационной безопасности. Более детально цели и задачи защиты информации перечислены в Федеральном законе «Об информации, информатизации и о защите информации»:

предотвращение утечки, хищения, утраты, искажения и подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификацию, искажению, копированию, блокирования информации, а также предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Но, как говорилось ранее, основная цель защиты информации, прежде всего, обеспечение информационной безопасности. Под информационной безопасностью понимают защищенность информации от незаконного ознакомления, преобразования и уничтожения, а также защищенность информационных ресурсов от воздействий, направленных на нарушение их работоспособности, которые в свою очередь являются источниками угроз безопасности информации. Информационная безопасность является одной из проблем, с которой столкнулось современное общество в процессе массового использования автоматизированных средств ее обработки, обусловленной возрастающей ролью информации в общественной жизни. Современная автоматизированная система (АС) обработки информации представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Информационная безопасность – это защита не только информации, но и поддерживающей инфраструктуры. Если рассматривать только информацию, то безопасность информации – это состояние защищенности информации, при котором обеспечиваются ее конфиденциальность, доступность и целостность. Именно эти три качества представляют собой наиболее важные свойства информации и являются равнозначными составляющими ее безопасности (Рис.1). Рис. 1 – Базовые составляющие информационной безопасности. Конфиденциальность информации – гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена. Конфиденциальность является самым проработанным у нас в стране аспектом информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишены возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт или анкетные данные сотрудников. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Доступность информации – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время. Информационные системы создаются для оперативного получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем пользователям. Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т.п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет. Доступность информации является настолько важным свойством, что даже главный принцип современной защиты информации звучит как поиск оптимального соотношения между доступностью и безопасностью. Целостность информации – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений. Целостность информации условно подразделяется на статическую и динамическую. Статическаяцелостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др. Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например техническими или социальными. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

2 Абсолютная защита информации

Несмотря на обилие данных про защиту информации в книжных изданиях и в Интернете, точного определения абсолютной защиты информации нигде нет. Поэтому, попробуем дать значение этому термину самостоятельно. Итак, абсолютная защита информации – это совокупность мер по защите информации, который обеспечивает ей стопроцентную безопасность в любой период времени. При этом информация не должна утратить свои ключевые свойства, то есть быть доступной, целостной и конфиденциальной.

В современных условиях технического прогресса обеспечить абсолютную защиту информации почти невозможно, задается лишь определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.

Полностью защищенной является та информация, которая находится на компьютере, которой отключен от всех сетей, даже от электрической, находящийся в полностью бронированном сейфе, который в свою очередь находятся в комнате, охраняемой не только с помощью охранников, но и разного рода сигнализации. Действительно, такая информация имеет стопроцентный уровень защиты. Но использовать ее нельзя, поэтому не выполняется требование доступности. А как уже было сказано ранее, нарушение хотя бы одного свойства информации приведем к нарушению системы в целом.

«Абсолютности» защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, ведь с развитием техники трудно определить, какое новое устройство сможет запросто обойти вашу защиту.

Многие компании, стремясь повысить уровень своего дохода, заявляют о создании «абсолютно защищенных» систем. Но все эти компании делают это только ради пиара, чтобы привлечь к себе внимание. На самом же деле, таких систем на данный момент времени не существует.

Немного порассуждаем о тех параметрах, от которых зависит вероятность взлома той или иной сети. Всего же этих параметров три:

надежность средств, защищающих сеть;

качество настройки и конфигурации системы защиты;

быстрота реагирования на атаки злоумышленников.

Можно заметить, что так или иначе каждый параметр зависит от человеческого фактора. Но если в двух последних критериях этот фактор можно свести к минимуму или даже к нулю, то первый параметр всегда будет оставаться уязвимым. Связано это с тем, что, людям, создающим эти довольно сложные системы, свойственно ошибаться и эти ошибки могут стоить очень дорого. Поэтому надежность даже суперзащищенной системы быть сведена "на нет" некачественной или неграмотной настройкой, то есть любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Ведь если на вашей входной двери стоит суперсовременный замок, но вы его забыли закрыть, то о какой безопасности вообще может идти речь?

Поэтому, создание абсолютных систем защиты информации возможно только в том случае, если устранить из процесса ее создания человеческий фактор, являющийся главной причиной всех ошибок. Очевидно, что на современном этапе развития науки и информационных технологий это невозможно.

3 Относительная защита информации

3.1 Методы защиты информации

Как уже говорилось ранее, абсолютная защита информации почти не реализуема. Поэтому на всех предприятиях обычно приходится довольствоваться относительной защитой информации – гарантированно защищают ее на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. То есть, секретная информация должна быть недоступна до того момента, когда она станет либо очевидной и понятной, либо уже никому не нужной.

Но как защитить информацию хотя бы на такой короткий период времени? Конечно, в современной мировой обстановке существует огромное количество способов для предотвращения утечки информации или ее потери. Но в основном используются только шесть основных технологий защиты данных:

препятствие;

маскировка;

регламентация;

управление;

принуждение;

побуждение.

Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию (к аппаратуре, носителям информации и т.д.). Препятствия являются одними из самых простых и относительно надежных средств защиты информации. Так, на любом большом предприятии вся аппаратура, на которой содержится определенное количество секретной информации, находиться в строго охраняемом помещении. Причем такие помещения могут охраняться как и людьми (охранниками), так и специальными защищающими системами, для прохождения которых необходимо знать специальный код или пароль.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Говоря о маскировке информации, нельзя сказать про такую древнюю науку, как криптография. Формально криптография (или тайнопись) определяется как наука, обеспечивающая секретность сообщения. Для расшифровки такого сообщения требуется знание принципа. Еще с древних времен люди научились шифровать информацию так, чтобы никто не мог догадаться о ее смысле. Данный способ защиты информации активно используется во время военных конфликтов. Например, во время второй мировой войны корабли ВМФ США осуществляли связь на языке малочисленного и компактно проживающего индейского племени. На каждом корабле было несколько индейцев-«шифровальщиков», у противника не было практически никаких шансов раздобыть себе такого «криптографа». Однако у этого способа защиты есть и свои минусы. За всеми посвященными в такой язык уследить трудно, и рано или поздно такой язык станет понятным тем, от кого пытаются скрыть разговор. В этом случае возникнет необходимость его заменить другим, а разработать достаточно мощный язык и обучить ему нужное количество людей весьма затруднительно и накладно, а сделать это оперативно - невозможно.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы. Управление доступом включает такие функции защиты, как:

идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

проверка полномочий;

разрешение и создание условий работы в пределах установленного регламента;

регистрация обращений к защищаемым ресурсам;

регистрация при попытках несанкционированных действий.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Таким образом, риск доступа к секретной информации компании извне сводится к нулю. Однако работники таких компаний должны обладать высоким уровнем информационной культуры во избежание случайного рассекречивания защищенных данных.

Должностные лица компании, допущенные к работе с защищенной информацией, обязаны:

надежно предохранять имеющуюся у них информацию от хищений, утраты и несанкционированного доступа к ней;

учитывать, хранить, обрабатывать и передавать информацию в строгом соответствии с порядком, установленным в компании;

при обнаружении недостачи документов или электронных носителей, содержащих защищенную информацию, незамедлительно поставить в известность своего руководителя и предпринять срочные меры по их розыску.

Побуждение – метод защиты информации, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Например, ни одна компания с мировым именем не будет опускаться до того, чтобы неправомерно раздобыть необходимую информацию о компании-конкуренте.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз.

3.2 Средства защиты информационных систем

Методы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

физические;

программные и аппаратные;

организационные;

законодательные;

психологические (морально-эстетические).

Физические средства защиты информации предотвращают доступ посторонних лиц в запретную зону. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.

Эти средства используются в том случае, когда человеку необходимо преодолеть какое-либо препятствие в виде охранников (если речь идет об охраняемых территориях) или специальных систем. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства — программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем. Физические и аппаратные средства защиты в совокупности являются техническими средствами защиты информации.

Техническая защита информации – это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением программных, технических и программно-технических средств.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Рис.2 – Связь между способами и средствами защиты информации

Психологические или морально-эстетические средства защиты – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Организационные, законодательные и морально-эстетические средства защиты можно отнести к неформальным средствам защиты информационных систем. Между определенными способами защиты информации и средствам защиты информационных систем существует некая связь. Одно средство защиты может быть сопряжено с одним или сразу с несколькими методами защиты информации (Рис. 2).

Заключение

В нынешнее время информация имеет очень важное значение для мировой общественности, ведь мы находимся в условиях так называемой «информационной войны». Поэтому информацию нужно уметь правильно и грамотно защищать, то есть ограничить к ней доступ

Основная цель защиты информации – это обеспечение информационной безопасности, которая оценивает уровень защищенности данных от незаконного доступа к ним.

Наиболее важными свойствами информации являются конфиденциальность, доступность и целостность, причем нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом.

Абсолютной защиты информации не существует. Это свидетельствует о том, что в любой системе защиты велика вероятность человеческой ошибки, которые никак нельзя устранить в процессе создания системы.

Поэтому информацию можно защитить только на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. Для этого применяется специальные методы защиты информации, каждому из которых соответствует один или несколько способов защиты информационных систем.

Существует устойчивое выражение: «Тот, кто владеет информацией, владеет миром». Однако мне хочется его немного подправить: «Тот, кто владеет информацией и грамотно защищает ее, владеет миром».

Список используемых источников

1. Башлы П. Н., Баранова Е. К., Бабаш А. В. Информационная безопасность: учебно-практическое пособие. – М., Евразийский открытый институт, 2011. – 375с.;

2. Воробьев Г. Г. Твоя информационная культура. – М., Молодая гвардия, 1988. – 303с.;

3. Скрипник Д. А. Общие вопросы технической защиты информации. – М., Национальный Открытый Университет «ИНТУИТ», 2016. – 425с.;

4. [Электронный ресурс] Столяров Н. В. Понятие, сущность, значение и цели защиты информации – Сайт: http://sec4all.net – Дата посещения: 27.11.17;

5. [Электронный ресурс] Классификация методов защиты информации – Сайт: http://camafon.ru – Дата посещения: 28.11.17

Код для цитирования: Скопировать