ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

МОСКОВСКИЙ ГОСУДАРСТВЕННЫЙ ИНДУСТРИАЛЬНЫЙ УНИВЕРСИТЕТ ИНСТИТУТ ДИСТАНЦИОННОГО ОБРАЗОВАНИЯ

 

В.А. СЕМЕНЕНКО

 

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

 

Учебное пособие

 

3-е издание, стереотипное

 

            Допущено учебно-методическим объединением по образованию в области информационной безопасности в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальностям, не входящим в группу специальностей 075000, использующих федеральный компонент по основам информационной безопасности и защиты государственной тайны

 

Москва 2008

 

ВВЕДЕНИЕ

 

            Современное развитие человеческой цивилизации, всту­пившей в XIX в., характеризуется наиболее интенсивным использова­нием информационных технологий во всех сферах общественной жизни. В настоящее время трудно назвать те области жизнедея­тельности, успехи в которых не были бы связаны с применением таких технологий.

            На смену индустриальному этапу общественного развития приходит эволюционная фаза, названная информатизацией, при которой все социально-экономические структуры общества пре­образуются таким образом, чтобы обеспечить этим структурам и обществу в целом наиболее эффективное и динамичное развитие на основе максимально полного использования имеющихся ин­формационных ресурсов. Традиционные материальные ресурсы постепенно утрачивают свое первоначальное значение, а им на смену приходят информационные ресурсы, которые со временем не убывают, а неуклонно растут. Информация как предмет труда становится все в большей степени стратегическим ресурсом об­щества, его движущей производительной силой.

            В условиях информатизации общества особую ценность об­ретают люди - носители знаний, наилучшие передатчики техно­логической информации и передового опыта. Для их эффектив­ного участия в информационных процессах создается мощней­шая инфраструктура средств компьютерной и телекоммуникаци­онной техники, изменяющая не только процесс и характер трудо­вой деятельности, но и сам образ жизни, систему ценностей че­ловека. В настоящее время хорошо налаженная распределенная сеть информационно-вычислительных комплексов способна сыг­рать такую же роль в современном обществе, какую в свое время сыграли электрификация, телефонизация, радио и телевидение вместе взятые.

            Современные информационные технологии приобретают глобальный характер, охватывая все сферы жизнедеятельности человека, формируя информационное единство всей человече­ской цивилизации. С помощью глобальной вычислительной сети Интернет объединяются и перемещаются на любые расстояния гигантские объемы информации, обеспечивается доступ много­численных пользователей, расположенных на практически неог­раниченной территории, к информационным ресурсам всего ми­рового сообщества.

            Для государств современного мира становится очевидным, что отставание в области информатизации может оказаться не­преодолимым препятствием для их дальнейшего развития, при­вести к существенным, а подчас драматическим последствиям во всех сферах жизнедеятельности, превратить их в сырьевой при­даток информационно и промышленно развитых стран.

            Широкое использование информационных технологий во всех сферах жизни современного общества делает вполне зако­номерной и весьма актуальной проблему защиты информации, или иначе, проблему обеспечения информационной безопасно­сти. В условиях интенсивного развития рынка информационных продуктов и услуг информация становится полноценным това­ром, обладающим своими стоимостными характеристиками и по­требительскими свойствами. Подобно любым другим традицион­но существующим товарам, информация также нуждается в своей сохранности и, следовательно, надежной защите.

            В методологии анализа информационной безопасности обычно выделяют следующие основные понятия:

            -объект информационной безопасности;

            -существующие и потенциально возможные угрозы данному объекту;

            -обеспечение информационной безопасности объекта от проявления таких угроз.

            Если объектом информационной безопасности выступает сама информация, то для нее наиболее важным является сохране­ние таких свойств, как:

            - целостность;

            - конфиденциальность;

            - доступность.

            Целостность информации заключается в ее существова­нии в неискаженном виде по отношению к некоторому фиксиро­ванному состоянию.

            Конфиденциальность - это свойство, указывающее на необ­ходимость введения ограничений доступа к данной информации для определенного круга лиц.

            Доступность информации - это ее свойство, характеризующее способность обеспечивать своевременный и беспрепятственный доступ пользователей к необходимой информации.

            Весьма распространенным и вполне естественным является также рассмотрение безопасности информации в инфраструктуре конкретной информационной системы (ИС). Такие системы представляют собой взаимосвязанную совокупность средств, ме­тодов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в интересах достижения поставленной цели. Целью создания ИС является удовлетворение потребностей пользователей в своевременном получении досто­верной информации и сохранении ее конфиденциальности (в случае необходимости). Информация является при этом конеч­ным "продуктом потребления" и выступает в качестве централь­ной компоненты информационной системы. Объектом информа­ционной безопасности становится в этом случае данная инфор­мационная система.

            В методологическом плане общим основанием для отнесе­ния данного объекта к множеству объектов информационной безопасности является наличие в нем так называемого "информа­ционного измерения" и необходимость обеспечения безопасности этого "измерения". К "информационно измеряемым" объектам относятся объекты, для которых одной из важных структурных составляющих является либо сама информация, либо деятель­ность, предметом которой она является.

            С этой точки зрения упомянутые ранее информационные системы, безусловно, являются объектами информационной безопасности. В инфраструктуре таких систем не только пред­ставлена различная информация, но и реализуются процессы, связанные с ее преобразованием.

            Значимость "информационного измерения", а следователь­но, необходимость обеспечения информационной безопасности хорошо прослеживаются в иерархии объектов: человек - общест­во - государство.

            Информация, "информационное измерение" имеют для че­ловека такое же важное значение, как пища, воздух, вода. Ин­формация обуславливает не только возможность его адаптации как биологического существа к условиям внешней среды, но и воз­никновение его социальных потребностей, возможность его соци­альной адаптации, развития личности, самореализации и самоут­верждения. Информация является основным средством взаимо­действия человека с другими людьми. Посредством информации реализуются процессы воспитания и образования, происходит овладение трудовыми навыками, осуществляется мотивация его деятельности, а также в определенной мере и сама деятельность. Таким образом, информационная безопасность человека заклю­чается в невозможности нанесения вреда ему как личности, су­ществование и социальная деятельность которой во многом бази­руется на осмыслении получаемой информации, информацион­ных взаимодействиях с другими индивидами, и часто исполь­зующей информацию в качестве предмета своей деятельности.

            Свое "информационное измерение" имеет общество, пред­ставляющее собой сложный вид организации социальной жизни. Оно позволяет поддерживать его целостность, упорядочивать отно­шения между отдельными общностями, интегрировать социаль­ные новообразования и подчинять их логике поведения основной массы населения, воспроизводить единую ткань многообразных социальных взаимодействий, осуществляемых средствами ин­формационной коммуникации. Также трудно переоценить роль информации и информационной инфраструктуры в функциониро­вании духовной сферы общества, в функционировании и распро­странении культуры, системы ценностей, норм поведения, регу­лирующих взаимодействие между людьми. Информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.

            "Информационное измерение" государства определяется мно­гообразным информационным наполнением его деятельности в самых различных сферах, таких, как обеспечение национальной безопасности, ликвидация последствий стихийных бедствий и экономических катастроф, реализация социальных программ под­держки здравоохранения, образования, социального обеспечения нетрудноспособных, защита прав и свобод граждан. В условиях современной глобализации информационных процессов безопасность государства в информационной сфере становится важней­шей составляющей национальной безопасности. Таким образом, информационная безопасность государства заключается в невоз­можности нанесения вреда деятельности государства по выпол­нению функций управления делами общества, предметом кото­рой выступает информация и информационная инфраструктура.

            Человек, общество и государство не являются единственно возможными объектами безопасности, обладающими своим "ин­формационными измерением". Масштабная проблематика обес­печения информационной безопасности названных объектов, безусловно, детализируется и конкретизируется на локальных уровнях сложной социально-экономической и общественно-политической иерархии любого государства. Так, в условиях конкурентно-рыночных отношений весьма распространенными объектами информационной безопасности становятся компью­терные системы, отображающие информационными средствами деятельность различных предприятий, организаций и учреждений. Очевидной является необходимость обеспечения безопасного и надежного функционирования таких систем.

            С любым объектом информационной безопасности естест­венным образом связано существование той или иной угрозы, под которой понимается совокупность условий и факторов, возни­кающих в процессе взаимодействия данного объекта с другими объектами или составляющих его компонентов между собой и способных оказывать на него негативное воздействие. В широ­ком смысле такие угрозы могут носить как случайный, так и преднамеренный характер.

            Случайные угрозы могут быть вызваны авариями и стихий­ными бедствиями, сбоями и отказами в работе компьютерных систем, ошибками, допущенными при их разработке, а также ошибочными действиями пользователей и обслуживающего пер­сонала. В настоящее время такие угрозы достаточно хорошо изучены статистическими методами, что позволяет вполне адекватно противодействовать им.

            Более опасными с точки зрения характера и последствий проявления являются преднамеренные угрозы, вызванные зло­умышленными действиями людей. Арсенал и изощренность та­ких угроз неуклонно расширяются, поэтому для их нейтрализа­ции необходимо предугадать не только возможные цели зло­умышленника, но и его квалификацию и техническую оснащен­ность.

            Для любого объекта информационной безопасности (госу­дарство, отрасль, ведомство, государственное предприятие, част­ная фирма и т.д.) противодействие существующим и потенциаль­но возможным угрозам достигается проведением соответствую­щей политики безопасности. Для ее реализации используются различные средства, методы и мероприятия. К их числу относят­ся, в частности, правовые нормы, организационные мероприятия, инженерно-технические и программно-аппаратные средства, ме­тоды криптографии. Названные средства обычно рассматривают­ся также в качестве соответствующих видов обеспечения инфор­мационной безопасности.

            Учитывая системный характер влияния на информационную безопасность многочисленных факторов и обстоятельств, вполне очевидно, что эффективное решение этой проблемы возможно только на основе комплексного и целенаправленного использо­вания всех имеющихся средств, обеспечивающих в целом необ­ходимый и, главное, гарантированный уровень защищенности информационных ресурсов.

            Следует отметить, что рассматриваемая проблема обеспече­ния информационной безопасности весьма актуальна для нашей страны. Нельзя считать, что из-за унаследованной информацион­ной замкнутости, некоторой технической отсталости Россия менее уязвима в информационном отношении, чем другие страны, ско­рее наоборот. Достаточно высокая степень централизации струк­тур государственного управления российской экономикой может привести к гибельным последствиям в результате информацион­ной агрессии.

            В 2000 г. Президентом была утверждена "Доктрина информа­ционной безопасности Российской Федерации", устанавливаю­щая официальную систему взглядов на содержание националь­ных интересов России в информационной сфере, методы проти­водействия существующим угрозам и систему обеспечения ин­формационной безопасности. При этом были учтены проблемы развития российского общества, порожденные как советским периодом его истории, так и периодом продолжающихся социаль­но-экономических и политических преобразований.

            Реализация закрепленных в Доктрине положений должна создать необходимые условия, обеспечивающие устойчивое раз­витие российского общества и его институтов на базе информа­тизации производственной, духовной, политической и социаль­ной сфер общественной жизни, а также поддержание соответст­вующего современным международным стандартам правового статуса личности.

            В этом направлении уже много сделано.

            Так, с 1992 г. выявление угроз информационной безопасно­сти и подготовка предложений по противодействию этим угрозам возложено законодательством на Совет Безопасности РФ, при ко­тором образована Межведомственная комиссия по информационной безопасности. С 1996 г. в Комитете Государственной Думы РФ существует подкомитет по информационной безопасности, а также экспертный совет по законодательству в области обеспече­ния информационной безопасности. Большую работу в этой об­ласти выполняют федеральные органы исполнительной власти, а также государственные органы субъектов РФ.

            Интенсифицируются исследования проблем обеспечения ин­формационной безопасности, выполняемые как в естественных и технических науках, так и в рамках гуманитарных наук. Ком­плексное научное осмысление этих проблем существенно спо­собствует развитию индустрии средств защиты информации, ис­пользуемых в современных компьютерных и телекоммуникаци­онных системах.

            Развивается правовое регулирование отношений в области обеспечения информационной безопасности. Приняты базовые законодательные акты: законы "Об информации, информатизации и защите информации", "Об участии в международном информационном обмене", "О связи", "О государственной тайне", первая и вторая части Гражданского кодекса РФ, новые редакции Уголовного и Уголовно-процессуального кодексов РФ, ряд зако­нов, регулирующих отношения в области средств массовой информации, и др.

            Совершенствуется система подготовки кадров высшей ква­лификации по вопросам обеспечения информационной безопас­ности. Специальности, по которым осуществляется подготовка специалистов в этой области, выделены в отдельный раздел Пе­речня направлений подготовки и специальностей высшего про­фессионального образования.

            Вместе с тем, учитывая актуальность проблемы информаци­онной безопасности, для многих специальностей, не входящих в эту группу, Государственными образовательными стандартами в рамках общепрофессиональной подготовки вводится отдельная дисциплина "Информационная безопасность". Такая дисциплина представлена, например, в стандарте специальности 351400 "Прикладная информатика в экономике", для которой предназна­чено, в первую очередь, предлагаемое учебное пособие. Кроме того, данное пособие может также быть использовано студентами специальностей 075300 "Организация и технология защиты ин­формации" и 075400 "Комплексная защита объектов информати­зации" в процессе их начальной профессиональной подготовки.

 

ГЛАВА 1. ЗАЩИТА ИНФОРМАЦИИ - ОБЪЕКТИВНАЯ

ЗАКОНОМЕРНОСТЬ ЭВОЛЮЦИИ ПОСТИНДУСТРИАЛЬНОГО ОБЩЕСТВА

 

1.1.         Информация - отражение реального мира и средство его познания

 

             Термин "информация" давно и прочно вошёл в наш разго­ворный обиход, хотя для этого понятия отсутствует строгое на­учное определение. Дело в том, что по своему философскому статусу информация вместе с веществом и энергией относится к числу первичных и потому неопределяемых сущностей окру­жающего реального мира.

            В отсутствие строгого определения информация интуитивно рассматривается в широком смысле как некое отражение реаль­ного мира с помощью различных сведений и сообщений. При этом такие сообщения обычно материализуются в виде речи, тек­ста, числовых данных, изображений, таблиц, графиков и т.п. Это могут быть сообщения о свойствах и состоянии окружающих объектов, сведения о тех или иных явлениях природы, о процес­сах, протекающих в технических устройствах и живых организ­мах, об исторических событиях и событиях сегодняшнего дня, о результатах хозяйственно-экономической деятельности предпри­ятия, организации, отрасли или государства в целом и т.д.

            Находясь в целостном единстве с другими составляющими окружающего мира (веществом и энергией), информация не только отображает этот мир, но и является основным источником его познания, средством преодоления неопределенности, служит той гранью, которая отделяет незнание, неопределенность от знания. Именно информация изменяет или уточняет наши пред­ставления о данном явлении или объекте окружающего мира.

            Источником, исходным "сырьём" для получения информа­ции обычно являются так называемые данные, представленные на том или ином материальном носителе. В виде таких данных фиксируются и хранятся на соответствующем носителе различ­ные сведения, полученные в результате наблюдений, опытов, экспериментов, научных исследований, открытий и т.п.

            Далеко не всегда и не все имеющиеся данные несут в себе необходимую информацию. Информативными являются не про­сто любые данные или сведения об объектах или явлениях окру­жающей среды, их параметрах, свойствах и состоянии, а только лишь те, которые уменьшают неполноту знаний о них, степень неопределённости. Кроме того, часто бывает так, что одни и те же данные несут различную информацию для разных потребите­лей. Например, данные об анатомическом строении конкретного человека несут различную информацию для портного (количест­во необходимого материала для одежды, особенности его рас­кроя), для врача (отклонения от норм в пропорциях фигуры и возможные причины этого), для спортивного тренера (пригод­ность или непригодность для занятий тем или иным видом спор­та).

            Таким образом, в результате обработки и систематизации данных может быть получена информация, уменьшающая неоп­ределённость и уточняющая наши знания об исследуемом объек­те. Циклический характер этого процесса схематично показан на рис. 1.1.

Рис. 1.1. Циклический процесс получения информации

            Всё многообразие окружающего мира отражается и накап­ливается в человеческом сознании в виде соответствующих зна­ний, формируемых в результате анализа имеющейся информа­ции.

 

1.2. Количественная оценка и показатели качества информации

 

            В теории информации широко используется так называемый энтропийный подход к оценке количества информации, предло­женный и сформулированный в 1948 г. К. Шенноном. Его суть состоит в следующем. Получатель сообщения имеет определён­ные представления о возможных наступлениях некоторых собы­тий. Эти представления в общем случае недостоверны и выража­ются вероятностями P_f наступления любого из N событий. Общая мера неопределённости (энтропия) зависит от совокупности всех вероятностей P_i. Количество информации в сообщении определя­ется тем, насколько уменьшится эта мера после получения сооб­щения. Для оценки количества информации используется форму­ла К. Шеннона:

            Если вероятности всех событий одинаковы и равны Р_i = 1/N, то этому соответствует количество информации I = log ₂ N.

            Если при равновероятностных событиях используются двоично-кодированные сообщения разрядностью п, то N = 2ⁿ , a I = n, т.е. количество информации равно объему V_Д двоичных дан­ных в битах.

            Для неравновероятностных событий всегда существует вза­имная зависимость символов в сообщении и связанная с этим не­равномерность их появления. Это приводит к тому, что в двоич­но-кодированных сообщениях имеет место информационная из­быточность передаваемых данных, т.е. I<V_д = n. Для оценки ин­формативности данных используется коэффициент информатив­ности Y = I/ V_д (0<Y<1).

            Следует также отметить, что в некоторых случаях при дво­ичном кодировании сообщений преднамеренно вводится искус­ственная избыточность, которая позволяет контролировать и уст­ранять ошибки при передаче двоично-кодированных данных по каналам связи, а также между отдельными устройствами ЭВМ.

            Рассмотренный энтропийный подход позволяет оценить количество информации только на формально-синтаксическом уровне, т.е. без учёта её смыслового содержания. Для измерения количества информации на семантическом уровне используется тезаурусный подход, основанный на рассмотрении информации как знания. При этом тезаурус представляет собой структурированный объём знаний, представленных в виде совокупности соответствующих понятий и отношений между ними. Знания отдельного человека, организации и общества в целом образуют соответствующие тезаурусы.

            Тезаурусная мера оценивает степень изменения знаний человека в результате полученного сообщения. В зависимости от соотношения между смысловым содержанием S передаваемой информации и тезаурусом пользователя S_p изменяется количество семантической информации I_c, воспринимаемой пользователем и включаемой им в дальнейшем в свой тезаурус. Так, при S_p ~ 0 пользователь вообще может не понять поступающую информацию. Наоборот, при S_p →∞ пользователь всё знает, и поступающая информация ему не нужна. Максимальное количество семантической информации пользователь получает при согласовании её смыслового содержания S со своим тезаурусом S_p (S_p = S_{p onm}), когда поступающая информация понятна пользователю и, вместе с тем, несёт ему ранее не известные (отсутствующие в его тезаурусе) сведения.

            Владельцы тезаурусов всегда стремятся сохранить и увеличить свой тезаурус. Увеличение тезауруса осуществляется за счёт обучения, покупки лицензий, приглашения квалифицированных сотрудников, а в некоторых случаях - путём хищения информации.

            Кроме количественных оценок, большое значение имеют также показатели качества информации, отражающие степень её полезности для пользователя, её способность удовлетворять определённые информационные потребности.

            Качество информации является достаточно сложным понятием, зависящим от большого числа различных её свойств, которые   не   всегда   поддаются   формализованной   оценке.   С потребительской        (прагматической)        позиции        наиболее существенными являются следующие свойства информации.

            1.   Репрезентативность       информации,       связанная       с правильностью её отбора и формирования в целях адекватного отражения свойств объекта.

            2.   Релевантность     -     смысловое     соответствие     между информационным запросом и полученным сообщением.

            3.   Полнота    (достаточность)    -    свойство    информации исчерпывающе    (для    данного    потребителя)    характеризовать отображаемый объект.

            4.   Достоверность     информации,     характеризующая     её соответствие    действительным    свойствам    объекта.    Данное свойство   информации   обеспечивается   как   инструментальной точностью её предстваления на том или ином материальном носителе, так и отсутствием в ней скрытых ошибок, вызванных случайными или преднамеренными факторами.

            5.   Ценность     информации,     определяемая     не     только затратами на её получение, а главным образом степенью её полезности для владельца при реализации поставленных задач. Информация   может   быть   ценной   для   одного   владельца   и бесполезной   для   других.   Обладание   ценной   и   достоверной информацией даёт её владельцу определённые преимущества. Информация,     искаженно     представляющая     действительность (недостоверная     информация)     может     нанести     владельцу значительный     материальный     и     моральный    ущерб.     Если информация      искажена      умышленно,      то      её      называют дезинформацией.

            6.   Своевременность       и       актуальность       информации, отражающие    соответствие    её    ценности    и    достоверности определённому   временному   периоду.   Время,   через   которое информация становится устаревшей, меняется в очень широком диапазоне. Так, например, для пилотов реактивных самолётов, автогонщиков   информация   о   пространственном   положении машин устаревает за доли секунд. В то же время информация о законах природы остаётся актуальной в течение многих веков.

            7.   Доступность           информации,           характеризующая возможности её восприятия пользователем и обеспечиваемая, в частности, путём согласования содержательной сущности информации с тезаурусом пользователя.

            8.   Эргономичность информации, связанная с удобством её форм представления с точки зрения потребителя.

            9.  Защищённость   информации.   Этот   показатель   качества информации, хотя и назван последним в приведённом перечне, является в условиях интенсивного развития информационных процессов   одним   из   наиболее   важных   и    принципиально значимых для современного общества. Широкий круг вопросов, связанных с зашитой информации и обеспечением информационной безопасности,   более   подробно  рассматривается   в   предлагаемом учебном пособии.

 

1.3. Эволюция информационных процессов и технологий

 

            Информация, став с древнейших времён предметом человеческого труда, вызвала в обществе развитие информационных процессов, связанных с её получением, регистрацией, хранением, передачей, обработкой и т.д. Лавинообразное развитие таких процессов нередко приводило к так называемым информационным кризисам, при которых ограниченные возможности человека вступали в противоречие с существующими информационными потоками. Для преодоления информационных           кризисов           разрабатывались и совершенствовались средства, методы и технологии, облегчающие участие человека в информационных процессах.

            Наиболее кризисным, особенно с точки зрения обработки стремительно возрастающих объёмов информации, стал XX в. Вот почему поистине революционным принято считать создание в середине XX в. первых электронных вычислительных машин (ЭВМ), или компьютеров, ставших универсальным средством обработки самой разнообразной информации.

            Следует отметить, что эволюция человеческой цивилизации всегда связана с развитием и совершенствованием различных технологий. Среди них, наряду с технологиями материального производства, важное место принадлежит информационным технологиям.    Информационная   технология   -   это   процесс, использующий совокупность средств и методов сбора, обработки и передачи данных (первичной информации) для получения информации нового качества о состоянии объекта, процесса или явления (информационного продукта). Информационная технология является необходимой составляющей процесса использования информационных резервов общества.

            С появлением ЭВМ информационные технологии приобрели принципиально новое качество. С помощью компьютерных средств и связанных с ними телекоммуникационных систем стало возможным осуществлять автоматизированный сбор, хранение, обработку, передачу, выдачу и отображение различной информации. Автоматизация названных процессов реализуеся с помощью разнообразных средств программного инструментария.

            Современному этапу в развитии информационных компьютерных технологий предшествовала более чем полувековая история.

            Целью начального этапа (до 70-х гг.) информационных технологий была лишь автоматизация рутинных действий человека при обработке больших объёмов информации. Для этого использовались ресурсы вычислительных центров в режиме коллективного пользования, включая удалённый доступ к этим ресурсам. Эффективная реализация таких технологий часто была ограничена возможностями то технических, то программных средств ЭВМ.

            С созданием в середине 70-х гг. первых микропроцессоров, а затем первых персональных ЭВМ информационные технологии начинают ориентироваться в основном на индивидуального пользователя, обеспечивая ему поддержку принимаемых решений.          Компьютер          становится          инструментом непрофессионального пользователя, поэтому для него создаётся максимально удобный интерфейс работы в компьютерной среде. На этом этапе используются централизованная обработка данных, характерная для первого этапа, и децентрализованная, базирующаяся на решении локальных задач непосредственно на рабочих местах пользователей. Цель информационной технологии расширяется от формализованной обработки данных до формирования содержательной сущности информации, что требуется, например, при принятии обоснованных управленческих решений. Децентрализованная обработка дает пользователю более широкие возможности в работе с информацией, обеспечивает в определённой степени интеллектульную поддержку принимаемых решений.

            С начала 90-х гг. информационные компьютерные технологии приобретают наиболее массовый и всеобъемлющий характер. Ускорение динамики процессов во всех сферах человеческой деятельности, усложнение индустриального производства, социальной, экономической и политической жизни закономерно привели, с одной стороны, к стремительному росту потребностей в информационных знаниях, а с другой - к созданию новых средств и технологий для удовлетворения этих потребностей.

            Информационная технология становится важнейшей составляющей процесса наиболее эффективного использования информационных ресурсов общества. Именно на этом этапе её стали обычно называть новой или современной информационной технологией, подчеркивая тем самым не столько эволюционный характер этой технологии, сколько её новаторский смысл.

            Основой современных информационных технологий стало объединение и комплексное использование компьютерных и телекоммуникационных средств. Наиболее масштабно такое объединение реализовано в глобальной информационно-вычислительной сети Интернет. С её созданием удалось в значительной степени разрешить две стратегически важные для общества проблемы:

            - объединение и перемещение на любые расстояния гигант­ских объёмов информации;

            -   обеспечение   доступа   многочисленных   пользователей, расположенных на практически неограниченной территории, к огромным информационным и вычислительным ресурсам.

            Внедрение современных информационных технологий обеспечивает переход общества к новому эволюционному этапу, который получил название информатизации общества.

 

1.4. Информатизация и компьютеризация общества

 

            Интенсивно развивающиеся процессы переустройства об­щественного бытия и сознания требуют высокого уровня инфор­мированности общества, его организаций и граждан во всех об­ластях экономической, политической и социальной действитель­ности. Такой процесс сегодня принято называть информатизаци­ей общества. Можно сказать, что информатизация общества ста­новится одной из важнейших объективных закономерностей со­временного социально-экономического прогресса.

            Закон РФ "Об информации, информатизации и защите ин­формации", принятый 25 января 1995 г., определяет информати­зацию общества как "организованный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализа­ции прав граждан, органов государственной власти, органов ме­стного самоуправления, организаций, общественных объедине­ний на основе формирования и использования информационных ресурсов".

            Этот термин всё настойчивее вытесняет широко используе­мый до недавнего времени термин "компьютеризация общества". Компьютеризация является лишь базовой технической состав­ляющей процесса информатизации общества. На её основе ин­форматизация рассматривается как процесс преобразования всех производственно-хозяйственных, научных, социально-бытовых и других структур общества таким образом, чтобы обеспечить этим структурам достижение качественно новых результатов и наибо­лее динамичное развитие. В большинстве стран уже хорошо по­нимают, что отставание в области информатизации общества может стать серьёзным и, возможно, необратимым препятствием для их дальнейшего развития. Многие страны имеют националь­ные программы информатизации с учётом местных особенностей и условий.

            В настоящее время можно говорить о том, что человеческая цивилизация переходит от индустриального этапа развития к по­строению так называемого информационного общества.

            Материальной базой информационного общества является информационная экономика, основанная на создании и потреблении информационных ресурсов, информационных продуктов и ценностей. В этом заключается фундаментальное отличие ин­формационного общества от традиционного индустриального, главной особенностью которого является производство и потреб­ление материальных благ.

            В информационном обществе значительно возрастает наукоёмкость большинства производственных процессов. Эффек­тивность этих процессов определяется не столько количеством переработанного вещества и энергии, сколько объёмом овещест­влённой информации, а также созданием необходимых условий для получения новой полезной информации.

            Вследствие резкого снижения материалоёмкости и энерго­ёмкости производства обеспечивается кардинальное решение экологических проблем.

            Значительно повышается скорость протекания экономиче­ских процессов, благодаря своевременности и обоснованности управленческих решений, принимаемых на различных уровнях сложной экономической иерархии. Производство сравнительно быстро адаптируется к индивидуальным запросам потребителей; экономически оправданным становится мелкосерийное и инди­видуализированное производство.

            В информационном обществе становятся доминирующими процессы интеграции подобно тому, как процессы концентрации являются характерными для индустриального общества. Возрастает значе­ние горизонтальных информационных связей во всех сферах об­щественной деятельности, повышается взаимозависимость про­изводства и потребления. Благодаря интеграции и глобализации информационных технологий формируется информационное единство всей человеческой цивилизации, реализуется свобод­ный доступ каждого человека к информационным ресурсам всего мирового сообщества.

            В процессе информатизации общества изменяется не только производство, но и весь уклад жизни, система ценностей, возрас­тает значимость интеллекта, образованности, знаний, увеличива­ется доля умственного труда во всех сферах общественной жиз­ни. В информационном обществе большинство работающих занято производством, хранением, переработкой и реализацией ин­формации, особенно высшей ее формы - знаний.

            Одной из отличительных особенностей жизни в современ­ном информационном обществе становится гигантское развитие средств массовой информации, особенно электронных средств. Позитивным при этом является то, что средства массовой инфор­мации способствуют углублению процесса информатизации об­щества, рекламируя новые информационные продукты и услуги, формируя общественное мнение в пользу приоритетности этого процесса по сравнению с другими.

            Наряду с позитивным влиянием на общество средств массо­вой информации существует и негативное. Прежде всего, как от­мечают многие специалисты, технический прогресс в сфере мас­совых коммуникаций порой способствует разрушению веками создаваемых социальных связей между людьми, что, конечно, отражается на обществе в целом. Люди все в большей степени общаются не между собой, а со всевозможными электронными приборами и компьютеризированными устройствами, которые окружают их в процессе трудовой деятельности, учеты, досуга и т.п.

            Глобализация средств массовой информации, к сожалению, позволяет манипулировать общественным мнением, создает пси­хологические предпосылки для формирования не всегда полез­ных для общества политических решений.

 

1.5. Рынок информационных продуктов и услуг

 

            Динамика социально-экономического развития любого об­щества всегда обеспечивается теми ресурсами, которыми оно располагает.

            В индустриальном обществе, где основные усилия направ­лены на материальное производство, известно несколько видов ресурсов, ставших уже классическими экономическими катего­риями:

            - материальные ресурсы - совокупность предметов труда, используемых в общественном производстве, например сырье, материалы, полуфабрикаты, детали и т.д.;

            -  природные ресурсы - запасы ископаемых, размеры терри­тории, географическое положение, климатические условия и т.д.;

            - трудовые ресурсы - люди, обладающие физическими воз­можностями, общеобразовательными и профессиональными зна­ниями для работы в обществе;

            -  финансовые ресурсы - денежные средства, имеющиеся в распоряжении государственных или коммерческих структур;

            -  энергетические ресурсы - носители энергии, например уголь, нефть, газ, гидроэнергия и т.д.

            В информационном обществе к этим традиционным видам ресурсов добавляется так называемый информационный ресурс, который начинает играть все более значимую роль. Теперь и в сфере материального производства высокая эффективность дос­тигается только на основе своевременного пополнения, накопле­ния и переработки информационного ресурса общества.

            Информационные ресурсы общества, если их понимать как обширные и разнообразные знания, обычно отчуждены от тех людей, которые их создавали, обобщали, накапливали и т.п. Эти знания материализуются в виде документов, баз данных, алго­ритмов, компьютерных программ, произведений литературы, ис­кусства, научных публикаций и т.д.

            Информационные ресурсы страны, региона, организации рассматриваются как стратегические ресурсы, аналогичные по значимости запасам сырья, материалов, энергии, природных ис­копаемых и т.п.

            На основе и в результате переработки информационных ре­сурсов в обществе создаются различные информационные про­дукты. Информационный продукт является результатом интел­лектуальной деятельности человека и отражает его собственное представление о конкретной предметной области. Обычно он фиксируется на том или ином носителе. Подобно другим матери­альным продуктам информационный продукт является не только и не просто результатом человеческого труда, но и обладает оче­видными свойствами полноценного товара, имеющего свои стоимостные характеристики и потребительские качества.

            Информационные продукты распространяются с помощью информационных услуг. Перечень этих услуг определяется объемом и предметной ориентацией существующих информационных ресурсов и видами различных информационных продуктов, соз­даваемых на их основе.

            Информационные услуги реализуются при наличии соот­ветствующих баз данных в компьютерном или некомпьютерном варианте. База данных - это совокупность связанных данных, для организации которых используются общие принципы описания, хранения и манипулирования. Базы данных являются источником и своего рода полуфабрикатом при предоставлении информаци­онных услуг. В них содержатся все возможные сведения о собы­тиях явлениях, объектах, процессах, технологиях, публикациях и т.п.

            В числе информационных услуг могут быть не только услу­ги, касающиеся предоставления пользователю каких-то сведений, но и услуги, связанные с обеспечением пользователей необходи­мыми техническими средствами обработки и передачи данных, а также разработкой средств программного обеспечения, информа­ционных систем и технологий.

            Таким образом, в более широком смысле можно говорить о существовании рынка информационных продуктов и услуг, кото­рый включает в себя не только торговлю и посредничество, но и производство.

            Рынок информационных продуктов и услуг (информацион­ный рынок) - это система экономических, правовых и организа­ционных отношений по торговле продуктами интеллектуального труда на коммерческой основе. Его формирование стало возмож­ным только в условиях развитой рыночной экономики, ибо она по сути своей имеет информационный характер. Именно рыноч­ная экономика не без больших социальных издержек и социаль­ных потерь со временем привела цивилизованные страны к дос­таточно разумной экономической организации. В условиях ры­ночной экономики люди должны знать, где находятся информа­ционные ресурсы, сколько они стоят, кто ими владеет, кто в них нуждается, насколько они доступны и т.д.

            В настоящее время в России быстрыми темпами идет фор­мирование рынка информационных продуктов и услуг. Его ди­намичное развитие вызвано, прежде всего, постоянно расширяющимися общественными потребностями. Информационный рынок постепенно структурируется в виде определенной сово­купности секторов, каждый из которых объединяет группу людей или организаций, предлагающих однородные информационные продукты и услуги. Так, в инфраструктуре современного инфор­мационного рынка можно, например, выделить сектора, предла­гающие:

            -  различную деловую информацию (биржевую, финансо­вую, статистическую и др.);

            - информацию для специалистов в различных областях про­фессиональной деятельности;

            -  потребительскую информацию (новости прессы, расписа­ния транспорта, заказ товаров и услуг, развлекательная информа­ция, различные справочники, энциклопедии и др.);

            - информацию об услугах в сфере образования;

            -   информацию   о   современных   программно-технических средствах компьютерных и телекоммуникационных систем, их разработке и сопровождении.

            Возможно, этот перечень не полон, однако основные на­правления, присутствующие на информационном рынке, он от­ражает.

            Последний из названных секторов, связанный с компьютер­ными и телекоммуникационными системами, выделяется из всех остальных тем, что именно он обеспечивает потребителям реали­зацию полного технологического цикла получения, хранения, об­новления, обработки и доставки информации. Быстро развиваясь, этот сектор оказывает влияние на другие секторы информацион­ного рынка.

 

1.6. Объективная необходимость и общественная потребность защиты информации

            Как уже отмечалось, в современном обществе именно ин­формация становится важнейшим стратегическим ресурсом, ос­новной производительной силой, обеспечивающей его дальней­шее развитие. Вот почему, подобно любым другим традиционно существующим ресурсам, информация также нуждается в своей сохранности и, следовательно, надежной защите.

            Защита информации обычно предусматривает комплексное использование различных средств и методов, принятие соответ­ствующих мер, осуществление необходимых мероприятий с це­лью системного обеспечения надежности передаваемой, храни­мой и обрабатываемой информации.

            Защитить информацию - это значит:

            -  обеспечить ее физическую целостность, т.е. не допустить искажения или уничтожения элементов информации;

            -  не допустить подмены (модификации) элементов инфор­мации при сохранении ее целостности;

            -  не допустить несанкционированного получения информа­ции лицами или процессами, не имеющими на это соответст­вующих полномочий;

            -  быть уверенным в том, что передаваемые (продаваемые) владельцем информации ресурсы будут использоваться только в соответствии с обговоренными сторонами условиями.

            Наряду с термином «защита информации» также широко используется термин "информационная безопасность". Если защита информации характеризует процесс создания условий, обеспечивающих необходимую защищенность информации, то информационная безопасность отражает достигнутое состояние такой защищенности.

            Проблема информационной безопасности приобрела осо­бенную значимость в современных условиях широкого примене­ния автоматизированных информационных систем, основанных на использовании компьютерных и телекоммуникационных средств.

            Эта проблема оказалась в центре внимания специалистов практически одновременно с началом использования средств вы­числительной техники для сколько-нибудь регулярной обработки информации, т.е. уже в 50-60 гг. В этот период основные усилия были направлены на обеспечение физической целостности ин­формации или, по терминологии того времени, ее достоверности (надежности).

            Нарушение целостности информации на этом первоначаль­ном этапе рассматривалось, в основном, как результат воздейст­вия естественных факторов, главными из которых являются отказы сбои и ошибки в работе компонентов системы. В разработку средств и методов защиты информации от подобных случайных угроз существенный вклад внесли отечественные ученые и спе­циалисты.

            Однако по мере развития самой вычислительной техники, расширения масштабов использования автоматизированных сис­тем обработки информации эти защитные механизмы все больше теряли свою эффективность. При обеспечении информационной безопасности стали вполне реальными угрозы, вызванные пред­намеренными (злоумышленными) действиями людей. Первые со­общения о фактах несанкционированного доступа к информации появились в печати более двадцати лет назад и были связаны, в основном, с хакерами, или «электронными разбойниками», которые подключались через телефонную сеть к компьютерам. В по­следнее десятилетие нарушение защиты информации прогресси­рует с использованием программных средств и через глобальную сеть Интернет. Весьма распространенной угрозой информацион­ной безопасности стало также заражение вычислительных систем и сетей ЭВМ так называемыми компьютерными вирусами.

            Таким образом, в связи с возрастающей ролью информаци­онных ресурсов в жизни современного общества, а также из-за реальности многочисленных угроз с точки зрения их защищенно­сти проблема информационной безопасности требует к себе по­стоянного и большего внимания.

            Системный характер влияния на информационную безопас­ность большой совокупности различных обстоятельства, имею­щих к тому же различную физическую природу, преследующих различные цели и вызывающих различные последствия, приводит к необходимости комплексного подхода при решении данной проблемы.

            Комплексная защита информации понимается как целена­правленное применение различных средств, методов и мероприя­тий для поддержания заданного уровня защищенности информа­ции по всей совокупности показателей и условий, являющихся существенно значимыми с точки зрения ее безопасности.

 

Контрольные вопросы

 

            1.   Дайте  общесмысловое  (интуитивное)  объяснение  термина "информация".     Укажите  роль  информации  в  циклическом процессе познания окружающего          мира.

            2.   Какие подходы существуют для оценки количества информа­ции?

            3.   Поясните связь, существующую между количеством инфор­мации и энтропией.

            4.   Чем отличается количество информации от объема данных?

            5.   Какие существуют показатели качества информации?

            6.   Объясните сущность информационной технологии и укажите основные этапы             на пути ее развития.

            7.   Какими ресурсами обеспечивается, в основном, развитие ин­дустриального и   информационного общества?

            8.   Рассмотрите особенности информационного общества и ин­формационной       экономики.

            9.   Чем отличается информатизация общества от компьютериза­ции?

            10. Как формируется рынок информационных продуктов и услуг?

            11. Укажите истоки возникновения современной проблемы защи­ты информации. В          чем состоит суть такой защиты?

            12. Охарактеризуйте объективную необходимость и обществен­ную потребность     защиты информации.

 

ГЛАВА 2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ  ЛИЧНОСТИ, ОБЩЕСТВА И ГОСУДАРСТВА:

СОЦИАЛЬНО-ПРАВОВЫЕ АСПЕКТЫ

 

2.1. Массовая и конфиденциальная информация.  

 Виды тайн

 

            В современном обществе с интенсивно развивающимися информационными отношениями все большее значение в системе гражданских прав личности приобретает право на информацию. Для реализации этого права существуют различные источники, в том числе многочисленные средства массовой информации, об­разовательные учреждения, библиотеки, архивы, рекламные агентства, информационно-справочные службы, театры, музеи, концертные площадки и др.

            Этому способствует и международный информационный обмен, глобализация которого, как считают специалисты, приве­дет в недалеком будущем к информационному единству всей че­ловеческой цивилизации.

            В нашей стране информация законодательно признана в ка­честве объекта гражданских прав (ст. 128 Гражданского Кодекса Российской Федерации).

            Закон РФ "Об информации, информатизации и защите ин­формации", принятый 20 февраля 1995 г., также обеспечивает права юридических и физических лиц на информацию, создает условия для включения России в международный информацион­ный обмен.

            Вместе с тем, данный закон предотвращает бесхозяйствен­ное отношение к информационным ресурсам и информатизации, устанавливает необходимые меры правовой защиты для любой документированной информации, имеющей собственника. По существу, сфера информационной безопасности - это не защита информации как таковой, а защита прав собственности на ин­формацию, обеспечение цивилизованных правоотношений на рынке информационных продуктов и услуг.

            В информационных процессах, протекающих в обществе, используется, с одной стороны, массовая информация, предна­значенная для неограниченного круга лиц, а с другой стороны -конфиденциальная информация, доступ к которой ограничивается либо ее собственником, либо соответствующим законодатель­ством.

            Любая форма завладения и пользования конфиденциальной документированной информацией без прямо выраженного согла­сия ее собственника (за исключением случаев, прямо указанных в законе) является нарушением его прав, т.е. неправомерной.

            Конфиденциальными в соответствии с законом являются, в частности, личная тайна, непосредственно затрагивающая права и свободы гражданина или его персональные данные, тайна пе­реписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

            Конфиденциальная информация может содержать государ­ственную или коммерческую тайну.

            Государственная тайна - это принадлежащие государству (госу­дарственному учреждению) сведения о его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и опера­тивно-розыскной деятельности, распространение которых может нанести ущерб безопасности государства. В соответствии с зако­ном РФ "О государственной тайне" таким сведениям может быть присвоен соответствующий гриф секретности: "секретно", "со­вершенно секретно" или "особой важности". В государственных учреждениях менее важной информации присваивается гриф "для служебного пользования".

            Понятие "коммерческая тайна" введено в нашу практику еще в 1991 г. законом "О предприятиях в СССР", согласно кото­рому, "под коммерческой тайной предприятия понимаются не яв­ляющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) ко­торых могут нанести ущерб его интересам".

            В современных условиях формирования рыночной эконо­мики, включения нашей страны в мировое экономическое сооб­щество вопросы, связанные с коммерческой тайной, приобретают особенно важный смысл.

            С учетом особенностей конкретного предприятия (органи­зации) сведения, составляющие коммерческую тайну, можно сгруппировать по тематическому принципу следующим образом:

            - сведения о производстве и выпускаемой продукции;     

            - сведения о финансовой деятельности;

            - информация о существующем и прогнозируемом рынке;   

            - сведения о научных разработках;

            - сведения о материально-техническом обеспечении;

            - сведения о персонале предприятия;

            - сведения о принципах управления предприятием;

            - сведения об организации системы безопасности.

            Применительно к банкам, являющимся кредитными учреж­дениями, помимо коммерческой тайны, используется понятие банковской тайны. Под банковской тайной подразумевается обязанность учреждения сохранять тайну по операциям клиентов, ограждение банковских операций от ознакомления с ними посто­ронних лиц, прежде всего конкурентов того или иного клиента, тайну по операциям, счетам и вкладам своих клиентов и коррес­пондентов. Иначе банковскую тайну можно определить как лич­ную тайну вкладчика банка. В итоге коммерческая тайна банка включает коммерческую тайну банка как учреждения и личную тайну его вкладчика.

            В своих противоправных действиях, направленных на овла­дение чужими секретами, составляющими, в том числе, государ­ственную, коммерческую или личную тайну, злоумышленники стремятся найти такие источники конфиденциальной информации, которые давали бы им возможность с минимальными затратами получать достоверную информацию в максимальных объемах.

 

2.2. Документированная информация как объект права собственности

 

            С философской точки зрения, видимо, можно говорить об информации как об абстрактной субстанции, отражающей окру­жающую действительность в сознании человека. Информация обретает овеществленную форму с помощью того или иного материального носителя, на котором она отображается в виде сим­волов, образов, сигналов, технических решений и процессов.

            Документированная информация - это зафиксированная на материальном носителе информация вместе с реквизитами, позволяющими  ее  идентифицировать.  Представленная  в  виде текста, звукозаписи или изображения такая информация предназначена для передачи во времени и пространстве в целях хране­ния и общественного использования.

            Именно в документированном виде информация может вы­ступать объектом права собственности. По сравнению с другими традиционными объектами права собственности информацион­ная собственность имеет ряд особенностей.

            За счет использования материального носителя информа­ция, не утрачивая своей целостности и содержательной сущно­сти, может копироваться и тиражироваться.

            Как следствие этого, информация без очевидного (заметно­го) нарушения права собственности на нее может перемещаться от одного субъекта к другому, хотя при этом, по существу, все-таки нарушаются права собственности на информацию для первоначального субъекта информационных отношений.

            С учетом специфичности информационных отношений и особенностей информационной собственности (копируемость, перемещаемость, отчуждаемость) в этой сфере специально вво­дятся понятия собственника, владельца и пользователя информа­ционных ресурсов.

            Собственник информационных ресурсов - это субъект, реа­лизующий в полном объеме полномочия владения, пользования, распоряжения этими объектами. Право распоряжаться информа­цией является исключительным правом собственника. Согласно этому праву никто другой, кроме собственника, не определяет, кому данная информация может быть предоставлена во владение или пользование.

            Владелец информации - это субъект, осуществляющий владение и пользование информацией и реализующий полномо­чия распоряжения в пределах прав, установленных законом и (или) собственником информации. При этом право владения под­разумевает наличие этой информации в неизменном виде, а право пользования - использование ее в своих интересах.

            Пользователь (потребитель) информации - это субъект, поль­зующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и пра­вилами доступа к информации либо с их нарушением.

            Субъект права собственности на информацию может распо­рядиться и передать часть своих прав, не теряя их сам, другим субъектам, например "хранителю", т.е. владельцу материального носителя информации (это - владение и, может быть, пользование) или пользователю для использования в его интересах (это -пользование и, может быть, владение).

            Таким образом, к информации, кроме субъекта права собст­венности на эту информацию, могут иметь доступ другие субъек­ты, причем такой доступ может осуществляться как законно, санкционированно, так и незаконно, несанкционированно. Воз­никает сложная система взаимоотношений между этими субъек­тами права собственности.

            Эти взаимоотношения должны регулироваться и охранять­ся, как и для любого другого объекта собственности, с помощью соответствующих структур власти: законодательной власти - судеб­ной власти - исполнительной власти (закон - суд - наказание). В этой цепочке главенствующим является именно закон, рассмат­ривающий информацию в качестве объекта права собственности.

 

2.3. Информационное противоборство. Информационные войны и информационное оружие

 

            Хранящаяся, передаваемая и обрабатываемая информация, являясь объектом права собственности, безусловно, нуждается в соответствующей защите, препятствующей ее разрушению, мо­дификации, хищению, несанкционированному распространения и т.д.

            Угрозами нарушения защиты информации могут стать все­возможные как случайные, так и преднамеренные события, про­цессы или явления, приводящие к утечке, утрате целостности, конфиденциальности или доступности информации.

            Реальность существования таких угроз в современных усло­виях вполне очевидна. Кроме того, достаточно велика мера их опасности с точки зрения возможностей проявления последствий.

            Цена последствий, к которым приводит нарушение защиты информации, может быть самой различной: от невинных недора­зумений до громадных финансовых убытков. Так, по оценкам специалистов, в США, например, убытки от несанкционированного проникновения в информационные системы банковских уч­реждений ежегодно достигают десятков миллионов долларов.

            Современный научно-технический прогресс создает пред­посылки для реализации все новых и новых угроз информацион­ной безопасности. Наблюдается постоянное противоборство воз­никающих угроз с существующим уровнем защиты информации. По своей сути такое противоборство напоминает противостояние брони и снаряда, поражающего эту броню.

            Несмотря на все возрастающие усилия, предпринимаемые обществом с целью защиты информации, угрозы информацион­ной безопасности и потери от их проявления не только не сни­жаются, но даже растут.

            В результате реализации угроз информационной безопасно­сти может быть нанесен серьезный ущерб жизненно важным ин­тересам страны в политической, экономической, оборонной и других сферах деятельности, причинен социально-экономический ущерб обществу и отдельным гражданам.

            Реализация угроз может затруднить принятие важнейших политических, экономических и других решений, подорвать го­сударственный авторитет страны на международной арене, на­рушить баланс интересов личности, общества и государства, дис­кредитировать органы государственной власти и управления, на­рушить функционирование системы государственного управле­ния, кредитно-финансовой и банковской сферы, а также систем управления войсками и оружием, объектами повышенной опас­ности.

            Следствием реализации угроз информационной безопасно­сти может явиться существенный экономический ущерб в раз­личных областях общественной жизни, снижение темпов научно-технического развития страны, подрыв оборонного потенциала.

            По оценкам американских экспертов, нарушение работы ком­пьютерных сетей, используемых в системах управления государст­венными и банковскими структурами США, способно нанести экономике страны ущерб, сравнимый с ущербом от применения против США ядерного оружия.

            Стремительное развитие современных информационных технологий может уже в недалеком будущем привести к возникновению так называемых информационных войн как новой фор­мы государственного противоборства. Суть такой войны состоит в достижении какой-либо страной (или группой стран) подав­ляющего преимущества в информационной области, позволяю­щего с достаточно высокой степенью достоверности моделиро­вать поведение "противника" и оказывать на него в явной или скрытой форме выгодное для себя влияние.

            Нужно отметить, что страны, проигравшие информацион­ную войну, проигрывают ее "навсегда", поскольку их возможные шаги по изменению ситуации, которые сами по себе требуют ко­лоссальных материальных и интеллектуальных затрат, будут контролироваться и нейтрализовываться победивший стороной.

            Средством ведения информационной войны является инфор­мационное оружие, которое представляет собой совокупность средств и методов, позволяющих похищать, искажать или унич­тожать информацию, ограничивать или прекращать доступ к ней законных пользователей, нарушать работу или выводить из строя компьютерные и телекоммуникационные системы, используемые в обеспечении жизнедеятельности общества и государства.

            Сфера применения информационного оружия не ограничи­вается исключительно военной областью, а распространяется также на экономическую, банковскую, социальную и иные сферы с целью:

            -дезорганизации деятельности управленческих структур, транспортных потоков и средств коммуникации;

            - блокирования деятельности отдельных предприятий и бан­ков, а также целых отраслей промышленности путем нарушения многозвенных технологических связей и системы взаиморасче­тов, проведения валютно-финансовых махинаций и т.п.;

            - инициирования крупных техногенных катастроф на терри­тории противника в результате нарушения штатного управления технологическими процессами и объектами, имеющими дело с большими количествами опасных веществ и высокими концен­трациями энергии;

            - массового распространения и внедрения в сознание людей определенных представлений, привычек и поведенческих стерео­типов;

            - вызова недовольства и паники среди населения, а также провоцирования деструктивных действий различных социальных групп.

            В качестве основных объектов применения информацион­ного оружия в мирное и военное время выступают:

            - компьютерные и телекоммуникационные системы, исполь­зуемые государственными и правительственными организациями при выполнении своих управленческих функций;

            - военная информационная инфраструктура, решающая за­дачи управления боевыми средствами;

            - информационные   и   управленческие  структуры   банков, транспортных и промышленных предприятий;

            - средства массовой информации, и в первую очередь элек­тронные (радио, телевидение и т.д.).

            На сегодняшний день уже можно привести примеры ис­пользования информационного оружия в различных междуна­родных конфликтах. Так, в ходе военной операции "Буря в пус­тыне" (1991 г.) США широко использовали против иракских сис­тем командования и управления средства радиоэлектронной раз­ведки и борьбы, существенно повлиявшие на исход войны.

            В качестве информационного оружия рассматриваются воз­можности создания принципиально новых вирусов и средств их внедрения в компьютерные системы противника. Разрабатывают­ся технологии создания специальных электронных ловушек в микросхемах, используемых в системах вооружения противника. Такие микросхемы-ловушки при получении определенной ко­манды смогут контролировать использование этих систем или нарушать их работу. Подобные микросхемы могут устанавливаться и в системах гражданского назначения.

            Таким образом, можно сказать, что уже существующие или потенциально возможные средства ведения информационной войны представляют серьезную угрозу интересам национальной : безопасности.

 

2.4. Информационная безопасность как составляющая

национальной безопасности. Государственная политика РФ в области информационной безопасности

 

            В настоящее время, как уже отмечалось, нормальная жизне­деятельность общественного организма полностью определяется уровнем развития, качеством функционирования и безопасно­стью информационной среды. Производство и управление, обо­рона и связь, транспорт и энергетика, финансы, наука, образова­ние, средства массовой информации - все зависит от интенсивно­сти информационного обмена, полноты, своевременности и дос­товерности информации.

            Информация становится сегодня тем главным ресурсом на­учно-технического и социально-экономического развития обще­ства, который, в отличие от большинства традиционных ресур­сов, не только не убывает (невосполнимо расходуется), а неук­лонно растет. Чем больше и быстрее внедряется в производство качественно новой информации, тем выше жизненный уровень народа, экономический, оборонный и политический потенциал страны.

            Целостность современного мира как сообщества обеспечи­вается, в основном, за счет интенсивного информационного об­мена. Приостановка глобальных информационных потоков даже на короткое время способна привести к не меньшему кризису, чем разрыв межгосударственных экономических отношений. В этих условиях информационная инфраструктура общества стано­вится все более уязвимой мишенью для информационной агрессии и терроризма.

            Вот почему проблема обеспечения безопасности РФ в инфор­мационной сфере должна рассматриваться как одна из приори­тетных задач в обеспечении национальной безопасности страны. В "Концепции национальной безопасности Российской Федера­ции", утвержденной Указом Президента № 1300 от 17 декабря 1997 г., отмечается, что "в современных условиях всеобщей ин­форматизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности РФ в информационной сфере".

            Государство должно обеспечить в стране соответствующий уровень информационной безопасности как в масштабах всего государства, так и на уровне организаций и отдельных граждан. В "Доктрине информационной безопасности Российской Федера­ции", утвержденной Президентом 9 сентября 2000 г., определены важнейшие задачи государства в этой области:

            - установление необходимого баланса между конституцион­ными правами и свободами человека и гражданина в области по­лучения информации и пользования ею и допустимыми ограни­чениями ее распространения;

            - информационное обеспечение государственной политики Российской Федерации, ее официальной позиции по социально значимым событиям российской и международной жизни;

            - ускорение развития и широкое внедрение новых информа­ционных технологий с учетом вхождения России в глобальную информационную инфраструктуру;

            - развитие отечественной индустрии средств информатиза­ции, телекоммуникации и связи, обеспечение потребностей внут­реннего рынка ее продукцией и выход этой продукции на миро­вой рынок;

            - обеспечение накопления, сохранности и эффективного ис­пользования отечественных информационных ресурсов, защита государственного информационного ресурса и, прежде всего, в федеральных органах государственной власти и на предприятиях оборонного комплекса;

            - разработка соответствующей нормативно-правовой базы и координация деятельности органов государственной власти и других органов, решающих задачи обеспечения информационной безопасности.

            Усилия государства должны быть направлены на воспита­ние ответственности граждан за неукоснительное выполнение правовых норм в области информационной безопасности. Необ­ходимо использовать все доступные средства для сохранения и укрепления нравственных ценностей общества, формирования у граждан патриотизма, чувства гордости за принадлежность стра­не, коллективу.

            Важной задачей государства является повышение уровня образования граждан в области современных информационных технологий. Большая роль в этой работе принадлежит образова­тельной системе государства, государственным органам управления, средствам массовой информации. Это важное направление реализации государственной политики информационной безо­пасности.

 

2.5. Структура государственных органов РФ, обеспечивающих информационную безопасность

 

            Выработку государственной политики информационной безо­пасности, подготовку законодательных актов и нормативных до­кументов, контроль над выполнением установленных норм обес­печения защиты информации осуществляют государственные ор­ганы, структура которых приведена на рис.2.1.

Рис. 2.1. Структура государственных органов, обеспечивающих проведение политики информационной безопасности в РФ

            Возглавляет государственные органы обеспечения инфор­мационной безопасности Президент РФ. Он руководит Советом Безопасности и утверждает указы, касающиеся обеспечения безопасности информации в государстве.

            Общее руководство системой информационной безопасно­сти, наряду с другими вопросами государственной безопасности страны, осуществляют Президент и Правительство Российской Федерации.

            Органом исполнительной власти, непосредственно зани­мающимся вопросами государственной безопасности, является Совет Безопасности при Президенте РФ. В состав Совета Безопас­ности входит Межведомственная комиссия по информационной безопасности. Комиссия готовит указы Президента, выступает с законодательной инициативой, координирует деятельность руко­водителей министерств и ведомств в области информационной безопасности государства.

            Рабочим органом Межведомственной комиссии по инфор­мационной безопасности является Государственная техническая комиссия при Президенте РФ. Эта комиссия осуществляет подго­товку проектов законов, разрабатывает нормативные документы, организует сертификацию средств защиты информации (за ис­ключением криптографических средств), лицензирование дея­тельности в области производства средств защиты и обучения специалистов по защите информации. Она координирует и на­правляет          деятельность          государственных          научно-исследовательских учреждений, работающих в области защиты информации. Эта комиссия обеспечивает также работу Межве­домственной комиссии по защите государственной тайны.

            На Межведомственную комиссию по защите государствен­ной тайны возложена задача руководства лицензированием пред­приятий, учреждений и организаций, связанных с использовани­ем сведений, составляющих государственную тайну, с созданием средств защиты информации, а также с оказанием услуг по защи­те гостайны.

            Федеральное агентство правительственной связи и инфор­мации (ФАПСИ) при Президенте РФ обеспечивает правительст­венную связь и информационные технологии государственного управления. Агентство осуществляет сертификацию всех средств, используемых для этой цели, лицензирует все предприятия, учреждения и организации, занимающиеся производством таких средств. В исключительном ведении ФАПСИ находятся вопросы сертификации и лицензирования в области криптографической защиты информации.

            В 2003 г. Указом Президента РФ было расформировано ФАПСИ, а его функции распределены между Министерством обороны и Федеральной службой Российской Федерации.

            В министерствах и ведомствах создаются иерархические структуры, обеспечивающие руководство соответствующим уровнем необходимой политики информационной безопасности. Называться эти структуры могут по-разному, выполняя сходные функции.

 

Контрольные вопросы

 

1.   Поясните необходимость сбалансированного обеспечения инфор­мационной безопасности личности, общества и государства.

2.   В чем состоит различие между массовой и конфиденциальной информацией?

3.   Какие существуют виды тайн?

4.   Рассмотрите особенности и виды информации, составляющей коммерческую тайну.

5.   Какая информация является объектом права собственности и какие особенности для нее характерны?

6.   Чем различаются права собственника, владельца и пользова­теля информации?

7.   В чем может проявиться на уровне государств информацион­ное противоборство? Каковы возможные последствия приме­нения информационного оружия?

8.   Укажите задачи государства в области информационной безо­пасности.

9.   Поясните роль и место информационной безопасности в обес­печении безопасности государства.

10. Укажите функции государственных органов РФ, обеспечи­вающих информационную безопасность.

 

ГЛАВА 3. УГРОЗЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ

 

3.1. Компьютерная система как объект защиты информации

 

            Современная компьютерная система (КС) является по сво­ему назначению и содержательной сущности информационной системой (ИС), представляющей собой взаимосвязанную сово­купность средств, методов и персонала, обеспечивающих сбор, хранение, обработку, передачу и отображение информации в ин­тересах достижения поставленной цели.

            Функциональной основой любой ИС являются протекаю­щие в ней информационные процессы. Характер этих процессов определяется соответствующей информационной технологией (ИТ). Информационная технология - это совокупность средств и методов сбора, обработки, передачи данных (первичной ин­формации) для получения информации нового качества (инфор­мационного продукта) о состоянии объекта, процесса или явле­ния. Иначе говоря, информационная технология представляет со­бой процесс, реализуемый в среде информационной системы.

            В настоящее время сложилась устойчивая категория так на­зываемых пользователей ИС, т.е. лиц, обращающихся к инфор­мационной системе для получения необходимой информации. Целью создания ИС является удовлетворение потребностей поль­зователей в своевременном получении достоверной информации и сохранении ее конфиденциальности (в случае необходимости), информация является конечным "продуктом потребления" и вы­ступает в виде центральной компьютерной информационной сис­темы.

            Информационные системы являются наиболее важной состав­ляющей процесса использования информационных ресурсов об­щества. К настоящему времени они прошли несколько эволюци­онных этапов, смена которых определялась, главным образом, развитием научно-технического прогресса, появлением новых технических средств хранения, обработки и передачи информа­ции.

            В современном обществе основным техническим средством автоматизированной обработки информации стал компьютер, оснащенный разнообразными программными средствами. Реали­зуемые на его основе компьютерные системы могут быть не только сосредоточенными в одном месте, но и распределенными по территории. В последнем случае используются средства теле­коммуникации, соединенные с компьютерами. Таким образом, понятие компьютерной системы является, достаточно широким и охватывает не только автономные компьютеры индивидуального пользования, но и многопользовательские компьютерные систе­мы и сети (локальные, региональные и глобальные).

            Компьютерная система, подобно любым другим информа­ционным системам, является также объектом защиты. Предметом защиты в КС является информация. Применительно к КС инфор­мация материализуется в виде так называемых данных, представ­ленных на машинных носителях или отображаемых физическим состоянием различных электронных и электромеханических уст­ройств. В качестве машинных носителей информации обычно используются бумага, магнитные ленты, диски различных типов. Физическое состояние технических средств КС, участвующих в хранении, обработке и передаче данных, идентифицируется соот­ветствующими уровнями электрических сигналов, представляю­щих двоично-кодированную информацию.

            Для обеспечения безопасности информации в компьютер­ных системах требуется защита не только технических, но и про­граммных средств таких систем. Программные средства сами по себе являются частью информационного ресурса компьютерной системы, кроме того, от их безопасности существенно зависит безопасность любой другой информации, которая хранится, пе­редается или обрабатывается в КС. Таким образом, для защиты информации в КС необходимо защищать технические и про­граммные средства, а также машинные носители от несанкцио­нированных (неразрешенных) воздействий на них.

            Однако такое рассмотрение компьютерных систем как объ­ектов защиты информации является неполным. Дело в том, что компьютерные системы относятся к классу человеко-машинных информационных систем. Такие системы разрабатываются, об­служиваются и эксплуатируются соответствующими специали­стами, которые являются также носителями информации, имеющими самый непосредственный доступ к системе. Вот почему от несанкционированных воздействий необходимо защищать не только программно-технические средства компьютерных систем, но и обслуживающий персонал и пользователей.

            При решении проблемы защиты информации в КС необхо­димо учитывать противоречивость человеческого фактора. Об­служивающий персонал и пользователи могут быть объектом и источником несанкционированного воздействия на информацию.

            Таким образом, компьютерная система как объект защиты представляет собой совокупность следующих взаимосвязанных ком­понентов:

            -информационных массивов, представленных на различных машинных носителях;

            -технических средств обработки и передачи данных (ком­пьютерных и телекоммуникационных средств);

            -программных средств, реализующих соответствующие ме­тоды, алгоритмы и технологию обработки информации;

            -обслуживающего персонала и пользователей системы, объе­диненных по организационному, предметно-тематическому, тех­нологическому и другим принципам для выполнения автомати­зированной обработки информации (данных) с целью удовлетво­рения информационных потребностей субъектов информацион­ных отношений.

            В специальной литературе компьютерная система как объ­ект защиты информации часто рассматривается в еще более ши­роком смысле. Для таких систем понятие "объект" включает в себя не только информационные ресурсы, программно-технические сред­ства, обслуживающий персонал, пользователей, но и помещения, здания, а также прилегающую к зданиям территорию.

 

3.2. Понятие угрозы информационной безопасности в КС

 

            Для того чтобы обеспечить эффективную защиту информа­ции в компьютерной системе, необходимо в первую очередь рас­смотреть и проанализировать все факторы, представляющие уг­розу информационной безопасности.

            Под угрозой информационной безопасности КС обычно понимают потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая в ней хранится и обрабатыва­ется.

            Такие угрозы, воздействия на информацию непосредственно или опосредованно через другие компоненты компьютерной сис­темы (программно-технические средства, обслуживающий персонал, пользователей) могут привести к уничтожению, искажению, ко­пированию, хищению, несанкционированному распространению информации, к ограничению или блокированию доступа к ней и т.д.

            В настоящее время рассматривается достаточно обширный перечень реально существующих и потенциально возможных угроз информационной безопасности в компьютерных системах. По­следствия проявления таких угроз, если для них не созданы необ­ходимые препятствия, могут оказаться вес'ьма существенными и даже катастрофическими не только для отдельных граждан, предприятий или организаций, но и для национальных интересов государства в целом.

            Независимо от специфики конкретных видов угроз инфор­мационная безопасность должна сохранять целостность, конфи­денциальность, доступность.

            Целостность информации заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Угроза нарушения целостности включает в себя любое умышленное изменение информации, хранящейся в компьютерной системе или передаваемой из одной системы в другую. Целостность также будет нарушена, если к не­санкционированному ее изменению приводят случайные сбои и отказы в работе технических средств, ошибки при разработке программно-технических средств, непреднамеренные ошибки персонала и пользователей в процессе эксплуатации компьютер­ной системы. В отличие от перечисленных несанкционированных угроз нарушения целостности возможно санкционированное из­менение информации, которое планируется и выполняется, например, периодически с целью необходимой коррекции опреде­ленных баз данных.

            Конфиденциальность информации - это свойство, указы­вающее на необходимость введения ограничений на круг субъек­тов, имеющих доступ к данной информации. Данное свойство информации вытекает из объективной необходимости защиты за­конных интересов отдельных субъектов информационных отно­шений. Угроза нарушения конфиденциальности информации мо­жет привести к ситуации, в которой данная информация стано­вится известной тому, кто не располагает полномочиями доступа к ней.

            Доступность информации - это свойство системы, в кото­рой циркулирует информация, характеризующее способность обеспечивать своевременный и беспрепятственный доступ субъ­ектов к интересующей их информации и готовность соответст­вующих автоматизированных служб к обслуживанию поступаю­щих от субъектов запросов всегда, когда в этом возникает необ­ходимость. Угроза недоступности информации возникает всякий раз, когда в результате преднамеренных действий других пользо­вателей или злоумышленников блокируется доступ к некоторому ресурсу компьютерной системы. Такое блокирование может быть постоянным, т.е. запрашиваемый ресурс никогда не будет полу­чен. Блокирование может вызывать только задержку запраши­ваемого ресурса, достаточно продолжительную для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчер­пан.

            Угрозой ограничения доступа никогда не следует пренебре­гать из-за ограниченности ресурсов компьютерных систем, в том числе ресурсов системы идентификации пользователей, основан­ной на введении паролей. Злоумышленник может направить в систему идентификации множественный поток ложных паролей. В итоге пользователь, даже и имеющий право доступа к ресурсам системы, не сможет пробиться к системе идентификации, чтобы ввести своей правильный пароль.

            Рассмотренные виды основных угроз информационной безопасности (нарушения целостности, конфиденциальности и доступности информации) являются для компьютерных систем первичными или непосредственными, так как их реализация при­водит к непосредственному воздействию на защищаемую ин­формацию. Однако такие воздействия проявляются в полной ме­ре лишь в том случае, если на их пути не создано никаких систем защиты или других препятствий.

            В современных компьютерных системах всегда обеспечива­ется тот или иной уровень защиты информации. Информация ни­когда не представляется "в чистом виде", на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угро­жать, скажем, нарушением конфиденциальности, атакующая сто­рона должна преодолеть эту систему. Поскольку не существует, в принципе, абсолютно стойких систем защиты, то все, в конечном счете, сводится ко времени и средствам, необходимым на их пре­одоление.

            Для преодоления существующей системы защиты необхо­димо предварительно получить тем или иным способом данные о параметрах и характеристиках этой системы. В связи с этим угро­за раскрытия параметров КС, включая параметры ее системы защиты, обычно рассматривается как еще один вид угроз инфор­мационной безопасности.

            Данная угроза раскрытия является опосредованной. В ре­зультате ее реализации не причиняется какой-либо ущерб обра­батываемой в КС информации, однако при этом существенно усиливаются возможности проявления названных ранее первич­ных или непосредственных угроз.

 

3.3. Классификация и общий анализ угроз информационной безопасности в КС

 

            Угрозы информационной безопасности, рассмотренные в предыдущем параграфе, интерпретировались некими обезличен­ными событиями, которые вызывали нарушения целостности, кон­фиденциальности или доступности информации. На самом деле любая угроза, вызывающая такие негативные последствия, пред­ставляет собой процесс, протекающий в пространстве и времени.

            Для возникновения таких угроз всегда существуют опреде­ленные предпосылки, причины и источники. Для их передачи и распространения используются соответствующие каналы. Объектом атакующего воздействия могут стать те или иные компоненты компьютерной системы.

            Все это требует систематизированной оценки и классифика­ции с целью выработки обоснованных требований к системе за­щиты, способной противодействовать существующим или потен­циально возможным угрозам.

            Классификация угроз информационной безопасности ком­пьютерных систем может быть проведена по ряду базовых при­знаков.

                        1. По природе возникновения

            1.2. Естественные угрозы, т.е. угрозы, вызванные воздействиями на КС и ее           компоненты, объективных физических процессов или стихийных природных         явлений, не зависящих от челове­ка.

            1.2. Искусственные угрозы, т.е. угрозы, вызванные деятельно­стью человека.

                        2. По степени преднамеренности проявления

            2.1. Случайные угрозы.

            2.2. Преднамеренные угрозы.

            Названные подклассы угроз достаточно хорошо структурированны, наиболее представительно и полно охватывают все ви­ды угроз, поэтому они будут рассмотрены более подробно в по­следующих параграфах.

                        3. По непосредственному источнику угроз

            3.1. Угрозы,  непосредственным  источником которых является природная среда   (стихийные бедствия, магнитные бури, ра­диоактивное излучение и т.п.).

            3.2. Угрозы,  непосредственным  источником  которых  является человек:

            -  внедрение агентов в персонал системы;

            -   вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных         пользователей;                                                  

            -  угроза несанкционированного копирования конфиденциальных данных   пользователей;                                            

            -разглашение, передача или утрата атрибутов разграничения доступа (паролей,      ключей шифрования, идентификационных карточек, пропусков и т.п.).

            3.3. Угрозы, непосредственным источником которых являются санкционированные         программно-аппаратные средства в слу­чаях:

            -  ошибок, допущенных при их разработке;

            - сбоев или отказов в процессе эксплуатации;                      

            - некомпетентного использования.

            3.4. Угрозы, непосредственным источником которых являются          несанкционированные программно-аппаратные средства (не­легально внедренные     программно-аппаратные "закладки" или деструктивные вредительские программы,          часто назы­ваемые вирусами).

                        4. По положению источника угроз

            4.1. Угрозы, источник которых расположен вне контролируемой зоны, территории             (помещения), на которой находится КС:

            -  перехват   побочных   электромагнитных,   акустических   и других излучений, а             также наводок на вспомогательные технические средства, непосредственно не      участвующие в обработке информации (телефонные линии, цепи электро­питания,          заземления и т.п.);

            -  перехват данных, непосредственно передаваемых по кана­лам связи;

            -  дистанционная фото- и видеосъемка.

            4.2. Угрозы, источник которых расположен в пределах контроли­руемой зоны,        территории (помещения), на которой находится КС:

            -  хищение производственных отходов (распечаток, записей, списанных носителей           информации и т.п.);

            -  отключение или вывод из строя подсистем обеспечения функционирования       компьютерных систем (электропитания линий связи, систем охлаждения и    вентиляции и т.п.);

            -  применение подслушивающих устройств.

            4.3. Угрозы, источник которых имеет доступ к периферийным устройствам КС      (терминалам).

            4.4. Угрозы, источник которых непосредственно расположен в КС и связан либо с             некорректным использованием ресурсов КС, либо с количественной или

            качественной недостаточностью этих ресурсов, которая была изначально заложена           на стадии проектирования компьютерной системы.

                        5. По степени зависимости от активности КС

            5.1. Угрозы, проявляющиеся независимо от активности КС (хи­щение носителей    информации (магнитных дисков, лент, мик­росхем памяти и др.)).

            5.2. Угрозы, которые могут проявляться только в процессе авто­матизированной     обработки данных,  например угрозы рас­пространения программных вирусов.

                        6. По степени воздействия на КС

            6.1. Пассивные угрозы, которые ничего не меняют в структуре и функциональной организации КС (угроза копирования дан­ных).

            6.2. Активные угрозы, при реализации которых вносятся измене­ния в структурную           и функциональную организацию КС (уг­роза внедрения аппаратных и программных             спецвложений).

                        7.  По этапам доступа пользователей или программ к ресур­сам КС                                                                                          

            7.1. Угрозы, которые могут проявляться на этапе доступа к ресурсам КС.                                                                             

            7.2. Угрозы, которые после разрешения доступа реализуются в  результате  несанкционированного  или   некорректного  использования ресурсов КС.                                                      

                        8. По способу доступа к ресурсам КС

            8.1. Угрозы, использующие прямой стандартный путь доступа к ресурсам КС с       помощью незаконно полученных паролей или путем несанкционированного    использования терминалов за­конных пользователей.

            8.2. Угрозы, использующие скрытый нестандартный путь доступа к ресурсам КС в            обход существующих средств защиты.

                        9.По текущему месту расположения информации, хранящейся и       обрабатываемой в КС

            9.1 Угроза доступа к информации на внешних запоминающих устройствах (путем копирования данных с жесткого диска).

            9.2. Угроза доступа к информации в основной памяти (путем не­        санкционированного обращения к памяти).

            9.3. Угроза доступа к информации,  циркулирующей в линиях связи (например,      путем незаконного подключения).

            9.4. Угроза доступа к информации, отображаемой на терминале или печатающем   принтере (угроза записи отображаемой ин­формации на скрытую видеокамеру).            Рассмотренные угрозы безопасности компьютерных систем обычно анализируются системно и комплексно с точки зрения вероятностей возникновения, а также с учетом тех последствий, к которым приводит их реализация.

 

3.4. Случайные угрозы информационной безопасности

 

            Данные угрозы не связаны с преднамеренными действиями злоумышленников и реализуются в зависимости от случайных факторов в случайные моменты времени. При этом могут проис­ходить уничтожение, модификация, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, хотя при этом создаются предпосылки для предна­меренного воздействия на информацию.

            Механизм реализации случайных угроз в целом достаточно хорошо изучен, тем не менее, реальные последствия таких угроз являются в настоящее время весьма существенными. По стати­стическим данным, до 80% ущерба, наносимого информацион­ным ресурсам КС любыми угрозами, причиняется именно слу­чайными угрозами.

            К случайным обычно относят следующие угрозы:

            -сбои и отказы в работе технических средств;

            -ошибки при разработке КС, в том числе алгоритмические и программные ошибки;

            -ошибки обслуживающего персонала и пользователей;

            -стихийные бедствия и аварии.

            Сущность сбоев и отказов, возникающих в процессе экс­плуатации технических средств, сводится к следующему:            

            сбой - это временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправиль­ное выполнение им в этот момент своей функции;

            отказ - это необратимое нарушение работоспособности ка­кого-либо элемента системы, приводящее к невозможности вы­полнения им своих функций.

            Для сложных компьютерных систем случайные сбои и отка­зы практически неизбежны. Их возникновение может быть вы­звано не только внутренними технологическими причинами, но и побочным влиянием окружающей среды (ее температуры, влаж­ности, радиоактивного фона и др.), а также случайными помеха­ми и наводками, которые появляются в работающей компьютер­ной системе.

            В результате сбоев или отказов нарушается необходимая рабо­тоспособность технических средств, что может привести к уничто­жению или искажению данных, хранящихся и обрабатываемых в системе. Если это случается на программном уровне, то из-за из­менения алгоритма работы отдельных устройств может произой­ти нарушение конфиденциальности информации в результате не­санкционированной ее выдачи на запрещенные устройства (кана­лы связи, мониторы, печатающие устройства и т.п.).

            Для компьютерных систем существует случайная угроза, связанная с ошибками, допущенными при разработке техниче­ских и программных средств. Эти ошибки приводят к последст­виям, аналогичным последствиям сбоев и отказов технический средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для негативного воздействия на рecypсы компьютерной системы. Особую опасность представляют ошибки в операционных системах и в программных средствах защити информации. На общее количество схемных, системотехниче­ских, структурных, алгоритмических и программных ошибок влияют многие другие факторы: квалификация разработчиков системы, условия их работы, наличие опыта и др.

            Определенную угрозу для информационной безопасности компьютерных систем представляют также ошибки обслуживающего персонала и пользователей. Согласно данным Национального института стандартов и технологий США (NIST) до 65% случаев нарушения безопасности информации происходят именно из-за этих причин. Некомпетентное, небрежное или нев­нимательное выполнение сотрудниками своих функциональных обязанностей приводит к уничтожению, нарушению целостности, конфиденциальности информации, а также компрометации меха­низмов защиты.

            К ошибочным действиям человека, обслуживающего ком­пьютерную систему или являющегося ее пользователем, приво­дят и естественные для него особенности: утомляемость, эмоцио­нальность, чувствительность к изменениям состояния окружаю­щей среды и др.

            Трудно предсказуемыми источниками угроз информации являются стихийные бедствия и аварии, которые могут возник­нуть на объекте размещения компьютерной системы. Пожар, на­воднение, землетрясение, удар молнии, выход из строя электро­питания и т.д. чреваты для компьютерной системы наиболее раз­рушительными последствиями.

 

3.5. Преднамеренные угрозы информационной безопасности

 

            Преднамеренное происхождение таких угроз обуславлива­ется злоумышленными воздействиями людей на компьютерную систему. Мотивациями для этого могут стать сугубо материаль­ный интерес, желание навредить, простое развлечение с самоутверждением своих способностей.

            Возможности оказания вредительских воздействий в боль­шой степени зависят от статуса злоумышленника по отношению к компьютерной системе.

            Злоумышленником может быть:

            -разработчик КС;

            -сотрудник из числа обслуживающего персонала;

            -пользователь;

            -постороннее лицо.

            Разработчик владеет наиболее полной информацией об ап­паратных и программных средствах КС и имеет возможность внедрения "закладок" на этапах создания и модернизации систем. Однако он, как правило, не получает непосредственного доступа на эксплуатируемые объекты КС.

            Вредительские воздействия на информацию КС могут ока­зать специалисты, обслуживающие эти системы. При отсутствии на рабочем месте законного пользователя или при его халатном отношении к своим должностным обязанностям квалифициро­ванный нарушитель может получить несанкционированный дос­туп к информации, а также ввести вредоносную программу, мо­дифицировать данные, алгоритмы и т.д. При достаточно свобод­ном доступе в помещение, где размещены средства КС, он может визуально наблюдать информацию на средствах отображения и документирования, похитить носители с информацией (дискеты, ленты, листинги и др.) либо снять с них копию.

            Специалисты, обслуживающие КС, обладают различными потен­циальными возможностями для злоумышленных действий.

            Наибольший вред могут нанести сотрудники службы безо­пасности информации, системные программисты, прикладные программисты и инженерно-технический персонал.

            Достаточно опасна ситуация, когда нарушителем является пользователь компьютерной системы, который по эгоистическим или корыстным мотивам, а также в результате несоблюдения ус­тановленного порядка работы с информацией копирует или уничтожает информационные массивы и (или) программы.

            Посторонние лица, не имеющие отношения к КС, находятся (по сравнению в другими злоумышленниками) в наименее вы­годном положении. Если предположить, что они не имеют досту­па к объектам КС, то в их распоряжении имеются только дистанционные средства традиционного шпионажа и возможности ди­версионной деятельности.

            Говоря об угрозах преднамеренного характера в целом, нужно отметить, что в настоящее время они еще недостаточно изучены и постоянно пополняются новыми угрозами. Угрозы этого класса в соответствии с их физической сущностью и меха­низмами реализации могут быть распределены следующим обра­зом:

            -традиционный шпионаж и диверсии;

            -несанкционированный доступ к информации;

            -электромагнитные излучения и наводки;

            -модификация структур КС;

            -вредительские программы.

            В условиях применения компьютерных систем по-прежнему останутся действенными средства традиционного шпионажа и диверсий. Чаще всего они используются для получения сведений о системе защиты, хищения и уничтожения информационных ре­сурсов. Для этой цели применяются:

            -подкуп, шантаж и вербовка сотрудников;

            -подслушивание ведущихся переговоров;

            -дистанционный видеоконтроль помещений;

            -хищение атрибутов системы защиты;

            -сбор и анализ отходов машинных носителей информации.

            Нельзя исключить возможные диверсии (взрывы, поджоги) или угрозу вооруженного нападения террористических групп.

            Опыт применения компьютерных систем показал, что в них, помимо традиционного шпионажа, существует много других возможных направлений утечки информации и путей несанкцио­нированного доступа к ней.

            Несанкционированный доступ к информации (НСДИ) про­исходит обычно с использованием штатных аппаратных и про­граммных средств компьютерной системы, в результате чего на­рушаются установленные разграничения доступа пользователей или процессов к информационным ресурсам.

            Право доступа к ресурсам КС определяется руководством для каждого сотрудника в соответствии с его функциональными обязанностями. Поскольку процессы в КС инициируются в инте­ресах определенных лиц, то и на них также накладываются соот­ветствующие ограничения по доступу к ресурсам. Для реализа­ции установленных правил разграничения доступа в КС создает­ся система разграничения доступа (СРД).

            Если СРД отсутствует, то злоумышленник, имеющий навы­ки работы в КС, может получить без ограничений доступ к любой информации. При имеющейся СРД несанкционированный доступ возможен при фальсификации полномочий пользователей. НСДИ упрощается в результате сбоев или отказов средств КС, а также ошибочных действий обслуживающего персонала и пользовате­лей.

            Процессы обработки и передачи информации техническими средствами КС обычно сопровождаются электромагнитными из­лучениями в окружающее пространство и наведением электриче­ских сигналов в линиях связи, сигнализации, заземления и других проводниках. Они получили название побочных электромагнит­ных излучений и наводок (ПЭМИН). Наибольший уровень элек­тромагнитного излучения в КС присущ работающим устройствам отображения информации на электронно-лучевых трубках. С по­мощью специального оборудования злоумышленник может на расстоянии зафиксировать такие излучения, а затем выделить из них необходимую информацию.

            Следует отметить, что электромагнитные излучения исполь­зуются злоумышленниками не только для получения информа­ции, но и для ее уничтожения. Мощные электромагнитные им­пульсы и сверхвысокочастотные излучения способны уничто­жить информацию на магнитных носителях, могут вывести из строя электронные блоки компьютерной системы.

            Большую угрозу безопасности информации в КС представ­ляет несанкционированная модификация алгоритмической, про­граммной и технической структур системы. Такая модификация может осуществляться на любом жизненном цикле КС. Несанк­ционированное изменение структуры КС на этапах разработки и модификации получило название "закладка". Закладки, внедрен­ные на этапе разработки, очень сложно выявить.

            Программные и аппаратные закладки используются либо для непосредственного вредительского воздействия, либо для обеспечения неконтролируемого входа в систему. Вредительские воздействия закладок на КС оказываются при получении соответствующий команды извне (это характерно обычно для аппа­ратных закладок) или при наступлении определенных событий в системе. Программные и аппаратные закладки, способствующие реализации неконтролируемого входа в систему, получили назва­ние "люки". Для компьютерной системы могут произойти наибо­лее негативные последствия, если такой вход осуществляется в обход имеющихся средств защиты информации.

            Среди вредительских программ, представляющих собой уг­розу безопасности информации в КС, стали весьма распростра­ненными так называемые компьютерные вирусы. Компьютерный вирус - это специально написанная небольшая по размерам программа, которая после внедрения в программную среду КС спо­собна самопроизвольно присоединяться к другим программам (т.е. заражать их), самостоятельно распространяться путем созда­ния своих копий, а при выполнении определенных условий ока­зывать негативное воздействие на КС. Компьютерный вирус, од­нажды внесенный в систему, распространяется лавинообразно подобно биологической инфекции и может причинить большой вред данным и программному обеспечению.

 

Контрольные вопросы

 

1.   Охарактеризуйте компьютерную систему как объект защиты информации. Что является в ней предметом защиты?

2.   Что понимается под угрозой информационной безопасности в КС? Укажите возможные виды негативных воздействий на информацию, циркулирующую в КС.

3.   Приведите классификацию угроз информационной безопасно­сти КС в зависимости от различных признаков.

4.   Перечислите и охарактеризуйте основные виды случайных уг­роз информационной безопасности КС.

5.   Дайте общую характеристику преднамеренных угроз. Каким может быть статус злоумышленника, реализующего такие уг­розы?

6.   Какие  методы  и  средства характерны для традиционного шпионажа?

7. Поясните сущность несанкционированного доступа к инфор­мации в компьютерной системе.

8.Охарактеризуйте угрозу информационной безопасности, ос­нованную на перехвате побочных электромагнитных излуче­ний и наводок (ПЭМИН).

9.Каким образом реализуется угроза информационной безопас­ности в результате модификаций структур КС?

10. Что представляют собой вредительские программы?

 

ГЛАВА 4. ОБЩАЯ ХАРАКТЕРИСТИКА СРЕДСТВ

И МЕТОДОВ ЗАЩИТЫ ИНФОРМАЦИИ

 

4.1. Эволюция концепции информационной

безопасности в компьютерных системах

 

            Проблема защиты информации в автоматизированных ком­пьютерных системах оказалась в центре внимания специалистов практически одновременно с началом широкого использования средств электронной вычислительной техники для обработки ин­формации. За эти годы, естественно, накоплен опыт изучения рассматриваемой проблемы. Обеспечение необходимой защи­щённости информации в КС приняло в настоящее время уже ре­гулярный характер и осуществляется на промышленной основе с вложением значительных средств. Большое число предприятий и фирм специализируются на разработке и производстве различных средств защиты, оказании необходимой консультационной по­мощи, внедрении и оценке эффективности таких средств на объ­ектах информатизации.

            Несмотря на всё это, острота проблемы информационной безопасности с течением времени не уменьшается (как следовало бы ожидать в результате принимаемых мер и расходуемых ресур­сов), а наоборот приобретает все большую актуальность. Уязви­мость информации в компьютерных системах обусловлена боль­шой концентрацией вычислительных ресурсов, их территориаль­ной рассредоточенностью, долговременным хранением больших объёмов данных на магнитных носителях, одновременным дос­тупом к ресурсам КС многочисленных пользователей.

            Практика функционирования компьютерных систем пока­зывает, что в подобных системах потенциально существует дос­таточно много направлений утечки информации и путей несанк­ционированного доступа к ней (в дальнейшем эти вопросы будут рассмотрены более подробно). Всё это приводит к тому, что, не­смотря на возрастающие усилия, предпринимаемые с целью за­щиты информации, угрозы информационной безопасности и по­тери от их появления не только не снижаются, но даже растут.

            В связи с этим есть необходимость проанализировать эво­люцию концептуальных подходов к обеспечению информацион­ной безопасности в компьютерных системах. Такой анализ представляет интерес не только с познавательной точки зрения, но и с точки зрения выявления тех тенденций, которые оказались доста­точно устойчивыми в силу своей эффективности удовлетворения объективных потребностей защиты информации.

            При этом под концепцией понимается официально приня­тая система взглядов на проблему информационной безопасности на уровне государства, отрасли или отдельной организации. Кон­цепция информационной безопасности обычно формулируется в три этапа.

            На первом этапе должна быть чётко определена целевая ус­тановка защиты информации, т.е. должны быть выявлены те ре­альные ценности, производственные процессы, программы, мас­сивы данных и т. д., которые необходимо защищать. На этом этапе целесообразно также дифференцировать по значимости отдельные объекты, требующие защиты.

            На втором этапе должны быть установлены возможные пути и направления утечки информации, проанализированы наиболее вероятные действия злоумышленников в отношении объектов, нуждающихся в защите информации. Важно определить степень реальной опасности несанкционированного доступа к защищае­мой информации.

            Главной задачей третьего этапа формирования концепции является оценка надёжности и эффективности установленных средств защиты информации на соответствующих объектах.

            Концепция информационной безопасности в целом должна содержать перечень мер, мероприятий и средств, которые при минимальных затратах на их реализацию обеспечивают макси­мальную безопасность при заданном остаточном риске.

            Концепция безопасности является методологической осно­вой реализации так называемой политики безопасности.

            Политика безопасности - это интегральная характеристи­ка, выражающая свойства защищённости компьютерной системы в терминах, представляющих эту систему. Наиболее часто свой­ства защищённости связываются с понятием доступа к ресурсам компьютерной системы. В связи с этим в описании политики безопасности обычно присутствуют три компонента, характери­зующие динамику нарушения информационной безопасности системы:                                     

            -  субъект доступа (угроза, злоумышленник);

            -  объект доступа (часть системы, подверженная воздействию злоумышленника);

            -  канал доступа (среда переноса злоумышленного воздейст­вия).

            Политика безопасности в виде соответствующего документа устанавливает необходимые правила доступа, указывает пути их реализации и определяет базовую архитектуру системы защиты информации.

            Возвращаясь вновь к концепции информационной безопас­ности, отметим, что в ретроспективном плане достаточно чётко рассматриваются три последовательно сменяющих друг друга принципиальных подхода к организации защиты информации.

            Первый из этих подходов условно может быть назван при­митивным. Он характерен для начального периода развития ра­бот по защите информации (60-е годы). Отличительной особен­ностью этого подхода была попытка решить проблему защиты путём разового включения в состав компьютерной системы обра­ботки данных на этапе её создания несложных механизмов защи­ты. При этом господствовало убеждение, что основными средст­вами защиты являются программные средства, причём считалось, что программы защиты информации будут работать эффектив­нее, если их включить в состав общесистемных компонентов программного обеспечения. Первоначально программные меха­низмы защиты включались в состав операционных систем или систем управления базами данных. В результате проведенных ис­следований и испытаний достаточно скоро было установлено, что концепция защиты, основанная на использовании программно-формализованных средств, сконцентрированных в рамках общесис­темного программного обеспечения, не отвечает требованиям на­дёжной защиты информации в компьютерных системах.

            В 70-е годы на смену примитивному (фрагментарному) пришёл полусистемный подход, в основу которого были положе­ны следующие мероприятия:

            -  создание в механизмах защиты специального организую­щего элемента - ядра      безопасности;

            -децентрализация механизмов защиты вплоть до создания элементов, находящихся           под управлением пользователей КС;

            - расширение арсенала используемых ресурсов защиты, особенно технических и    криптографических.

            Однако, несмотря на все принятые меры, надёжная защита информации опять оказалась недостижимой, о чём говорили ре­альные факты злоумышленного доступа к информации. К тому же именно в это время была доказана теория (её иногда называ­ют теоремой Харрисона) о принципиальной невозможности ре­шить для общего случая задачу о безопасности произвольной системы защиты при общем задании на доступ. На этом основа­нии всё чаще стали появляться высказывания о том, что вообще нет предпосылок для надёжного обеспечения информационной безопасности.

            Поиски выхода из такого, казалось бы, тупикового состоя­ния характеризуют третий этап (80-е годы) развития концепции защиты информации, при котором на смену полусистемному приходит системный подход в организации информационной безопасности.

            Для этого подхода характерен взгляд на защиту информа­ции как на непрерывный процесс, осуществляемый на всех эта­пах жизненного цикла КС с помощью комплексного использова­ния всех имеющихся средств защиты. При этом все средства, ме­тоды и мероприятия, используемые для защиты информации, объединяются наиболее рациональным способом в единый цело­стный механизм - систему защиты. К указанным средствам отно­сятся также законодательные и другие нормативно-правовые ак­ты, регламентирующие правила обращения с защищаемой ин­формацией и являющиеся обязательными для соблюдения.

            Дальнейшее углубление системности при формировании концепции защиты информации позволило в последние годы в рамках данной проблемы решать не только задачи анализа и син­теза необходимых средств защиты, но и задачу управления этими средствами с целью наиболее рационального их использования. Целенаправленное управление системой защиты информации Должно, в конечном счёте, обеспечить достижение заранее задан­ного уровня защищённости информации.

 

4.2. Реализация угроз информационной безопасности путём несанкционированного доступа

 

Модель поведения потенциального нарушителя

           

            Рассмотренные в главе 3 угрозы информационной безопас­ности оценивались непосредственно на информационном уровне, т.е. с точки зрения сохранения целостности, конфиденциальности и доступности защищаемой информации без уточнения и детали­зации возможных путей реализации названных угроз, хотя именно последнее является необходимым основанием для выбора адек­ватных средств и методов защиты информации.

            Особенно изощрёнными являются преднамеренные угрозы, которые носят обычно негласный, а следовательно, несанкциониро­ванный характер. Такие угрозы приводят к наиболее тяжёлым по­следствиям.

            Возможные каналы несанкционированного доступа (НСД) к информации можно классифицировать в зависимости от

            -  рабочего состояния КС;

            -  необходимости непосредственного доступа к информаци­онным ресурсам КС.

            По первому признаку каналы НСД делятся на потенциально существующие независимо от состояния КС (например, хищение носителей информации или средств её обработки) и существую­щие только в работающем состоянии КС (например, побочные электромагнитные излучения и наводки, из которых с помощью соответствующих средств может быть получена (выделена) необ­ходимая информация).

            По второму признаку каналы НСД могут быть разделены на каналы, позволяющие получать необходимую информацию дис­танционно (например, путём визуального наблюдения через окна помещений, в которых размещена КС) и требующие доступа в помещения. В свою очередь, каналы НСД, воспользоваться кото­рыми можно только получив доступ в помещения КС, делятся на не оставляющие следы в КС (например, визуальный просмотр изображений на экранах мониторов или документов на бумаж­ных носителях) и на каналы НСД, использование которых оставляет те или иные следы (например, хищение документов или магнитных носителей информации).

            Изложенную классификацию представим в виде табл. 4.1, отражающей 6 типов возможных каналов несанкционированного доступа к информации. Кратко охарактеризуем особенности каж­дого из них.    

                                                                            

Таблица 4.1

Классификационная структура каналов несанкционированного ' доступа к информации

 

            1. Каналы этого типа реализуются без доступа злоумышлен­ника к элементам КС и независимо от технологического процесса обработки информации. Сюда можно отнести подслушивание разговоров с помощью дистанционных средств, провоцирование на разговоры лиц, имеющих отношение к КС, а также хищение носителей информации в момент их нахождения за пределами помещения, где расположена КС.

            2. Каналы этого типа проявляются в процессе обработки ин­формации без доступа злоумышленника к элементам КС. Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ и линий связи, паразитные наводки в цепях питания,  телефонных линиях,  шинах заземления,  осмотр  отходов производства, попадающих за пределы контролируемой зоны.

            3. Каналы данного типа проявляются независимо от процес сов обработки информации и реализуются с доступом злоумышленника к элементам КС, но без изменения последних. К ним носятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.

            4. Каналы данного типа реализуются независимо от процес­сов обработки информации с доступом злоумышленника к эле­ментам КС, но без изменения последних. Сюда относятся визу­альное наблюдение, запоминание и копирование информации в процессе   обработки,   несанкционированное   копирование   про­граммного обеспечения,  маскировка под зарегистрированного пользователя, использование недостатков операционных систем и других средств программного обеспечения для преодоления (обхода) защитных механизмов.

            5. Каналы данного типа проявляются независимо от обра­ботки информации с доступом злоумышленника к элементу КС и с изменением последних. Сюда можно отнести подмену, хищение и уничтожение носителей информации и средств вычислительной техники, внесение несанкционированных изменений (закладок) в программно-аппаратные компоненты КС, заражение программ­ных средств компьютерными вирусами.

            6. Каналы данного типа проявляются в процессе обработки информации с доступом злоумышленника к элементам КС и с изменением последних. К ним относятся незаконное подключе­ние к аппаратуре и линиям связи, установка подслушивающих устройств, разрушение информации, вызванное вирусными воз­действиями и программно-аппаратными закладками.

            Проведённый анализ указывает на то, что в общем случае несанкционированные действия нарушителя (злоумышленника), по отношению к компьютерной системе могут быть самыми различными. В результате таких действий информация, хранящаяся) и обрабатываемая в КС, может быть разрушена, похищена или модифицирована, может утратить свою конфиденциальность или доступность.

            Как социальное явление, подобные действия преднамерен характера прослеживаются особенно заметно в последние 10 лет а многие из них уже квалифицируются как компьютерные поступления.  Наблюдается  стремительный  рост  числа таких злоумышленников по мере интенсивного развития компьютерной техники и, особенно, в результате широкого распространения и использования глобальной вычислительной сети Интернет.

            Для разработки средств противодействия таким угрозам не­обходимо предварительно воссоздать собирательный образ (мо­дель) нарушителя безопасности компьютерных систем. Такая мо­дель должна указывать:

            -  категории лиц, в числе которых может оказаться наруши­тель;

            -  предположения о квалификации нарушителя и его техни­ческой оснащённости;

            -  возможные цели нарушителя и ожидаемый характер его действий.

            Нарушители компьютерной безопасности, первоначально названные хакерами (компьютерными хулиганами, разбойника­ми), неуклонно повышают свою квалификацию, и в настоящее время, помимо начинающих хакеров, существуют хакеры-специалисты и хакеры-профессионалы.

            Начинающий хакер, как правило, молод: обычно это сту­дент или старшеклассник без продуманного плана действий. Он выбирает цель случайным образом, а столкнувшись с трудностя­ми, отступает. Стремясь самоутвердиться, начинающий хакер, руководствуется соревновательными и игровыми побуждениями. Найдя уязвимое место в системе безопасности, он старается со­брать закрытую информацию, но практически никогда не пытает­ся её уничтожить или тайно изменить. Своими победами такой искатель приключений делится только со своими близкими друзьями-единомышленниками. Его техническая оснащённость обычно ограничена домашним компьютером, подключённым к сети Интернет.

            Более серьёзную угрозу для КС представляют хакеры-специалисты, обладающие достаточно высокой квалификацией  компьютерной технике и телекоммуникациях. Их действия более искусны, связаны с целенаправленным преодолением (взло­мом) программно-аппаратных средств защиты для получения или модификации вполне определённых данных. Часто таких хакеров называют кракерами - электронными «взломщиками». В основе их действий обычно лежит корыстная мотивация. Серьёзный ущерб информационным ресурсам КС может быть нанесён, если в качестве таких «специалистов» окажутся ненадёжные сотруд­ники данной фирмы, для которых возможности несанкциониро­ванного доступа к корпоративным данным значительно выше, чем у любых других злоумышленников. Побудительными моти­вами действий таких сотрудников могут быть реакция на выговор или замечание со стороны руководителя, желание ему «отом­стить», недовольство оплатой труда и т. п.

            Серьёзная угроза информационной безопасности исходит также от хакеров-профессионалов, или компьютерных пиратов. Они прекрасно подготовлены в области вычислительной техники и коммуникационных систем, оснащены персональными компьютерами последнего поколения с полным арсеналом современно­го программного обеспечения. Хакеры-профессионалы всегда имеют чёткий план действий, нацеленный на определенные ин­формационные ресурсы. Они тратят обычно много времени на сбор информации об объекте нападения. Их атаки хорошо про­думаны. Для вхождения в компьютерную систему они не рассчи­тывают только на удачу, а всегда разрабатывают наиболее эф­фективный и действенный план. Реализуя этот план, они получа­ют закрытую информацию, после чего стараются уничтожить следы своих действий.

            Нередко профессиональные хакеры объединяются в пре­ступные группировки, стремящиеся к наживе и выполняющие хищение конфиденциальной информации по заказам конкури­рующих фирм и даже иностранных спецслужб. Ими практикуется снятие денежных средств с чужих банковских счетов. Рентабель­ность такого криминального бизнеса очень высока. Ущерб от «виртуальной» преступности значительно превышает ущерб от традиционных видов преступного бизнеса. Пока, к сожалению, нет эффективных способов полной нейтрализации таких угроз.

            При разработке средств защиты от несанкционированного доступа необходимо воссоздать некоторую модель поведения потенциального нарушителя, предполагая в ней наиболее опасную ситуацию:

            -  нарушитель может появиться в любое время и в любом месте периметра компьютерной системы;

            -  квалификация нарушителя может быть на уровне разра­ботчика данной системы;

            -  нарушителю известна информация (в том числе секрет­ная) о принципах функционирования данной системы;

            -  для достижения своей цели нарушитель выбирает наибо­лее слабое звено в          защите;

            -  нарушителем может быть не только постороннее лицо, но и законный      пользователь системы, а также лицо из числа обслуживающего персонала.

            При выборе исходной модели поведения потенциального на­рушителя целесообразен дифференцированный подход. Дело в том, что для различных по назначению и принципам построения компьютерных систем, а также в зависимости от вида и ценности обрабатываемой в них информации наиболее опасная модель по­ведения потенциального нарушителя может быть различной. Очевидно, что важная информация обычно становится объектом нападения более квалифицированного и осведемлённого наруши­теля. Для такой информации и таких нарушителей потребуется рассмотреть большее количество возможных каналов несанкцио­нированного доступа и применить большее количество средств защиты с более высокими показателями прочности.

4.3. Обобщённые модели систем защиты информации

 

            При разработке необходимых средств, методов и мероприя­тии, обеспечивающих защиту информации, необходимо учиты­вать большое количество различных факторов.

            Информация, являясь предметом защиты, может быть представлена на различных технических носителях. В качестве её носителей могут быть люди из числа пользователей и обслуживающего персонала. Информация может подвергаться обработке в компьютерных системах, передаваться по каналам связи и отображаться различными устройствами. Она может различаться по своей ценности. Объектами, подлежащими защите, где может на­ходиться информация, являются не только компьютеры и каналы связи, но и помещения, здания и прилегающая территория. Су­щественно различной может быть квалификация нарушителей, а также используемые способы и каналы несанкционированного доступа к информации.

            Для учёта и анализа всех этих факторов обычно используют некоторую обобщённую модель защиты. В простейшем случае, показанном на рис. 4.1, предмет защиты помещается в некоторую замкнутую оболочку, называемую преградой.

            Прочность защиты зависит от свойств преграды и определя­ется способностью преграды противостоять попыткам преодоле­ния её нарушителем.

            Привлекательность информации как предмета защиты за­ключается в её цене. Это свойство информации часто использу­ется при оценке прочности защиты. При этом считается, что прочность созданной преграды достаточна, если стоимость ожи­даемых затрат на её преодоление потенциальным нарушителем превышает стоимость защищаемой информации.

Рис. 4.1. Модель элементарной защиты: 1 - предмет защиты; 2 - преграда; 3 ~ прочность преграды

            Однако возможен и другой подход. Известно, что со време­нем информация устаревает и теряет свою ценность, т.е. время её жизни ограничено. Тогда за условие достаточной защищённости можно принять превышение затрат времени на преодоление пре­грады нарушителем t_н над временем жизни t_ж информации, т.е. t_н > t_{ж .}

            Рассмотренный идеализированный вариант одноуровневой элементарной защиты информации на практике обычно не при­меняется. В реальных ситуациях, особенно тогда, когда предъяв­ляются повышенные требования к защите информации, исполь­зуется многоуровневая защита, модель которой приведена на рис. 4.2. Для того чтобы добраться до закрытой информации, наруши­тель должен в этом случае преодолеть ("взломать") несколько уровней защиты.

            Рис. 4.2. Модель многоуровневой защиты информации       

 

            Применительно к компьютерным системам можно, напри­мер, выделить следующие уровни защиты:

            -  охрана по периметру территории объекта;

            -  охрана по периметру здания;

            -  охрана помещения;

            -  защита аппаратных средств;                                              

            -  защита программных средств;                                            

            -  непосредственная защита информации.

            На практике в ряде случаев защитный контур любого уров­ня может состоять из нескольких «соединённых» между собой преград с различной прочностью. Модель такой многозвенной защиты представлена на рис 4.3.

            Примером такого вида защиты может служить помещение, в котором размещена аппаратура. В качестве преград с различной прочностью здесь могут служить стены, потолок, пол, окна, две­ри с замками. Названные инженерно-технические средства, дополненные системой контроля доступа в помещение, образуют, на первый взгляд, замкнутый контур по периметру данного по­мещения.

Рис. 4.3. Модель многозвенной защиты: 1, 2, 5 - звенья защитно­го контура; 3 - предмет защиты; 4 - прочность преграды

            Однако замкнутость этого контура весьма относительна, поскольку зависит от предмета защиты. Контур защиты не будет замкнутым до тех пор, пока существует какая-либо возможность несанкционированного доступа к одному и тому же предмету за­щиты. В данном случае имеет место замкнутая преграда, ограничивающая лишь физический доступ в помещение тех или иных лиц.

            Если же в качестве предмета защиты рассматриваются тех­нические и программные средства компьютерной системы или, тем более, сама информация, хранящаяся и обрабатываемая в ней, то контур защиты должен включать ещё и другие звенья, обеспечивающие контроль вскрытия аппаратуры, защиту от под­слушивания, дистанционного видеонаблюдения через окна, nepeхвата побочного электромагнитного излучения и др.                  

            В многозвенном контуре каждое из звеньев должно o6ecneчивать замкнутую преграду для соответствующего канала несанкционированного доступа к данному предмету защиты. В этом случае между звеньями не образуются так называемые "щели", позволяющие осуществлять "обход" соответствующих преград.                                          

            Учитывая,   что  нарушитель,   стремящийся  проникнуть  к предмету защиты, обычно выбирает слабейшее звено, экономи­чески целесообразно применять в многозвенном контуре равно­прочные преграды.

 

4.4. Основные принципы обеспечения информационной безопасности в КС

Для защиты информации в КС на основании руководящих документов Гостехкомиссии РФ могут быть сформулированы следующие положения:

            1.   Информационная безопасность КС основывается на требова­ниях            существующих   законов,   стандартов   и   нормативно-методических документов.

            2.   Информационная безопасность КС обеспечивается комплек­сом программно-   технических средств и поддерживающих их организационных мероприятий.

            3.   Информационная безопасность КС должна реализовываться на всех       технологических этапах обработки информации и во всех режимах          функционирования, в том числе при проведении ремонтных и регламентных работ.

            4.   Программно-технические средства защиты не должны суще­ственно ухудшать   основные функциональные характеристики КС   (надёжность,   быстродействие,         возможность  изменения конфигурации КС и др.).

            5.   Неотъемлемой частью работ по информационной безопасно­сти является оценка             эффективности средств защиты, учиты­вающая всю совокупность технических        характеристик оцени­ваемого объекта, включая технические решения и           практическую реализацию средств защиты.

            6.   Защита КС должна предусматривать контроль эффективности средств защиты.            Этот контроль может быть периодическим или инициироваться по мере   необходимости пользователем КС либо контролирующим органом.

            Рассмотренные подходы могут быть реализованы при обес­печении следующих основных принципов:

            -  системности;

            -  комплексности;

            -  непрерывности защиты;                        

            -  разумной достаточности;                   

            - гибкости управления и применения;

            -  открытости алгоритмов и механизмов защиты;

            -  простоты применения защитных мер и средств.

            Принцип системности. Системный подход к защите КС

предполагает необходимость учёта всех взаимосвязанных, взаи­модействующих и изменяющихся во времени элементов, условий и факторов:

            -  для всех видов информационной деятельности и инфор­мационного проявления;

            -  во всех структурных элементах;

            - при всех режимах функционирования;

            - на всех этапах жизненного цикла КС;

            - с учетом взаимодействия объекта защиты с внешней средой.

            При обеспечении информационной безопасности КС необ­ходимо учитывать все слабые, наиболее уязвимые места системы обработки информации, а также характер и возможные направле­ния воздействий на систему со стороны нарушителей. Система защиты должна строиться не только с учётом всех известных ка­налов проникновения, но и с учётом появления принципиально новых путей реализации угроз информационной безопасности.

            Принцип комплексности. В распоряжении специалистов по компьютерной безопасности имеется широкий спектр различ­ных методов и средств защиты информации. Комплексное их ис­пользование предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существующие, а также возможные каналы реализации угроз и не содержащей слабых мест на стыках отдельных её компонентов.

            Принцип непрерывности защиты. Защита информации -это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла КС (начиная с самых ранних стадий проектирования, а не только на этапе её эксплуатации). Раз­работка системы защиты должна вестись параллельно с разра­боткой защищаемой компьютерной системы. Только в этом случае возможно эффективно обеспечить реализацию всех осталь­ных принципов. Причём в процессе разработки защищенных КС должен соблюдаться разумный компромисс между созданием встроенных неразделимых механизмов защиты и блочных уни­фицированных средств. Только на этапе разработки КС можно также полностью учесть взаимное влияние блоков и устройств самой КС и добиться системности защиты наилучшим образом.

            Разумная достаточность. Создать абсолютно непреодо­лимую систему защиты принципиально невозможно. При доста­точных средствах и времени можно преодолеть любую защиту, поэтому имеет смысл говорить только о некотором приемлемом уровне безопасности. Высокоэффективная система защиты стоит дорого, использует при работе существенную часть ресурсов компьютерной системы и может создавать ощутимые дополни­тельные неудобства для пользователей. Важно правильно вы­брать тот достаточный уровень защиты, при котором затраты, риск и размер возможного ущерба были бы приемлемыми.

            Гибкость системы защиты. Часто приходится создавать системы защиты в условиях большой неопределённости. Приня­тые меры и установленные средства защиты, особенно в началь­ный период их эксплуатации, могут обеспечить как чрезмерный, так и недостаточный уровень защиты. Естественно, для обеспе­чения возможности коррекции этого уровня средства защиты должны обладать определённой гибкостью. Особенно это важно в тех случаях, когда средства защиты необходимо устанавливать на работающую систему, не нарушая процесс её нормального функционирования. Кроме того, внешние условия и требования с течением времени меняются. В таких ситуациях свойство гибко­сти спасает владельцев КС от необходимости принятия карди­нальных мер по полной замене средств защиты на новые.

            Открытость алгоритмов и механизмов защиты. Суть этого принципа состоит в том, что защита информации не должна обеспечиваться только за счёт секретности структурной и функ­циональной организации системы защиты. Специалисты, имею­щие отношение к системе защиты, должны полностью представ­лять себе принципы её функционирования и в случае возникно­вения затруднительных ситуаций адекватно на них реагировать. Однако это вовсе не означает, что информация о конкретной сис­теме защиты должна быть общедоступна - необходимо обеспе­чивать защиту от угрозы раскрытия параметров системы.

            Принцип простоты применения средств защиты. Меха­низмы защиты должны быть интуитивно понятны и просты в ис­пользовании. Защита будет тем эффективнее, чем легче пользова­телю с ней работать. Применение средств защиты не должно быть связано со знанием специальных языков или с выполнением действий, требующих значительных дополнительных трудовых затрат при обычной работе законных пользователей. Не следует требовать от пользователя выполнения рутинных малоприятных ему операций.

 

4.5. Общая характеристика средств и методов защиты информации в компьютерных системах

 

            Противодействие многочисленным угрозам информацион­ной безопасности КС предусматривает комплексное использова­ние различных способов и мероприятий организационного, пра­вового, инженерно-технического, программно-аппаратного, криптографического характера и др. Названные средства также рассматриваются в качестве соответствующих видов обеспечения защиты информации.

            Организационные средства защиты сводятся к регламен­тации доступа к информационным и вычислительным ресурсам, функциональным процессам обработки данных, к регламентации деятельности персонала и др. Организационные мероприятия играют существенную роль в создании надёжного механизма защи­ты, так как возможности несанкционированного использования информационных ресурсов в значительной степени обуславли­ваются не техническими аспектами, а злоумышленными дейст­виями, нерадивостью, небрежностью и халатностью пользовате­лей и персонала, игнорирующего элементарные правила защиты.

            Вопросы обеспечения информационной безопасности са­мым тесным образом связаны не только с решением организаци­онных и научно-технических проблем, но и с вопросами правово­го регулирования отношений в сфере информации. Правовое обеспечение информационной безопасности является многоасектным понятием, включающим как международные, так и на­циональные правовые нормы. Реализация правовых механизмов в области защиты информации невозможна без активной государтвенной политики в этой области. Исключительно важным здесь является то, что обеспечение защиты информации - это, по суще­ству, обеспечение защиты национальных интересов страны. Ос­нову обеспечения информационной безопасности в нашей стране составляют Конституция РФ, законы РФ, кодексы, указы Прези­дента, а также различные нормативно-правовые акты, положения, инструкции, руководства, требования которых обязательны в системе защиты информации. Продвижение нашей страны по пути рыночных преобразований обуславливает необходимость принятия за­конодательных актов, регулирующих правовые отношения в сфе­ре формирования и использования информационных ресурсов. Эти акты гарантируют права физических и юридических лиц на получение информации, но и предотвращают бесхозяйственное отношение к информационным ресурсам, содержат нормы ответ­ственности за правонарушения в области информации.

            Инженерно-технические средства защиты достаточно широки и многообразны и включают в себя физико-технические, аппаратные, технологические, программные, криптографические и другие средства. В приводимой здесь классификации средств защиты мы будем относить к инженерно-техническим средствам только те, которые создают физически замкнутую среду вокруг элементов защиты, создавая тем самым определённое препятст­вие для традиционного шпионажа и диверсий.

            В нашем понимании данные средства обеспечивают сле­дующие рубежи защиты: контролируемая территория, здание, помещение и, наконец, отдельные устройства вместе с носителя­ми информации. Для этой цели применяют различные инженер­ные конструкции, обеспечивающие охрану территории и поме­щений, используют автономные средства защиты аппаратуры с контролем их возможного вскрытия, применяют устройства с низким электромагнитным и акустическим излучением, осущест­вляют экранирование помещений, обеспечивают энергоснабже­ние от автономного источника электропитания и др.

            Программно-аппаратные средства защиты непосредст­венно применяются в компьютерах и компьютерных сетях, со­держат различные встраиваемые в КС электронные, электроме­ханические устройства. Специальные пакеты программ или отдельные программы реализуют такие функции защиты, как раз­граничение и контроль доступа к ресурсам, регистрация и анализ протекающих процессов, событий, пользователей, предотвраще­ние возможных разрушительных воздействий на ресурсы, иден­тификация и аутентификация пользователей и процессов и др.

            Существенное повышение информационной безопасности, особенно при передаче данных в компьютерных сетях или при их обмене между удалёнными объектами, достигается применением средств криптографической защиты. Оставаясь многие годы приви­легией правительственных и военных учреждений, криптография получила в последнее время достаточное распространение, осо­бенно в компьютерных системах банковского и коммерческого назначения. Суть криптографической защиты заключается в при­ведении (преобразовании) информации к неявному виду с помо­щью специальных алгоритмов либо аппаратных средств и соот­ветствующих кодовых ключей. Именно таким образом обычно устанавливается подлинность документов с помощью электрон­ной цифровой подписи.

            Учитывая системный характер влияния на безопасность КС большой совокупности различных факторов и обстоятельств, имеющих различную физическую природу и различные целевые посылки, вполне очевидно, что для эффективного решения этих проблем может быть только комплексный подход к обеспечению информационной безопасности. При этом под комплексной за­щитой понимается целенаправленное применение в системах её обработки всей совокупности имеющихся средств, методов и ме­роприятий, обеспечивающих в целом необходимый уровень за­щищённости информации.

Контрольные вопросы

1.   В какой последовательности обычно формируются концепту­альные подходы в обеспечении информационной безопасно­сти?

2.   Рассмотрите основные этапы в эволюции концепции инфор­мационной безопасности.

3.   Дайте понятие политики безопасности.

4.   На каких положениях основывается реализация политики ин­формационной безопасности?

5.   Дайте классификацию каналов несанкционированного доступа к информации.

6.   Рассмотрите собирательный образ потенциального нарушите­ля информационной безопасности. Как различаются наруши­тели по своим целям, квалификации, технической оснащённо­сти и др.?

7.   Как учитывается модель поведения нарушителя при формиро­вании системы защиты?

8.   Охарактеризуйте одноуровневую, многоуровневую и много­звенную модели системы защиты информации.

9.   Какие принципы лежат в основе обеспечения информацион­ной безопасности?

10. Дайте общую характеристику основных средств и методов защиты информации в КС. 

   

ГЛАВА 5. ОРГАНИЗАЦИОННО-ПРАВОВОЕ

ОБЕСПЕЧЕНИЕ ЗАЩИТЫ ИНФОРМАЦИИ

 

5.1. Общая характеристика организационного

обеспечения защиты информации

 

            Организационные мероприятия играют важную роль в соз­дании надёжного механизма защиты информации, так как воз­можности несанкционированного использования конфиденци­альных сведений зачастую обусловлены не только техническими аспектами, но и злоумышленными действиями, а также неради­востью, небрежностью, халатностью пользователей или обслу­живающего персонала, игнорирующего элементарные правила защиты.

            Организационное обеспечение защиты информации - это рег­ламентация производственной деятельности и взаимоотношений исполнителей, осуществляемая на нормативно-правовой основе таким образом, чтобы сделать невозможным или существенно за­труднить разглашение, утечку и несанкционированный доступ к конфиденциальной информации за счёт проведения соответст­вующих организационных мероприятий. Цель применения орга­низационных средств защиты состоит в том, чтобы исключить или, по крайней мере, свести к минимуму возможности реализации угроз информационной безопасности.                                     

            В компьютерных системах организационные мероприятия выполняют стержневую роль в реализации комплексной системы защиты информации. Только с их помощью возможно объедине­ние на правовой основе инженерно-технических, программно-аппаратных, криптографических и других средств защиты инфор­мации в единую комплексную систему.

            Организационные методы защиты информации тесно связа­ны с правовым регулированием в области информационной безо­пасности. В соответствии с законами и нормативными актами в министерствах, ведомствах, на предприятиях (независимо от форм собственности) для защиты информации создаются специ­альные службы безопасности (на практике они могут называться и иначе). Её штатная структура, численность и состав определя­ются реальными потребностями данного учреждения, степенью конфиденциальности его информации и общим состоянием безо­пасности.

            Служба безопасности возглавляется профессионально под­готовленным лицом, непосредственно ответственным за защиту информации и подчиняющимся руководству учреждения. В аме­риканских публикациях это лицо именуется офицером безопас­ности.

            Основные организационные мероприятия, проводимые дан­ной службой, - разработка перечня охраняемых сведений и про­ведение аттестации помещений с целью выработки конкретных мер для защиты конфиденциальной информации. При аттестации помещений составляются аттестационные паспорта. Эта работа проводится специалистами службы безопасности и оформляется соответствующим актом.

            В каждом конкретном случае названные мероприятия носят специфические для данной организации форму и содержание и направлены на обеспечение информационной безопасности в конкретных условиях.

            Анализ мирового и отечественного опыта обеспечения ин­формационной безопасности говорит о необходимости создания целостной системы, связывающей организационные и организа­ционно-технические мероприятия с использованием современ­ных методов прогнозирования, анализа и моделирования кон­кретных ситуаций.

 

5.2. Основные задачи службы безопасности предприятия

           

            Многогранность сферы организационной защиты информа­ции требует, как уже было отмечено, создания на предприятии специальной службы безопасности, обеспечивающей реализацию всех организационных мероприятий в целях защиты экономиче­ских, технологических, коммерческих и других важных сведений предприятия.

            Решение о создании такой службы принимается руково­дством предприятия и оформляется соответствующим приказом или распоряжением. Служба безопасности предприятия подчиня­йся только руководителю предприятия, либо лицу, которому руководитель предприятия делегировал эти полномочия. Правовое оформление деятельности службы безопасности предприятия ре­гистрируется в соответствующих органах внутренних дел.

            Документы о решении создания службы безопасности должны содержать чёткую формулировку цели её деятельности, а также задачи, возложенные на службу безопасности.

            К числу основных задач службы безопасности относятся:

            - определение перечня сведений, составляющих коммерче­скую тайну;

            -  определение круга лиц, которые в силу занимаемого слу­жебного положения       имеют прямой или косвенный доступ к сведениям, представляющим для   предприятия коммерческую тайну;

            -  определение связанных с данным предприятием сторон­них организаций, на       которых возможен неконтролируемый выход сведений, составляющих      коммерческую тайну;

            - выявление круга лиц, проявляющих интерес к коммерче­ской тайне предприятия             без санкционированного допуска к таким сведениям;

            -  выявление круга лиц, в том числе иностранных, потенци­ально      заинтересованных   в   нанесении   экономического ущерба данному предприятию,             его компрометации и уст­ранении в качестве конкурента;

            -  определение на предприятии технологического оборудо­вания, выход из строя    которого может привести к боль­шим экономическим потерям, а также участков и       объек­тов, наиболее уязвимых в аварийном отношении;

            -  разработка системы защиты конфиденциальных докумен­тов, содержащих            сведения о коммерческой тайне пред­приятия;

            -  определение и обоснование мер технической защиты и охраны предприятия в    целом;

            -  определение наиболее  уязвимых мест в технологии произ­водственного процесса,             материально-техническом обеспе­чении, складском хозяйстве и т.д. и организация             их физи­ческой защиты и охраны;

            -  взаимодействие с органами внутренних дел по обеспече­нию экономической       безопасности предприятия;

            -  изучение, анализ и оценка состояния обеспечения безо­пасности предприятия,    разработка предложений и реко­мендаций по её совершенствованию путём         внедрения но­вейших достижений и передового опыта в этой области;

            -  технико-экономическое обоснование приобретения необ­ходимых средств защиты             информации, получение кон­сультации у специалистов для обеспечения      системности и комплексности безопасности предприятия;

            -  обучение сотрудников службы безопасности в соответст­вии с их   функциональными обязанностями.

            Сотрудник службы безопасности должен быть контактным, уметь строить отношения, в том числе доверительные, с сотруд­никами предприятия; психически уравновешенным, умеющим принимать правильные решения в экстремальных и критических ситуациях. Он должен знать нормативные документы, регламен­тирующие деятельность службы безопасности предприятия, ос­новы уголовного права и уголовно-процессуального кодекса и уметь ими правильно пользоваться; быть честным, преданным своему предприятию, чью безопасность он должен обеспечить.

            На сотрудника службы безопасности в соответствии с его компетентностью возлагаются те или иные функциональные обя­занности. Каждый сотрудник службы безопасности должен знать свои задачи, способы их решения и выполнять непосредственные обязанности.

            Эффективность обеспечения безопасности предприятия мо­жет стать значительно выше, если работа в службе безопасности предприятия будет престижной и высокооплачиваемой. Должна быть разработана система морального и материального поощре­ния сотрудника службы безопасности, которая служит гарантом его компетентности, честности и верности предприятию.

 

5.3. Организационные мероприятия,

обеспечивающие защиту информации

 

Организационные мероприятия играют большую роль  в создании надёжного механизма защиты информации. Регламентируя производственную деятельность и взаимоотношения исполните­лей, они делают невозможным или существенно затрудняют раз­глашение, утечку и несанкционированный доступ к конфиденци­альной информации.  

            К организационным мероприятиям можно отнести:

            -   мероприятия,    осуществляемые    при    проектировании, строительстве и         оборудовании служебных и производственных зданий и помещений (их цель -        исключить возможность тайного проникновения на территорию и в по­мещения;             обеспечить контроль прохода и перемещения людей, проезда транспорта; создать           отдельные производ­ственные зоны по типу конфиденциальности проводимых

            работ с самостоятельными системами доступа и т.п.);

            - мероприятия, проводимые при подборе персонала, включающие знакомство с     сотрудниками, их обучение правилам работы с конфиденциальной информацией,         ознакомление с       мерами ответственности за нарушение правил защиты   информации и др.;

              - организацию и поддержку надёжного пропускного режима и контроля     посетителей;

            -  организацию надёжной охраны помещений и территории;   - организацию          хранения и использования документов и носите лей информации, включая порядок      их учёта, выдачи,   исполнения, возвращения и уничтожения;

            назначение ответственного лица за защиту информации в конкретных         производственных подразделениях, систематический контроль за работой            персонала с конфиденциальной           информацией и т.п.

            Очевидно, что организационные мероприятия охватывают самые различные источники информации и технические средства её переработки. Значительная часть этих мероприятий приходит­ся на работу с персоналом. Организационные мероприятия при работе с сотрудниками предприятий различных форм собствен­ности включают в себя:

            -  беседы при приёме на работу;

            -  ознакомление с правилами работы с конфиденциальной  информацией;

            -  обучение сотрудников;   

            -  беседы с увольняющимися.

            По итогам беседы при приёме на работу устанавливается целесообразность приёма кандидата на соответствующую вакан­сию. Поступающего на работу знакомят с правилами и процеду­рами работы с конфиденциальной информацией. При приёме на работу предприятие может заключить с сотрудником соглашение о неразглашении                                                   конфиденциальной информации, являющейся собственностью предприятия. В подтверждение требований сохранения в тайне коммерческой ин­формации поступающий на работу сотрудник даёт подписку о сохранении коммерческой тайны предприятия, в которой обязу­ется не раскрывать секреты фирмы.

            Обучение направлено на приобретение сотрудником произ­водственных навыков и поддержание их на высоком уровне. Сле­дует убедить работника в том, что необходимо выполнять требо­вания производственной секретности и защиты коммерческой тайны. Часто разглашение конфиденциальной информации про­исходит из-за некомпетентности сотрудников в оценке важности этой информации для упрочнения престижа и финансовой ста­бильности организации.

            Процесс обучения персонала должен быть непрерывным, организованным, обеспеченным материально, а не иметь форму редких, часто необязательных и формальных собраний. Необхо­димо иметь специальную программу обучения, в которой должны быть представлены технология обработки и содержание деловой информации, конкретные обязательства каждого сотрудника по обеспечению информационной безопасности и меры ответствен­ности в рамках данной организации.

            Одним из важных направлений организационных мероприя­тий по защите информации является четкая организация системы делопроизводства, обеспечивающая необходимый порядок учета, обработки, надежного хранения, своевременного уничтожения документов, а также проверку их наличия и контроль за своевре­менностью и правильностью их исполнения.

            Для регламентного обращения с документами, содержащи­ми защищаемую информацию, в системе делопроизводства должны быть соблюдены следующие условия:

            -  фиксация на документе персональных идентификаторов ("подписей") лиц,           изготовивших документ и (или) несу­щих ответственность за него;

            -  фиксация на документе персональных идентификаторов лиц, ознакомившихся с             содержанием соответствующей информации;

            - невозможность незаметного (без оставления следов) изменения содержания        информации даже лицами, имеющими санкционированный доступ к ней;

            - фиксация факта любого (как санкционированного, так и несанкционированного)             копирования  защищаемой информации.

            Организационные средства защиты не сводятся только к ор­ганизационно-административным мероприятиям, проводимым с персоналом организации, но и распространяются на организацию эффективного использования технических, технологических, программно-аппаратных и других средств защиты информации.

            Многогранность и многоаспектность сферы организационной защиты информации привели, как уже было отмечено ранее, к необходимости создания специальной службы безопасности, обеспе­чивающей и направляющей реализацию всех организационных мероприятий.

 

5.4. Необходимость правового регулирования в области защиты информации

 

            Необходимость правового регулирования в области защиты информации в настоящее время вполне очевидна, поэтому в ве­дущих западных странах, а теперь и в России этому вопросу уде­ляется достаточно большое внимание.

            Проблема законодательного регулирования процессов обра­ботки информации начала впервые обсуждаться за рубежом еще в 60-е гг. (в США) в связи с предложением создать общенациональный банк данных. В настоящее время на международном уровне сформировалась устойчивая система взглядов на информацию как ценнейший ресурс жизнеобеспечения общества, правовое регулирование в сфере которого должно идти по следующим трем направлениям.

            1.Защита прав личности на частную жизнь. Этот аспект не является новым для мирового сообщества. Основные принци­пы устанавливающие пределы вмешательства в частную жизнь, определены основополагающими нормами ООН - Декларацией прав человека. В условиях информатизации и компьютеризации современного общества эти принципы находят отражение в на­циональных законодательствах ряда стран Запада. В качестве до­кументов, относящихся к этому направлению, приняты резолю­ция Европарламента "О защите прав личности в связи с процес­сом информатики" (1979 г.) и Конвенция ЕС "О защите лиц при автоматизированной обработке данных персонального характера" (1980 г.).

            2. Защита государственных интересов. Данная проблема решается с помощью достаточно проработанных национальных законодательств,   определяющих   национальные   приоритеты  в этой области. Интеграция стран - членов ЕС потребовала коорди­нации усилий в данном направлении, что нашло отражение в Кон­венции ЕС по защите секретности.

            3. Защита предпринимательской и финансовой деятель­ности. Данный аспект проблемы решается путем создания зако­нодательного механизма, определяющего понятие "коммерческая тайна" и устанавливающего условия для осуществления "доброволь­ной" конкуренции, квалификации промышленного шпионажа как элемента недобросовестной конкуренции. К этому же направле­нию  можно отнести создание механизмов защиты авторских прав, в частности прав авторов программной продукции. Послед­ний аспект отражен в директиве ЕС "О защите программ для ЭВМ и баз данных" (1990 г.).

            В целом, правовое обеспечение защиты информации охва­тывает информационные отношения, возникающие в процессе сбора, обработки, накопления, хранения, поиска, распростране­ния и предоставления потребителю документированной инфор­мации, а также при создании и использовании информационных систем и технологий, при защите прав субъектов, участвующих в информационных процессах и информатизации.

            Основная проблема информационных отношений, по-видимому, заключается в том, что их развитие на базе совершенствования технических средств происходит настолько быстро, что общество, еще не успев осознать полученные результаты, уже получает следующие. Вот почему правовое обеспечение защиты информации должно быть юридически особенно взвешенным и обоснованным.

            В системе правового обеспечения защиты информации вид­ное место занимает правоохранительное законодательство, опре­деляющее нормы ответственности за нарушения в области ин­форматизации и логически завершающее комплекс организационно-правовых мер и средств защиты информации. Оно должно быть направлено не только и не столько на наказания за преступ­ные посягательства на информацию и информационные системы, сколько на их предупреждение. Нужно учитывать то, что уголов­но-репрессивные санкции в этой области отражаются на конституционных правах и свободах конкретных граждан и носят необ­ратимый характер.

 

5.5. Законодательная и нормативно-правовая база РФ в области информатизации и защиты информации

           

            Говоря об отечественном опыте правового обеспечения инфор­матизации и защиты информации, нужно отметить, что этот во­прос был впервые поставлен в нашей стране в 70-х годах в связи с разработкой и применением АСУ различных уровней. Однако нормативная основа в ту пору не вышла за рамки ведомственных актов, нескольких постановлений правительства и аналогичных актов республиканского уровня. По существу, к началу 90-х го­дов законодательное регулирование процессов информатизации нельзя было считать удовлетворительным.

            Необходимо было срочно создавать правовую основу инфор­матизации России, законодательно обеспечить эффективное ис­пользование информационного ресурса общества, урегулировать правоотношения на всех стадиях и этапах информатизации, за­щитить права личности в условиях информатизации, сформировать механизм обеспечения информационной безопасности.

            1991 г. может быть отмечен как начало активной законо­творческой деятельности в этом направлении. В "Декларации прав и свобод человека и гражданина", принятой в 1993 году, закреплено общее право граждан на информацию. Ограничения этого права могут устанавливаться законом только в целях охра­ны личной, семейной, профессиональной, коммерческой и госу­дарственной тайн, а также нравственности.

            Законодательство в области информатизации и информаци­онной безопасности является неотъемлемой частью всей системы законов Российской Федерации. В целях комплексного подхода к формированию законодательства по проблемам информации и информатизации в апреле 1992 г. была утверждена "Программа подготовки законодательного и нормативного обеспечения работ в области информатизации".

            В настоящее время нормативно-правовая база РФ в области информатизации и защиты информации включает в себя:

            -конституционное законодательство, составные элементы которого содержат нормы, касающиеся вопросов информатиза­ции;

            -общие основные законы РФ (о собственности, земле, не­драх, правах граждан и др.), которые также включают нормы по вопросам информатизации. В частности, Гражданский Кодекс РФ (ст. 128) признает информацию в качестве объекта гражданских прав;

            -законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных орга­нов и устанавливающие нормы по вопросам информационного обеспечения их деятельности;

            -специальное законодательство, непосредственно и полно­стью относящееся к конкретным областям информационных от­ношений и являющееся основой правового обеспечения инфор­матизации и защиты информации;

            -подзаконные нормативные акты в области информатиза­ции;

            -правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информа­тизации.

            Из приведенного перечня правовых средств весьма важную роль играет специальное законодательство в области защиты ин­формации. Данное законодательство формируется в нашей стране с 1991 г. и в настоящее время включает в себя следующие федеpaральные законы:

            -"О средствах массовой информации" (от 27.12.91 г. №2124-1);

            - "Патентный закон РФ" (от 23.09.92 г. №3517-1);

            -"О правовой охране топологий интегральных микросхем" (от 23.09.92 г. №3526-1);

            -"О правовой охране программ для электронных вычисли­тельных машин и баз данных" (от 23.09.92 г. №3523-1);

            -"Основы законодательства об Архивном фонде РФ и архивах" (от 7.07.93 г. №5341-1);

            -"Об авторском праве и смежных правах"  (от 0.07.93 г. №5351-1);

            -"О государственной тайне" (от 21.07.93 г. №5485-1);

            -"Об обязательном экземпляре документов" (от 29.12.94 г. №77-ФЗ);

            -"О связи" (от 16.02.95 г. №15-ФЗ);

            -"Об информации, информатизации и защите информации" (от 20.02.95 г. №24-ФЗ);

            -"Об участии в международном информационном обмене" (от 5.06.96 г. №85-ФЗ).

Кроме этих законов, на первом этапе формирования законо­дательства в этой области были изданы указы Президента Рос­сийской Федерации. Вот лишь некоторые из них:

            -"О создании Государственной технической комиссии при Президенте Российской Федерации" (от 5.01.92 г. №9);

            -"Концепция правовой информатизации России" (от 23.04.93 г.

№477);

            -"О дополнительных гарантиях прав граждан на информа­цию" (от 31.12.93 №2334);

            -"Об основах государственной политики в сфере информа­тизации" (от 20.01.94 г. №170);

            -"Вопросы защиты государственной тайны" (от 30.03.94 г. №614);                                                                                          

            -"О совершенствовании деятельности в области информати­зации органов государственной власти Российской Федерации" (от 21.04.94 г. №361);

            -"Вопросы деятельности Комитета при Президенте Россий­ской Федерации по политике информатизации" (от 17.06.94 г. №328);

            -"О совершенствовании информационно-телекоммуникаци­онного обеспечения органов государственной власти и порядке их взаимодействия при реализации государственной политики в сфере информатизации" (от 1.07.94 №1390);

            -"О мерах по обеспечению законности в области разработ­ки, производства, шифрования информации" (от 3.04.95 г. №394); -"Перечень сведений, отнесенных к государственной тайне" (от 30.11.95 г. №1203);

            -"О мерах по упорядочиванию разработки, производства, реализации, приобретения в целях продажи, ввоза в российскую Федерацию и вывоза за ее пределы, а также использования спе­циальных средств, предназначенных для негласного получения информации" (от 9.01.96 г. №21);

            -"Перечень сведений конфиденциального характера" (от 6.03.97 г. №188).

            Среди перечисленных законодательных и нормативных ак­тов особое место занимает базовый закон "Об информации, ин­форматизации и защите информации", в котором законодательно определены основные понятия рассматриваемых процессов: ин­формация; информатизация; информационные системы; инфор­мационные ресурсы; конфиденциальная информация; собствен­ник и владелец информационных ресурсов; пользователь инфор­мации и др.

            Впервые в законодательной практике России закон:

            -определяет обязанности государства в сфере формирования информационных ресурсов и информатизации, основные направ­ления государственной политики в этой сфере;

            -закрепляет права граждан, организаций, государства на информацию;

            -развивает правовой режим признания за документами, по­лученными из автоматизированной информационной системы, юридической силы, в том числе на основе подтверждения элек­тронной цифровой подписью;

            -устанавливает правовой статус информационных ресурсов на основе применения в этой области порядка документированиям права собственности на документы и массивы документов вид формационных системах, деления информации по признаку доступа на открытую и с ограниченным доступом;                           

            -определяет информационные ресурсы как элемент состав имущества и объект права собственности;                                   

            -устанавливает основные права и обязанности государства, организаций, граждан в процессе создания информационных систем, создания и развития научно-технической, производственной I базы информатизации, формирования рынка информационных

продуктов и услуг;

            -разграничивает права собственности и права авторства на информационные системы, технологии и средства их обеспече­ния;

            -устанавливает правила и общие требования ответственно­сти за нарушение норм законодательства в области информатиза­ции и защиты информации в системах ее обработки, гарантии субъектов в процессе реализации права на информацию, гарантии безопасности в области информатизации.

            В данном Законе предусмотрена специальная глава, посвя­щенная защите информации. Согласно этому закону защите под­лежит только документированная информация, содержащая све­дения ограниченного доступа, а степень защиты определяет их собственник, хотя ответственность за выполнение необходимых защитных мер лежит не только на нем, но и на пользователе ин­формации.

            В соответствии с Законом документированная информация с ограниченным доступом в зависимости от условий ее правового режима защиты подразделяется на:

            -государственную тайну (ст. 8);

            -конфиденциальную информацию (ст. 10).

            Поскольку владельцем информации, отнесенной к государ­ственной тайне, является само государство, то, естественно, оно само определяет требования к ее защите, а также контролирует их исполнение. Нарушения этих требований влекут за собой

применение санкций,  предусмотренных Уголовным Кодексом РФ, по всей строгости законов.

            Конфиденциальная информация - это документированная информация, владельцами которой являются государственные, коммерческие и другие организации и учреждения. Они вправе ею распоряжаться, а следовательно, и выбирать степень ее защиты. Правда, применить какие-либо санкции в случае нарушения конфиденциальности можно только после предварительного вы­полнения особых формальностей, оговоренных Гражданским Ко­дексом Российской Федерации.

            Суть этих формальностей (ст. 139 Гражданского Кодекса РФ) состоит в следующем:

            -информация должна иметь действительную или потенци­альную коммерческую ценность; эти сведения не могут быть из­вестны третьим лицам в силу каких-либо других условий;

            -учреждение принимало необходимые меры для исключе­ния на законных основаниях свободного доступа к этой инфор­мации и охране ее конфиденциальности;

            -все сотрудники, владеющие этой информацией, были офи­циально предупреждены об ее конфиденциальности.

            Только в этом случае на законных основаниях можно по­требовать возмещения убытков, нанесенных от нарушения кон­фиденциальности.

            К конфиденциальной информации относятся также персо­нальные данные, которыми владеет каждый из нас и которые ка­саются нашей личной жизни. Учитывая степень значимости этой информации и ее роль в обеспечении безопасности личности, государство взяло ее под защиту и рассматривает как одну из своих важнейших задач.

            Важной составляющей правового регулирования в области информационных технологий является установление ответствен­ности граждан за противоправные действия при работе с компь­ютерными системами. Преступления, совершенные с использо­ванием КС или причинившие вред владельцам компьютерных систем, получили название компьютерных преступлений. В на­шей стране 1 января 1997 г. введен в действие новый Уголовный Кодекс Рф. в главе 28 этого Кодекса. "Преступления в сфере компьютерной информации" впервые приведен перечень призна­ков, характеризующих состав компьютерных преступлений.

            Статья 272 УК РФ "Неправомерный доступ к компьютерной информации"   предусматривает   ответственность,   если   данное деяние повлекло уничтожение, блокирование, модификацию, ко­пирование информации либо нарушение работы компьютерных систем. По этой статье предусмотрены наказания в виде денеж­ного штрафа в размере 200 минимальных зарплат и лишения сво­боды на срок до 5 лет. Отягчающими вину обстоятельствами яв­ляются совершение преступления группой лиц по предваритель­ному сговору либо лицом с использованием своего служебного

положения.

            Санкции ст. 272 УК РФ распространяются только на осуще­ствляемый умышленно неправомерный доступ к компьютерной информации. Совершая это деяние, преступник осознает, что непра­вомерно вторгается в компьютерную систему, предвидит возмож­ность и неизбежность указанных в законе последствий, созна­тельно допускает их наступление либо относится к этому безраз­лично. Ст. 272 не регулирует ситуацию, при которой неправомер­ный доступ осуществляется в результате неосторожных действий, что, в принципе, отсекает много возможных посягательств и даже те действия, которые совершались умышленно, так как при рас­следовании обстоятельств доступа бывает трудно доказать умы­сел компьютерного преступника. Не влечет уголовной ответственности неправомерный доступ, вызванный неисправностями или программными ошибками в компьютерной системе.

            Уголовная ответственность по ст. 273 УК РФ "Создание, использование и распространение вредоносных программ для ЭВМ" возникает в результате создания таких программ, незави­симо от того, использовались они или нет. (Вредоносные про­граммы - это программы, специально разработанные для нару­шения нормального функционирования компьютерных систем). При этом предусмотрено наказание от штрафа в размере заработ­ной платы или иного дохода осужденного за два месяца до лише­ния свободы на срок до 7 лет (в зависимости от последствий). Суд может назначить максимальное наказание по этой статье да­же в том случае, когда наступление тяжких последствий произошло по неосторожности. Такая норма вполне закономерна, поскольку разработка вредоносных программ доступна только квалифицированным программистам; они в силу своей профес­сиональной подготовки должны предвидеть потенциально возможные последствия использования таких программ. В их числе могут быть смерть человека, возникновение реальной опасности военной или иной катастрофы, нарушение функционирования транспортных систем и др.

            Статья 274 УК РФ "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети" защищает интересы владельца ком­пьютерной системы в отношении ее правильной эксплуатации. Преступник, нарушивший правила эксплуатации, - это лицо, в силу должностных обязанностей имеющее доступ к компьютер­ной системе и обязанное соблюдать установленные для этой сис­темы технические правила. Кроме того, преступник должен на­рушить эти правила умышленно, предвидя возможность и неизбежность неправомерного воздействия на информацию и созна­вая те последствия, которые могут при этом наступить.

            Если такое деяние причинило существенный вред, то это наказывается лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет. Если те же деяния повлекли тяжкие последствия, то предусмот­рено лишение свободы на срок до 4 лет.

            Применение данной статьи невозможно для сети Интернет, ее действие распространяется только на локальные сети органи­заций.

            Подводя некоторые итоги, можно констатировать, что при­менение статей 272-274 УК РФ не охватывает полностью всех видов совершения компьютерных посягательств и часто связано с трудностями сбора доказательственной информации. В этом слу­чае могут оказывать помощь статьи 146 УК РФ ("Нарушение ав­торских и смежных прав"), 147 УК РФ ("Нарушение изобрета­тельских и патентных прав") и 155 УК РФ ("Незаконное использование товарных знаков"), дающие возможность уголовного преследования за незаконное использование программного обес­печения.

            В условиях недостаточно развитого государственного пра­вового механизма обеспечения безопасности компьютерных сис­тем серьезное значение приобретают документы предприятия, регулирующие отношения с государством и коллективом сотруд­ников на правовой основе. К таким документам можно отнести:

            -устав предприятия, закрепляющий условия обеспечения дея­тельности и защиты информации;

            -коллективный договор;

            -трудовые договоры с сотрудниками предприятия, содержащие требования по обеспечению защиты сведений, составляющих ком­мерческую тайну;

            -правила внутреннего трудового распорядка рабочих и слу­жащих;

            -должностные обязанности руководителей, специалистов и

обслуживающего персонала.

 

Контрольные вопросы

 

1.   В чем состоит необходимость организационного обеспечения

защиты информации?

2.  Укажите основные задачи, решаемые службой безопасности

предприятия (организации).

3.   Дайте общую характеристику организационным мероприяти­ям, направленным на обеспечение информационной безопас­ности.

4.   Приведите основные направления правового регулирования

процессов информатизации.

5.   Что Вам известно из истории развития правового обеспечения процессов информатизации и защиты информации?

6.   Охарактеризуйте современное состояние отечественной законо­дательной базы в области информатизации и защиты информа­ции.

7.   Приведите основные положения закона РФ "Об информации,

информатизации и защите информации".

8. Какие нормы ответственности предусмотрены законодатель­ством РФ за правонарушения в области информатизации?

 

ГЛАВА 6. ЗАЩИТА ИНФОРМАЦИИ В КОМПЬЮТЕРНЫХ СИСТЕМАХ ОТ СЛУЧАЙНЫХ УГРОЗ

 

6.1. Повышение эксплуатационной надежности КС

 

            Важной характеристикой компьютерной системы, обеспе­чивающей информационную безопасность, является её надежность. Под надежностью понимается свойство системы выполнять возложенные на неё функции в определённых условиях обслужи­вания и эксплуатации. Количественная оценка надежности может быть получена в результате изучения статистических закономер­ностей возникновения в КС случайных неисправностей.

            С точки зрения безопасности информации, циркулирующей в компьютерной системе, необходимо обеспечить высокую на­дежность функционирования используемых программных и тех­нических средств. Надежность этих средств достигается и обеспечивается на этапах разработки, производства и эксплуатации.

            Для программных средств, обеспечивающих необходимую надежность КС, этап разработки является определяющим. На этом этапе основными направлениями повышения надежности программных средств являются:

            -корректная постановка задачи на их разработку;

            -использование прогрессивных технологий программирова­ния.

            Корректность постановки задачи достигается в результате совместной работы специалистов предметной области и высоко­профессиональных программистов.

            В настоящее время для повышения надежности и качества программных продуктов используются современные технологии программирования. Так, за последнее десятилетие в области средств автоматизации программирования сформировалось новое направление под общим названием CASE-технология (Computer Aided Software Engineering). Эта технология позволяет значительно сократить возможности внесения субъективных ошибок разра­ботчиков. Она характеризуется высокой автоматизацией процес­са программирования, использованием стандартных программ­ных модулей, тестированием их совместной работы.

            Программные средства также могут дорабатываться на эта­пе эксплуатации, в них устраняются замеченные ошибки, нару­шающие достоверность и целостность программных средств.

            Важным направлением в обеспечении надежности КС явля­ется своевременное обнаружение и локализация возможных не­исправностей в работе её технических средств. Такие неисправ­ности влекут за собой непосредственные нарушения безопасно­сти информации, обрабатываемой системой, но и опосредованно могут привести к её искажению за счет модификации программ, реализующих обработку этой информации.

            Случайные неисправности в работе технических средств КС могут носить характер отказов или сбоев.

            Отказ - это случайное событие, приводящее к полной или частичной утрате системой своей работоспособности. Для её вос­становления требуются определённые действия по ремонту (за­мене) неисправного элемента, блока или устройства.

            Сбой - это кратковременное нарушение нормальной работо­способности системы вследствие кратковременного случайного изменения параметров её компонентов. Очевидно, что сбой при­водит к искажению информации при её передаче, хранении или обработке, в результате чего задача может оказаться неправильно

решенной.

            Если при отказе для восстановления работоспособности системы необходимо устранить неисправность в аппаратуре, то при сбое для получения правильного решения задачи требуется восстановить лишь достоверность информации путем её повтор­ной передачи или повторного выполнения искаженной части про­граммы.

            Надежность технических средств КС обеспечивается на всех этапах: этапе разработки производства и этапе эксплуатации. На этапе разработки производства выбирается элементная база и структурные решения, обеспечивающие максимально достижи­мую надежность компьютерной системы в целом.

            Велика роль этого этапа в процессе обеспечения надежности технических средств. Главными условиями выпуска надежной продукции является высокий технологический уровень производства организация эффективного контроля качества выпускае­мых технических средств.

            Поддержание необходимого уровня работоспособности компь­ютерной системы в процессе эксплуатации обеспечивается путем своевременного определения её технического состояния с помо­щью средств функционального контроля КС. В целом эффектив­ность системы контроля характеризуется следующими показате­лями:

            -отношением количества оборудования, охваченного систе­мой контроля, к общему количеству оборудования КС;

            -отношением количества оборудования системы контроля к общему количеству оборудования КС;

            -вероятностью обнаружения системой контроля неисправ­ностей (точность диагностики);

            -степенью детализации, с которой система контроля указы­вает место возникновения неисправностей (точность диагности­ки).

            Существующие методы контроля работоспособности КС могут быть разделены на два вида: программный и аппаратный. Возможен также комбинированный метод, использующий как программные, так и аппаратные средства.

            Программный контроль основан на использовании специ­альных программ, контролирующих работоспособность системы. Он подразделяется на программно-логический и тестовый.

            Программно-логический контроль основан на том, что в ос­новную рабочую программу вводятся дополнительные операции, при выполнении которых получается избыточная информация, необходимая для обнаружения ошибок. Наличие избыточности в информации позволяет, например, находить те или иные кон­трольные соотношения, которые связывают получаемые резуль­таты (их можно проверить по программе в конце каждого этапа вычислений). В некоторых случаях информационная избыточ­ность достигается путем повторения вычислений, тогда кон­трольным соотношением является совпадение результатов перво­го и второго просчетов.

            Тестовый контроль предназначен для проверки работоспо­собности КС с помощью специальных испытательных программ - тестов. В отличие от программно-логического тестовый контроль проверяет не процесс обработки информации, а пребывание КС или её части в работоспособном состоянии.

            Все тесты делятся на наладочные, проверочные и диагностические.

            Наладочные тесты служат для проверки правильности функ­ционирования блоков и устройств КС во время наладки и предна­значены обычно для обнаружения грубых ошибок (ошибки в монтаже, логике работы отдельных узлов и т.д.).

            Проверочные тесты предназначены для периодической проверки работоспособности КС и для обнаружения неисправно­стей в процессе эксплуатации. Они обеспечивают более полный контроль и создают более разнообразные режимы работы узлов КС. Однако как наладочные, так и проверочные тесты свидетель­ствуют лишь о факте появления ошибки в том или ином устрой­стве, не указывая места её возникновения.

            Для обнаружения ошибки и локализации места неисправно­сти используют диагностические тесты.

            Проверочные и диагностические программы работают под управлением операционной системы. При этом проверка и диаг­ностика устройств может производиться как в профилактиче­ском, так и в оперативном режиме, т. е. наряду с выполнением

других программ.

            Перечисленные виды программного контроля не требуют применения специального дополнительного оборудования, одна­ко приводят к некоторому снижению производительности КС из-за затрат времени на выполнение контролирующих программ.

            Аппаратный контроль, в отличие от программного, обеспе­чивает проверку правильности функционирования КС практиче­ски без снижения её быстродействия. Кроме того, аппаратный контроль позволяет обнаружить неисправности в работе КС непосредственно в момент их возникновения.

            В основе аппаратного контроля обычно лежит использова­ние так называемых избыточных кодов для представления ин­формации. Если при программном контроле избыточная инфор­мация получалась в результате выполнения определенных дополнительных операций, то здесь она присутствует изначально в кодах   представляющих эту информацию (подробнее избыточное кодирование будет рассмотрено в следующем параграфе).

            Простейшим избыточным кодом является код с проверкой честности, в котором к группе информационных разрядов добав­ляется один избыточный (контрольный) разряд. В контрольный разряд записывается 0 или 1 таким образом, чтобы сумма единиц в коде, включая избыточный разряд, была четной. Если при пере­даче информации приемное устройство обнаруживает, что в при­нятом коде значение контрольного разряда не соответствует чет­ности суммы всех единиц, то это воспринимается как признак ошибки.

            Код с проверкой чётности обнаруживает все одиночные ошибки передаваемого кода, а также все случаи нечетного числа ошибок (3,5,7 и т.д.). При одновременном возникновении двух или другого четного числа ошибок код с проверкой четности их не обнаруживает (четность при этом не нарушается).

            Код с проверкой четности имеет небольшую избыточность, поэтому аппаратный контроль, основанный на его применении, не требует больших затрат оборудования. Он наиболее широко применяется в КС для контроля передач информации как между устройствами, так и внутри самих устройств.

            Вместе с тем нужно отметить, что существуют также другие избыточные коды, которые могут быть использованы при аппа­ратном контроле. К их числу относятся, например, код с простым повторением и корреляционный код. По сравнению с кодом проверки четности эти коды требуют существенно больших аппара­турных затрат.

            Код с простым повторением состоит из двух частей: инфор­мационной и контролирующей, повторяющих друг друга. При несовпадении этих частей принятая комбинация считается оши­бочной. Данный код позволяет обнаруживать все ошибки, за ис­ключением тех, которые возникают в элементах, стоящих на од­них и тех же позициях в первой и второй частях кода.

            Корреляционный код характеризуется введением дополни­тельных символов для каждого информационного разряда кон­тролируемого кода. Если в данном разряде кода стоит 0, то в кор­реляционном коде это значение записывается символами 01, если 1 - символами 10. Например, исходный код 10101 будет пред­ставлен в виде 1001100110. Признаком искажения кода является появление в его парных элементах сочетаний вида 00 или 11. Ха­рактеристики корреляционного кода такие же, как и у кода с про­стым повторением.

            В заключение необходимо отметить, что современному эта­пу развития компьютерной техники соответствует достаточно высокий уровень надежности ее технических средств. Удельный вес этапа эксплуатации в решении проблемы обеспечения надеж­ности КС в последние годы значительно снизился. Для опреде­ленных видов вычислительной техники (персональные ЭВМ) уровень требований к процессу технической эксплуатации сни­зился практически до уровня эксплуатации бытовых приборов.

 

6.2. Общие сведения о кодах для обнаружения и исправления случайных ошибок

 

            Для обнаружения или обнаружения и исправления случай­ных ошибок в КС применяется так называемое помехоустойчивое кодирование. При операциях с машинными кодами случайное изменение в любом разряде нуля на единицу или наоборот пре­вращает данную информационную комбинацию в ошибочную. Для обнаружения таких ошибок необходимо иметь некоторую дополнительную информацию, выполняющую контролирующие

функции.

            С этой целью обычно применяются избыточные коды, в ко­торых часть возможных знаковых комбинаций используется для представления информации, а другая часть является запрещен­ной. Появление запрещенных комбинаций расценивается как ошибка, которая фиксируется аппаратными схемами контроля. В избыточном коде из полного числа п двоичных символов, m сим­волов используются для представления информации (информа­ционные символы), а k = n - m - для обнаружения ошибок (про­верочные символы).

            Если проверочные символы используются не только для об­наружения ошибок, но и для их исправления, то такие коды на­зываются корректирующими.

            Способность кода обнаруживать или исправлять ошибки характеризуется минимальным значением кодового расстояния d. Кодовым расстоянием между двумя двоичными словами (комби­нациями) называется число разрядов, в которых соответствую­щие символы не совпадают. Очевидно, что для n-разрядных дво­ичных комбинаций кодовое расстояние может принимать значе­ния от 1 до n. Минимальное кодовое расстояние - это минималь­ное количество двоичных разрядов, которое достаточно изменить для того, чтобы одну информационную комбинацию превратить в другую.

            Простой двоичный код имеет минимальное расстояние d_min =1. Для избыточных кодов d_min >1. Если, например, d = 2, то лю­бые две комбинации данного кода отличаются не менее чем в двух разрядах. Любая одиночная ошибка не сможет превратить данную комбинацию в какую-либо разрешенную, а приведет к появлению запрещенной. Следовательно, для обнаружения оди­ночной ошибки (искажение в одном из разрядов кода) достаточно иметь код с d = 2.

            Чтобы можно было не только обнаружить, но и исправить одиночную ошибку, необходимо иметь код с d > 3. В этом случае любая одиночная ошибка создает запрещенную комбинацию, ко­торая отличается от правильной в одном разряде, а от любой дру­гой разрешенной - в двух разрядах. Этого достаточно, чтобы оп­ределить искаженный разряд и исправить его. Исправление за­ключается в поочередном изменении значений каждого разряда кода (0 на 1 и 1 на 0) с проверкой на запрещенность. Если после замены символа комбинация остается запрещенной, то символ в данном разряде восстанавливается. Очевидно, что комбинация окажется разрешенной в единственном случае, а именно тогда, когда был изменен на противоположный символ ошибочного разряда.

            Рассуждая аналогичным образом, можно показать, что для обнаружения двоичных ошибок необходим код с d = 3, а для их исправления - код с d = 5. В общем случае для обнаружения групповых ошибок с кратностью t нужно использовать избыточ­ный код с минимальным кодовым расстоянием d ≥ t + 1, а для ис­правления (коррекции) таких ошибок - код с d ≥2t + 1.

            К числу избыточных кодов, получивших распространение для обнаружения и исправления ошибок, можно отнести цикли­ческие коды, код Хэмминга, равновесные коды и др.

            Циклические коды обычно применяются в системах с по­следовательной передачей двоичных разрядов контролируемого кода, в частности при записи и считывании информации в нако­пителях на магнитных дисках. При незначительном увеличении избыточного оборудования такие коды способны с высокой эф­фективностью обнаруживать не только одиночные, но и группо­вые сигналы.

            Особенность циклического кода заключается в том, что если n-значная информационная комбинация а₀а₁а₂…an принадлежит к данному коду, то и комбинация ana0al...an-l, в которой произве­дена циклическая перестановка символов, также принадлежит этому коду.

            Принцип построения циклического кода состоит в следую­щем. Любая двоичная комбинация может быть представлена в ви­де полинома (n-1)-й степени некоторой переменной х, коэффици­ентами которого являются двоичные символы соответствующих разрядов числа. Например, двоичное число 11001 представляет i полином четвертой степени: 1∙x⁴+1∙x³+0∙x²+0∙x¹+1∙x⁰.

            Над такими полиномами можно произвести все математиче­ские действия в соответствии с известными законами алгебры, за исключением сложения, которое в отличие от обычной алгебры осуществляется по модулю 2 (поразрядное сложение без учета переносов).

            Циклический код n-значного числа строится путем добавле­ния к m информационным разрядам к контрольных разрядов (n=m+k). Кодирование заключается в составлении на основе m-разрядной информационной комбинации G(x) такого многочлена F(x), который должен делиться без остатка на заранее выбранный порождающий полином Р(х) степени к, с помощью которого и происходит образование циклического кода.

            Формирование кодовой комбинации F(x) осуществляется следующим образом. Информационный многочлен G(x), подле­жащий кодированию, вначале умножается на х^k, что соответству­ет сдвигу кодируемого числа на k разрядов влево (в сторону старших разрядов). В результате деления многочлена G(x) ∙x^k на порождающий полином Р(х) образуется частное Q(x) и остаток R(x), т.е. G(x)∙x^k = Q(x)P(x) ØR(x). Если искомый кодовый много­член образовать путем присоединения остатка R(x) к младшим разрядам сдвинутого, информационного кода G(x)x^k, то такой многочлен должен без остатка делиться на пораждающий поли­ном Р(х), т.е. F(x) = G(x)x^k ØR(x) = Q(x)P(x).

            Таким образом, используя остаток R(x) в качестве кон­трольных разрядов в многочлене F(x) и производя после каждой передачи деление принятой кодовой комбинации на порождаю­щий полином, можно по отсутствию остатка судить о возможных искажениях передаваемого кода.

            Выбор числа членов и степени старшего разряда порож­дающего полинома Р(х) требует отдельного рассмотрения. Здесь приведем лишь вид этого полинома для различной разрядности кодовых комбинаций:

            Циклическое кодирование с помощью данных полиномов Р(х) позволяет обнаруживать и исправлять одиночные ошибки, а также обнаруживать двойные ошибки. Рассмотрим этот процесс на конкретном примере.

            Пусть дано двоичное число 11010, что соответствует ин­формационному многочлену четвертой степени G(x) = х⁴ + х³ + х. Для данного случая используется пораждающий полином третьей степени Р(х) = х³ + х + 1, соответствующий коду 1011. Сдвину­тый на 3 разряда влево (к = 3) информационный код делим на код 1011 порождающего полинома. При этом деление производится путем последовательного вычитания по модулю 2 (или сложения, что то же самое) делителя из делимого и получающихся разно­стей до тех пор, пока разность не будет иметь более низкую сте­пень, чем делитель. Эта последняя разность и есть искомый оста­ток, который нужно дописать в младшие разряды информацион­ной комбинации.         

            Полученный остаток 010 дописывается к кодируемому чис­лу 11010, что и дает искомый циклический код: 11010010.

            В отсутствие ошибок данный код должен делиться без ос­татка на пораждающий полином 1011. Действительно:

            Ошибке в любой из п позиций кода (n = 7) соответствует один из 2^k-1 (k = 3) ненулевых остатков. Анализ остатка позволя­ет аппаратными средствами автоматически исправить искажен­ный разряд.

            В качестве корректирующего, помимо циклического кода, используется также код Хэмминга, в котором к контрольных раз­рядов размещаются не в конце информационной последователь­ности из m разрядов, а закрепляются за соответствующими к группами разрядов, на которые эта последовательность разбита. Перед передачей в контрольные разряды записываются символы 0 или 1, являющиеся знаками четности соответствующих групп.

            После передачи в приемном устройстве производится к проверок на четность всех контрольных групп. При таких про­верках учитывается и контрольный разряд данной группы. После каждой проверки в специальный регистр ошибок записывается 0, если результат проверки свидетельствует об отсутствии ошибки на проверяемых позициях данной группы, и 1, если результат свидетельствует о наличии ошибки.

            Таким образом, каждая проверка заканчивается записью в соответствующий разряд регистра 0 или 1. Полученная последо­вательность нулей и единиц образует двоичное число, указы­вающее номер позиции (разряда) с искаженным символом.

            К числу избыточных кодов, обладающих корректирующей способностью, относятся также равновесные коды, содержащие фиксированное число единиц и нулей. Широкое применение по­лучил, например, код "2 из 5", в котором из 5-ти знаков, изобра­жающих десятичную цифру, используются 2 единицы. Комбина­ции этого кода отличаются только позициями единиц, как пока­зано в приведенной ниже таблице.

            Избыточность равновесного кода "2 из 5" выше, чем у обычного двоично-десятичного кода. Добавление пятого разряда увеличивает число возможных комбинаций (2⁵ = 32), однако для изображения цифр используется только 10, которые выбираются так, чтобы минимальное кодовое расстояние было равно d = 2.

            Поскольку для отображения информации используется меньше половины всех возможных комбинаций, корректирующая способность рассматриваемого кода выше, чем у обычного кода с проверкой четности. Код "2 из 5" позволяет обнаруживать не только одиночные ошибки, но и групповые асимметричные ошибки, т.е. когда происходит искажение только единиц или только нулей. Ошибка не сможет быть обнаружена, если количе­ство переходов нулей в единицы будет равно количеству перехо­дов единиц в нули. Другими словами, признаком ошибки здесь является изменение количества единиц в кодовой комбинации.

            Рассмотренные способы кодирования, часто объединяемые под общим названием помехоустойчивого кодирования, всегда основаны на использовании информационной избыточности. Ра­бочая информация в КС дополняется определенным объемом специальной контрольной информации. Наличие этой контроль­ной информации позволяет обнаруживать ошибки и даже ис­правлять их. Чем больше используется контрольной информации, тем шире возможности кода по обнаружению и исправлению ошибок. Однако с увеличением избыточности всегда растут до­полнительные затраты на использование необходимой контроль­ной аппаратуры, поэтому в каждом конкретном случае необхо­димо учитывать и соразмерять эти характеристики КС.

            Поскольку ошибки в работе КС часто являются следствием отказов технических средств, то, используя помехоустойчивое кодирование, можно парировать часть отказов и создавать так на­зываемые отказоустойчивые системы.

            Наиболее совершенными, устойчивыми к отказам, являются адаптивные системы. В них достигается разумный компромисс между уровнем избыточности, вводимым для обеспечения устой­чивости системы к отказам, и эффективностью использования та­ких систем по назначению.

            В адаптивных системах реализуется так называемый прин­цип элегантной деградации. Этот принцип предполагает сохране­ние работоспособности системы в случаях отказов ее элементов при некотором снижении эффективности системы в целом. Адап­тивные системы содержат программно-аппаратные средства для автоматического контроля работоспособности элементов систе­мы и осуществляющие ее реконфигурацию при возникновении отказов элементов. При реконфигурации восстанавливается не­обходимая информация (при ее утрате), отключается отказавший элемент, осуществляется изменение связей и режимов работы системы.

            Простым примером адаптивной КС может служить 3BN имеющая в своем составе оперативную память блочной структуры. В номинальном режиме все блоки памяти работают napаллельно для достижения максимальной производительности ЭВМ. При отказе какого-то блока он логически отключается от ЭВМ. Чтобы избежать потерь информации, вычислительный процес возобновляется либо сначала, либо с последней контрольной точки, для которой сохранена необходимая информация. При этом система сохраняет свою работоспособность, хотя и деградирует; результате снижения производительности.

 

6.3. Дублирование информации и резервирование технических средств

 

            Эффективными средствами парирования угроз безопасности информации в КС являются дублирование информации и резер­вирование технических средств. Дублирование информации обеспечивает сохранение ее целостности не только от случайных угроз, но и от преднамеренных воздействий.

            В зависимости от ценности информации, особенностей по­строения и режимов функционирования КС могут применяться различные методы дублирования. Так, в зависимости от исполь­зуемых для этих целей средств методы дублирования можно разделить на методы, использующие:

            -  специально выделенные области памяти на несъемных машинных носителях;

            -  дополнительные внешние запоминающие устройства;

            -  съемные носители информации.

            Наиболее простым методом дублирования данных в КС яв­ляется использование выделенных областей памяти на рабочем диске. В этих областях дублируется наиболее важная системная информация. Таблицы каталогов и таблицы файлов дублируются таким образом, чтобы они были размещены на цилиндрах и по­верхностях жесткого диска, отличных от тех, на которых нахо­дятся рабочие таблицы. Такое дублирование защищает от полной потери информации при повреждении отдельных участков по­верхности дисков.

            Надежным методом оперативного дублирования является применение так называемых зеркальных дисков. В качестве зер­кального используется отдельный жесткий магнитный диск, на котором хранится информация, полностью идентичная информа­ции на рабочем диске. Достигается это за счет параллельного вы­полнения всех операций записи на оба диска. При отказе рабоче­го накопителя осуществляется автоматический переход на работу с зеркальным диском. Информация при этом сохраняется в пол­ном объеме.

            В компьютерных системах, к которым предъявляются по­вышенные требования по сохранности информации, могут ис­пользоваться более двух резервных дисков, подключенных к от­дельным контроллерам и блокам питания. Зеркальное дублиро­вание, обеспечивая надежное оперативное дублирование инфор­мации, требует, как минимум, вдвое больше аппаратных затрат.

            Наиболее эффективно реализуется идеология надежного хранения дублирующей информации в так называемой техноло­гии RAID (Redundant Array of Independent Disks). Эта технология реализует концепцию создания многоблочного устройства хране­ния данных с возможностями параллельного выполнения запро­сов и восстановления информации при отказах отдельных блоков накопителей на жестких магнитных дисках. Устройства, реали­зующие эту технологию, называют подсистемами RAID, или дисковыми массивами RAID.

            В технологии RAID обычно выделяют несколько уровней, различающихся правилами выполнения записи информации на независимые диски, а также процедурой восстановления инфор­мации. Например, на нижнем уровне информация при записи не дублируется, а поочередно используются различные накопители для хранения информационных файлов. На более высоких уров­нях может применяться либо полное зеркальное копирование информации, либо копирование контрольной информации на вы­деленном диске. В последнем случае для восстановления инфор­мации используется не дублирующая информация, а контроль­ная. Очевидно, что различные уровни технологии RAID обеспе­чивают быстродействие подсистем и эффективность восстанов­ления информации в разной степени. Эти подсистемы выбираются пользователем с учетом требований, предъявляемых к внеш­ним запоминающим устройствам конкретной КС.

            Наряду с дисковыми накопителями для хранения дубли­рующей информации применяются также ленточные системы с автоматической сменой кассет. Такие системы состоят из одного или нескольких лентопротяжных механизмов и магазина кассет с механизмом их перемещения. Учитывая, что на каждой кассете может храниться несколько Гб информации, а таких кассет в ма­газине может быть несколько десятков, ленточные системы по­зволяют дублировать огромные объемы информации. Недостат­ком является только то, что они значительно уступают накопите­лям на магнитных дисках по времени доступа к информации, по­этому ленточные системы обычно используются для неоператив­ного архивирования информации.

            Для дублирования информации могут применяться не толь­ко несъемные носители информации или специально разработан­ные для этого устройства, но и обычные устройства со съемными машинными носителями информации, в частности устройства на гибких магнитных дисках. Методы их использования сходны с методами использования ленточных систем с автоматической сменой кассет.

            Рассмотрев различные методы дублирования информации, можно утверждать, что их реализация всегда связана с использо­ванием дополнительных технических средств. Вместе с тем воз­можен и другой подход к обнаружению случайных ошибок, а следовательно, к созданию высоконадежных КС. Он изначально основан на введении избыточности самих аппаратных (техниче­ских) средств, которые являются причиной случайных ошибок в работе КС. Этот подход получил название резервирования.

            Резервная избыточность технических средств позволяет корректировать ошибки любых типов, в то время как корректи­рующие коды дают возможность эффективно исправлять лишь одиночные ошибки, возникающие при передаче, обработке и хранении информации.

            По способу включения резерва различают постоянное резерви­рование и резервирование замещением.

            При постоянном резервировании резервные элементы (узлы, устройства) параллельно подсоединены к основным рабочим элементам и постоянно находятся в одинаковом с ними режиме. Это может быть, например, параллельная работа узлов А,В и С, как показано на рисунке 6.1.

Рис. 6.1. Структурная схема постоянного резервирования

 

            Понятия основного и резервных узлов в данном случае яв­ляются условными, поскольку все эти узлы работают в одинако­вом режиме. Их входы объединяются, а выходы подаются на ма­жоритарный логический элемент М, который осуществляет вы­бор входных сигналов по большинству, т.е. является элементом типа "2 из 3". На выходе Y мажоритарного элемента формирует­ся сигнал двоичной переменной (0 или 1), одновременно присут­ствующий на большинстве его входов.

            Недостатком постоянного резервирования является слиш­ком большая аппаратурная избыточность. Более экономичным является резервирование замещением, при котором включение резервных элементов производится только после выхода из строя основных элементов. При этом можно использовать один резерв­ный элемент для резервирования нескольких однотипных. Резер­вирование замещением обычно связано с применением достаточ­но сложной системы контроля и переключения, с помощью кото­рой исключается неисправный элемент и включается резервный. Недостатком является также и то, что процесс замещения, как правило, приводит к перерывам в работе компьютерной системы.

 

6.4. Блокировка ошибочных операций.

Оптимитизация взаимодействия пользователя с КС

 

            Ошибочные операции в работе компьютерной системы мо­гут быть вызваны не только случайными отказами технических и программных средств, но и ошибками пользователей и обслужи­вающего персонала. Ошибочные действия людей могут представлять реальную угрозу безопасности информации в КС. Для блокировки таких действий используются технические и про­граммно-технические средства.

            Технические средства используются, в основном, для пре­дотвращения ошибочных манипуляций. К таким средствам отно­сятся блокировочные тумблеры, предохранители, различные ог­раждения, средства блокировки записи на магнитные дискеты и ленты.

            Программно-технические средства способны, например, блокировать вычислительный процесс при ошибочных наруше­ниях адресных пространств оперативной памяти с помощью гра­ничных регистров или ключей защиты. Приведенный механизм позволяет сравнивать адреса команд выполняемой программы с границами разрешенной области ОП для этой программы и бло­кировать обращение при нарушениях границ. Программно-технические средства используются также для блокирования вы­дачи данных в неразрешенные каналы связи, запрета выполнения операций, которые доступны в определенных режимах, например в режиме работы операционной системы.

            К числу основных организационно-технических мероприя­тий, направленных на сокращение числа ошибок пользователей и обслуживающего персонала, а также минимизацию последствий этих ошибок, относятся:

            -научная организация труда;

            -совершенствование процессов взаимодействия человека с КС;

            -воспитание и обучение пользователей и персонала.

            Рабочие места пользователей и специалистов из числа об­служивающего персонала должны быть оборудованы в соответ­ствии с рекомендациями эргономики.       

Освещение рабочего места; температурно-влажностный ре­жим; расположение индикаторов, клавиш и тумблеров управле­ния; размеры и цвет элементов оборудования, помещения; поло­жение пользователя относительно оборудования; использование защитных средств - все это должно обеспечивать максимальную производительность человека в течение рабочего дня, сводить к минимуму утомляемость работника и отрицательное воздействие на его здоровье неблагоприятных факторов производственного процесса (излучение мониторов, шум электромеханических уст­ройств, гиподинамия и др.)- Последствия гиподинамии (малопод­вижного, статического положения человека на рабочем месте) и высокие нагрузки на нервную систему человека компенсируются оптимальным режимом труда и отдыха, а также совершенствова­нием процесса общения человека с КС.

            Прогресс в области электронной вычислительной техники позволил значительно облегчить взаимодействие человека с ком­пьютером. Развитие пользовательского интерфейса идет в на­правлении совершенствования процессов ввода-вывода инфор­мации и управления вычислительным процессом. Речевой ввод информации, работа с графикой, вывод информации на экраны и табло создают новые возможности общения человека с КС. Важ­ным для обеспечения безопасности информации является совер­шенствование диалога пользователя с КС. Наличие развитых сис­тем меню, блокировок неправильных действий, механизма напо­минаний и подсказок существенно снижает нагрузку на нервную систему, сокращает число ошибок, повышает работоспособность человека и производительность системы в целом.

            Одним из центральных вопросов обеспечения безопасности информации в КС как от случайных, так и преднамеренных угроз является вопрос обучения обслуживающего персонала, а также пользователей корпоративных компьютерных систем.

            В коллективе, где ценится трудолюбие, ответственность, ак­куратность, инициатива, творчество, уважительное отношение друг к другу, у работников практически не бывает внутренних мотивов нанесения вреда своему учреждению. Большой положительный опыт воспитания корпоративного патриотизма накоплен

в Японии, где очень удачно сочетаются мировой опыт управле­ния коллективами и национальные особенности японцев.

            Наряду с воспитанием специалистов большое значение в деле обеспечения безопасности информации имеет и обучение работников. Руководство учреждения должно всемерно поощрять стремление работников к самостоятельному обучению. Важно также обучать наиболее способных, трудолюбивых работников в учебных заведениях, возможно и за счет учреждения.

 

6.5. Минимизация ущерба от аварий и стихийных бедствий

 

            Стихийные бедствия и аварии могут причинить огромный ущерб объектам КС. Предотвратить стихийные бедствия человек пока не в силах, но уменьшить последствия таких явлений во многих случаях удается. Минимизация последствий аварий и стихийных бедствий для объектов КС может быть достигнута пу­тем-

тем:

            -правильного выбора места расположения объекта;

            -учета возможных аварий и стихийных бедствий при разра­ботке и эксплуатации КС;

            -организации   своевременного  оповещения  о   возможных стихийных бедствиях;

            -обучение персонала борьбе со стихийными бедствиями и авариями, методом ликвидации их последствий.

            Объекты КС не должны располагаться в районах, где воз­можны такие стихийные бедствия, как наводнения и землетрясе­ния. Их необходимо размещать вдалеке от предприятий и объек­тов, несущих аварийную опасность (нефтебазы и нефтеперерабатывающие заводы, склады горючих и взрывчатых веществ, пло­тины и т.д.). Если этого не удается обеспечить, то при разработке и эксплуатации объектов КС должны быть предусмотрены спе­циальные меры.

            В районах с возможными землетрясениями здания должны  быть сейсмостойкими. На случай возможных затоплений основ­ное оборудование КС целесообразно размещать на верхних этажах. На объектах, для которых вероятность стихийных бедствий достаточно высока, необходимо предпринять распределенное по территории дублирование информации и предусмотреть возмож­ность резервирования и перераспределения функций объектов.

            Все объекты должны оснащаться автоматическими систе­мами пожаротушения. Для объектов, работающих с ценной ин­формацией, необходимо иметь аварийные источники беспере­бойного электропитания, электроэнергия должна подводиться к ним от двух независимых электропередатчиков.

            Потери информационных ресурсов КС могут быть сущест­венно уменьшены, если обслуживающий персонал будет свое­временно предупрежден о надвигающейся опасности. В реальных условиях такая информация часто не успевает дойти до исполни­телей, поэтому персонал должен быть обучен действиям в усло­виях стихийных бедствий и аварий и уметь восстанавливать ут­раченную информацию.

 

Контрольные вопросы

 

1.   Дайте понятие эксплуатационной надежности КС. Как обес­печивается на этапе разработки надежность технических и программных средств КС?

2.   Укажите основные типы случайных неисправностей в работе технических средств КС.

3.   Проведите классификацию видов функционального контроля технического состояния КС.

4.   Дайте характеристику помехоустойчивому кодированию, ос­нованному на проверке четности.

5.   Охарактеризуйте избыточное кодирование в целом с точки зрения обнаружения и исправления случайных ошибок. Что определяет при таком кодировании минимальное кодовое рас­стояние?

6.   Как формируются циклические избыточные коды? Какие слу­чайные ошибки они обнаруживают и исправляют?

7.   Дайте общую характеристику кода Хэмминга и равновесного кода.

8.   Какие существуют методы дублирования информации?

9.   Охарактеризуйте   технологию   RAID,   реализующую   много­уровневое хранение дублирующей информации.           

10. С какой целью и каким образом осуществляется резервирова­ние технических средств КС?

11. Перечислите организационно-технические мероприятия, на­правленные на сокращение случайных ошибок пользователей и обслуживающего персонала КС.

12. Что именно следует учитывать и предпринимать для миними­зации ущерба, наносимого КС авариями и стихийными бедст­виями?