Обеспечение безопасности информации

Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей — оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Напомним, что ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги — некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять. Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству. Это вторая причина, объясняющая важность программно-технических мер. Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:

• — повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;
• — развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;
• — появление новых информационных сервисов ведет и к образованию новых уязвимых мест как «внутри» сервисов, так и на их стыках;
• — конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты;
• — навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.

Что значит гарантированная безопасность? Это состояние безопасности, за которое кто-то готов поручиться, в том числе и деньгами, которые придется отдать, если это состояние будет нарушено и потребуется компенсация нанесенного ущерба. Для обеспечения гарантированной безопасности информации в автоматизированных компьютерных системах должны решаться задачи, представленные в виде схемы на рисунке.

В настоящее время при реализации проектов создания автоматизированных информационных систем (АИС) в основном решаются задачи обеспечения достоверности данных, защиты информации и безопасности создаваемых систем. Но кто может поручиться, что это делается достаточно хорошо, кто может выступить гарантом безопасности принятых и реализованных решений? На этот вопрос не составило бы труда ответить, если бы при этом решались задачи обеспечения доверия и гарантий безопасности информации в создаваемых компьютерных системах. Система обеспечения доверия к безопасности информации должна: 1) определять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязаделять критерии для оценки безопасности существующих и создаваемых систем; 2) собирать доказательства соответствия создаваемых систем этим критериям; 3) формулировать обоснованные предложения по совершенствованию существующих методов и систем обеспечения защищенности, безопасности и достоверности информации в тех случаях, когда они не удовлетворяют имеющимся критериям. Система обеспечения доверия должна быть тесно связана с системой обеспечения гарантий. Последняя должна обеспечивать наличие источников и ресурсов компенсации потерь и затрат на восстановление безопасного состояния систем в случае нарушения их безопасности. В результате гарантии безопасности должны следовать не только из ответственности пользователей и собственников АИС и их финансовых возможностей, но и из обязательств разработчиков, поставщиков услуг и страховых фирм, готовых страховать имеющиеся риски. Преимущество использования такой схемы состоит не столько в экономии средств пользователей АИС, сколько в создании системы большей ответственности и обеспечении большей безопасности при создании и эксплуатации АИС.