Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию
При детализации общей модели основное внимание акцентируется на том, что подавляющее большинство нарушений физической целостности информации имеет место в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации в каждом объекте АСОД существенно зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его… Читать ещё >
Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию (реферат, курсовая, диплом, контрольная)
Причины и условия, источники и способы дестабилизирующего воздействия на защищаемую информацию
Автор: Кадулин Владимир Елизарович
План
1. Основные понятия дестабилизирующего воздействия на защищаемую информацию
2. Причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздействие на информацию со стороны людей
3. Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию
4. Методы и модели оценки уязвимости информации
5. Факторы, влияющие на требуемый уровень защиты информации
6. Взаимосвязь понятий «защита информации», «безопасность информации» и «информационная безопасность»
1. Основные понятия дестабилизирующего воздействия на защищаемую информацию В лекции рассматриваются причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздействие на информацию со стороны людей. Обстоятельства (предпосылки), способствующие появлению этих причин. Условия, создающие возможность для дестабилизирующего воздействия на информацию.
Источники дестабилизирующего воздействия на защищаемую информацию как определяющая структурная часть угрозы. Состав и характеристика источников дестабилизирующего воздействия на информацию.
Виды и способы дестабилизирующего воздействия на информацию со стороны различных источников. Соотношение видов дестабилизирующего воздействия на защищаемую информацию с формами проявления уязвимости информации.
Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию, их обусловленность источниками и видами воздействия.
Дестабилизация — это может быть и нарушение стабильности, и уменьшение стабильности, и возникновение нестабильности.
Таким образом, дестабилизирующее воздействие — это не что иное, как изменение состояния.
Можно говорить о стабильном состоянии. Как пример — человек, уверенно управляющий велосипедом, не теряющий равновесия при езде на нем.
То есть в этом случае состояние стабильности — удержание равновесия при езде на велосипеде. Кстати с точки зрения физики это есть динамическое равновесие.
Можно говорить о нестабильном состоянии. Обращаясь к нашему примеру — человек, который не умеет управлять велосипедом, при попытке проехать на нем падает.
Можно говорить о переходном состоянии. В нашем примере это, пожалуй, ребенок, который осваивает езду на велосипеде.
Далее попытаемся дать пример дестабилизирующему воздействию в случае нашего примера с велосипедистом. Употребление алкоголя человеком может привести как к уменьшению стабильности — велосипедист начинает неуверенно ездить, так и к нарушению стабильности — потери возможности управлять велосипедом.
Но, на что следует обратить внимание, прежде всего? А на то, что в приведенном примере дестабилизирующее воздействие ограничено во времени — прекращается воздействие и после этого восстанавливается прежнее, стабильное, состояние.
Естественно, можно привести и пример такого дестабилизирующего воздействия, после которого состояние меняется необратимо.
То есть, всегда необходимо помнить, что есть обратимые и необратимые процессы.
Теперь попробуем себе уяснить, что же такое стабильное и нестабильное состояние защищаемой информации.
Можно говорить о состоянии защищенности и незащищенности по отношению к информации, и более того о состоянии неполной, недостаточной и так далее защищенности.
Мы уже знаем, что защищенность и незащищенность информации рассматривается по отношению к угрозам, которые приводят к потере информации, ее модификации, блокированию, к копированию информации.
С одной стороны, можно говорить о целенаправленных действиях — мерах по защите информации — они то и меняют состояние информации от незащищенной к защищенной.
А, с другой стороны, есть события — дестабилизирующие воздействия, которые меняют состояние информации от защищенной к незащищенной.
Таким образом, дестабилизирующее воздействие это не есть реализация какой-либо угрозы, но есть нечто, позволяющее угрозу сделать более вероятной.
Классификацию дестабилизирующих воздействий можно выполнить по ряду базовых признаков.
По непосредственному источнику:
— природная среда и природные явления;
— человек и его деятельность.
Хотя в некоторых случаях можно наблюдать и сочетание источников:
— природные процессы, подверженные изменениям активной деятельностью человека.
По виду, пожалуй, можно выделить следующие дестабилизирующие воздействия:
— естественные, случайные — вызванные объективными физическими процессами и стихийными природными явлениями, независящих от человека;
— искусственные, не случайные — вызванные деятельностью человека.
В случае искусственных, не случайных, дестабилизирующих воздействий, пытаются классифицировать и по степени преднамеренности проявления:
— непреднамеренные (иногда характеризуют как случайные) — вызванные ошибками или халатностью человека, а точнее персонала;
— преднамеренные — вызванные целенаправленной деятельностью человека, а точнее злоумышленника.
Весьма важной оказывается классификация дестабилизирующих воздействий по положению их источника:
— вне контролируемой зоны, территории, помещения;
— внутри контролируемой зоны, территории, помещения;
— источник которых непосредственно связан, встроен в информационную систему.
Способы дестабилизирующего воздействия, пожалуй, можно связать со способами раскрытия параметров информационных систем, которые приводят к отказу мер по защите информации:
— определение способа представления информации, а также типа и параметров носителей информации;
— выяснение функций информационной системы, определение содержания данных на качественном уровне;
— изучение программно-аппаратной среды (если таковая есть);
— получение данных и изучение применяемых систем защиты.
И, пожалуй, последний классификационный признак по степени воздействия:
— низкой степени воздействия — обратимые дестабилизирующие воздействия, при которых есть воздействие — есть дестабилизация, нет воздействия — нет дестабилизации;
— средняя степень воздействия — обратимые дестабилизирующие воздействия, после которых требуются определенные действия персонала по восстановлению состояния защищенности информации.
— высшая степень воздействия — необратимые дестабилизирующие воздействия, после которых состояние защищенности информации не восстанавливается, (но возможно ли такое — вот вопрос).
На одной из предыдущих лекций нами был сделан вывод о том, что формы проявления уязвимости информации выражают результаты конкретного дестабилизирующего воздействия на информацию, а виды уязвимости — конечный суммарный итог реализации различных форм уязвимости.
2. Причины, вызывающие преднамеренное и непреднамеренное дестабилизирующее воздействие на информацию со стороны людей дестабилизирующий воздействие защита информация К основным направлениям (методам) реализации злоумышленником информационных угроз относятся:
— непосредственное обращение к объектам доступа;
— создание программных и технических средств, выполняющих обращение к объектам доступа в обход средств защиты;
— модификация средств защиты, позволяющая реализовать угрозы информационной безопасности;
— внедрение в технические средства АС программных или технических механизмов, нарушающих предполагаемую структуру и функции АС.
К числу основных методов реализации угроз информационной безопасности АС относятся:
— определение злоумышленником типа и параметров носителей информации;
— получение злоумышленником информации о программно-аппаратной среде, типе и параметрах средств вычислительной техники, типе и версии операционной системы, составе прикладного программного обеспечения;
— получение злоумышленником детальной информации о функциях, выполняемых АС;
— получение злоумышленником данных о применяемых системах защиты;
— определение способа представления информации;
— определение злоумышленником содержания данных, обрабатываемых в АС, на качественном уровне (применяется для мониторинга АС и для дешифрования сообщений);
— хищение (копирование) машинных носителей информации, содержащих конфиденциальные данные;
— использование специальных технических средств для перехвата побочных электромагнитных излучений и наводок (ПЭМИН) — конфиденциальные данные перехватываются злоумышленником путем выделения информативных сигналов из электромагнитного излучения и наводок по цепям питания средств вычислительной техники, входящей в АС;
— уничтожение средств вычислительной техники и носителей информации;
— хищение (копирование) носителей информации;
— несанкционированный доступ пользователя к ресурсам АС в обход или путем преодоления систем защиты с использованием специальных средств, приемов, методов;
— несанкционированное превышение пользователем своих полномочий;
— несанкционированное копирование программного обеспечения,
— перехват данных, передаваемых по каналам связи;
— визуальное наблюдение — конфиденциальные данные считываются с экранов терминалов, распечаток в процессе их печати и т. п. ;
— раскрытие представления информации (де шифрование данных),
— раскрытие содержания информации на семантическом уровне — доступ к смысловой составляющей информации, хранящейся в АС;
— уничтожение машинных носителей информации;
— внесение пользователем несанкционированных изменений в программно-аппаратные компоненты АС и обрабатываемые данные;
— установка и использование нештатного аппаратного и/или программного обеспечения;
— заражение программными вирусами;
— внесение искажений в представление данных, уничтожение данных на уровне представления, искажение информации при передаче по линиям связи;
— внедрение дезинформации;
— выведение из строя машинных носителей информации без уничтожения информации — выведение из строя электронных блоков накопителей на жестких дисках и т. п.;
— проявление ошибок проектирования и разработки аппаратных и программных компонентов АС;
— обход (отключение) механизмов защиты — загрузка злоумышленником нештатной операционной системы с дискеты, использование отладочных режимов программно-аппаратных компонент АС и т. п.;
— искажение соответствия синтаксических и семантических конструкций языка — установление новых значений слов, выражений и т. п.;
— запрет на использование информации — имеющаяся информация по каким-либо причинам не может быть использована.
Основными причинами утечки информации являются:
— несоблюдение персоналом норм, требований, правил эксплуатации АС;
— ошибки в проектировании АС и систем защиты АС;
— ведение противостоящей стороной технической и агентурной разведок.
Несоблюдение персоналом норм, требований, правил эксплуатации АС может быть как умышленным, так и непреднамеренным. От ведения противостоящей стороной агентурной разведки этот случай отличает то, что в данном случае лицом, совершающим несанкционированные действия, двигают личные побудительные мотивы. Причины утечки информации достаточно тесно связаны с видами утечки информации.
В соответствии с ГОСТ Р 50 922−2006 рассматриваются три вида утечки информации:
— разглашение;
— несанкционированный доступ к информации;
— получение защищаемой информации разведками (как отечественными, так и иностранными).
Под разглашением информации понимается несанкционированное доведение защищаемой информации до потребителей, не имеющих права доступа к защищаемой информации.
Под несанкционированным доступом (НСД) понимается получение защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к информации, может быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Получение защищаемой информации разведками может осуществляться с помощью технических средств (техническая разведка) или агентурными методами (агентурная разведка).
Канал утечки информации — совокупность источника информации, материального носителя или среды распространения несущего указанную информацию сигнала и средства выделения информации из сигнала или носителяОдним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей AC, или вне ее.
Применительно к АС выделяют следующие каналы утечки:
— Электромагнитный канал. Причиной его возникновения является электромагнитное поле, связанное с протеканием электрического тока в аппаратных компонентах АСЭлектромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки). Электромагнитный канал в свою очередь делится на следующие каналы:
— радиоканал (высокочастотное излучение);
— низкочастотный канал;
— сетевой канал (наводки на сеть электропитания);
— канал заземления (наводки на провода заземления);
— линейный канал (наводки на линии связи между компьютерными системами).
— Акустический (виброакустический) канал связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации АС
— Визуальный канал. Связан с возможностью визуального наблюдения злоумышленником за работой устройств отображения информации АС без проникновения в помещения, где расположены компоненты системы. В качестве средства выделения информации в данном случае могут рассматриваться фото-, видеокамеры и т. п.
— Информационный канал. Связан с доступом (непосредственным и телекоммуникационным) к элементам АС, к носителям информации, к самой вводимой и выводимой информации (и результатам), к программному обеспечению (в том числе к операционным системам), а также с подключением к линиям связи. Информационный канал может быть разделен на следующие каналы:
— канал коммутируемых линий связи,
— канал выделенных линий связи,
— канал локальной сети,
— канал машинных носителей информации,
— канал терминальных и периферийных устройств.
Зарубежный опыт свидетельствует, что сам факт появления компьютерной преступности в обществе многие исследователи отождествляют с появлением так называемых «хакеров» (англ, «hack» — рубить, кромсать) — пользователей вычислительной системы (обычно сети ЭВМ), занимающихся поиском незаконных способов получения несанкционированного доступа к данным.
Классифицируем все возможные каналы несанкционированного получения информации (КНПИ) по двум критериям: необходимости доступа (физического или логического) к элементам АС для реализации того или иного КНПИ и зависимости появления КНПИ от состояния АС.
По первому критерию КНПИ могут быть разделены на не требующие доступа, т. е. позволяющие получать необходимую информацию дистанционно (например, путем визуального наблюдения через окна помещений АС) и требующие доступа в помещения АС. В свою очередь, КНПИ, воспользоваться которыми можно только получив доступ в помещения АС, делятся на не оставляющие следы в АС (например, визуальный просмотр изображений на экранах мониторов или документов на бумажных носителях) и на КНПИ, использование которых оставляет те или иные следы (например, хищение документов или машинных носителей информации).
По второму критерию КНПИ делятся на потенциально существующие независимо от состояния АС (например, похищать носители информации можно независимо от того, в рабочем состоянии находятся средства АС или нет) и существующие только в рабочем состоянии АС (например, побочные электромагнитные излучения и наводки).
В соответствии с изложенным классификационная структура КНПИ может быть представлена следующей таблицей (см. табл. 3.2).
Приведем ориентировочный перечень каналов несанкционированного получения информации выделенных нами классов.
КНПИ 1-го класса — каналы, проявляющиеся безотносительно к обработке информации и без доступа злоумышленника к элементам системы. Сюда может быть отнесено подслушивание разговоров, а также провоцирование на разговоры лиц, имеющих отношение к АС, и использование злоумышленником визуальных, оптических и акустических средств. Данный канал может проявиться и путем хищения носителей информации в момент их нахождения за пределами помещения, где расположена АС.
Классификационная структура каналов несанкционированного получения информации
Зависимость от доступа к элементамсистемы | Отношение к обработке информации | ||
Проявляющиеся безотносительно к обработке | Проявляющиеся в процессе обработки | ||
Не требующие доступа | 1-й класс Общедоступные постоянные | 2-й класс Общедоступные функциональные | |
Требующиедоступа без изменения элементов системы | 3-й класс Узкодоступные Постоянные без оставления следов | 4-й класс Узкодоступные функциональные без оставления следов | |
Требующие доступа с изменением элементов системы | 5-й класс Узкодоступные Постоянные с оставлением следов | 6-й класс Узкодоступные функциональные с оставлением следов | |
КНПИ 2-го класса — каналы, проявляющиеся в процессе обработки информации без доступа злоумышленника к элементам АС. Сюда могут быть отнесены электромагнитные излучения различных устройств ЭВМ, аппаратуры и линий связи, паразитные наводки в цепях питания, телефонных сетях, системах теплоснабжения, вентиляции и канализации, шинах заземления, подключение к информационно-вычислительной сети генераторов помех и регистрирующей аппаратуры. К этому же классу может быть отнесен осмотр отходов производства, попадающих за пределы контролируемой зоны.
КНПИ 3-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС, но без изменения последних. К ним относятся всевозможные виды копирования носителей информации и документов, а также хищение производственных отходов.
КНПИ 4-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС, но без изменения последних. Сюда может быть отнесено запоминание и копирование информации в процессе обработки, использование программных ловушек, недостатков языков программирования и операционных систем, а также пораженности программного обеспечения вредоносными закладками, маскировка под зарегистрированного пользователя.
КНПИ 5-го класса — каналы, проявляющиеся безотносительно к обработке информации с доступом злоумышленника к элементам АС и с изменением последних. Среди этих каналов: подмена и хищение носителей информации и аппаратуры, включение в программы блоков типа «троянский конь», «компьютерный червь» и т. п., чтение остаточной информации, содержащейся в памяти, после выполнения санкционированных запросов.
КНПИ 6-го класса — каналы, проявляющиеся в процессе обработки информации с доступом злоумышленника к элементам АС и с изменением последних. Сюда может быть отнесено незаконное подключение к аппаратуре и линиям связи, а также снятие информации на шинах питания различных элементов АС.
3. Соотношение между причинами, обстоятельствами и условиями дестабилизирующего воздействия на информацию В процессе деятельности предприятия или организации защищаемая информацияЗащищаемая информация — это информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации может по различным причинам выйти из владения субъектов, которые являются ее собственниками, или которым она была доверена, или стала известной по службе или работе. При этом защищаемая информация выходит за пределы установленной сферы обращения, охраняемой специальными режимными мерами, и утрачивается контроль за ее распространением — происходит утечка информации.
Термин «утечка информации» давно закрепился в научной литературе и нормативных документах, однако единого подхода к определению этого термина нет. Наиболее распространенные определения в обобщенном виде сводятся либо к неправомерному (неконтролируемому) выходу конфиденциальной информации за пределы организаций и круга лиц, которым эта информация доверена, либо к несанкционированному завладению конфиденциальной информацией соперником.
Первый вариант не раскрывает в полной мере сущности утечки, так как он не принимает во внимание последствий неправомерного выхода конфиденциальной информации. А они могут быть двоякими: информация может попасть в руки лиц, не имеющих к ней санкционированного доступа, или может и не попасть. Например, потерянный носитель конфиденциальной информации означает неправомерный выход информации за пределы лиц, имеющих к ней доступ, но он может попасть в чужие руки, а может быть перехвачен мусороуборочной машиной и уничтожен в установленном для мусора порядке. В последнем случае утечки информации не происходит.
Второй вариант связывает утечку информации с неправомерным завладением конфиденциальной информацией только соперником. В таком случае, к примеру, средства массовой информации, публикуя полученные ими конфиденциальные сведения, явно способствуют утечке информации, хотя они и не являются соперником собственника информации. Однако благодаря таким публикациям может произойти утечка информации, так как настоящий соперник сможет правомерно (на законных основаниях) получить интересующую его информацию.
В то же время утечка информации не означает получение ее только лицами, не работающими на предприятии, к утечке может привести и несанкционированное ознакомление с конфиденциальной информацией сотрудников данного предприятия.
Исходя из изложенного, можно сформулировать следующее определение: утечка информации — это неправомерный выход конфиденциальной информации за пределы защищаемой зоны ее функционирования или установленного круга лиц, результатом которого является получение информации лицами, не имеющими к ней санкционированного доступа.
Наряду с утечкой информации следует выделить и такие близкие к ней понятия, как разглашение, раскрытие и распространение защищаемой информации, несанкционированный доступ к ней.
Разглашение защищаемой информации — это несанкционированное ознакомление с такой информацией лиц, не имеющих законного доступа к ней, осуществленное лицом, которому эти сведения были доверены или стали известны по службе. Разглашение может быть совершено среди своих коллег, не имеющих доступа к данной информации, среди родственников, знакомых и иных лиц.
Раскрытие защищаемой информации — это опубликование ее в средствах массовой информации, использование в выступлениях на публичных конференциях или симпозиумах лицами, которым эти сведения стали известны по службе. Вследствие таких действий защищаемая информация становится достоянием неопределенно широкого круга лиц и утрачивает свою секретность.
Распространение защищаемой информации — это открытое использование сведений ограниченного распространения.
Несанкционированный доступ — получение в обход системы защиты с помощью программных, технических и других средств, а также в силу сложившихся случайных обстоятельств доступа к защищаемой информации.
Одной из наиболее важных проблем защиты информации является защита самих носителей информации, так как защищаемые сведения не могут существовать отдельно от них. Однако не все носители можно спрятать в сейф или за прочные стены, ведь информацией могут располагать люди, она содержится в различного рода излучениях, каналах связи и т. п. Обычно к ним и стремится получить доступ соперник, прокладывая пути к интересующей его информации.
Таким образом, источник утечки защищаемой информации — это любой носитель конфиденциальной информации, к которому сумел получить несанкционированный доступ соперник, располагающий необходимыми знаниями и техническими средствами для «снятия», извлечения информации с носителя, ее расшифровки и использования в своих целях в ущерб интересам собственника информации.
Наиболее распространенными причинами утечки информации являются:
— несовершенство нормативных актов, регламентирующих защиту информации;
— недостаточность наличных сил и средств для перекрытия каналов утечки информации;
— нарушение лицами, допущенными к работе с защищаемой информацией, установленных правил ее защиты.
Указанные причины приводят к утечке информации в том случае, если этому способствуют соответствующие субъективные или объективные условия.
К субъективным условиям утечки информации относятся:
— незнание исполнителями нормативных актов по вопросам защиты информации;
— слабая воспитательно-профилактическая работа в коллективе;
— недостаточное внимание со стороны руководителей к вопросам обеспечения режима секретности;
— слабый контроль за состоянием системы сохранения секретов;
— принятие руководителями решений без учета требований режима секретности.
К объективным условиям утечки информации относятся:
— несовершенство или отсутствие нормативных актов, регламентирующих правила защиты информации по отдельным вопросам;
— несовершенство перечня сведений, подлежащих засекречиванию;
— текучесть кадров из режимных подразделений;
— несоответствие помещений требованиям, необходимым для осуществления работ с секретными документами и изделиями.
Указанные причины и условия создают предпосылки и возможности для образования канала утечки защищаемой информации. Не следует отождествлять это понятие с каналом связи, который представляет собой канал (физическую среду) передачи информации от одной системы (передатчика) к другой (приемнику).
Канал утечки защищаемой информации — это социальное явление, отражающее противостояние защитника (собственника) информации и его соперников. В зависимости от используемых соперником сил и средств для получения несанкционированного доступа к носителям защищаемой информации различают агентурные, технические, легальные и иные каналы утечки информации.
Агентурные каналы утечки информации — это использование противником тайных агентов для получения несанкционированного доступа к защищаемой информации.
Технические каналы утечки информации — это совокупность технических средств разведки, демаскирующих признаков объекта защиты и сигналов, несущих информацию об этих признаках.
Легальные каналы утечки информации — это использование соперником открытых источников информации, выведывание под благовидным предлогом сведений у лиц, которым они доверены по службе.
Иными каналами утечки информации являются добровольная (инициативная) выдача сопернику защищаемой информации, экспортные поставки секретной продукции за рубеж и т. п.
Утрата и утечка информации могут рассматриваться как виды уязвимости информации. Суммируя соотношение форм и видов уязвимости защищаемой информации, можно сделать следующие выводы:
1. Формы проявления уязвимости информации выражают результаты конкретного дестабилизирующего воздействия на информацию, а виды уязвимости — конечный суммарный итог реализации различных форм уязвимости.
2. Утрата информации включает в себя, по сравнению с утечкой, большее число форм проявления уязвимости информации, но она не поглощает утечку, так как не все формы проявления уязвимости информации, которые приводят или могут привести к утечке, совпадают с формами, приводящими к утрате. Если к утрате информации приводит хищение носителей, то к утечке может привести не только хищение носителей, но и копирование, разглашение отображенной в них информации.
3. Неправомерно отождествлять виды и отдельные формы проявления уязвимости информации (утрата = потеря, утрата = хищение, утечка = разглашение), заменять формы проявления уязвимости информации способами дестабилизирующего воздействия на информацию, а также ставить в один ряд формы и виды уязвимости защищаемой информации, как это, в частности, сделано в законе «Об информации, информатизации и защиты информации», где одной из целей защиты названо «предотвращение утечки, хищения, утраты, искажения, подделки информации.
4. Методы и модели оценки уязвимости информации Уязвимость информации есть событие, возникающее как результат такого стечения обстоятельств, когда в силу дестабилизирующих воздействий на защищаемую информацию используемые в АСОД средства защиты не в состоянии оказать достаточного противодействия. Модель уязвимости информации в АСОД в самом общем виде представлена на рис. 1.
Рис. 1. Общая модель воздействия на информацию Данная модель детализируется при изучении конкретных видов уязвимости информации: нарушения физической или логической целостности, несанкционированной модификации, несанкционированного получения, несанкционированного размножения.
При детализации общей модели основное внимание акцентируется на том, что подавляющее большинство нарушений физической целостности информации имеет место в процессе ее обработки на различных участках технологических маршрутов. При этом целостность информации в каждом объекте АСОД существенно зависит не только от процессов, происходящих на объекте, но и от целостности информации, поступающей на его вход. Основную опасность представляют случайные дестабилизирующие факторы (отказы, сбои и ошибки компонентов АСОД), которые потенциально могут проявиться в любое время, и в этом отношении можно говорить о регулярном потоке этих факторов. Из стихийных бедствий наибольшую опасность представляют пожары, опасность которых в большей или меньшей степени также является постоянной. Опасность побочных явлений практически может быть сведена к нулю путем надлежащего выбора места для помещений АСОД и их оборудования. Что касается злоумышленных действий, то они связаны, главным образом, с несанкционированным доступом к ресурсам АСОД. При этом наибольшую опасность представляет занесение вирусов.
В соответствии с изложенным общая модель процесса нарушения физической целостности информации на объекте АСОД может быть представлена так, как показано на рис. 2.
С точки зрения несанкционированного получения информации принципиально важным является то обстоятельство, что в современных АСОД оно возможно не только путем непосредственного доступа к базам данных, но и многими путями, не требующими такого доступа. При этом основную опасность представляют злоумышленные действия людей. Воздействие случайных факторов само по себе не ведет к несанкционированному получению информации, оно лишь способствует появлению КНПИ, которыми может воспользоваться злоумышленник. Структурированная схема потенциально возможных злоумышленных действий в современных АСОД для самого общего случая представлена на рис. 3.
Рис. 2. Общая модель процесса нарушения физической целостности информации Выделенные на рисунке зоны определяются следующим образом:
1) внешняя неконтролируемая зона — территория вокруг АСОД, на которой персоналом и средствами АСОД не применяются никакие средства и не осуществляются никакие мероприятия для защиты информации;
2) зона контролируемой территории — территория вокруг помещений АСОД, которая непрерывно контролируется персоналом или средствами АСОД;
3) зона помещений АСОД — внутреннее пространство тех помещений, в которых расположены средства системы;
4) зона ресурсов АСОД — та часть помещений, откуда возможен непосредственный доступ к ресурсам системы;
5) зона баз данных — та часть ресурсов системы, с которых возможен непосредственный доступ к защищаемым данным.
Рис. 3. Структурированная схема потенциально возможных
злоумышленных действий в АСОД Злоумышленные действия с целью несанкционированного получения информации в общем случае возможны в каждой из перечисленных зон. При этом для несанкционированного получения информации необходимо одновременное наступление следующих событий: нарушитель должен получить доступ в соответствующую зону; во время нахождения нарушителя в зоне в ней должен проявиться (иметь место) соответствующий КНПИ; соответствующий КНПИ должен быть доступен нарушителю соответствующей категории; в КНПИ в момент доступа к нему нарушителя должна находиться защищаемая информация.
Рассмотрим далее трансформацию общей модели уязвимости с точки зрения несанкционированного размножения информации. Принципиальными особенностями этого процесса являются:
1) любое несанкционированное размножение есть злоумышленное действие;
2) несанкционированное размножение может осуществляться в организациях-разработчиках компонентов АСОД, непосредственно в АСОД и сторонних организациях, причем последние могут получать носитель, с которого делается попытка снять копию как законным, так и незаконным путем.
Попытки несанкционированного размножения информации у разработчика и в АСОД есть один из видов злоумышленных действий с целью несанкционированного ее получения и поэтому имитируются приведенной выше моделью (см. рис. 3). Если же носитель с защищаемой информацией каким-либо путем (законным или незаконным) попал в стороннюю организацию, то для его несанкционированного копирования могут использоваться любые средства и методы, включая и такие, которые носят характер научных исследований и опытно-конструкторских разработок. Тогда модель процесса размножения в самом общем виде может быть представлена так, как показано на рис. 4.
В процессе развития теории и практики защиты информации сформировалось три методологических подхода к оценке уязвимости информации: эмпирический, теоретический и теоретико-эмпирический.
Сущность эмпирического подхода заключается в том, что на основе длительного сбора и обработки данных о реальных проявлениях угроз информации и о размерах того ущерба, который при этом имел место, чисто эмпирическим путем устанавливаются зависимости между потенциально возможным ущербом и коэффициентами, характеризующими частоту проявления соответствующей угрозы и значения имевшего при ее проявлении размера ущерба.
Наиболее характерным примером моделей рассматриваемой разновидности являются модели, разработанные специалистами американской фирмы IBM. Рассмотрим развиваемые в этих моделях подходы.
Рис. 4. Общая модель процесса несанкционированного копирования информации Исходной посылкой при разработке моделей является почти очевидное предположение: с одной стороны, при нарушении защищенности информации наносится некоторый ущерб, с другой, обеспечение защиты информации сопряжено с расходованием средств. Полная ожидаемая стоимость защиты может быть выражена суммой расходов на систему защиты и потерь от ее нарушения.
Математическое выражение зависимости ожидаемой полной стоимости будет иметь вид:
C = Cd + Cр ,
Cd — стоимость ущерба при нарушении защищенности информации;
Cр — стоимость затрат на обеспечение защиты информации.
Следовательно, оптимальная полная стоимость затрат определяется гарантированным уровнем защищенности при допустимом значении стоимости ущерба, то есть:
Сорt = min (Cd+ Cр).
Указанная зависимость графически представлена на рис. 5.
Очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Сорt, поскольку именно при этом обеспечивается минимизация общей стоимости защиты информации.
Рис. 5. Стоимостные зависимости защиты информации
Для того чтобы воспользоваться данным подходом к решению проблемы, необходимо, во-первых, знать (или уметь определять) ожидаемые потери при нарушении защищенности информации, а во-вторых, зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Решение первого вопроса, т. е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Кроме того, чтобы воспользоваться данным подходом к решению проблемы, необходимо знать (или уметь определять) ожидаемые потери при нарушении защищенности информации и знать зависимость между уровнем защищенности и средствами, затрачиваемыми на защиту информации.
Совершенно очевидно, что оптимальным решением было бы выделение на защиту информации средств в размере Сорt, поскольку именно при этом обеспечивается минимизация общей стоимости защиты информации.
Решение первого вопроса, т. е. оценки ожидаемых потерь при нарушении защищенности информации, принципиально может быть получено лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны, хотя и здесь встречаются весьма серьезные трудности. Что касается оценки уровня потерь при нарушении статуса защищенности информации, содержащей государственную, военную и им подобную тайну, то здесь до настоящего времени строгие подходы к их получению не найдены. Данное обстоятельство существенно сужает возможную область использования моделей, основанных на рассматриваемых подходах.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо по крайней мере знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
Рис. 6. Вероятностно-автоматная модель ТСК АСОД (ВА — вероятностный автомат; ДФ — дестабилизирующий фактор)
Рассмотрим далее статистические модели определения значений базовых показателей уязвимости. В силу целого ряда объективных причин далеко не всегда можно рассчитывать на наличие надежных исходных данных, необходимых для определения рассмотренных показателей уязвимости. В качестве выхода из положения в таких ситуациях предлагается использовать статистические модели.
Рассмотрим пути и способы использования унифицированной модели для определения значений базовых показателей уязвимости информации. Применительно к модели определения показателей уязвимости информации структура и содержание этого блока в виде вероятностно-автоматной модели ТСК показаны на рис. 6.
Последовательность реализации приведенной модели (рис. 6) представлена на рис. 7.
В свою очередь центральным блоком рассмотренной здесь модели является блок 5.4. На вход этого блока поступают потоки заявок на автоматизированную обработку информации, потоки дестабилизирующих факторов, под воздействием которых может быть нарушен установленный статус защищенности обрабатываемой информации, а также потоки воздействий на процесс обработки информации и дестабилизирующие факторы используемых средств защиты.
В зависимости от сочетания значений параметров перечисленных потоков изменяется внутреннее состояние моделируемого объекта или процесса и формируются данные о наличии или отсутствии и масштабах нарушения защищенности информации.
Рис. 7. Укрупненная схема модели определения показателей уязвимости информации
5. Факторы, влияющие на требуемый уровень защиты информации Требуемый уровень защиты информации в конкретной АСОД и в конкретных условиях ее функционирования существенно зависит от учета факторов, которые существенно влияют на защиту информации. Следовательно, формирование возможно более полного множества этих факторов и возможно более адекватное определение степени их влияния на требуемый уровень защиты представляется задачей повышенной важности и подлежащей упреждающему решению.
Сформулированная задача, однако, практически не поддается решению традиционными формальными методами. Если бы в наличии были статистические данные о функционировании систем и механизмов защиты информации в различных АСОД (различных по функциональному назначению, архитектуре, характеру обрабатываемой информации, территориальному расположению, технологии обработки информации, организации работы и т. п.), то, вообще говоря, данную задачу можно было бы решить статистической обработкой этих данных, по крайней мере, по некоторому полуэвристическому алгоритму. Но такие данные в настоящее время отсутствуют, и их получение в обозримом будущем представляется весьма проблематичным. В силу сказанного в настоящее время для указанных целей можно воспользоваться лишь неформально-эвристическими методами, т. е. с широким привлечением знаний, опыта и интуиции компетентных и заинтересованных специалистов.
Ниже излагаются возможные подходы к решению рассматриваемой задачи названными методами.
Нетрудно видеть, что задача довольно четко может быть разделена на две составляющие: формирование возможно более полного и хорошо структурированного множества факторов, существенно значимых с точки зрения защиты информации, и определение показателей значимости (веса) факторов. В классе неформально-эвристических методов можно выделить методы экспертных оценок, мозгового штурма и психо-интеллектуальной генерации. Анализируя содержание выделенных составляющих задач и существо названных неформальноэвристических методов, можно заключить, что для решения первой из них наиболее подходящим представляется метод психо-интеллектуальной генерации, а второй — методы экспертных оценок. Что касается метода мозгового штурма, то он может быть использован для решения обеих составляющих задач, особенно для обсуждения ранее полученных решений.
Основным реквизитом метода психо-интеллектуальной генерации выступает так называемая психо-эвристическая программа (ПЭП), представляющая собой перечень и последовательность (общий алгоритм) обсуждения вопросов, составляющих существо решаемой задачи, развернутую схему обсуждения каждого вопроса, а также методические указания, обеспечивающие целенаправленное обсуждение каждого из выделенных в общем алгоритме вопросов.
При разработке ПЭП для обоснования множества факторов, влияющих на требуемый уровень защиты информации, следует исходить из того, что этих факторов, вообще говоря, большое количество и они носят разноплановый характер. Поэтому представляется целесообразным разделить их на некоторое число групп, каждая из которых объединяла бы факторы какого-либо одного плана. Тогда задачу формирования возможно более полного множества факторов можно решать по трех шаговой процедуре: первый шаг — формирование перечня групп факторов, второй — формирование перечня факторов в каждой из выделенных групп, третий — структуризация возможных значений двух факторов. Общая схема ПЭП для решения рассматриваемой задачи по такой процедуре представлена на рис. 8.
Главный вопрос — первоначальное формирование перечня групп факторов. Решение данного вопроса может осуществляться двояко: перечень групп факторов предварительно сформирован или такой перечень отсутствует. В первом случае обсуждение должно вестись в целях обоснования содержания и возможной корректировки перечня, во втором формирования перечня и затем уже его обоснования и уточнения.
Рис. 8. Общая структура программы формирования перечня факторов, влияющих на требуемый уровень защиты информации
6. Взаимосвязь понятий «защита информации», «безопасность информации» и «информационная безопасность»
Поскольку нарушение статуса информации выражается в различных формах проявления уязвимости информации, а все формы сводятся к двум видам уязвимости (утрата и утечка), содержательную часть понятия «защита информации» можно определить как предотвращение утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации Алексенцев А. И. Сущность и соотношение понятий «защита информации», безопасность информации" и «информационная безопасность» // Безопасность информационных технологий. 1999. № 1.
Вторая составляющая сущности защиты информации — способ реализации содержательной части — в толковых словарях представлена как процесс или как совокупность методов, средств и мероприятий. Действительно, защита информации включает в себя определенный набор методов, средств и мероприятий, однако ограничивать способ реализации защиты только этим было бы неверно. Защита информации должна быть системной, а в систему помимо методов, средств и мероприятий входят и другие компоненты: объекты защиты, органы защиты, пользователи информации.
При этом защита не должна представлять собой нечто статичное, она должна осуществляться непрерывно. Этот процесс происходит не сам по себе, а в результате определенной деятельности людей, которая, по определению, включает в себя цели, средства и результат. Защита информации не может быть бесцельной, безрезультатной и осуществляться без помощи определенных средств. Поэтому именно деятельность и должна быть способом реализации содержательной части защиты.
Таким образом, объединив содержательную часть защиты информации и способ реализации содержательной части, можно сформулировать следующее определение: защита информации — это деятельность по предотвращению утраты и утечки конфиденциальной информации и утраты защищаемой открытой информации.
Учитывая, что определение должно быть лаконичным, а термин утрата и утечка защищаемой информации поглощает все формы проявления уязвимости конфиденциальной и защищаемой части открытой информации, можно ограничиться более кратким определением при условии дифференцированного его преломления в практической работе: «Защита информации — это деятельность по предотвращению утраты и утечки защищаемой информации» .
А теперь проанализируем определение рассматриваемого понятия, приведенное в ГОСТ Р50 922- 2006 «Защита информации. Основные термины и определения», поскольку это определение официальное, имеющее в смысловом значении обязательный характер. Оно сформулировано так: «Защита информации — деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию» .
Как видно, это определение совпадает с предложенным выше по способу реализации содержательной части защиты (это деятельность) и по одной из ее составляющих (это предотвращение утечки защищаемой информации). Однако определение утечки в ГОСТе не сформулировано отдельно, а вмонтировано в определение термина «защита информации от утечки», которое звучит так: «Защита информации от утечки — деятельность по предотвращению неконтролируемого распространения защищаемой информации, по защите от разглашенияЗащита информации от разглашения — это деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации., несанкционированного доступа к защищаемой информацииЗащита информации от несанкционированного доступа (НСД) — это деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. При этом заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо. и от получения защищаемой информации иностранными разведкамиЗащита информации от иностранной разведки — это деятельность по предотвращению получения защищаемой информации иностранной разведкой.». Из этого определения следует, что утечка информации — это неконтролируемое распространение защищаемой информации.
Неконтролируемое распространение можно по смыслу приравнять к неправомерному выходу информации за пределы защищаемой зоны ее функционирования или установленного круга лиц. Но если в предложенном нами выше определении утечки далее обозначен результат такого выхода (получение информации лицами, не имеющими к ней санкционированного доступа), то в государственном стандарте неконтролируемое распространение выступает уже как результат, к которому приводят разглашение, получение информации иностранными разведками и несанкционированный доступ к ней. Таким образом, в первом случае неконтролируемое распространение приводит к несанкционированному получению, во втором — все наоборот.
Такая путаница в ГОСТе вызвана тем, что на одну доску поставлены понятия с разными значениями: форма проявления уязвимости защищаемой информации (разглашение), механизм получения информации (несанкционированный доступ) и результат неконтролируемого распространения информации (получение иностранными разведками).
По второму компоненту содержательной части защиты информации предложенное нами выше определение расходится с ГОСТом и по формулировке, и по существу. В нашем определении защита информации — это предотвращение утраты и утечки защищаемой информации, а в ГОСТе — предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на нее.
Таким образом, если в первой части определения содержательной части ГОСТ называет первый вид уязвимости информации (утечку), то во второй — не второй вид уязвимости (утрату), как следовало ожидать, а воздействия, которые могут привести к этому виду уязвимости.
Конечно, утрата не может произойти без несанкционированных или непреднамеренных воздействий на информацию, но зачем понадобился разный подход к обозначению двух видов уязвимости информации, почему в определении один называется, а другой подразумевается? Отчасти это объясняется, вероятно, тем, что результаты воздействия на информацию ГОСТ не сводит только к ее утрате. Это видно из расшифровки понятий несанкционированного и непреднамеренного воздействий на информацию.
К несанкционированному воздействию ГОСТ относит «воздействие на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации» .
Непреднамеренное воздействие определяется ГОСТом как «воздействие на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации» .
Таким образом, результатом воздействия на информацию или ее носитель являются и вид уязвимости (утрата), и формы проявления уязвимости (искажение, уничтожение, блокирование), и способ воздействия (копирование). Если в данном случае копирование заменяет хищение, то это неверно, поскольку есть и другие способы хищения. К тому же непонятно, зачем в определении понятия отделен носитель информации от самой информации, ведь в итоге названные утрата и уничтожение носителя (без учета неправомерности постановки их в один ряд) являются одновременно утратой и уничтожением отображенной в них информации, а сбой функционирования носителя приводит к блокированию информации.