ИНТЕРНЕТ МАГАЗИН: КНИГИ, электронные книги, на английском языке, софт — купить, заказать почтой, опт недорого, отзывы, форумы и общение друзей

Допущено Министерством образования Российской Федерации в качестве учебного пособия для студентов высших учебных заведений, обучающихся по специальности 075400 – «Комплексная защита объектов информации»

ОГЛАВЛЕНИЕ

Предисловие 3

Введение 5

Глава первая. Проблемы обеспечения информационной безопасности 12
1.1. Определение и место информационной безопасности в общей совокупности информационных проблем современного общества 12
1.2. Ретроспективный анализ развития подходов к защите информации 19
1.3. Современная постановка задачи защиты информации 30
1.4. Сущность, необходимость, пути и условия перехода к интенсивным способам защиты информации 37
Краткие выводы 43

Глава вторая. Основы теории защиты информации 45
2.1. Особенности и состав научно-методологического
базиса решения задач защиты информации 45
2.2. Общеметодологические принципы нормирования теории
защиты информации 47
2.3. Методологический базис теории защиты информации 52
2.4. Принципы автоформализации профессиональных знаний эксперта-аналитика 62
2.5. Моделирование процессов защиты информации 68
2.6. Основное содержание теории защиты информации 79
Краткие выводы 90

Глава третья. Угрозы и оценка уязвимости информации 93
3.1. Понятие угрозы безопасности информации.
Ретроспективный анализ подходов к формированию
множества угроз 93
3.2. Системная классификация угроз безопасности информации 97
3.3. Методы оценки уязвимости информации 100
3.4. Методы оценки достоверности информационной
базы моделей прогнозирования значений показателей уязвимости информации 105
3.5. Модели оценки ущерба от реализации угроз безопасности информации 120
Краткие выводы 126

Глава четвертая. Требования к защите информации 128
4.1. Постановка задачи и анализ существующих методик
определения требований к защите информации 128
4.2. Параметры защищаемой информации
и оценка факторов, влияющих на требуемый уровень защиты 131
4.3. Определение весов вариантов потенциально возможных условий защиты информации 152
4.4. Методы деления поля значений факторов
на типовые классы 153
Краткие выводы 165

Глава пятая. Системы защиты информации 168
5.1. Определение, типизация и стандартизация систем защиты
информации 168
5.2. Система защиты информации как многокритериальный
развивающийся объект 175
5.3. Проектирование систем защиты информации 180
5.4. Управление процессами функционирования систем защиты 186
Краткие выводы 202

Глава шестая. Развитие теории и практики
защиты информации 205
6.1. Основные выводы из истории развития теории и практики защиты информации 205
6.2. Перспективы развития теории и практики защиты информации 207
6.3. Проблемы создания и организации работы центров защиты информации 214
6.4. Подготовка кадров в области обеспечения информационной безопасности 226
Краткие выводы 228

Заключение 231

Приложение. Государственный образовательный стандарт высшего профессионального образования 233

Список литературы 276

ПРЕДИСЛОВИЕ

Основную цель данной книги можно сформулировать следующим образом – обобщить имеющийся опыт теоретических исследований и практического решения задач защиты информации, сформировать на этой основе научно-методологический базис защиты и выработать рекомендации по практическим шагам в области интенсификации процессов обеспечения информационной безопасности.
В связи с тем, что процессы защиты информации подвержены сильному влиянию случайных факторов, методы классической теории систем оказываются практически непригодными для использования в качестве основы научно-методологического базиса решения проблем защиты. Таким образом, при формировании теории защиты возникает актуальная задача расширения арсенала классической теории систем за счет использования методов нечетких множеств, лингвистических переменных (нестрогой математики), неформального оценивания, неформального поиска оптимальных решений. Причем, исключительно важное значение для решения современных проблем защиты приобретают методы экспертных оценок, эвристического программирования, «мозгового штурма» и психоинтеллектуальной генерации.
Основными результатами развития теории защиты информации являются введение понятия стратегий защиты и создание единого инструментально-методологического базиса их реализации – унифицированной концепции защиты информации. Унифицированная концепция фактически представляет собой последовательную цепь методологий оценки уязвимости информации, выработки требований по ее защите, определения кортежа концептуальных решений по защите, оценке факторов, влияющих на требуемый уровень защиты.
Все эти методологии, начиная с формирования полного множества угроз, представляют собой ярко выраженные неформализуемые проблемы.
В процессе развития теории и практики защиты информации сформировались три методологических подхода к их решению: эмпирический, теоретический и теоретико-эмпирический. Однако, для их эффективного использования необходимы исходные данные, систематизация и обобщение подавляющего большинства которых в настоящее время в России не организованы.
Таким образом, возникает задача серьезной корректировки организационной структуры обеспечения работ по защите информации, которая может проводиться путем создания специализированных центров защиты. В настоящее время идея создания таких центров практически реализована в виде сети учебно-научных центров по проблемам информационной безопасности в системе высшей школы.
Все перечисленные вопросы и составляют основное содержание этой книги, которое основано на материалах различных литературных источников, результатах исследований отечественных и зарубежных ученых и специалистов в области обеспечения информационной безопасности, авторских разработках в этой сфере.
Автор считает своим долгом особо отметить ценные замечания и предложения, сделанные профессором В.А. Герасименко на начальной стадии работы над книгой.
Автор выражает искреннюю благодарность рeцензентам, доктору техн. наук, профессору А.А. Стрельцову, доктору техн. наук М. П. Сычеву и канд. техн. наук Ю.Н. Лаврухину.

ВВЕДЕНИЕ

В настоящее время общепризнанно, что удовлетворение все возрастающих потребностей современного общества при неуклонном увеличении народонаселения земного шара требует резкого повышения эффективности всех сфер общественной деятельности. При этом важнейшим и непременным условием такого повышения эффективности выступает адекватное повышение эффективности использования информационных ресурсов. Иными словами, для современного общества проблема информационного обеспечения всех сфер деятельности по своей значимости и актуальности превосходит проблему дальнейшей индустриализации производства, которая до недавнего времени считалась одной из центральных. Подчеркивая это обстоятельство, говорят, что современное общество вступает в постиндустриальный период своего развития, который по всеобщему мнению можно назвать информационным.
В связи с этим проблемы совершенствования систем информационного обеспечения считаются одними из наиболее актуальных и неотложных задач общества. В интересах их решения в последние годы ведутся весьма интенсивные и крупномасштабные исследования и разработки.
Вместе с тем интенсификация информационных процессов порождает ряд попутных и достаточно серьезных проблем, без решения которых вообще нельзя будет говорить об эффективности информатизации. Одной из наиболее острых проблем указанного плана выступает проблема надежной защиты информации, т.е. предупреждения ее искажения или уничтожения, несанкционированной модификации, злоумышленного получения и использования и т.п. Особую остроту проблема защиты приобретает в связи с повсеместной и массовой компьютеризацией информационных процессов, широким внедрением информационно-вычислительных сетей с доступом к их ресурсам массы пользователей.
Вообще говоря, проблема защиты информации имеет многовековую историю. Однако, концентрируя внимание читателей на актуальных задачах сегодняшнего дня, мы ограничимся лишь тем периодом, который характеризуется регулярным применением для хранения и обработки информации средств вычислительной техники (СВТ). Проблемы защиты информации в таких системах возникли практически одновременно с появлением самих систем, однако особо они обострились, когда СВТ стали применяться для обработки закрытой информации. Такое развитие событий в условиях общей закрытости и изолированности советского общества привело в нашей стране к положению, когда чуть ли не все содержание проблемы свелось к защите только секретной информации, хотя, как сегодня стало ясно всем, это составляет лишь одну из частей гораздо более общей задачи обеспечения защиты жизненно важных интересов личности, общества и государства в информационной сфере.
В более широкой постановке проблемы защиты информации в СССР стали открыто обсуждаться (сначала достаточно робко) чуть более двадцати лет назад после того, как в журнале «Зарубежная радиоэлектроника» был опубликован цикл из шести обзорных статей, подготовленных по данным зарубежной печати. Интенсивность обсуждения проблемы, исследований и разработок в этой области непрерывно росла, и к настоящему времени практически сформировалось самостоятельное научно-техническое направление. Создана также система подготовки профессиональных специалистов по защите информации. Иными словами, мы сегодня фактически имеем дело с новой важной сферой деятельности, в которой занято достаточно представительное число людей [1]. Основными задачами данной сферы являются:
организация практических работ по защите информации и управление ими на государственном, ведомственном, региональном и объектовом уровнях;
проведение научных исследований и разработок всех аспектов рассматриваемой проблемы;
разработка, производство и распространение средств защиты;
подготовка кадров по защите информации.
Рассматривая общее содержание перечисленных задач мы можем отметить, что в плане организации работ по защите информации к настоящему времени на государственном уровне создана достаточно стройная и эффективная система управляющих органов [2]. Основу этой системы составляют Совет Безопасности Российской Федерации и комплекс силовых структур исполнительной власти.
Что касается объектового уровня, то в настоящее время практически на всех объектах (предприятиях, учреждениях, других организациях), деятельность которых связана с обработкой подлежащей защите информации, имеются штатные службы защиты, состав и численность которых определяются объемом соответствующих задач. Общее содержание этих задач и организационно-правовой статус служб защиты достаточно детально рассмотрены в [3].
По общему признанию существующие службы решают свои задачи более или менее эффективно. Однако те изменения, которые происходят в понимании существа проблемы защиты информации, подходах, методах и средствах ее решения, предопределяют необходимость существенной корректировки организации и содержания их работы. В частности, расширение рамок комплексности защиты требует наличия в составе соответствующих служб высококвалифицированных специалистов по различным видам защиты информации, а непрерывный рост арсенала средств защиты, способов и методов их применения требует для получения наибольшего эффекта оптимального комплексирования всех средств и методов, т.е. создания комплексных (как по целям, так и по средствам) систем защиты и организации соответствующего управления ими. При этом отличительной особенностью этих систем является то, что они должны эффективно функционировать в условиях неопределенности, а зачастую и непрогнозируемости проявления дестабилизирующих факторов.
Кроме того, непрерывный рост количества объектов, нуждающихся в защите информации, но не имеющих возможностей содержать собственную полноценную службу защиты, делает все более актуальной задачу создания специализированных центров защиты информации, которые и оказывали бы соответствующие услуги названным выше объектам. Создание сети таких центров представляется главным методом организационного решения проблемы защиты информации на региональном и ведомственном уровне.
Анализируя результаты научных исследований и разработок в области защиты информации, следует отметить, что важным достижением теоретического характера на предшествующем этапе явились научные разработки новых средств защиты (технических, программно-аппаратных, криптографических) и способов построения на их основе комплексных механизмов и систем защиты. Результаты этих разработок достаточно представительно опубликованы в различных изданиях (и прежде всего на страницах журнала «Безопасность информационных технологий»). В последние годы стали появляться публикации монографического характера. Более или менее детальный анализ этих публикаций приведен в гл. 1 данного учебного пособия.
Основным результатом предшествующего этапа стало формирование основ теории защиты, в процессе которого введено понятие стратегии защиты и обосновано базовое множество необходимых стратегий, предложена унифицированная концепция защиты информации (УКЗИ), обосновано полное множество задач, подлежащих решению в процессе защиты информации [3,31].
В настоящее время на базе анализа множества предпосылок доказана объективная необходимость перехода от экстенсивных к интенсивным способам защиты информации. В частности, дальнейшее совершенствование теории защиты связано с учетом новых обстоятельств, характерных для современного периода развития информатизации общества.
Во-первых, поскольку все большую актуальность приобретает не только защита информации, но и защита людей и технических (главным образом, электронных) систем от разрушающего воздействия информации, то формируется задача обеспечения информационной безопасности как органической совокупности задач защиты информации и защиты от информации. Различные аспекты этой задачи в предварительном плане обсуждены в [4].
Во-вторых, с самого начала регулярного использования автоматизированных технологий обработки информации актуальной стала задача обеспечения требуемого качества информации. Причем с течением времени актуальность данной задачи возрастает, а сама задача усложняется. Нетрудно показать, что в содержании задач обеспечения необходимого уровня качества информации и информационной безопасности много общего и аналогичного, что естественным образом наводит на мысль расширить унифицированность соответствующей концепции с учетом потребностей также задач обеспечения качества информации.
В-третьих, одним из серьезных достижений современной информатики следует признать разработку профессором Герасименко В.А. концепции информационного кадастра как высокоорганизованной совокупности данных, необходимых для эффективной деятельности соответствующего объекта (предприятия, учреждения, иной организации) [5]. Концепция информационного кадастра является ядром более общей концепции информационного обеспечения деятельности объектов. При этом, естественно, должны быть учтены и все задачи защиты информации, защиты от информации и обеспечения качества информации, которые необходимо решать как при формировании информационного кадастра, так и при его поддержке и использовании. Возникает обобщенное понятие управления информацией, объединяющее все упоминавшиеся выше понятия.
В-четвертых, серьезное внимание на новом этапе развития теории защиты информации должно быть уделено совершенствованию научно-методологического базиса и инструментальных средств, обеспечивающих решение любых возникающих задач на регулярной основе. В настоящей книге рассматриваются вопросы анализа всех этих задач с точки зрения их внутреннего содержания, в результате чего может быть определен набор необходимых и достаточных методов их решения и комплексов моделей для реализации этих методов. Все это и составляет так называемый методико-инструментальный базис решения задач защиты.
Углубленное изучение проблемы совершенствования научно-методологического базиса теории защиты информации привело к выводу, что уже в настоящее время (а тем более в перспективе) решение проблем защиты вне органической связи с решением более общих проблем (информационной безопасности, информационных технологий, информатизации общества) может привести к неадекватным результатам. Серьезность данного вопроса признана настолько основательной, что его решение должно вестись с использованием иных (по сравнению с прежними) интенсивных подходов. Все это говорит о необходимости обобщения накопленного опыта теоретических исследований и практического решения задач защиты информации в целях формирования на этой основе научно-методологического базиса защиты как краеугольного камня интенсификации процессов обеспечения информационной безопасности.
Третьей разновидностью деятельности в области защиты информации являются исследование, разработка и распространение средств защиты, которым всегда уделялось и продолжает уделяться повышенное внимание. Основное концептуальное требование к средствам защиты в условиях перехода к интенсивным способам решения задач защиты информации может быть сформулировано в терминах достаточности в том смысле, что в их арсенале должны быть средства для решения любой задачи и в любых потенциально возможных условиях. Подробно данные вопросы рассмотрены в соответствующих главах настоящего учебного пособия.
Что касается проблемы кадрового обеспечения информационной безопасности, то следует отметить, что данный вопрос к настоящему времени применительно к защите информации имеет достаточно серьезную практическую реализацию и некоторые теоретико-методологические обобщения. Справедливость сказанного можно подтвердить тем, что в настоящее время уже функционирует организованная система подготовки молодых и повышения квалификации работающих специалистов по защите информации, основой которой являются учебно-методическое объединение вузов по образованию в области информационной безопасности и сеть региональных учебно-научных центров высшей школы.
Резюмируя, сегодня можно выделить следующие наиболее острые проблемы развития теории и практики обеспечения информационной безопасности:
создание теоретических основ и формирование научно-методологического базиса, позволяющих адекватно описывать процессы в условиях значительной неопределенности и непредсказуемости проявления дестабилизирующих факторов (информационных угроз);
разработка научно обоснованных нормативно-методических документов по обеспечению информационной безопасности на базе исследования и классификации угроз информации и выработки стандартов требований к защите;
стандартизация подходов к созданию систем защиты информации и рационализация схем и структур управления защитой на объектовом, региональном и государственном уровнях.
Решение спектра перечисленных задач имеет важное значение для реализации положений Доктрины информационной безопасности и Концепции национальной безопасности Российской Федерации.
Таким образом, основная цель данного учебного пособия состоит в ознакомлении читателей с современными взглядами на исследование путей и разработку методов интенсификации процессов обеспечения информационной безопасности на основе формирования научно-методологического базиса защиты и рационализации подходов к созданию систем защиты и управлению их функционированием.
В соответствии с этим в книге последовательно рассматриваются следующие вопросы:
место проблем информационной безопасности в общей совокупности информационных проблем современного общества;
подходы к защите информации и обоснование необходимости перехода в современных условиях к интенсивным способам защиты;
научно-методологические основы интенсификации процессов защиты информации;
угрозы и методология оценки уязвимости информации;
методы определения требований к защите информации с учетом факторов, влияющих на уровень защиты, и потенциально возможных условий функционирования защищаемых систем;
общеметодологические принципы построения систем защиты информации и управления процессами их функционирования;
практические рекомендации по интенсификации процессов защиты информации и формированию современных организационных структур, обеспечивающих эффективную реализацию комплексного подхода к обеспечению информационной безопасности.
Первая глава пособия посвящена рассмотрению общих аспектов проблемы безопасности как научной категории. Здесь определяется место информационной безопасности в обеспечении национальной безопасности государства, на основе привлечения достижений информатики и ретроспективного анализа развития подходов к защите информации как одной из основных составляющих обеспечения информационной безопасности формулируется современная постановка задачи защиты, суть которой состоит в переходе от экстенсивных к интенсивным методам решения проблем.
Во второй главе рассматриваются научно-методологические основы интенсификации процессов защиты информации, формируется научно-методологический базис решения задач защиты, рассматриваются проблемы расширения арсенала классической теории систем за счет использования методов, позволяющих адекватно моделировать процессы, существенно зависящие от воздействия трудно предсказуемых факторов, и решать задачи анализа, т.е. оценки защищенности (уязвимости) информации, и синтеза, т.е. оптимизации распределения ресурсов, выделяемых на защиту.
Третья глава рассматривает проблемы количественной оценки угроз защищаемой информации. В ней приводится системная классификация угроз и описывается модель определения показателей уязвимости информации.
В четвертой главе рассматриваются методы определения требований к защите информации, проблемы классификации множества вариантов потенциально возможных условий защиты и формирования на ее основе необходимого и достаточного набора типовых систем защиты информации.
Пятая глава посвящена методологическим принципам создания систем защиты информации и управления их функционированием. Здесь также рассматриваются вопросы типизации и стандартизации систем защиты.
В шестой главе рассматриваются обобщенные итоги и перспективы развития теории и практики защиты информации.