Новые информационные технологии активно внедряются во все сферы народного хозяйства. Появление локальных и глобальных сетей передачи данных предоставило пользователям компьютеров новые возможности оперативного обмена информацией. Если до недавнего времени подобные сети создавались только в специфических и узконаправленных целях (академические сети, сети военных ведомств и т.д.), то развитие Интернета и аналогичных систем привело к использованию глобальных сетей передачи данных в повседневной жизни практически каждого человека. По мере развития и усложнения средств, методов и форм автоматизации процессов обработки информации повышается зависимость общества от степени безопасности используемых им информационных технологий.
Актуальность и важность проблемы обеспечения информационной безопасности обусловлена следующими факторами:
Современные уровни и темпы развития средств информационной безопасности значительно отстают от уровней и темпов развития информационных технологий.
Высокие темпы роста парка персональных компьютеров, применяемых в разнообразных сферах человеческой деятельности. Согласно данным исследований компании Gartner Dataquest в настоящее время в мире более миллиарда персональных компьютеров. А следующий миллиард будет достигнут уже в 2008 году.
Резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным ресурсам и массивам данных; Доступность средств вычислительной техники, и, прежде всего персональных ЭВМ, привела к распространению компьютерной грамотности в широких слоях населения. Это, в свою очередь, вызвало многочисленные попытки вмешательства в работу государственных и коммерческих систем, как со злым умыслом, так и из чисто «спортивного интереса». Многие из этих попыток имели успех и нанесли значительный урон владельцам информации и вычислительных систем. По неофициальным данным до 70% всех противонарушений, совершаемых так называемыми хакерами, приходится на долю script-kiddies, в дословном переводе - дети, играющиеся со скриптами. Детьми их называют, потому что они не являются специалистами в компьютерных технологиях, но умеют пользоваться готовыми программными средствами, которые достают на хакерских сайтах в Интернете, для осуществления деструктивных действий.
Значительное увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров и других средств автоматизации;
По оценкам специалистов в настоящее время около 70-90% интеллектуального капитала компании хранится в цифровом виде - текстовых файлах, таблицах, базах данных.
Многочисленные уязвимости в программных и сетевых платформах;
Стремительное развитие информационных технологий открыло новые возможности для бизнеса, однако привело и к появлению новых угроз. Современные программные продукты из-за конкуренции попадают в продажу с ошибками и недоработками.
Разработчики, включая в свои изделия всевозможные функции, не успевают выполнить качественную отладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этих системах, приводят к случайным и преднамеренным нарушениям информационной безопасности. Например, причинами большинства случайных потерь информации являются отказы в работе программно-аппаратных средств, а большинство атак на компьютерные системы основаны на найденных ошибках и недоработках в программном обеспечении. Так, например, за первые полгода после выпуска серверной операционной системы компании Microsoft Windows Server 2003 было обнаружено 14 уязвимостей, 6 из которых являются критически важными.
Несмотря на то, что со временем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженные недоработки, пользователи уже успевают пострадать от нарушений информационной безопасности, случившихся по причине оставшихся ошибок. Такая же ситуация имеет место и с программными продуктами других фирм. Пока не будут решены эти многие другие проблемы, недостаточный уровень информационной безопасности будет серьезным тормозом в развитии информационных технологий.
Бурное развитие глобальной сети Интернет, практически не препятствующей нарушениям безопасности систем обработки информации во всем мире. Подобная глобализация позволяет злоумышленникам практически из любой точки земного шара, где есть Интернет, за тысячи километров, осуществлять нападение на корпоративную сеть.
Современные методы накопления, обработки и передачи информации способствовали появлению угроз, связанных с возможностью потери, искажения и раскрытия данных, адресованных или принадлежащих конечным пользователям.
Например, в настоящее время в банковской сфере свыше 90% всех преступлений связано с использованием автоматизированных систем обработки информации.
Под угрозой безопасности понимается возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику или пользователю, проявляющегося в опасности искажения, раскрытия или потери информации. Реализацию угрозы в дальнейшем будем называть атакой. Реализация той или иной угрозы безопасности может преследовать следующие цели:
нарушение конфиденциальности информации. Информация, хранимая и обрабатываемая в корпоративной сети, может иметь большую ценность для ее владельца. Ее использование другими лицами наносит значительный ущерб интересам владельца;
нарушение целостности информации. Потеря целостности информации (полная или частичная, компрометация, дезинформация) - угроза близкая к ее раскрытию. Ценная информация может быть утрачена или обесценена путем ее несанкционированного удаления или модификации. Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности,
нарушение (частичное или полное) работоспособности корпоративной сети (нарушение доступности). Вывод из строя или некорректное изменение режимов работы компонентов КС, их модификация или подмена могут привести к получению неверных результатов, отказу КС от потока информации или отказам при обслуживании. Отказ от потока информации означает непризнание одной из взаимодействующих сторон факта передачи или приема сообщений. Имея в виду, что такие сообщения могут содержать важные донесения, заказы, финансовые согласования и т.п., ущерб в этом случае может быть весьма значительным.
Поэтому обеспечение информационной безопасности компьютерных систем и сетей является одним из ведущих направлений развития информационных технологий.
Корпоративная информационная система (сеть) - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы (из закона об Электронно-цифровой подписи).
Корпоративные сети (КС) относятся к распределенным компьютерным системам, осуществляющим автоматизированную обработку информации. Проблема обеспечения информационной безопасности является центральной для таких компьютерных систем. Обеспечение безопасности КС предполагает организацию противодействия любому несанкционированному вторжению в процесс функционирования КС, а также попыткам модификации, хищения, вывода из строя или разрушения ее компонентов, то есть защиту всех компонентов КС аппаратных средств, программного обеспечения, данных и персонала.
Рассмотрим, как в настоящее время обстоит вопрос обеспечения ИБ на предприятии. Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании с точки зрения обеспечения информационной безопасности (ИБ):
- 0 уровень: ИБ в компании никто не занимается, руководство компании не осознает важности проблем ИБ; Финансирование отсутствует; ИБ реализуется штатными средствами операционных систем, СУБД и приложений (парольная защита, разграничение доступа к ресурсам и сервисам). Наиболее типичным примером здесь является компания с небольшим штатом сотрудников, занимающаяся, например, куплей/продажей товаров. Все технические вопросы находятся в сфере ответственности сетевого администратора, которым часто является студент. Здесь главное, чтобы все работало.
- 1 уровень: ИБ рассматривается руководством как чисто "техническая" проблема, отсутствует единая программа (концепция, политика) развития системы обеспечения информационной безопасности (СОИБ) компании; Финансирование ведется в рамках общего ИТ-бюджета; ИБ реализуется средствами нулевого уровня + средства резервного копирования, антивирусные средства, межсетевые экраны, средства организации VPN (традиционные средства защиты).
- 2 и 3 уровни: ИБ рассматривается руководством как комплекс организационных и технических мероприятий, существует понимание важности ИБ для производственных процессов, есть утвержденная руководством программа развития СОИБ компании; Финансирование ведется в рамках отдельного бюджета; ИБ реализуется средствами первого уровня + средства усиленной аутентификации, средства анализа почтовых сообщений и web-контента, IDS (системы обнаружения вторжений), средства анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) и организационные меры (внутренний и внешний аудит, анализ риска, политика информационной безопасности, положения, процедуры, регламенты и руководства).
- 3 уровень отличается от 2-го следующим: ИБ является частью корпоративной культуры, назначен CISA (старший офицер по вопросам обеспечения ИБ); Финансирование ведется в рамках отдельного бюджета, который согласно результатам исследований аналитической компании Datamonitor в большинстве случаев составляет не более 5% ИТ- бюджета; ИБ реализуется средствами второго уровня + системы управления ИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса). Таким образом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-м и 3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно данной классификации имеет место так называемый «фрагментарный» подход к обеспечению ИБ. «Фрагментарный» подход направлен на противодействие четко определенным угрозам в заданных условиях. В качестве примеров реализации такого подхода можно указать отдельные средства управления доступом, автономные средства шифрования, специализированные антивирусные программы и т.п. Достоинство этого подхода заключается в высокой избирательности к конкретной угрозе. Существенным недостатком подхода является отсутствие единой защищенной среды обработки информации.
Фрагментарные меры защиты информации обеспечивают защиту конкретных объектов КС только от конкретной угрозы. Даже небольшое видоизменение угрозы ведет к потере эффективности защиты.
Таких компаний по статистике Gartner - 85%.(0 - 30 %, 1 - 55%) по состоянию на 2001. Более серьезные организации, соответствующие 2-му и 3-му уровням зрелости классификации Gartner, применяют «комплексный» подход к обеспечению ИБ. Этот же подход предлагают и крупные компании, профессионально занимающиеся защитой информации. Комплексный подход основывается на решении комплекса частных задач по единой программе. Этот подход в настоящее время является основным для создания защищенной среды обработки информации в корпоративных системах, сводящей воедино разнородные меры противодействия угрозам. Сюда относятся правовые, морально-этические, организационные, программные и технические способы обеспечения информационной безопасности.
Комплексный подход позволил объединить целый ряд автономных систем путем их интеграции в так называемые интегрированные системы безопасности. Методы решения задач обеспечения безопасности очень тесно связаны с уровнем развития науки и техники и, особенно, с уровнем технологического обеспечения. А характерной тенденцией развития современных технологий является процесс тотальной интеграции. Этой тенденцией охвачены микроэлектроника и техника связи, сигналы и каналы, системы и сети. В качестве примеров можно привести сверхбольшие интегральные схемы, интегральные сети передачи данных, многофункциональные устройства связи и т. п. Дальнейшим развитием комплексного подхода или его максимальной формой является интегральный подход, основанный на интеграции различных подсистем обеспечения безопасности, подсистем связи в единую интегральную систему с общими техническими средствами. Каналами связи, программным обеспечением и базами данных.
К основным способам обеспечения информационной безопасности относят:
законодательные (правовые)
морально-этические
организационные (административные)
технические
программные
Законодательные меры защиты определяются законодательными актами страны, которыми регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Действительно, большинство людей не совершают противоправных действий вовсе не потому, что это технически сложно, а потому, что это осуждается и/или наказывается обществом, а также потому, что так поступать не принято. К морально-этическим мерам противодействиям относятся нормы поведения, которые традиционно сложились или складываются по мере распространения сетевых и информационных технологий. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Данные нормы могут быть оформлены в некоторый свод правил и предписаний. Так, например, морально-этические принципы врачебной деятельности получили название клятвы Гиппократа. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. А на кафедре Безопасные Информационные Технологии сложилась традиция - все первокурсники принимают клятву защитника информации. В данной клятве сформулированы принципы, которым должны следовать обучающиеся по данной специальности.
Организационные (административные) средства защиты представляют собой организационно-технические и организационно- правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и эксплуатация). Технические средства реализуются в виде механических, электрических, электромеханических и электронных устройств, предназначенных для препятствования на возможных путях проникновения и доступа потенциального нарушителя к компонентам защиты. Вся совокупность технических средств делится на аппаратные и физические.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в телекоммуникационную аппаратуру, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Например, в системе защиты рабочей станции Secret Net реализована добавочная аппаратная поддержка для идентификации пользователей по специальному электронному ключу. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
Компоненты, из которых состоят современные комплексы защиты территории охраняемых объектов, включают:
Механическая система защиты Реальное физическое препятствие, характеризующиеся временем сопротивления и включающее в себя датчики оповещения.
Система оповещения Повышение вероятности обнаружения нарушителя системой оповещения обязательно сопровождается увеличением числа ложных срабатываний. Таким образом, разработка систем оповещения связана, прежде всего, с поиском рационального компромисса относительно соотношения величин названых показателей. Дальнейшее совершенствование систем оповещения должно обеспечить, прежде всего, повышение вероятности обнаружения и снижения интенсивности ложных срабатываний путем использования нескольких систем оповещения различного принципа действия в одном комплексе.
Системы опознавания. Одно из условий надежного функционирования - анализ поступающих сообщений о проникновении для точного определения их типа. Самый распространенный способ - телевизионные установки дистанционного наблюдения. Вся контролируемая системой оповещения зона делится на участки, на каждом из которых устанавливается 1 камера. При срабатывании датчиков оповещения, изображение, передаваемое телекамерой, выводится на экран монитора на центральном посту. Фактические причины срабатывания системы устанавливаются при условии высокой оперативности дежурного охранника. Телевизионные системы могут применяться и для контроля действий персонала внутри объектов.
Оборонительные системы Используются для предотвращения развития вторжения на охраняемую территорию - обычно это осветительные или звуковые установки.
Центральный пост и персонал охраны Работа всех технических установок постоянно контролируется и управляется с центрального поста охраны, к центральным устройствам комплексов защиты предъявляются особые требования. На данный момент из систем безопасности наиболее динамично развиваются системы контроля доступа (СКД), которые обеспечивают безопасность персонала и посетителей, сохранность материальных ценностей и информации и круглосуточно держат ситуацию на фирме под контролем.
Механические замки остаются более приемлемыми для небольших предприятий, несмотря на появление новейших СКД. Существует масса разнообразных замков повышенной секретности, как внутренних, так и наружных, которые могут использоваться для установки в местах, требующих специальной защиты. Производители продолжают рассматривать механические замки повышенной секретности в качестве гибкого, эффективного и недорогого средства обеспечения потребностей в защите собственности и наращивают объем их выпуска. Поэтому наличие механического ключа все еще остается простейшим идентификационным признаком при контроле доступа. Еше одна группа средств идентификации это - удостоверения с фотографией владельца и жетоны.
Удостоверения выдаются служащим фирмы, а жетоны - посетителям. Удостоверения и жетоны могут применяться вместе со средствами контроля доступа по карточкам, тем самым превращаясь в машиночитаемые пропуска. Для усиления защиты карточки с фотографией могут дополняться устройствами считывания и набором персонального кода.
Считается, что карточки-жетоны целесообразно использовать для прохода в контролируемые области на крупных предприятиях. Существует широкий набор электронных СКД, среди которых большее место занимает аппаратура с применением микропроцессоров и компьютеров. Одним из достоинством подобного рода средств защиты является возможность анализа ситуации и ведения отчета. К разряду электронных систем контроля доступа относятся системы с цифровой клавиатурой (кнопочные), с карточками и с электронными ключами. Клавиатура совместно с электрозамком в системах повышенной защищенности дополнены системой считывания карточек. В системах контроля доступа по карточкам ключом является специальным образом закодированная карта, которая выполняет функцию удостоверения личности служащего. Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Программные средства и составляли основу механизмов защиты на первой фазе развития технологии обеспечения безопасности связи в каналах телекоммуникаций. При этом считалось, что основными средствами защиты являются программные. Первоначально программные механизмы защиты включались, как правило, в состав операционных систем управляющих ЭВМ или систем управления базами данных. Практика показала, что надежность подобных механизмов защиты является явно недостаточной. Особенно слабым звеном оказалась защита по паролю. Поэтому в дальнейшем механизмы защиты становились все более сложными, с привлечением других средств обеспечения безопасности. К данному классу средств защиты относятся: антивирусные, криптографические средства, системы разграничения доступа, межсетевые экраны, системы обнаружения вторжений и т.п.
Построение системы защиты должно основываться на следующих основных принципах:
Системность подхода.
Комплексности решений.
Разумная достаточность средств защиты.
Разумная избыточность средств защиты.
Гибкость управления и применения.
Открытость алгоритмов и механизмов защиты.
Простота применения защиты, средств и мер.
Унификация средств защиты.
Защита информации предполагает необходимость учета всех взаимосвязанных и изменяющихся во времени элементов, условий и факторов, существенно значимых для понимания и решения проблемы обеспечения информационной безопасности.
При создании системы защиты необходимо учитывать все слабые и наиболее уязвимые места системы обработки информации, а также характер возможных объектов и нарушения атак на систему со стороны нарушителя, пути проникновения в систему для НСД к информации. Система защиты должна строиться с учетом не только всех известных каналов проникновения, но и с учетом возможности появления преимущественно новых путей реализации угроз безопасности. Системный подход также предполагает непротиворечивость применяемых средств защиты. Различают следующие виды системности: Пространственная системность может практиковаться как увязка вопросов защиты информации по вертикали: государство (правительственные органы) министерство корпоративные государственные учреждения частные предприятия автоматизированные системы обработки данных, вычислительные системы по горизонтали пространственная системность предполагает увязку вопросов ЗИ в локальных узлах и территориях распределения элементов АСОД. Временная системность (принцип непрерывности функционирования системы защиты):
Защита информации это не разовые мероприятия, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы защиты, а ее u1072 адаптация и доработка должна осуществляться на протяжении всего времени функционирования системы.
В частности по времени суток система защиты должна функционировать круглосуточно. Действительно, большинству средств защиты для выполнения своих функций необходима поддержка (администрирование), в частности для назначения и смены паролей, назначения секретных ключей, реакции на факты НСД и т.д. Перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа защищаемых систем и СЗИ (средств защиты информации). Такие. перерывы в работе СЗИ могут использоваться для внесения закладок, совершения НСД и т.д.
В целях рассмотрения базовых принципов информационной безопасности представляется важным остановиться на фундаментальных положениях, связанных с определением этих основных, исходных начал.
Несомненно, что в любой сфере принципы имеют ключевое значение, поскольку это основные, исходные положения для различных учений, теорий, на них основываются знания во всех областях науки. Необходимо учитывать, что принцип в переводе с латинского (principum ) начало, основа - это такая категория, которая имеет фундаментальное значение для всех сфер жизни общества не только на национальном, но и на международном уровне. А по сути, принципы определяют основные правила.
Принципы в философии - это основное, исходное. А в современной юридической науке принципы права определяются по-разному, но в первую очередь так же как исходные, основные идеи, начала права, которые выражают его сущность в обобщенном виде, вытекают из идей справедливости и свободы, юридически закрепляют объективные закономерности общественной жизни, основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека .
П. У. Кузнецов также определяет принципы права как исходные, основные идеи права, которые в концентрированном виде закрепляют основополагающие социальные ценности и традиции, имеющие смысловое значение для обеспечения правового порядка в обществе и укрепления правового статуса человека, как руководящие правовые положения, а также указывает, что они определяют содержание системы права. При этом он справедливо отмечает, что к таким ценностям, не только в информационной сфере, относятся свобода информации, доступ к информации, защита частной жизни, тайны и т.д. Они имеют общеправовое значение и характер .
Безусловно, на основе определенных принципов строится и обеспечение информационной безопасности, которая является составляющей деятельности государства, общества и его отдельных индивидов в этой сфере. Из чего формируется система базовых принципов обеспечения информационной безопасности.
В настоящее время в условиях развития информационно-телекоммуникационных технологий и формирования глобального информационного общества особое значение приобретают общепризнанные принципы , закрепленные в Уставе ООН, например такие, как разрешение международных споров мирными средствами таким образом, чтобы не подвергать угрозе международный мир, безопасность и справедливость; воздержание от угрозы силой или ее применения против территориальной неприкосновенности целостности и др.
Как отмечает известный правовед - специалист в области международного права О. И. Тиунов, важно, что в качестве членов ООН государства (а это абсолютное большинство государств - субъектов международного права) подтвердили обязательство руководствоваться принципом суверенного равенства, как и рядом других зафиксированных в Уставе ООН принципов в принятой 8 сентября 2000 г. Декларации тысячелетия Организации Объединенных Наций. Государства, заявляя приверженность целям и принципам Устава ООН, подчеркнули их неподвластность времени и универсальный характер в условиях, когда "страны и народы становятся все более взаимосвязанными и взаимозависимыми", а государства преисполнены решимости "укреплять уважение к принципу верховенства права, причем как в международных, так и во внутренних делах" . Представляется, что такой подход распространяется и на развитие информационной сферы, информационного общества в условиях глобализации и на основе формирования пространства безопасности и доверия.
На наш взгляд, исключительно важно в рамках данного учебника по организационно-правовому обеспечению информационной безопасности рассмотреть вопрос о том, как же соотносится принцип верховенства права и императив безопасности в современном обществе. Без сомнения, это касается не только каждого государства, но и системы обеспечения международной информационной безопасности. Актуальность этого положения была подчеркнута Председателем Конституционного Суда РФ В. Д. Зорькиным, который в современных условиях глобализации обратился к этому вопросу и поставил во главу угла верховенство права как один из важнейших принципов глобального информационного общества .
Однако, что же означает этот принцип применительно к глобальным отношениям в информационной сфере, связанным с обеспечением информационной безопасности? Как и кем формируется то понимание права, которое лежит в основе наднационального правового регулирования? Каковы главные направления согласования принципа верховенства права с требованиями безопасности? Этот вопрос носит дискуссионный характер, поскольку реализация общепризнанных принципов, связанных с гласностью и открытостью, доступом к информации с одной стороны, с другой стороны нередко вызывает неоднозначную оценку, носит конфликтный (конкурентный характер), который в свою очередь связан с реализацией принципа государственного суверенитета в информационной сфере.
В. Д. Зорькин, известный и авторитетный российский юрист, полагает, что поскольку право в своей основе представляет собой систему прав человека, то принцип верховенства права - это принцип прав человека, которым должно руководствоваться современное демократическое государство в своей правотворческой и правоприменительной деятельности. Применительно к внутригосударственному праву верховенство права предстает как верховенство правового закона (т.е. закона, гарантирующего права человека), если слово "закон" употреблять в широком смысле, имея в виду и нормативный акт, и судебный прецедент. Однако, по мнению Ю. В. Зорькина, в системе глобальных отношений сделать это пока не удается . В связи с этим вопрос о том, каким образом формируется общее представление о праве, которое лежит в основе правового регулирования глобальных отношений (безусловно, это сегодня касается не только всей информационной сферы, но в первую очередь области обеспечения информационной безопасности), и как вырабатываются конкретные правовые нормы, выступающие в качестве общечеловеческих регуляторов, имеет ключевое значение для понимания того, что есть право в современном мире.
Задача по формированию единого политико-правового пространства относится ко всей системе глобальных отношений, включая и отношения в информационной сфере. Но для обеспечения информационной безопасности должен сохраняться и принцип государственного суверенитета, указанный ранее, на базе новой правовой концепции суверенитета. В связи с этим высказываются предложения о необходимости полноценной систематической работы по обновлению Устава ООН и прежде всего глубокой и детальной проработки тех десяти основных принципов международного права, которые включают как концептуальные предложения по новым формулировкам основных принципов, так и выработку сопутствующих конкретных модельных норм.
Важнейшими элементами глобального информационного общества являются такие принципы, как доверие и безопасность в использовании информационно-коммуникационных технологий, вытекающие из необходимости поощрять, формировать, развивать и активно внедрять устойчивую глобальную культуру кибербезопасности. Это отражено в принятой в 2009 г. на очередной сессии Генеральной Ассамблеи ООН Резолюции 64/211 "Создание глобальной культуры кибербезопасности и оценка национальных усилий по защите важнейших информационных инфраструктур". Создание информационного общества стало рассматриваться как первостепенная задача Совета Европы с конца 1993 г., когда была выпущена Белая книга "Экономический рост, конкуренция, занятость - задачи и пути их решения на пороге XXI века" . В июне 1994 г. Советом Европы был принят план действий "Путь Европы в информационное общество", предусматривающий ряд механизмов, позволяющих создать условия для свободного доступа к информации и одновременно оберегающих личность и общество.
Основные принципы законодательного регулирования общественных отношений в сфере международной информационной безопасности сформулированы в основополагающих международных документах и, как показывает их анализ, являются общепризнанными и приоритетными в развитии информационного законодательства и для России (вопросы международного правового регулирования более подробно рассматриваются в гл. 3 настоящего учебника).
Важнейшим шагом для развития законодательства как в информационной сфере в целом, так и в области обеспечения информационной безопасности, было принятие и провозглашение 10 декабря 1948 г. Генеральной Ассамблеей ООН Всеобщей декларации прав человека, в ст. 12, 19, 26 которой закреплены права каждого человека на свободу убеждений, мысли, совести, религии, образование, свободное выражение этих убеждений, а также право искать, получать и распространять информацию и идеи любыми средствами независимо от государственных границ.
Положения, закрепляющие информационные права и свободы, развиваются в Конвенции о защите прав человека и основных свобод от 1950 г. и Международном пакте о гражданских и политических правах от 1966 г. В указанных актах установлено, что свобода получения и распространения информации реализуется без какого-либо вмешательства со стороны государственных органов, а также без учета государственных границ и распространяется па всякого рода информацию (ст. 10 Конвенции, ст. 19 Международного пакта).
Таким образом, право на свободу информации в том виде, в котором оно закреплено в международных документах по правам человека, является не новым субъективным правом человека в области информации, а проявлением традиционных свобод мысли и слова. По существу, влияние представлений о свободе информации как воплощении информационных правомочий граждан сказалось на становлении принципа свободы информации.
Основные принципы установления пределов вмешательства в частную жизнь со стороны государства, организаций, юридических и физических лиц также установлены Всеобщей декларацией прав человека, конвенциями ООН и Совета Европы.
Особенно важным для обеспечения информационной безопасности является применение в законодательстве РФ общих принципов, закрепленных в Резолюции Генеральной Ассамблеи ООН 2450 (XXIII) от 19.12.1968 "Права человека и научно-технический прогресс", среди которых: принцип свободы обмена информацией; принципы и процедуры информирования общественности о деятельности государственных структур, а также принцип контроля государств над коммуникационной деятельностью, осуществляемой под их юрисдикцией; регламентация порядка деятельности и осуществление контроля за телекоммуникациями, включая комплексную разработку государственной политики в этой сфере.
Начиная с 2000 г. в информационной сфере принят ряд документов, таких как Окинавская хартия, итоговые документы Всемирной встречи на высшем уровне по вопросам информационного общества (2003 г. в Женеве и 2005 г. в Тунисе) и другие, которые являются основополагающими политико-правовыми документами, направленными на ускорение формирования постиндустриальных тенденций в экономической, социально-политической и духовной сферах жизни общества, и заложили определенные принципы информационной безопасности.
Задача формирования нормативно-правовой базы в информационно- коммуникационной сфере определена в качестве одной из приоритетных при построении глобального информационного общества, провозглашенного в Окинавской хартии. Согласно ее положениям государства обязуются осуществлять руководство в продвижении усилий правительств по укреплению соответствующей политики и нормативной базы, стимулирующих конкуренцию и новаторство, обеспечение экономической и финансовой стабильности, содействующих сотрудничеству по оптимизации глобальных сетей, борьбе со злоупотреблениями, которые подрывают целостность сети, по сокращению разрыва в цифровых технологиях, инвестированию в людей и обеспечению глобального доступа и участия в этом процессе.
Основными принципами обеспечения информационной безопасности в АСОИ являются :
1. Системность.
2. Комплексность.
3. Непрерывность защиты.
4. Разумная достаточность.
5. Гибкость управления и применения.
6. Открытость алгоритмов и механизмов защиты.
7. Простота применения защитных мер и средств.
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.
Принцип комплексности предполагает согласование работы разнородных систем защиты информации (СЗИ) при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ.
Принцип непрерывности защиты учитывает то, что защита информации не есть разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности опирается на то, что создать абсолютно защищенную систему принципиально невозможно, взлом системы есть вопрос только времени и средств. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень защищенности автоматизированной системы (АС). При определенных условиях функционирования АС СЗИ, обеспечивающая ее защищенность может обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
Основные положения: ИБ ИС основывается на положениях и требованиях существующих законов, стандартов и нормативно методологических документов; ИБ обеспечивается комплексом инженерно технических средств и организационных мер; ИБ должна обеспечиваться на всех стадиях ЖЦ информации; инженерно технические средства не должны существенно ухудшать основные характеристики ИС; неотъемлемой частью работ по ИБ является оценка эффективности средств защиты; защита должна предоставлять контроль эффективности средств защиты. Основные принципы: Принцип системности – предполагает необходимость учета всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов: при всех видах информационной деятельности; во всех структурных элементах; при всех режимах функционирования; на всех этапах ЖЦ; с учетом взаимодействия объекта защиты с внешней средой. Принцип комплексности – предполагает согласование разнородных средств при построении целостной системы защиты, перекрывающей все существенные каналы угроз и не содержащей слабых мест на стыке отдельных компонентов. Принцип непрерывности защиты – защита информации не разовое мероприятие, а непрерывный целенаправленный процесс. Принцип разумной достаточности – предполагает выбор такого уровня защиты при котором затраты, риск и размер возможного ущерба приемлемы. Принцип гибкости – предполагает возможность варьирования уровня защиты ИС. Принцип открытости – защита должна обеспечиваться не только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов не должно давать возможности ее преодоления, даже разработчику. Принцип простоты – механизмы защиты должны быть понятны и просты в использовании и не должны вызывать дополнительных трудозатрат при обычной работе пользователей.
Билет №3
1. Наследование в объектно-ориентированном программировании
Наследование (inheritance) - это процесс, посредством которого один объект может приобретать свойства другого. Точнее, объект может наследовать основные свойства другого объекта и добавлять к ним черты, характерные только для него. Наследование является важным, поскольку оно позволяет поддерживать концепцию иерархии классов (hierarchical classification). Применение иерархии классов делает управляемыми большие потоки информации. Например, подумайте об описании жилого дома. Дом - это часть общего класса, называемого строением. С другой стороны, строение - это часть более общего класса - конструкции, который является частью ещё более общего класса объектов, который можно назвать созданием рук человека. В каждом случае порождённый класс наследует все, связанные с родителем, качества и добавляет к ним свои собственные определяющие характеристики. Без использования иерархии классов, для каждого объекта пришлось бы задать все характеристики, которые бы исчерпывающи его определяли. Однако при использовании наследования можно описать объект путём определения того общего класса (или классов), к которому он относится, с теми специальными чертами, которые делают объект уникальным. Наследование играет очень важную роль в OOП.
Насле́дование - один из 3 важнейших механизмов объектно-ориентированного программирования (наряду с инкапсуляцией и полиморфизмом), позволяющий создать новый объект на основе уже существующего объекта, при этом данные и функциональность существующего объекта «наследуются» новым объектом.
Наследование в языке C++
class A{ //базовый класс
class B: public A{ //public наследование
class C: protected A{ //protected наследование
class Z: private A{ //private наследование
Класс, от которого произошло наследование, называеться «базовым». Классы, которые произошли от базового, называются «потомками» или «наследниками».
В C++ существует три типа наследования: public, protected, private. Спецификаторы доступа членов базового класса меняются в потомках следующим образом:
при public-наследовании все спецификаторы остаются без изменения.
при protected-наследовании все спецификаторы остаются без изменения, кроме спецификатора public, который меняется на спецификатор protected (то есть public-члены базового класса в потомках становятся protected).
при private-наследовании все спецификаторы меняются на private.
Одним из основных преимуществ наследования является то, что указатель на классы-наследники может быть неявно преобразован в указатель на базовый класс, то есть для примера выше, можно написать
Эта интересная особенность открывает возможность динамической идентификации типа.
Динамическое определение типа (англ. Run-time Type Information или RTTI) позволяет узнать тип объекта во время выполнении программы (run time).
Для этого применяется оператор dynamic_cast в C++.
"Целевой тип операции должен быть типом указателя, ссылки или void*.
Если целевой тип - тип указателя, то аргументом должен быть указатель на объект класса;
Если целевым типом является void*, то аргумент также должен быть указателем, а результатом операции будет указатель, с помощью которого можно обратиться к любому элементу “самого производного” класса иерархии, который сам не может быть базовым ни для какого другого класса."
Иерархические базы данных
Иерархические базы данных - это самая первая модель представления данных в которой все записи базы данных представлены в виде дерева с отношениями предок потомок (см рис. 1). Физически данные отношения реализуются в виде указателей на предков и потомков, содержащихся в самой записи. Такая модель представления данных связана с тем что на ранних этапах базы данных часто использовались для планирования производственного процесса: каждое выпускаемое изделие состоит из узлов, каждый узел из деталей и т.д. Для того чтобы знать, сколько деталей каждого вида надо заказать, строилось дерево (см. рис. 1.1.) Поскольку список составных частей изделия представлял из себя дерево, то для его хранения в базе данных наилучшим образом подходила иерархическая модель организации данных.
Однако иерархическая модель не всегда удобна. Допустим, что один и тот же тип болтов используется в автомобиле 300 раз в различных узлах. При использовании иерархической модели, данных тип болтов будет фигурировать в базе данных не 1 раз, а 300 раз (в каждом узле – отдельно). Налицо дублирование информации. Чтобы устранить этот недостаток была введена сетевая модель представления данных.
Сетевая МОДЕЛЬ базЫ данных
Сетевая база данных - это база данных, которой одна запись может участвовать в нескольких отношениях предок-потомок (см. рис. 1.2.) Фактически база данных представляет собой не дерево а произвольный граф.
Физически данная модель также реализуется за счет хранящихся внутри самой записи указателей на другие записи, только, в отличие от иерархической модели, число этих указателей может быть произвольным.
И иерархическая и сетевая модель достаточно просты, однако они имеют общий недостаток: для того, чтобы получить ответ даже на простой запрос, необходимо было разрабатывать отдельную программу, которая просматривала базу данных, двигаясь по указателям от одной записи к другой.
Реляционные базы данных
Общими понятиями баз данных являются тип данных, домен, атрибут, кортеж, отношение, первичный ключ.
Понятие типа данных аналогично используемому в языках программирования.
Домен можно рассматривать как допустимое потенциальное множество значений данного типа. В некоторых реляционных СУБД понятие домена не используется.
Отношение. Схема отношения показывает, какие атрибуты определены для одного элемента баз данных. Для СУБД Access – структура таблицы. Каждая таблица имеет свою схему отношения.
Кортеж – соответствующий данной схеме отношения, множество пар: атрибут, значение атрибута. По установившейся терминологии кортеж – определенная запись базы данных.
Отдельное отношение – множество кортежей, соответствующих одной схеме отношения.
Реляционная база данных – набор отношений, имена которой совпадают с именами схем отношений, определенных в базе данных.
При ООП система рассматривается как совокупность независимых между собой объектов.
Объект ООМ - это некоторая сущность предметной области которая имеет некоторый набор атрибутов и обладает некоторой определённой линией поведения.
Атрибут соответствует некоторой характеристики реального объекта. В качестве атрибутов выдаются характеристики, выделяющие на функциональные системы.
Типы атрибутов:
Описательные, соответствуют внутренним характеристикам реальных объектов, с помощью которых один экземпляр объекта отличается от другого (цвет, вес, координаты, скорость и т.д.)
Указывающие атрибуты используются для указания на экземпляры объектов(номер, код, метка)
Вспомогательные атрибуты – для указания на экземпляры объектов, с которыми связан рассматриваемый экземпляр объекта
В ООП различают понятия объект и экземпляр объекта.
Объект – обозначение некоторой группы, типа, сущностей имеющих одинаковый набор атрибутов.
Объекты соответствуют классам в языках программирования.
Экземпляр – конкретный объект, с конкретными значениями атрибутов.
Среди атрибутов объекта обычно выделяются идентифицирующие атрибуты, т. е. атрибуты, с помощью которых 1 экземпляр объекта можно отделить от другого экземпляра. С помощью идентификационных атрибутов происходит обращение к экземплярам объекта.
В качестве идентифицирующих атрибутов обычно используется один из указывающих атрибутов или их набор.
Под информационной моделью подразумевается состав объектов системы и описание их атрибутов, т. е. для разработки информационной модели необходимо установить, какие объекты входят в состав системы. Какими атрибутами они обладают, и каковы значения могут принимать их атрибуты.
Кроме этого информационная модель должна включать описание связей между объектами системы.
Основными принципами обеспечения информационной безопасности в АСОИ являются следующие .
1. Системности.
2. Комплексности.
3. Непрерывности защиты.
4. Разумной достаточности.
5. Гибкости управления и применения.
6. Открытости алгоритмов и механизмов защиты.
7. Простоты применения защитных мер и средств.
Принцип системности предполагает необходимость учета всех слабых и уязвимых мест АСОИ, возможных объектов и направлений атак, высокую квалификацию злоумышленника, текущих и возможных в будущем каналов реализации угроз.
Принцип комплексности. В распоряжении специалистов по информационной безопасности (ИБ) имеется широкий спектр мер, методов и средств защиты компьютерных систем. Принцип комплексности предполагает согласование работы разнородных СЗИ при построении целостной системы защиты, отсутствие слабых мест при стыковке различных СЗИ, покрытие ими всех существенных каналов реализации угроз.
Принцип непрерывности защиты . Защита информации – это не разовое мероприятие, а непрерывный целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС. Например, большинству физических и технических средств защиты для эффективного выполнения своих функций необходима постоянная организационная поддержка (своевременная смена и обеспечение правильного хранения и применения имен, паролей, ключей шифрования, переопределение полномочий и т.п.). Перерывы в работе СЗИ могут быть использованы злоумышленником для анализа применяемых методов и средств защиты, внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.
Принцип разумной достаточности . Создать абсолютно защищенную систему защиты принципиально невозможно, взлом системы – это вопрос только времени и средств. Например, любые средства криптографической защиты не гарантируют абсолютной стойкости, а обеспечивают конфиденциальность информации в течение приемлемого для защищающейся стороны времени. В связи с этим, при проектировании СЗИ имеет смысл вести речь только о некотором приемлемом уровне безопасности. Важно выбрать золотую середину между стойкостью защиты и ее стоимостью, потреблением вычислительных ресурсов, удобством работы пользователей и другими характеристиками СЗИ.
Принцип гибкости управления и применения системы защиты предполагает возможность варьировать уровень ее защищенности. При определенных условиях функционирования АС, СЗИ, обеспечивающие ее защищенность могут обеспечивать как чрезмерный, так и недостаточный уровень защиты. Гибкость управления и применения системы защиты спасает владельцев АС от необходимости принятия кардинальных мер по полной замене средств защиты на новые при смене условий функционирования АС.
Принцип открытости алгоритмов и механизмов защиты говорит о том, что защита не должна обеспечиваться только за счет секретности структурной организации СЗИ и алгоритмов функционирования ее подсистем. Знание алгоритма защиты не должно давать злоумышленнику возможности ее преодоления или снижать стойкость защиты.
Принцип простоты применения защитных мер и средств говорит о том, что механизмы защиты должны быть интуитивно понятны и просты в использовании.
