 Задайте себе вопрос, что вы понимаете под информационной безопасностью? Для многих, увы, ответ будет навеян газетными заголовками и мифическими историями про хакеров. Однако, информация уже давно стала товаром и собственностью, и цели обеспечения ее безопасности тоже изменились. В основном, любой человек обладающий информацией хочет либо держать ее при себе, не допуская к ней никого, либо предоставить к ней доступ кого-либо, при условии, что никто более не сможет получить к ней доступ. В любом случае проблема заключается в допуске к информации только тех лиц, которые имеют на это право, данное хозяином этой информации. Давайте рассмотрим небольшой пример.
Человек хочет передать некоторую информацию, которую он знает, другому человеку. Сначала нервные импульсы преобразуются в движение языка, губ и т. д., затем в звуковые волны, а затем принятые ухом другого человека - снова в нервные импульсы. Если проследить путь информации из головы одного человека в голову другого, то можно твердо сказать: информация постоянно меняет свой вид и способ представления на этом пути, и каждому виду ее представления сопутствуют определенные каналы утечки информации. Исходя из того, что, в наше время, большая часть всей информации хранится и обрабатывается при помощи ЭВМ и их сетей, можно сказать, что информация за время своего существования может изменять свое представление бесчисленное количество раз. В этом и заключается основная сложность проблемы обеспечения безопасности информации - слишком большое количество каналов утечки информации. Поэтому проблема обеспечения информационной безопасности требует комплексного подхода. Системному инженеру необходимо оценить реальный риск несанкционированного доступа к информации, и принять решение какие из каналов утечки надо закрывать, и какие закрывать не рентабельно. Для этого системный инженер должен представлять себе, какие, собственно, могут быть каналы утечки информации. После этого системный инженер должен оценить способы закрытия каждого из каналов утечки. Затем, необходимо оценить спектр средств для закрытия каждого из каналов, экономические и временные характеристики этих решений, и возможный урон при реализации несанкционированного доступа (НСД) через один из каналов. Допустим, системным инженером был выявлен канал утечки информации А, возможный урон от НСД к информации через этот канал составляет $1 тыс., а реализация заглушки этого канала обойдется в $20 тыс. Очевидно, что защита этого канала не рентабельна. А если НСД произойдет не один раз? То, когда защита канала станет рентабельной? Как вы могли заметить, к решению проблемы защиты информации необходим всесторонний подход. Так же необходимо наличие довольно обширной базы знаний по каналам утечки информации, способам и средствам их блокирования, и знание рынка готовых средств, гарантирующих результат. Так же с развитием законодательной базы, многие концепции защиты информации приняты на законодательном уровне, и рекомендованы или обязательны для выполнения. Поэтому необходимо также разбираться в роли государства в обеспечении информационной безопасности. Рассмотрим некоторые аспекты и средства обеспечения безопасности. Для того, что бы ЭВМ могла принять решение, давать ли доступ к информации данному субъекту, субъект должен быть идентифицирован и его идентификатор должен определить права субъекта на данную информацию. Всем известен парольный метод аутентификации пользователя. Рассмотрим ситуацию: некий злоумышленник пытается осуществить физический доступ к ЭВМ (допустим, во время обеденного перерыва).У злоумышленника вполне есть время для того, чтобы отыскать пароль записанный на задней крышке монитора, или подобрать наиболее простые пароли наудачу. Представим такую же ситуацию, с одним отличием: идентификация пользователя происходит незаметно для него самого, например, считыватель отпечатков пальцев, встроенный в мышку. Отпечатки пальцев злоумышленника будут сохранены в памяти компьютера и предоставлены затем в отдел режима организации, а злоумышленник об этом может и не догадываться. А ведь такие мышки уже существуют. Проблема физического несанкционированного доступа к информации остается сейчас довольно актуальной. Иногда дешевле нанять человека, который отберет портфель у курьера, чем пытаться украсть информацию более технологичным и научным путем. Однако каково же будет удивление вора, когда он обнаружит в портфеле кучку пепла или свеже-отформатированный винчестер, так как некий датчик обнаружил, что портфель удалился от курьера более, чем на 2 метра. Прошу вас заметить, что уничтожение информации является неотъемлемой частью проблемы безопасности информации, так как не уничтоженная ненужная информация будет постоянно накапливаться, и требовать все больших расходов на поддержание безопасности. Так же при внутри-корпоративной деятельности определенный объем информации приходится хранить на ЭВМ в доступном виде для постоянной работы с ним, что создает канал утечки при физическом доступе к информации. Однако методы простого шифрования данных не удобны, так как что бы работать с информацией ее все равно придется расшифровать.
|