Информационная безопасность: понятие, задачи и актуальные проблемы
Ляпидов К.В. (X Всероссийская научно-техническая конференция «Актуальные проблемы информационной безопасности. Теория и практика использования программно-аппаратных средств». 2017)
____В современных условиях стремительного развития технологии обработки, хранения и передачи информации, применение информационных технологий требует повышенного внимания к вопросам информационной безопасности. Несанкционированное уничтожение, блокирование, модификация, копирование информационных ресурсов, вследствие нарушений информационной безопасности, наносят значительный ущерб как отдельным гражданам и компаниям, так и государствам.
____Под информационной безопасностью понимается защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений [1]. Согласно данному определению, поддерживающей инфраструктурой являются системы электро-, тепло-, водо-, газоснабжения, системы кондиционирования и т. д., а также обслуживающий персонал. Под неприемлемым ущербом следует понимать ущерб, которым нельзя пренебречь.
____Следует отметить, что понятие информационной безопасности не сводится к защите информации т.е. деятельности по предотвращению несанкционированных непреднамеренных или умышленных действий, повлекших уничтожение, блокирование, модификацию или копирование защищаемой информации.
____Основными составляющими информационной безопасности являются:
____—_законодательная, нормативно-правовая и научная база;
____—_политика информационной безопасности;
____—_инженерно-технические способы и средства обеспечения информационной безопасности;
____—_программно-технические способы и средства обеспечения информационной безопасности.
____Целью реализации информационной безопасности является построение системы обеспечения информационной безопасности и её эффективная эксплуатация. Для достижения данной цели необходимо решить следующие задачи:
____—_провести анализ угроз и выявить требования защиты информации, специфические для конкретного объекта защиты;
____—_использовать стандарты и методологии построения систем обеспечения информационной безопасности;
____—_определить подразделения, которые будут нести ответственность за реализацию и поддержку системы обеспечения информационной безопасности;
____—_распределить между подразделениями области ответственности в осуществлении требований системы обеспечения информационной безопасности;
____—_разработать политику информационной безопасности объекта защиты в которой будут отражены общие положения, технические и организационные требования;
____—_реализовать требования политики информационной безопасности, внедрив соответствующие инженерно-технические и программно-технические способы и средства защиты информации;
____—_реализовать систему управления информационной безопасности;
____—_используя систему управления информационной безопасности организовать регулярный контроль эффективности системы обеспечения информационной безопасности и, при необходимости, пересмотр и корректировку системы обеспечения информационной безопасности, и системы управления информационной безопасности.
____Как видно из последнего этапа работ, реализация системы обеспечения информационной безопасности процесс непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно все остальные. Таким образом, система обеспечения информационной безопасности корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы [2].
____В информационной безопасности под объектами защиты понимается информация или носитель информации, или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
____В зависимости от поставленной цели формируется соответствующая модель информационной безопасности. Стандартная модель информационной безопасности включает в себя три обязательных категории, однако, в настоящее время, выделяют и другие не всегда обязательные категории модели безопасности.
____К базовым категориям информационной безопасности относятся:
____—_конфиденциальность информации. Под конфиденциальностью информации понимается состояние доступности информации только авторизованным пользователям, процессам и устройствам;
____—_целостность информации и ресурсов информационной системы. Целостность информации – состояние информации, при котором отсутствует любое её изменение, либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
____—_доступность информации. Доступность информации – состояние информации, при котором субъекты, имеющие права доступа, могут реализовывать их беспрепятственно. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов [3].
____Выделяют и другие, не всегда обязательные, категории модели безопасности, к которым относятся:
____—_неотказуемость (апеллируемость). Под неотказуемостью, или апеллируемостью, понимается способность удостоверять имевшее место действие или событие так, чтобы эти события или действия не могли быть позже опровергнуты [4];
____—_аутентичность (подлинность). Аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Например, подлинность электронных данных часто удостоверяется таким средством как электронно-цифровая подпись (ЭЦП);
____—_подотчетность. Подотчетность – свойство, обеспечивающее однозначное прослеживание действий любого логического объекта (ведение журнала).
____Информационная безопасность является одним из важнейших аспектов интегральной безопасности. Также необходимо учитывать специфику т.к. информационная безопасность является составной частью информационных технологий – области, развивающейся беспрецедентно высокими темпами.
____Современные проблемы информационной безопасности можно разделить на три основные группы:
____1) Законодательные и нормативно-правовые. Особенность правового регулирования в области информационной безопасности заключается в особенностях самой информации, отличающих её от известных традиционному праву материальных объектов:
____—_информация может оставаться в информационной системе после «утечки»;
____—_информация независима от своего носителя, данная особенность зачастую создаёт трудности при защите прав интеллектуальной собственности;
____—_существует сложность в производстве оценки ценности информации, а также оценки ущерба от её несанкционированного распространения.
____В настоящее время законодательство, регулирующее отношения в области информационной безопасности, имеет ряд проблем, наиболее актуальными из которых являются:
____—_слабая правовая составляющая т.е. не реализуемость (в рамках современной правовой модели) охвата всего многообразия общественных отношений, возникающих в процессе обработки и распространения информации;
____—_несбалансированность между интересами участников отношений. Ориентированность требований нормативных документов на крупные компании и организации. Данный подход не учитывает масштабы и профиль деятельности многих фирм, вследствие чего подавляющее большинство малых предприятий не способны в полной мере реализовывать требования действующего законодательства в сфере обеспечения информационной безопасности;
____—_отсутствие жесткой кодификации и систематизации приводит к разночтениям, двусмысленности и правовым коллизиям в сфере трактовки нормативных документов, отдельных положений и терминов.
____2) Технологические. К технологическим проблемам информационной безопасности на сегодняшний день относятся:
____—_проблемы обеспечения информационной безопасности в беспроводных сетях;
____—_проблема обеспечения информационной безопасности при использовании распределенных сетевых сервисов (т.н. облачные хранилища данных);
____—_новые цели атак: виртуальные машины и гипервизор, мобильные устройства связи и передачи данных;
____—_несоответствие традиционной модели построения систем информационной безопасности современным задачам;
____—_необходимость разработки новых, стойких систем шифрования;
____—_потребность в разработке и реализации надёжных систем электронно цифровой подписи, электронных выборов, закупок и платежей;
____—_необходимость создания и внедрения передовых средств аутентификации (биометрических и других);
____—_потребность в разработке и внедрению новых методов обеспечения надежности и отказоустойчивости (инновационные технологии кластеризации, виртуализации и др.);
____—_использование новых средств для работы с информацией. Всё больше предприятий используют мобильные средства связи и передачи информации, вследствие чего значительно выросла доля непреднамеренных утечек конфиденциальной информации.
____3) Организационные. К организационным проблемам информационной безопасности в первую очередь относятся:
____—_нехватка квалифицированных кадров. Отсутствие людей, способных оптимизировать процедуры обеспечения информационной безопасности и контролировать их исполнение;
____—_недоступность для большинства компаний специалистов, необходимых для создания системы безопасности и её поддержания в актуальном состоянии, приводит к проблемам в исполнении требований в части обеспечения информационной безопасности;
____—_отсутствие комплексных систем тестирования систем защиты, доступных большинству компаний;
____—_неготовность большинства компаний использовать услуги сторонних организаций как по аудиту, так и по реализации требований закона;
____—_пренебрежение правилами и беспечность персонала в области информационной безопасности.
____Решение вышеуказанных острых проблем в области информационной безопасности возможно только при условии:
____—_разработки новых систем шифрования (в т.ч. для беспроводных сетей с целью замены WPA2 PSK) и постепенного полного отказа от использования ненадёжных алгоритмов криптографического хеширования MD5 и SHA-1;
____—_возможности AES шифрования данных на стороне клиента, а также технологии User Controlled Encryption (Контролируемая пользователем криптография), такой подход гарантирует практически полную конфиденциальность пользовательских данных в облачных хранилищах;
____—_совершенствования средств аутентификации. В настоящее время использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони и др. считается наиболее перспективным. Данные методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора;
____—_введения разумного ограничения, в рамках политики информационной безопасности, использования мобильных средств связи и передачи информации на предприятиях, что позволит значительно сократить долю непреднамеренных утечек конфиденциальной информации;
____—_внимания к данным вопросам и надлежащих, целенаправленных действий руководителей компаний и представителей общественности и органов государственной власти;
____—_согласованной деятельности национальных и международных органов, занимающихся стандартизацией информационной безопасности и борьбой с киберпреступностью.
.
Список использованных источников
1. Пилипенко В.Ф. Безопасность: теория, парадигма, концепция, культура. М: Изд-во «Профи», 2015. С. 128.
2. http://wikisec.ru/MediaWiki/index.php?title=Информационная_безопасность
3. http://ru.wikipedia.org/wiki/ Информационная_безопасность
4. Ярочкин В.И. Информационная безопасность. М: Изд-во «Гаудеамус», 2014. С. 544.
.