Особенности информационных ресурсов

     Лекция  №2

 Особенности информационных ресурсов  
Внедрение во все сферы человеческой деятельности современных технологий создания, накопления и распространения информации, средств вычислительной техники и телекоммуникаций, создание принципиально новых и цифровизация традиционных инфокоммуникационных систем и сетей обусловливают качественные изменения и постоянное расширение объемов циркулирующей информации, которая становится ключевым ресурсом для экономического, социального и политического развития общества и государства. При этом следует учитывать, что информационные ресурсы обладают рядом специфических особенностей: во-первых, это продукт интеллектуальной деятельности самих людей. Происходит постоянное возрастание объемов и интенсивности использования этих ресурсов, совершенствование и конвергенция форм и способов их представления;  
 
во-вторых, они существенно неоднородны. Содержание и смысл информации определяют ее ценностные и потребительские характеристики, необходимость свободного распространения (или ограничения) доступа, сохранения в тайне для обеспечения защиты прав и интересов человека, общества, государства;  
 
в-третьих, качество данных ресурсов определяется полнотой и достоверностью информации. Умышленное или неумышленное искажение этих параметров несет угрозу принятия некорректных управленческих решений с негативными последствиями, манипулятивного воздействия на общественное мнение в узкогрупповых целях или развязывания информационных войн;  
 
в-четвертых, информационные ресурсы в отношении права собственности выступают в двух ипостасях: материальной (на них распространяется право вещной собственности) и интеллектуальной (право интеллектуальной собственности и авторское право)…

 С повышением значимости и ценности информации соответственно растёт и важность её защиты.

С одной  стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное  вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Защиту  информации (ЗИ) в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.

Вторая  задача может показаться слабо связанной  с первой, но на самом деле это  не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён. Как мы позже увидим, решаются эти задачи одними и теми же средствами.

 2  Комплексные меры по защите информации

2.1. Принцип «слабейшего звена»

Когда мы реализуем целый комплекс мер  по защите информации, мы как бы выстраиваем  сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная  конструкция лишается смысла. Так  и с защитой информации - устойчивость всей системы защиты равна устойчивости её слабейшего звена. Отсюда делаются следующие выводы.

1. ЗИ может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла.
2. Стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов - бессмысленно.
3. При преодолении ЗИ усилия прикладываются именно к слабейшему звену.

Рассмотрим, какие есть «звенья» в системе  защиты, и какое из них слабейшее. Надёжность защиты можно классифицировать по следующим группам:

• количество вариантов ключа (определяет устойчивость к прямому перебору);
• качество алгоритма (устойчивость к косвенным методам дешифровки);
• наличие у противника априорной информации (то же);
• надёжность хранения или канала передачи секретного ключа;
• надёжность допущенных сотрудников;
• надёжность хранения незашифрованной информации.

2.2. Экономическая целесообразность защиты

Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует ЗИ. Любую защиту можно преодолеть. Но лишь «в принципе». Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.

Поэтому прежде чем защищать ту или иную информацию, следует подумать, а  имеет ли это смысл. Прежде всего - с экономической точки зрения.

Например  в старые советские времена секретность, мягко говоря, не всегда была экономически обоснована. Доходило до анекдотических ситуаций. Автор вспоминает, как  в Университете на военной кафедре  он изучал советскую военную технику  по альбомам, изданным на Западе. Преподаватели  объясняли, что в этой иностранной  литературе содержатся вполне достоверные  данные, но использовать аналогичные  пособия, изданные в нашей стране нельзя, поскольку они имеют гриф секретности, а студенты ещё не получили соответствующий допуск.

Знает история и перегибы противоположного толка. Очень много у нас писали про закрытость и «шпиономанию»  в сталинские времена. Действительно, тогда секретность поддерживалась на высочайшем уровне. Не напрасно ли? Приведу лишь один пример. В военных  дневниках генерала Гальдера читаем: «Сообщения о появлении у русских  нового тяжёлого танка. Точных данных нет, но утверждают, что он имеет  пушку чуть ли не 120 мм. Конечно, это  преувеличение...» Как известно танки  «КВ-1» и «КВ-2» были запущены в  производство ещё в 1940 году. Прошло столько времени, уже два месяца идут боевые действия, а немецкий генштаб  даже не имеет представления об этих машинах! Кстати, калибр пушки у «КВ-2» - 152 мм. На взгляд автора, такая секретность  себя «окупила».

Итак, при  построении защиты нужно руководствоваться  следующим принципом. На защиту информации можно потратить средств не свыше  необходимого. Необходимый же уровень  определяется тем, чтобы затраты  вероятного противника на преодоление  защиты были выше ценности этой информации с точки зрения этого противника.

2.3. Категоризация информации

Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта  степень определяется, исходя из:

• возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
• экономической целесообразности преодоления защиты для противника.

Естественно, производить такую оценку для  каждого документа было бы слишком  трудоёмко. Поэтому сложилась практика определения категорий секретности  документов, по которым документы  распределяются по формальным признакам. Например, в наших государственных  органах принято 4 категории секретности:

• «для служебного пользования»,
• «секретно» (кат.3),
• «совершенно секретно», (кат.2)
• «совершенно секретно особой важности» (кат.1).

Для упрощения  решения вопросов защиты следует  применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой  категории имеют доступ.

2.4. Комплекс мер защиты

Постановка  задач 

Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого  мы должны ответить на следующие вопросы.

1. Что именно мы намереваемся защищать?

Эта группа вопросов относится к информационному  процессу, нормальное течение которого мы намерены обеспечить:

• кто является участником информационного процесса;
• каковы задачи участников информационного процесса;
• каким именно образом участники процесса выполняют стоящие перед ними задачи.

2. От чего мы собираемся защищать нашу систему?

Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:

• каков критерий «нормального« прохождения процесса информационного взаимодействия;
• какие возможны отклонения от "нормы".

3. От кого мы собираемся защищать нашу систему?

Эта группа вопросов относится к тем субъектам, которые предпринимают те или  иные действия для того, чтобы отклонить  процесс от нормы:

• кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;
• каких целей добиваются злоумышленники;
• какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;
• какие действия могут предпринять злоумышленники для достижения своих целей.

Развернутый ответ на первый вопрос является моделью  информационного процесса. Подробный  ответ на второй вопрос должен включать критерий "нормальности" процесса и список возможных отклонений от этой "нормальности", называемых в криптографии угрозами, - ситуаций, которые мы бы хотели сделать невозможными. Субъект, препятствующий нормальному  протеканию процесса информационного  взаимодействия, в криптографической  традиции называется "злоумышленником", в качестве него может выступать  в том числе и законный участник информационного обмена, желающий добиться преимуществ для себя. Развернутый  ответ на третий вопрос называется в криптографии моделью злоумышленника. Злоумышленник - это не конкретное лицо, а некая персонифицированная  сумма целей и возможностей, для  которой справедлив принцип Паули  из физики элементарных частиц: два  субъекта, имеющие идентичные цели и возможности по их достижению, в криптографии рассматриваются  как один и тот же злоумышленник.

Ответив на все перечисленные выше вопросы, вы получите постановку задачи защиты своего информационного процесса.

Физическая  защита

Физический  доступ к носителю информации, как  правило, дает возможность получить доступ и к самой информации. Воспрепятствовать  в таком случае может лишь криптография, да и то не всегда. Например, если злоумышленник  получил физический доступ к компьютеру, на котором хранятся секретные данные в зашифрованном виде, он может  считать свою задачу выполненной. Он устанавливает на компьютер резидентную программу, которая перехватывает информацию в процессе ее зашифровки или расшифровки.

Прежде  всего следует позаботиться о  физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий  связи. Если ваши провода проходят вне  охраняемого объекта, то все передаваемые по ним данные должны априори считаться  известными противнику.

Электромагнитная  защита

Практически любой электронный прибор как  сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей  возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие  на них. Электромагнитные поля могут  быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.