2010

У статті описується досвід щодо забезпечення інформаційної безпеки операційних систем і систем управління базами даних організаційних складних ієрархічних структур. Наводиться проект комплексної системи забезпечення інформаційної безпеки, що базується на ієрархічному підході до моделювання складних систем управління.

В даний час в областях інформаційних технологій (ІТ) стоять на першому місці питання створення та розвитку нормативної бази в області інформаційної безпеки, а також необхідність проведення комплексу робіт, спрямованих на розвиток стандартизації і сертифікації в області інформаційної безпеки (ІБ).

Стандарти, що визначають вимоги щодо інформаційної безпеки та є основою нормативно-правової бази, важливі для всіх суб'єктів відносин у цій галузі, в першу чергу для тих організацій і підприємств, які зацікавлені в захисті своїх інформаційних ресурсів. Керівництву та службам безпеки підприємств слід чітко уявляти собі, яким вимогам, в залежності від умов функціонування, повинні відповідати їх інформаційні системи (ІС). Розробники інформаційних технологій та інформаційних систем повинні керуватися стандартами для забезпечення безпеки своїх розробок [1-4].

Будь-яка людина, що працює в сфері ІТ, розуміє необхідність забезпечення безпеки операційних систем (ОС). Необхідність наявності вбудованих засобів захисту на цьому рівні не викликає сумнівів. Операційна система забезпечує захист механізмів прикладного рівня від неправильного використання, обходу або нав'язування хибної інформації. Якщо вона не зможе задовольнити цим вимогам, з'являться уразливості в масштабах всієї системи.

Одним із завдань ІС є зберігання і обробка даних. Для її вирішення були зроблені зусилля, які привели до появи спеціалізованого програмного забезпечення - систем управління базами даних (database management systems, СУБД). СУБД дозволяють структурувати, систематизувати і організовувати дані для їх комп'ютерного зберігання і обробки. Неможливо уявити собі діяльність сучасного підприємства чи установи без використання професійних систем управління базами даних. Безсумнівно, вони складають фундамент інформаційної діяльності в усіх сферах - починаючи з виробництва і закінчуючи фінансами і телекомунікаціями. У цьому сенсі ОС і СУБД схожі один на одного.

Основу правового регулювання в області забезпечення ІБ операційних систем і систем управління базами даних, де обробляється конфіденційна інформація, складають прийняті закони і нормативні акти Російської Федерації. Одним з таких документів є «Доктрина інформаційної безпеки Російської Федерації», яка являє собою сукупність офіційних поглядів на цілі, завдання, принципи та основні напрями забезпечення ІБ РФ [1]. Доктрина є основою для формування державної політики в галузі забезпечення ІБ РФ і розвиває Концепцію національної безпеки Російської Федерації стосовно інформаційній сфері. Інтереси особистості в інформаційній сфері полягають у реалізації конституційних прав людини і громадянина на доступ до інформації, на використання інформації в інтересах здійснення не забороненої законом діяльності, фізичного, духовного та інтелектуального розвитку, а також у захисті інформації, що забезпечує особисту безпеку. Інтереси суспільства в інформаційній сфері полягають у забезпеченні інтересів особистості в цій сфері, зміцненні демократії, створенні правової соціальної держави, досягненні і підтримці суспільної злагоди, в духовному оновленні Росії.

По своїй загальній спрямованості загрози ІБ РФ поділяються на правові; технологічні; організаційно-економічні (табл. 1). Загальні методи забезпечення ІБ РФ - організаціоннотехніческіе, правові, організаціонноекономіческіе, програмно-технічні та економічні (табл. 2).

Т а б л і ц а 1. Види загроз ІБ РФ

Правові

• загрози конституційним правам і свободам людини і громадянина у сфері духовного життя та інформаційної діяльності, індивідуальному, груповому та громадянської свідомості, духовному відродженню Росії;
• нераціональне, надмірне обмеження доступу до суспільно необхідної інформації;
• порушення конституційних прав і свобод людини і громадянина в галузі масової інформації;
• загрози інформаційного забезпечення державної політики Російської Федерації;
• загрози розвитку вітчизняної індустрії інформації, включаючи індустрію засобів інформатизації, телекомунікації і зв'язку, забезпечення потреб внутрішнього ринку в її продукції і виходу цієї продукції на світовий ринок, а також забезпечення накопичення, збереження і ефективного використання вітчизняних інформаційних ресурсів;
• загрози безпеки інформаційних і телекомунікаційних засобів і систем, як вже розгорнутих, так і створюваних на території Росії;
• протиправні збір і використання інформації. технологічні
  • порушення технології обробки інформації;
  • впровадження в апаратні і програмні вироби компонентів, що реалізують функції, не передбачені документацією на ці вироби;
  • розробка і поширення програм, що порушують нормальне функціонування інформаційних і інформаційно-телекомунікаційних систем, в тому числі систем захисту інформації;
  • знищення, пошкодження, радіоелектронне придушення або руйнування засобів і систем обробки інформації, телекомунікації та зв'язку;
  • вплив на парольно-ключові системи захисту автоматизованих систем обробки і передачі інформації;
  • компрометація ключів і засобів криптографічного захисту інформації. Організаційно-економічні
    • витік інформації по технічним каналам;
    • впровадження електронних пристроїв для перехоплення інформації в технічні засоби обробки, зберігання та передачі інформації по каналах зв'язку, а також у службові приміщення органів державної влади, підприємств, установ і організацій незалежно від форми власності;
    • знищення, пошкодження, руйнування або розкрадання машинних та інших носіїв інформації;
    • перехоплення інформації в мережах передачі даних і на лініях зв'язку, дешифрування цієї інформації і нав'язування неправдивої інформації;
    • несанкціонований доступ до інформації, що знаходиться в банках і базах даних;
    • порушення законних обмежень на поширення інформації.

Організаційно-технічні

• розробка, використання та вдосконалення засобів захисту інформації і методів контролю ефективності цих засобів, розвиток захищених телекомунікаційних систем, підвищення надійності спеціального програмного забезпечення;
• створення систем і засобів запобігання несанкціонованому доступу до оброблюваної інформації і спеціальних впливів, що викликають руйнування, знищення, перекручення інформації, а також зміна штатних режимів функціонування систем і засобів інформатизації та зв'язку;
• виявлення технічних пристроїв і програм, які становлять небезпеку для нормального функціонування інформаційно-телекомунікаційних систем, запобігання перехоплення інформації технічними каналами, застосування криптографічних засобів захисту інформації при її зберіганні, обробці та передачі по каналах зв'язку, контроль за виконанням спеціальних вимог щодо захисту інформації. правові
  • захист прав громадян на володіння, розпорядження і управління належної їм інформацією; захист конституційних прав громадян на таємницю листування, переговорів, особисту таємницю;
  • контроль за діями персоналу в захищених інформаційних системах, підготовка кадрів в області забезпечення інформаційної безпеки Російської Федерації, розробка комплексу нормативно-правових актів та положень, що регламентують інформаційні відносини в суспільстві, розробка керівних та нормативно-методичних документів щодо забезпечення ІБ. Організаційно-економічні
    • ліцензування окремих видів діяльності, сертифікація систем і засобів захисту за вимогами інформаційної безпеки, стандартизація способів і засобів захисту інформації, контроль (нагляд). Програмно-технічні
      • запобігання витоку оброблюваної інформації, запобігання спеціальних впливів, що викликають руйнування, знищення, перекручення інформації, виявлення програмних або апаратних закладних пристроїв, виняток перехоплення інформації технічними засобами. економічні методи
        • захист державної таємниці, т. е. секретної та іншої конфіденційної інформації, яÐ