Допущено Министерством образования и науки РФ
в качестве учебного пособия для студентов
высших учебных заведений, обучающихся по специальностям в области информационной безопасности
ОГЛАВЛЕНИЕ
Предисловие 3
Введение 5
Часть 1. ОСНОВЫ ГОСУДАРСТВЕННОЙ ИНФОРМАЦИОННОЙ ПОЛИТИКИ И ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ 12
1. Понятие национальной безопасности 12
1.1. Интересы и угрозы в области национальной безопасности 12
1.2. Влияние процессов информатизации общества на составляющие национальной безопасности и их содержание 19
2. Информационная безопасность в системе национальной безопасности Российской Федерации 20
2.1. Основные понятия, общеметодологические принципы обеспечения информационной безопасности 20
2.2. Национальные интересы в информационной сфере 32
2.3. Источники и содержание угроз в информационной сфере 36
3. Государственная информационная политика 41
3.1. Основные положения государственной информационной политики Российской Федерации 41
3.2. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности 44
4. Информация – наиболее ценный ресурс современного
общества 45
4.1. Понятие «информационный ресурс» 45
4.2. Классы информационных ресурсов 49
5. Проблемы информационной войны 64
5.1. Информационное оружие и его классификация 64
5.2. Информационная война 66
6. Проблемы информационной безопасности в сфере государственного и муниципального управления 69
6.1. Информационные процессы в сфере государственного и муниципального управления 69
6.2. Виды информации и информационных ресурсов
в сфере ГМУ 74
6.3. Состояние и перспективы информатизации сферы ГМУ 75
7. Система подготовки кадров в области информационной безопасности в Российской Федерации 78
7.1. Структура системы подготовки кадров в области информационной безопасности 78
7.2. Состав учебно-методического обеспечения системы и ее подсистема управления 81
7.3. Основные направления учебной деятельности 83
Литература 85
Часть 2. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ АВТОМАТИЗИРОВАННЫХ СИСТЕМ 87
1. Современная постановка задачи защиты информации 87
2. Организационно-правовое обеспечение информационной
безопасности 88
2.1. Информация как объект юридической защиты. Основные принципы засекречивания информации 88
2.2. Государственная система правового обеспечения защиты информации в Российской Федерации 99
3. Информационные системы 108
3.1. Общие положения 109
3.2. Информация как продукт 113
3.3. Информационные услуги 118
3.4. Источники конфиденциальной информации в информационных системах 126
3.5. Что приводит к неправомерному овладению конфиденциальной информацией в информационных системах 131
3.6. Виды технических средств информационных систем 137
4. Угрозы информации 139
4.1. Классы каналов несанкционированного получения
информации 142
4.2. Причины нарушения целостности информации 143
4.3. Виды угроз информационным системам 144
4.4. Виды потерь 148
4.5. Информационные инфекции 154
4.6. Убытки, связанные с информационным обменом 158
4.7. Модель нарушителя информационных систем 163
5. Методы и модели оценки уязвимости информации 173
5.1. Эмпирический подход к оценке уязвимости информации 176
5.2. Система с полным перекрытием 179
5.3. Практическая реализация модели «угроза – защита» 180
6. Рекомендации по использованию моделей оценки уязвимости информации 182
7. Методы определения требований к защите информации 184
8. Анализ существующих методик определения требований к защите информации 195
8.1. Требования к безопасности информационных
систем в США 196
8.2. Требования к безопасности информационных
систем в России 203
8.3. Классы защищенности средств вычислительной техники от несанкционированного доступа 207
8.4. Оценка состояния безопасности ИС Франции 210
8.5. Факторы, влияющие на требуемый уровень защиты
информации 220
8.6. Критерии оценки безопасности информационных
технологий 221
9. Функции и задачи защиты информации 231
9.1. Общие положения 231
9.2. Методы формирования функций защиты 233
9.3. Классы задач защиты информации 234
9.4. Функции защиты 241
9.5. Состояния и функции системы защиты информации 241
10. Стратегии защиты информации 243
11. Способы и средства защиты информации 245
12. Криптографические методы защиты информации 249
12.1. Требования к криптосистемам 252
12.2. Основные алгоритмы шифрования 253
12.3. Цифровые подписи 255
12.4. Криптографические хеш-функции 257
12.5. Криптографические генераторы случайных чисел 257
12.6. Обеспечиваемая шифром степень защиты 258
12.7. Криптоанализ и атаки на криптосистемы 260
13. Архитектура систем защиты информации 262
13.1. Требования к архитектуре СЗИ 262
13.2. Построение СЗИ 265
13.3. Ядро системы защиты информации 265
13.4. Ресурсы системы защиты информации 266
13.5. Организационное построение 267
Литература 268
Приложение 1. РАБОЧАЯ ПРОГРАММА ПО ДИСЦИПЛИНЕ «ОСНОВЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ» 271
I. Цели и задачи дисциплины, ее место в учебном процессе. Цели преподавания дисциплины 271
Задачи изучения дисциплины 271
Общие указания к выполнению практических занятий 271
Перечень дисциплин, усвоение которых необходимо для изучения данного курса 272
II. Содержание дисциплины 272
1. Теоретические занятия (18 ч) 272
2. Практические занятия (18 ч) 275
3. Самостоятельная работа (28 ч) 275
III. Учебно-методические материалы по дисциплине 275
Основная литература 275
Дополнительная литература 276
Законодательство 277
Приложение 2. ИНДИВИДУАЛЬНЫЕ ЗАДАНИЯ 278
Первое задание 278
Второе задание 278
Приложение 3. ВОПРОСЫ К ЭКЗАМЕНУ 281
Приложение 4. ДОКТРИНА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ РОССИЙСКОЙ ФЕДЕРАЦИИ 283
I. Информационная безопасность Российской Федерации 283
1. Национальные интересы Российской Федерации в информационной сфере и их обеспечение 283
2. Виды угроз информационной безопасности
Российской Федерации 287
3. Источники угроз информационной безопасности Российской Федерации 291
4. Состояние информационной безопасности Российской Федерации и основные задачи по ее обеспечению 292
II. Методы обеспечения информационной безопасности Российской Федерации 296
5. Общие методы обеспечения информационной безопасности Российской Федерации 296
6. Особенности обеспечения информационной безопасности Российской Федерации в различных сферах общественной жизни 299
7. Международное сотрудничество Российской Федерации в области обеспечения информационной безопасности 315
III. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации и первоочередные мероприятия по ее реализации 316
8. Основные положения государственной политики обеспечения информационной безопасности Российской Федерации 316
9. Первоочередные мероприятия по реализации государственной политики обеспечения информационной безопасности Российской Федерации 319
IV. Организационная основа системы обеспечения информационной безопасности Российской Федерации 320
10. Основные функции системы обеспечения информационной безопасности Российской Федерации 320
11. Основные элементы организационной основы системы обеспечения информационной безопасности
Российской Федерации 322
Приложение 5. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ» 325
Глава 1. Общие положения 325
Статья 1. Сфера действия настоящего Федерального закона 325
Статья 2. Термины, используемые в настоящем Федеральном законе, их определения 325
Статья 3. Обязанности государства в сфере формирования информационных ресурсов и информатизации 327
Глава 2. Информационные ресурсы 328
Статья 4. Основы правового режима информационных
ресурсов 328
Статья 5. Документирование информации 328
Статья 6. Информационные ресурсы как элемент состава имущества и объект права собственности 329
Статья 7. Государственные информационные ресурсы 330
Статья 8. Обязательное представление документированной информации для формирования государственных информационных ресурсов 331
Статья 9. Отнесение информационных ресурсов к общероссийскому национальному достоянию 332
Статья 10. Информационные ресурсы по категориям доступа 332
Статья 11. Информация о гражданах (персональные данные) 333
Глава 3. Пользование информационными ресурсами 334
Статья 12. Реализация права на доступ к информации из информационных ресурсов 334
Статья 13. Гарантии предоставления информации 335
Статья 14. Доступ граждан и организаций к информации о них 336
Статья 15. Обязанности и ответственность владельца информационных ресурсов 336
Глава 4. Информатизация. Информационные системы, технологии и средства их обеспечения 337
Статья 16. Разработка и производство информационных систем, технологий и средств их обеспечения 337
Статья 17. Право собственности на информационные системы, технологии и средства их обеспечения 337
Статья 18. Право авторства и право собственности на информационные системы, технологии и средства
их обеспечения 338
Статья 19. Сертификация информационных систем, технологий, средств их обеспечения и лицензирование деятельности по формированию и использованию информационных ресурсов 338
Глава 5. Защита информации и прав субъектов в области информационных процессов и информатизации 339
Статья 20. Цели защиты 339
Статья 21. Защита информации 339
Статья 22. Права и обязанности субъектов в области защиты информации 340
Статья 23. Защита прав субъектов в сфере информационных процессов и информатизации 341
Статья 24. Защита права на доступ к информации 342
Статья 25. Вступление в силу настоящего Федерального закона 342
Приложение 6. ФЕДЕРАЛЬНЫЙ ЗАКОН РОССИЙСКОЙ ФЕДЕРАЦИИ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» 344
Глава 1. Общие положения 344
Статья 1. Цель и сфера применения настоящего
Федерального закона 344
Статья 2. Правовое регулирование отношений в области использования электронной цифровой подписи 344
Статья 3. Основные понятия, используемые в настоящем Федеральном законе 345
Глава 2. Условия использования электронной
цифровой подписи 346
Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи 346
Статья 5. Использование средств электронной цифровой
подписи 347
Статья 6. Сертификат ключа подписи 348
Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре 349
Глава 3. Удостоверяющие центры 349
Статья 8. Статус удостоверяющего центра 349
Статья 9. Деятельность удостоверяющего центра 350
Статья 10. Отношения между удостоверяющим центром и уполномоченным федеральным органом исполнительной
власти 351
Статья 11. Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи 352
Статья 12. Обязательства владельца сертификата ключа
подписи 352
Статья 13. Приостановление действия сертификата ключа
подписи 353
Статья 14. Аннулирование сертификата ключа подписи 354
Статья 15. Прекращение деятельности удостоверяющего центра 354
Глава 4. Особенности использования электронной цифровой
подписи 355
Статья 16. Использование электронной цифровой подписи в сфере государственного управления 355
Статья 17. Использование электронной цифровой подписи в корпоративной информационной системе 355
Статья 18. Признание иностранного сертификата ключа
подписи 356
Статья 19. Случаи замещения печатей 356
Глава 5. Заключительные и переходные положения 356
Статья 20. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом 356
Статья 21. Переходные положения 357
Приложение 7. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ТЕХНИЧЕСКОМ РЕГУЛИРОВАНИИ» 358
Глава 1. Общие положения 358
Статья 1. Сфера применения настоящего Федерального закона 358
Статья 2. Основные понятия 359
Статья 3. Принципы технического регулирования 362
Статья 4. Законодательство Российской Федерации о техническом регулировании 362
Статья 5. Особенности технического регулирования в отношении оборонной продукции (работ, услуг) и продукции (работ, услуг), сведения о которой составляют государственную тайну 363
Глава 2. Технические регламенты 364
Статья 6. Цели принятия технических регламентов 364
Статья 7. Содержание и применение технических регламентов 364
Статья 8. Виды технических регламентов 368
Статья 9. Порядок разработки, принятия, изменения и отмены технического регламента 369
Статья 10. Особый порядок разработки и принятия технических регламентов 373
Глава 3. Стандартизация 374
Статья 11. Цели стандартизации 374
Статья 12. Принципы стандартизации 375
Статья 13. Документы в области стандартизации 375
Статья 14. Национальный орган Российской Федерации по стандартизации, технические комитеты по стандартизации 376
Статья 15. Национальные стандарты, общероссийские классификаторы технико-экономической и социальной
информации 377
Статья 16. Правила разработки и утверждения национальных стандартов 378
Статья 17. Стандарты организаций 380
Глава 4. Подтверждение соответствия 381
Статья 18. Цели подтверждения соответствия 381
Статья 19. Принципы подтверждения соответствия 381
Статья 20. Формы подтверждения соответствия 382
Статья 21. Добровольное подтверждение соответствия 382
Статья 22. Знаки соответствия 384
Статья 23. Обязательное подтверждение соответствия 385
Статья 24. Декларирование соответствия 385
Статья 25. Обязательная сертификация 388
Статья 26. Организация обязательной сертификации 388
Статья 27. Знак обращения на рынке 390
Статья 28. Права и обязанности заявителя в области обязательного подтверждения соответствия 390
Статья 29. Условия ввоза на территорию Российской Федерации продукции, подлежащей обязательному подтверждению
соответствия 391
Статья 30. Признание результатов подтверждения соответствия 392
Глава 5. Аккредитация органов по сертификации и испытательных лабораторий (центров) 392
Статья 31. Аккредитация органов по сертификации и испытательных лабораторий (центров) 392
Глава 6. Государственный контроль (надзор) за соблюдением требований технических регламентов 393
Статья 32. Органы государственного контроля (надзора) за соблюдением требований технических регламентов 393
Статья 33. Объекты государственного контроля (надзора) за соблюдением требований технических регламентов 394
Статья 34. Полномочия органов государственного контроля
(надзора) 394
Статья 35. Ответственность органов государственного контроля (надзора) и их должностных лиц при осуществлении государственного контроля (надзора) за соблюдением требований технических регламентов 395
Глава 7. Информация о нарушении требований технических регламентов и отзыв продукции 396
Статья 36. Ответственность за несоответствие продукции, процессов производства, эксплуатации, хранения, перевозки, реализации и утилизации требованиям технических
регламентов 396
Статья 37. Информация о несоответствии продукции требованиям технических регламентов 397
Статья 38. Обязанности изготовителя (продавца, лица, выполняющего функции иностранного изготовителя) в случае получения информации о несоответствии продукции требованиям технических регламентов 397
Статья 39. Права органов государственного контроля (надзора) в случае получения информации о несоответствии продукции требованиям технических регламентов 398
Статья 40. Принудительный отзыв продукции 399
Статья 41. Ответственность за нарушение правил выполнения работ по сертификации 400
Статья 42. Ответственность аккредитованной испытательной лаборатории (центра) 400
Глава 8. Информация о технических регламентах и документах по стандартизации 400
Статья 43. Информация о документах по стандартизации 400
Статья 44. Федеральный информационный фонд технических регламентов и стандартов 401
Глава 9. Финансирование в области технического
регулирования 401
Статья 45. Порядок финансирования за счет средств федерального бюджета расходов в области технического регулирования 401
Глава 10. Заключительные и переходные положения 402
Статья 46. Переходные положения 402
Статья 47. Приведение нормативных правовых актов в соответствие с настоящим Федеральным законом 403
Статья 48. Вступление в силу настоящего Федерального закона 404
Приложение 8. ФЕДЕРАЛЬНЫЙ ЗАКОН «О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ» 405
Статья 1. Сфера применения настоящего Федерального закона 405
Статья 2. Основные понятия 406
Статья 3. Основные принципы осуществления лицензирования 407
Статья 4. Критерии определения лицензируемых видов
деятельности 407
Статья 5. Определение полномочий Правительства Российской Федерации при осуществлении лицензирования 408
Статья 6. Полномочия лицензирующих органов 408
Статья 7. Действие лицензии 408
Статья 8. Срок действия лицензии 409
Статья 9. Принятие решения о предоставлении лицензии 409
Статья 10. Содержание подтверждающего наличие лицензии документа и решения о предоставлении лицензии 411
Статья 11. Переоформление документа, подтверждающего наличие лицензии 412
Статья 12. Осуществление контроля 412
Статья 13. Приостановление действия лицензии и аннулирование лицензии 413
Статья 14. Ведение реестров лицензий 414
Статья 15. Лицензионные сборы 415
Статья 16. Финансирование лицензирования 415
Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии 415
Статья 18. Переходные положения 422
Статья 19. Признание утратившими силу некоторых законодательных актов в связи с принятием настоящего Федерального закона 422
Статья 20. Вступление в силу настоящего Федерального закона 423
Приложение 9. ФЕДЕРАЛЬНЫЙ ЗАКОН «О КОММЕРЧЕСКОЙ ТАЙНЕ» 424
Статья 1. Цели и сфера действия настоящего
Федерального закона 424
Статья 2. Законодательство Российской Федерации о коммерческой тайне 424
Статья 3. Основные понятия, используемые в настоящем Федеральном законе 424
Статья 4. Право на отнесение информации к информации, составляющей коммерческую тайну, и способы получения такой информации 426
Статья 5. Сведения, которые не могут составлять коммерческую тайну 426
Статья 6. Предоставление информации, составляющей коммерческую тайну 427
Статья 7. Права обладателя информации, составляющей коммерческую тайну 428
Статья 8. Обладатель информации, составляющей коммерческую тайну, полученной в рамках трудовых
отношений 429
Статья 9. Порядок установления режима коммерческой тайны при выполнении государственного контракта для государственных нужд 430
Статья 10. Охрана конфиденциальности информации 430
Статья 11. Охрана конфиденциальности информации в рамках трудовых отношений 431
Статья 12. Охрана конфиденциальности информации в рамках гражданско-правовых отношений 433
Статья 13. Охрана конфиденциальности информации при ее предоставлении 434
Статья 14. Ответственность за нарушение настоящего Федерального закона 434
Статья 15. Ответственность за непредоставление органам государственной власти, иным государственным органам, органам местного самоуправления информации, составляющей коммерческую тайну 435
Статья 16. Переходные положения 436
Приложение 10. ГЛОССАРИЙ 437
Приложение 11. ТЕРМИНЫ ПО ЗАЩИТЕ ИНФОРМАЦИИ 527
Предисловие
В книге рассматриваются ключевые разделы курса «Основы информационной безопасности». В него включены как теоретические, так и практические разделы, направленные на развитие навыков анализа и совер¬шенствования информационной безопасности объектов.
Главная цель книги – познакомить обучаемых с основами информационной безопасности, определить основные направления развития этой области знаний, в рамках образовательной программы попытаться сформировать у них элементы «информационной культуры». Авторы не претендуют на собственную исключительность и глубинные научные исследования в области информационной безопасности. Не случайно, что и пособие имеет название «Основы информационной безопасности», а не, например, «Теоретические основы информационной безопасности». В этом случае нам пришлось бы основательно потрудиться над теоретическими обоснованиями многих утверждений. Наша цель куда более скромна – пробудить интерес у обучаемых к серьезному и вдумчивому изучению проблем информационной безопасности.
В настоящее время появилось много книг, посвященных рассматриваемой тематике. В ряде основополагающих работ Расторгуева С. П., Ярочкина В. И., Герасименко В. А., Малюка А. А. и других авторов достаточно точно, конкретно и правильно представлены понятия, определения и положения в области информационной безопасности. Многие из них мы использовали в учебном пособии, в частности в него практически полностью вошли разделы, связанные с информационными системами (см. источники [31, 30] ч. 2).
В пособии приведен глоссарий основных терминов. Обращаем внимание на то, что все без исключения определения и термины взяты нами из соответствующих законов РФ в области информации, защиты информации и информационной безопасности. Это освобождает авторов от необходимости использовать определения других авторов, не всегда, на наш взгляд, корректные и точные. Кроме того, приведены наиболее употребляемые термины, используемые в области информационной безопасности, на английском языке и их перевод.
В пособии представлены некоторые законодательные акты, которые могут использоваться обучаемыми студентами в качестве правовой базы обеспечения информационной безопасности.
Учебное пособие основано на опыте преподавания дисциплины «Основы информационной безопасности» в Институте криптографии, связи и информатики Академии ФСБ России и Томском государственном университете систем управления и радиоэлектроники.
Данная дисциплина включена в государственный образовательный стандарт по специальностям: 090102 – «Компьютерная безопасность», 090105 – «Комплексное обеспечение информационной безопасности автоматизированных систем», 090106 – «Информационная безопасность телекоммуникационных систем». Рабочая программа этой дисциплины, контрольные вопросы и задания также приведена в приложениях.
Государственные образовательные стандарты (ГОС) по группе специальностей «Информационная безопасность» предусматривают изучение следующих тем: понятие национальной безопасности; виды безопасности; информационная безопасность (ИБ) в системе национальной безопасности РФ; основные понятия, общеметодологические принципы теории ИБ; анализ угроз ИБ, проблемы информационной войны; государственная информационная политика; проблемы региональной информационной безопасности; виды информации; методы и средства обеспечения ИБ; методы нарушения конфиденциальности, целостности и доступности информации; причины, виды искажения информации и каналы утечки ее.
Авторы
В России все – секретно,
и ничто не тайна.
Мадам де Сталь
Введение
Отыскивать всему начало, как рекомендовал в свое время Козьма Прутков, довольно сложное, а порой и неблагодарное занятие. Все усложняется многократно, когда речь идет о новых областях и направлениях современных знаний. А то, что информационная безопасность – новая, бурно развивающаяся область знаний не вызывает, надеемся, ни у кого сомнений. В новых областях знаний, нет авторитетов, устоявшейся терминологии, общепризнанных понятий, категорий, принципов и т. д. Не существует и «надежной» аксиоматики, адекватно обозначающей проблему. В самом деле, занявшись подготовкой данного материала, авторы ознакомились со значительным количеством открытых литературных источников по данной проблеме и с удивлением обнаружили, что «информация» чуть ли не самое употребляемое слово. Причем каких только понятий и определений информации не давалось различными авторами. Однако многим из них и в голову не пришло заглянуть в любой учебник по теории информации, чтобы с первых страниц понять, что информация есть функция энтропии и подчиняется ряду объективных законов. Более того, знание этих законов существенно облегчает нам манипуляции с информацией. Как же так?
Столкнулись мы и с существенно «механичными» представлениями ряда авторов. Хотя достаточно внимательно присмотреться к любой биологической системе, чтобы определить присутствие в ней всех элементов информационной системы и задуматься над проблемами информационной безопасности. В самом деле, многие общеизвестные факты из функционирования живых систем заставляют по-новому взглянуть на проблему информационной безопасности.
«Вот вирус, пограничное между жизнью и неживой природой образование. Он показывает возможности нарушения чужой программы. Вирус приспособился эксплуатировать определенный вид живых клеток, «умеет» их находить, цепляться к их оболочке. Прицепившись, он проталкивает в клетку всего ОДНУ молекулу – РНК, в которой записаны команды по «производству» вирусов. И в клетке возникает тайное, теневое правительство, которое подчиняет своей воле всю жизнедеятельность огромной системы (клетка по сравнению с вирусом – это целая страна). Все ресурсы клетки направлены теперь на выполнение команд, записанных во внедренной в нее матрице. Сложные производственные системы клетки ПЕРЕНАЛАЖИВАЮТСЯ на выпуск сердечников вируса и на то, чтобы одеть их в белковую оболочку, после чего истощенная клетка погибает.
Это исходный, фундаментальный вариант взаимодействия, при котором один участник жизненной драмы заставляет действовать в его интересах и по его программе так, что это не распознается жертвами и не вызывает у них сопротивления. Мы имеем случай манипуляции, проделанной путем подмены документа, в котором записана вся производственная программа.
Вообще же несть числа способам повлиять на поведение членов экологического сообщества, окружающих живое образование. Растения обрамляют свои тычинки и пестик роскошной привлекательной декорацией – цветком, выделяющим к тому же ароматный нектар. Насекомые устремляются на запах и цвет, платя за нектар работой по опылению.
Богомол притворился сухим листиком, не отличишь. Он создал невинный и скромный ложный образ, успокаивающий жертву.
Пчела-разведчица, найдя заросли медоносов, летит в улей и исполняет перед товарищами танец, точно указывая направление на цель и расстояние до нее.
Каракатица, став жертвой нападения страшного для нее хищника, выпускает чернильную жидкость, а затем вырывает и выбрасывает в темное облачко свои внутренности. Они там заманчиво шевелятся, и простодушный хищник рад: попалась, голубушка! И пока он рыщет в чернильной мути, циничная каракатица, принеся в жертву часть ради целого, уползает отращивать новые внутренности.
Иногда сигналы, посылаемые в окружающую среду, «перехватываются» хищником или паразитом и становятся губительными для их отправителя. Грибок стрига наносит огромный урон урожаям пшеницы в Азии и Африке. Его споры, дремлющие в земле, оживают лишь на четвертый день после того, как пшеничное зерно после посева пустит корень – на свежем ростке корня паразитирует гриб. Как же определяет грибок момент своей активизации и нападения? Сигналом служит одно из веществ, выделяемых корнем (его недавно выделили из засеянной земли, очистили, изучили строение и назвали стригол). Достаточно попадания в спору грибка всего одной молекулы стригола, чтобы были запущены бурные процессы жизнедеятельности. На беду себе семя пшеницы «утечкой информации» программирует поведение своего паразита.
В других случаях, наоборот, паразит своей «химической информацией» (какими-то выделениями) программирует поведение эксплуатируемых им существ. Иногда эффективность этого программирования бывает так высока, что впору говорить о гипнотическом воздействии. Это особенно поражает, когда по программе действуют большие массы организмов, например у «социальных», живущих большими колониями насекомых. Так, например, устроились в муравейниках крошечные жучки – жуки Ломехуза.
Своими манерами и движениями жучки Ломехуза очень напоминают муравьев и хорошо владеют их языком жестов. Солидарные и трудолюбивые муравьи по первой же просьбе дают корм собрату. Муравей выражает эту просьбу, определенным образом постукивая товарища. Жучки «освоили» эти жесты и легко выманивают пищу. Но они прожорливы и обязывают целые отряды муравьев переключиться на их кормежку. На теле у жучков есть пучки золотистых волосков, на которых скапливаются выделения. Рабочие муравьи слизывают эти выделения и утрачивают всякий здравый смысл. Они начинают выкармливать жучков и их личинок с таким рвением, что оставляют без корма и собратьев, и даже собственные личинки. Возлюбив пришельцев, сами они впадают в полное уничтожение, вплоть до того, что скармливают жучкам муравьиные яйца, оставаясь без потомства. А если муравейнику грозит опасность, они спасают личинок жука, бросая своих.
Ясно, что своими наркотическими выделениями жучки Ломехуза посылают муравьям сигнал, блокирующий важную программу поведения, заложенную в организм муравья, ту программу, которая в норме побуждает муравья совершать действия, направленные на жизнеобеспечение муравейника и продолжение рода. И видимо, переданная жучками информация не только блокирует «нормальную» программу, но перекодирует ее, активизируя те действия муравьев, которые выгодны паразиту [31]. Причем так, что муравьи просто счастливы выполнять эти действия».
Согласитесь, весьма увлекательно и поучительно. Конечно, здесь можно продолжить ряд примеров биологических систем, однако и без того понятно: анализ биологических, или «живых», систем позволяет выйти на многие аналогии систем информационных и их безопасности. Посмотрите, как хитро переплетены вопросы защиты информации и защиты от информации, информационные атаки и попытки (не всегда удачные) противостояния этим атакам. Отсюда можно сделать вывод довольно очевидный: многообразие живой природы дает нам достаточно оснований смотреть на проблему информационной безопасности как на сложный, интегрированный комплекс мероприятий.
Средства массовой информации (СМИ) муссируют не только и не столько различного рода рекламу товаров и услуг, хотя одного этого достаточно для того, чтобы испытать недовольство или откровенное раздражение. Гораздо тоньше и опаснее СМИ проводят порой информационные атаки, буквально «зомбируя» население городов, регионов и стран. «Кстати, само понятие «зомбирование» стало так часто употребляться направо и налево, что полезно уделить немного места и определить, что это такое. Среди суеверий, распространенных на Гаити, интерес ученых давно привлекала вера в зомби. Это оживший мертвец, которого злые колдуны освобождают из могилы и заставляют служить в качестве раба. Для этой веры есть материальные основания: колдуны, используя очень сильный нейротоксин (тетродоксин), могут снижать видимую жизнедеятельность организма вплоть до полной видимости смерти – с полным параличом. Если колдуну удавалось точно подобрать дозу, этот «умерший» человек оживал в гробу и вытаскивался колдуном из могилы. Колдун давал своему рабу съесть «огурец зомби» – снадобье, содержащее сильное психоактивное растение Datura stramonium L., от которого тот впадал в транс. Антропологи выяснили и социокультурное значение зомбирования – это санкции, накладываемые жрецами племени с целью поддерживать порядок и подтверждать свою власть. Вера в зомбирование и силу зомби разделялась всеми слоями гаитянского общества – страшные тонтон-макуты диктатора Дювалье считались его зомби, чего он, конечно, не отрицал» [31].
Значит, можно сделать вывод о том, что очень важно знать теоретические и практические основы информационной безопасности, хотя бы для того, чтобы избежать «дозированных информационных инъекций».
Теория защиты информации определяется как система основных идей, относящихся к защите информации, дающая целостное представление о сущности проблемы защиты, закономерностях ее развития и существенных связях с другими отраслями знания, формирующаяся на основе опыта практического решения задач защиты и определяющая основные ориентиры в направлении совершенствования практики защиты информации.
Составными частями теории являются:
• полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты;
• систематизированные результаты анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты;
• научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологий обработки, потребности в защите информации и объективные предпосылки их удовлетворения;
• общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;
• методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;
• методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства для решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;
• научно обоснованные предложения по организации и обеспечению работ по защите информации;
• научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.
Информационная безопасность определяется способностью государства, общества, личности:
• обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;
• противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
• вырабатывать личностные и групповые навыки и умения безопасного поведения;
• поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.
Информационная война – действия, принимаемые для достижения информационного превосходства в интересах национальной военной стратегии, осуществляемые путем влияния на информацию и информационные системы противника при одновременной защите собственной информации своих информационных систем. На следующем рисунке представлены направления и цели защиты информации и их взаимосвязь.
Основная цель защиты любой конфиденциальной информации состоит в том, чтобы предотвратить незаконное овладение ею конкурентами или злоумышленниками.
Зарубежный опыт в области защиты интеллектуальной собственности и отечественный опыт в защите государственных секретов показывает, что эффективной может быть только комплексная защита, сочетающая в себе такие направления защиты, как правовая, организационная и инженерно-техническая.
Комплексный характер защиты информации проистекает из комплексных действий злоумышленников, стремящихся любыми средствами добыть важную для конкурентной борьбы информацию. Здесь правомерно утверждение, что оружие защиты должно быть адекватно оружию нападения.
Читатель, видимо, уже сделал для себя вывод, что информационная безопасность – достаточно сложная и многогранная проблема, решение которой под силу хорошо организованным и подготовленным структурам.
Что касается подходов к реализации защитных мероприятий по обеспечению безопасности информационных систем, то сложилась трехстадийная (трехэтапная) разработка таких мер.
Первая стадия – выработка требований – включает:
• определение состава средств информационной системы (ИС);
• анализ уязвимых элементов ИС;
• оценка угроз (выявление проблем, которые могут возникнуть из-за наличия уязвимых элементов);
• анализ риска (прогнозирование возможных последствий, которые могут вызвать эти проблемы).
Вторая стадия – определение способов защиты – включает ответы на следующие вопросы:
• какие угрозы должны быть устранены и в какой мере?
• какие ресурсы системы должны быть защищаемы и в какой степени?
• с помощью каких средств должна быть реализована защита?
• какова должна быть полная стоимость реализации защиты и затраты на эксплуатацию с учетом потенциальных угроз?
Третья стадия – определение функций, процедур и средств безопасности, реализуемых в виде некоторых механизмов защиты.