Леонид Черняк
А нужна ли она - информационная безопасность?
Осенью этого года автор участвовал в обсуждении программы конференции, ориентированной на разработчиков прикладного ПО. На замечание о том, что в программе нет ни единого слова об информационной безопасности, от организаторов был получен ответ, который изумил своей непосредственностью. Он звучал просто и лаконично: “А зачем?”.
Действительно, незачем, ведь нам всем (жителям России) как-то удается жить в окружающем мире, практически лишенном средств обеспечения личной безопасности. Чаще всего мы ездим на автомобилях, где в лучшем случае есть только ремни безопасности, но пристегиваемся скорее из-за угрозы быть оштрафованными. Мы, как правило, не пользуемся страхованием, не задумываемся о формировании пенсионных и медицинских фондов. В общем, рассчитываем на российское авось. Единственная распространенная мера безопасности - железные двери. Заметьте, что создание “железных дверей” - один из основных способов информационной защиты. Пренебрежение нормами безопасности вошло в наш менталитет. И это безразличие распространяется и на обеспечение информационной безопасности.
Надо сказать и о другом. Любая технология на каком-то этапе своего развития приходит к тому, что соблюдение норм безопасности становится одним из важнейших требований. В одних случаях это происходит раньше (авиация), в других позже (автомобильный транспорт). Напрашивается вывод о том, что пренебрежение безопасностью свидетельствует о незрелости технологии или, точнее, о низком уровне внедрения технологий.
Попытаемся разобраться
Общая картина информационной безопасности, вернее, ее представление в средствах массовой информации, имеет мозаичный, а порой невразумительный характер. Теоретические работы, понятные только авторам и близким к ним исследователям, законодательные акты, документы организаций, которые иногда называют спецслужбами, имеют подчас слабую связь с окружающим миром. И, наконец, море разрозненной информации об отдельно взятых устройствах или средствах, во множестве предлагаемых фирмами.
Помог мне выбраться из этой “трясины” мой старый знакомый, Владимир Антонович Галатенко, автор большого числа статей по информационной безопасности. Недавно в издательстве “Наука” вышла его книга “Информационная безопасность: практический подход”.
Он предложил замечательную по простоте метафору. “Проведем следующую аналогию. Существуют медицина и фармакология. Первая занимается больными, вторая делает таблетки. Все изготовители систем обеспечения безопасности по сути фармацевты. Они делают таблетки. А чтобы лечить, нужны врачи”. После этих нескольких фраз рассуждения приняли нужное направление. Сразу перед глазами предстали московские аптеки недавних времен, заполненные великолепно упакованными таблетками (читай: средствами защиты), и районные поликлиники, о состоянии которых говорить не стоит.
Но что же дальше? Фармацевтический подход к освещению проблем информационной безопасности прост и удобен. Это поле нам хорошо знакомо, разобраться в защитных экранах, виртуальных частных сетях и даже в криптографии можно, однако как бы ни были интересны эти вещи, они остаются “таблетками”. Вопрос заключается в том, что лечить и какие таблетки выбрать?
Для того чтобы перейти к “медицинской” трактовке, следует оторваться от сугубо технических вопросов и взглянуть на проблемы информационной безопасности с несколько иной точки зрения. И тут нас ожидают определенные открытия.
Безопасность в информационной среде
Требования к обеспечению безопасности - по сути, составляющая любой среды обитания. Для информационной среды эти требования приобретают свои специфические формы, и их совокупность мы называем информационной безопасностью. Информационная безопасность - весьма широкое понятие, мы же ограничимся только компьютерной безопасностью, которая является всего лишь частью общей информационной безопасности. В компьютерной среде действуют самые различные субъекты. Ее можно, вполне можно сравнить с живой природой, где есть растения, травоядные, хищники.
У субъектов, действующих в информационной среде, есть свои интересы, часто антагонистические, что отражается в отношении к информации и инструментальным средствам, которые они используют для обороны или нападения. Все как в жизни, только пространство виртуальное. Строгая и полная классификация субъектов, действующих в этом пространстве, и соответственно их интересов и методов выживания довольно сложна, но будем надеяться, что найдется некий информационный Карл Линней, который выполнит эту задачу.
Одна из первых попыток такой классификации сделана в статье В. Бетелина и В. Галатенко “Информационная безопасность в России: опыт составления карты” (Jet Info, 1998, № 1). Авторы постулируют, что обеспечение информационной безопасности - многогранная и многомерная область деятельности, они видят свою задачу в анализе только одной из граней. В статье рассматривается соотношение основных требований к представлению информации на корпоративном уровне и комплекс средств, которые требуются для обеспечения сохранности информации и ее необходимой кондиции.
Если говорить в категориях субъектов, живущих в информационной среде, то здесь рассматривается предприятие, информационным накоплениям которого угрожают многочисленные опасности, оно может подвергаться различного рода атакам. Это добропорядочное травоядное, никому вреда не причиняющее, но пытающееся сохранить свое информационное богатство. О том, каким именно опасностям подвергается корпоративная информация, речь пойдет в одной из следующих статей.
С точки зрения компьютерной безопасности предприятие обладает своим собственным корпоративным информационным богатством. Это богатство нельзя спрятать, оно должно активно работать (здесь ближе аналогия с капиталом, вложенным в банк, а не в сундук Гобсека). Средства информационной безопасности должны обеспечивать содержание этого богатства в состоянии, которое описывается тремя категориями требований: доступность, целостность и конфиденциальность. Эти составляющие информационной безопасности сформулированы в Европейских критериях, принятых ведущими странами Европы (www.tno.nl:8080/instit/refs/cc1.0/cchtmled.htm):
- доступность информации - обеспечение готовности системы к обслуживанию поступающих к ней запросов;
- целостность информации - обеспечение существования информации в неискаженном виде;
- конфиденциальность информации - обеспечение доступа к информации только авторизованному кругу субъектов.
Классификация средств защиты
Какими мерами это информационное богатство может быть защищено? Классификация мер защиты в статье В. Бетелина и В. Галатенко представлена в виде четырех уровней. Для простоты здесь мы сведем количество уровней до трех.
Законодательный уровень. В УК РФ имеется глава 28 “Преступления в сфере компьютерной информации”, содержащая три статьи:
Статья 272. Неправомерный доступ к компьютерной информации.
Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.
Отношение добропорядочного гражданина и соответственно добропорядочного предприятия к уголовному кодексу известно, они его не знают и до той поры, пока не подвергаются преступным действиям, с ним не сталкиваются. Карательные меры, заложенные в нем, адресованы субъектам, нарушающим законы. О них мы, пожалуй, говорить не будем.
Административный и процедурный уровни. Стоит провести аналогию с обеспечением безопасности в авиации. Существуют технические средства (бортовые и наземные), обеспечивающие безопасность полетов. Но одновременно с этим есть правила полетов, регламентирующие действия всех участников этого процесса. Именно они составляют процедурный и административный уровни обеспечения безопасности полетов. Отношение к ним чрезвычайно серьезное и потому в авиации говорят, что за создание правил полетов заплачено жизнями.
Возвращаясь к информационной безопасности, можно сказать, что на административном и процедурном уровнях формируется политика безопасности и комплекс процедур, определяющих действия персонала в штатных и критических условиях.
Отчасти этот уровень зафиксирован в руководящих документах, выпущенных Гостехкомиссией РФ и ФАПСИ.
Программно-технический уровень. К этому уровню относятся программные и аппаратные средства, которые составляют технику информационной безопасности. К ним относятся и идентификация пользователей, и управление доступом, и криптография, и экранирование, и многое другое. В общем, это те самые “таблетки”, о которых говорилось в начале статьи.
Как в любой многоуровневой системе, реализация одного из элементов нижнего уровня не может стать решением проблемы в целом. Необходимо комплексное лечение, причем средствами, которые, как и настоящие таблетки, сертифицированы для применения в пределах России.
В последующих публикациях мы постараемся раскрыть отдельные аспекты информационной безопасности.
