USER-MASTER.ORG

Емельянов С.Л. Некоторые аспекты информационной безопасности как интегральной проблемы / С.Л. Емельянов // Наукові записки Міжнародного гуманітарного університету. - Науковий збірник. - 2004. - Вип. 1. - С.165-170.

УДК 681.3

Аннотация. Раскрыта сущность подхода к информационной безопасности как к интегральной проблеме. Проанализированы достоинства и преимущества интегрального подхода, в том числе в области подготовки специалистов по информационной безопасности.

The summary. The essence of the approach of information safety as an integrated problem is opened. Advantages of the integrated approach are analyzed, including preparation of experts on information safety.

Согласно прогнозам ХХІ столетие станет веком глобальной информатизации и компьютеризации всего мира и переходом человечества к новому информационному обществу, возможности которого в развитых странах рассматриваются как ключ для дальнейшего политического и социально-экономического развития. Новые информационно-телекоммуникационные технологии (ИТТ) приведут в недалеком будущем к радикальным сменам характера производства, активному формированию нового национального и международного информационных рынков.

Исходя из стратегического курса Украины на интеграцию в мировой информационный простор, возникает объективная потребность в анализе как положительных, так и отрицательных явлений, сопровождающих широкомасштабное внедрение ИТТ.

Наряду с традиционными угрозами, существующими в сфере формирования, хранения и распространения информационных ресурсов, постоянно возрастают угрозы несанкционированного вмешательства в работу информационных систем не только с целью получения закрытой информации, но и нарушения ее целостности и уничтожения, дезорганизации информационной системы державы. Специалисты в области информационных технологий едины во мнении, что, как в свое время достижения ядерной физики вызвали опасность ядерной войны, так и широкая информатизация (компьютеризация) стала источником новых угроз обществу, государству и личности [1, 2]. Появились новые термины и явления "Информационное оружие", "Информационная война", "Промышленный (коммерческий) шпионаж", "Компьютерная преступность", "Компьютерный терроризм" и др. [3-8].

Сегодня информация превратилась в товар и может иметь большую ценность. Необходимо защищать свою информацию, информационные ресурсы и информационные системы от многочисленных умышленных и случайных угроз. Тот факт, что это достаточно актуальная проблема для государства, отдельных юридических и физических лиц, свидетельствуют многочисленные факты нашей повседневности: "кассетные" скандалы, уголовные дела, где фигурируют специальные технические средства негласного съема информации, проникновение в закрытые государственные и частные компьютерные системы и сети, хищение компьютерной информации, воровство и разглашение персональных сведений из компьютерных баз и банков данных, мошенничества в сфере электронных платежей и т.д.

Выступая неотъемлемой частью политической, экономической, оборонной и других составляющих национальной безопасности Украины, информационная безопасность как научно-техническая проблема еще далека от теоретического и практического разрешения.

Существующая нормативно-правовая база [2, 9-15] декларативно рассматривает информационную безопасность вообще и защиту информации в частности как интегральную проблему, эффективное практическое решение которой возможно только на основе комплексного сочетания различных по сфере действия, проявлению, физической сущности, реализации и т.д. механизмов. Однако именно такая интегральность (комплексность, междисциплинарность и т.д.) проблемы обуславливает основную трудность в ее теоретическом и практическом разрешении. Поэтому практические пути решения данной проблемы увязываются с видом защищаемой информации по режиму доступа (открытая, конфиденциальная, секретная), типами информационных объектов (автоматизированная система, операционная система, локальный компьютер, локальная или глобальная компьютерная сеть, комплексный объект информатизации, система банковских электронных платежей и т.д.), этапами их жизненного цикла (разработка, производство, эксплуатация, модернизация и ремонт) и другими конкретными факторами.

С одной стороны, такой "специализированный" подход к проблеме информационной безопасности является обоснованным, так как сужение предметной области позволяет углубить теоретические исследования, а конкретизация объекта защиты - построить адекватные модели угроз и нарушителей, выбрать политику безопасности и предложить эффективные практические методы и средства защиты для конкретного объекта. Применение такого подхода позволяет решать ряд частных задач, затрагивающих различные (специальные) аспекты информационной безопасности: организационно-правовые [16], технические [17,18], криптографические (математические) [19], программно-технические [20], метрологические, организационно-режимные, выявление и раскрытие компьютерных преступлений и др.

Однако при таком подходе могут остаться вне поля зрения все иные аспекты проблемы информационной безопасности.

Недостатки "специализированного" подхода наиболее часто проявляются в ходе практической реализации механизмов защиты конфиденциальной информации, составление перечня и выбор средств защиты которой, в соответствии с законодательством [9], определяет сам собственник информации. Например, в ряде коммерческих структур информационная безопасность отождествляется с физической безопасностью компьютерных систем и персонала, а программно-технические методы и механизмы защиты отсутствуют. Наоборот, встречаются случаи, когда применяются сложные и дорогостоящие аппаратно-программные средства защиты компьютерной информации, но в контрактах с обслуживающим персоналом не оговорен перечень конфиденциальной информации или не взята подписка об ответственности за разглашение коммерческой тайны, т.е. ослаблена нормативно-правовая составляющая защиты информации.

В отличие от "специализированного" при интегральном подходе, нашедшем развитие в недавних монографиях и публикациях [21-25], в обязательном порядке рассматриваются все составляющие информационной безопасности, удельный вес и краткое содержание которых для типовой информационной системы (ИС) приведены на рисунках 1 и 2 соответственно.

Удельный вес каждой из составляющих, обозначенный в процентах на рисунке 1, взят по статистическим данным зарубежных исследований [3]. По данному вопросу приводятся и другие цифры: правовые методы - 40%, программно-технические - 45%, организационные - 15% [26].

Следует отметить, что значение удельного веса каждой из составляющих может и должно изменяться в зависимости от конкретного объекта защиты. Однако очевидно, что общие тенденции, заключающиеся в значимости каждого компонента информационной безопасности, сохраняются.

Рис.1. Основные составляющие системы защиты информации и их удельный вес

Рис.2. Содержание основных составляющих комплексной системы защиты информации

Интегральный подход может быть применен и к задаче разработки отдельных подсистем в составе комплексной системы защиты информации: физической защиты, разграничения доступа, криптографической защиты, выявления и блокирования технических каналов утечки информации и т.д. Например, комплексная система антивирусной защиты (КСАЗ) может содержать механизмы и средства, показанные на рисунке 3 [25]. При этом более подробно могут исследоваться конкретные механизмы защиты (в данном случае – программные), но при обязательном рассмотрении всех иных составляющих.

Рис.3 Составляющие КСАЗ

Следует отметить, что и в многоступенчатой системе подготовки специалистов по информационной безопасности на Украине до недавнего времени также преобладал специализированный подход. Имеется пять специальностей подготовки по направлению 1601 "Информационная безопасность", отличающихся предметной областью и арсеналом детально изучаемых механизмов, методов и средств защиты: право, административный менеджмент, техническая (физическая) защита, программно-техническая защита, криптографическая (математическая) защита. Однако реализация такого подхода привела к ряду недостатков в подготовке специалистов, отмеченных в [27]:

  • отсутствие государственных стандартов обучения;
  • отсутствие унифицированных учебных планов и программ подготовки;
  • недостатки в комплектовании и квалификации педагогических кадров;
  • недостаточное материально-техническое и методическое обеспечение;
  • несоответствие требованиям Болоньской Конвенции и др.

Поэтому, в ближайшее время следует ожидать сокращения числа специальностей до 2-3-ех за счет их объединения при полной унификации и стандартизации подготовки бакалавра по специальности 1601 "Информационная безопасность". При этом в разработке унифицированных учебных планов и программ подготовки бакалавров уже наметился акцент в сторону интегрального подхода. В частности [27], в образовательно-квалификационную характеристику (ОКХ) бакалавра предлагается ввести следующие требования:

  • глубокая фундаментальная подготовка;
  • усиленная компьютерная подготовка;
  • умение эксплуатировать и создавать физико-технические системы защиты информации;
  • владение основами математических методов защиты информации;
  • знание нормативно-методической базы по защите информации;
  • владение основами менеджмента в сфере защиты информации и др.

В заключение следует отметитить, что именно на подготовке бакалавра, обладающего комплексными знаниями во всех сферах информационной безопасности на основе интегрального подхода с дальнейшей его специализацией в области компьютерных систем и сетей, будет ориентирован учебный процесс в Международном гуманитарном университете при подготовке бакалавров по специальности 1601 "Информационная безопасность".

Именно такие специалисты, по результатам нашего предварительного мониторинга, будут востребованы сегодня в органах государственной власти, правоохранительных органах, государственных и коммерческих секторах экономики, банковских структурах.

Список использованных документов

  1. Маккей Н. Третья мировая война буфет информационной / Computer World. – Розсип, 13.08.96 г., с. 18.
  2. Закон Украины "Об основах национальной безопасности Украины" от 19.06.2003 г.
  3. Энциклопедия промышленного шпионажа / Под общ. ред. Е. В. Куренкова – С.-Петербург: ООО "Изд-во Полигон", 1999. – 512 с.
  4. Айков Д., Сейгер К., Фонстрох У. Компьютерные преступления. Руководство по борьбе с компьютерными преступлениями: Пер. с англ. – М.: Мир, 1999. – 351 с.
  5. Біленчук П. Д., Романюк Б. В., Цимбалюк В. С. та ін. Комп’ютерна злочинність. Навчальний посібник. - Київ: Атіка, 2002. – 240 с.
  6. Соколов А. В., Степанюк О. М. Защита от компьютерного терроризма. Справочное пособие. - СПб.: БХВ-Петербург; Арлит 2002. - 496 с.
  7. Волеводз А. Г. Противодействие компьютерным преступлениям: правовые основы международного сотрудничества. - М.: ООО Изд-во "Юрлитинформ", 2002. - 496 с.
  8. Роговец В. Информационные войны в современном мире: причины, механизмы, последствия. // Персонал. - 2000. - №5.
  9. Закон Украины "Об информации" от 2.10.1992 г.
  10. Закон Украины "О государственной тайне" от 21.01.1994 г.
  11. Закон Украины "О защите информации в автоматизированных системах" от 5.07.1994 г.
  12. ГОСТ 3396 0-96. Защита информации. Техническая защита информации. Основные положения. Утверджено приказом Госстандарта Украины от 11.10.96 г. № 423.
  13. ГОСТ 3396 2-97. Защита информации. Техническая защита информации. Термины и определения. Утверджено приказом Госстандарта Украины от 11.04.97 г. № 200.
  14. Общие положения по защите информации в компьютерных системах от несанкционированного доступа. НД ТЗИ 1.1-002-99.
  15. Терминология в области защиты информации в компьютерных системах от несанкционированного доступа. НД ТЗИ 1.1-003-99.
  16. Кормич Б. А. Організаційно-правові засади політики інформаційної безпеки України: Монографія. - Одеса: Юридична література, 2003. - 472 с.
  17. Емельянов С. Л. и др. Технические методы защиты каналов утечки информации по электросети / Бизнес и безопасность. №2, 2000 г., с. 8-10.
  18. Емельянов С. Л., Логвиненко Н. Ф., Марков С. И., Носов В. В. Проблемные аспекты разработки, производства и применения отечественных генераторов шума в системах защиты информации // Матеріали ІІ Міжнародної НТК "Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні". К - 2000, с. 159.
  19. Петров А. А. Компьютерная безопасность. Криптографические методы защиты. – М.: ДМК, 2000. – 448 с.
  20. С. Мафтик. Механизмы защиты в сетях ЭВМ: Пер. с англ. – М.: Мир, 1993. – 216 с.
  21. М. Згуровський. Проблеми інформаційної безпеки в Україні, шляхи їх вирішення / Матеріали ІІ Міжнародної НТК "Правове, нормативне та метрологічне забезпечення системи захисту інформації в Україні". Київ – 2000 р., с. 11-14.
  22. Барсуков В. С., Водолазкий В. В. Современные технологии безопасности. М.: "Нолидж", 2000. – 496 с.
  23. Организация и современные методы защиты информации / Под общ. ред. С. А. Диева, А. Г. Шаваева. – М.: Концерн "Банковский Деловой Центр", 1998. – 472 с.
  24. Безопасность информационных технологий. Методология создания систем защиты / В. Домарёв. – К.: ООО "ТИД ДС", 2001. – 688 с.
  25. Емельянов С. Л., Яковлев И. А. Принципы построения комплексной системы антивирусной защиты. // Безопасность информации в информационно-телекоммуникационных системах. Тезисы докладов 7-ой международной научно-практической конференции, Киев-2004, С. 11.
  26. Хорошко В. О. та ін. Проблеми комплексного технічного захисту об’єктів // Безопасность информации в информационно-телекоммуникационных системах. Материалы 4-ой международной научно-практической конференции, Киев-2001, С. 25.
  27. А. Новиков, Э. Мачульский. Состояние и перспективы развития системы подготовки кадров в направлении 1601 "Информационная безопасность". Программа 7-ой международной научно-практической конференции, Киев-2004, С.10.

Добавить комментарий

Защитный код
Обновить

Поиск