Проблема информационной безопасности с конца прошлого века ставится на различных международных площадках: от двусторонних экспертных проектов до ООН. По инициативе России в 2003 году была учреждена и в 2004 году в соответствии с резолюцией ГА ООН А/58/457 приступила к работе первая Группа правительственных экспертов ООН по достижениям в сфере информатизации и телекоммуникаций в контексте международной безопасности. Правила ответственного поведения государств в информационном пространстве, предложенные Россией, странами ШОС и ОДКБ, не были приняты на уровне ООН. Компромисс по вопросам применимости к ИКТ-пространству норм международного права не был достигнут. Причины неудачи кроются в различиях подходов государств к обеспечению международной информационной безопасности, однако лавинообразное нарастание угроз и осознание уязвимости неизбежно должно привести к необходимости дальнейшего широкомасштабного сотрудничества.
В первую очередь, это сотрудничество должно касаться обеспечения информационной безопасности так называемых критически важных объектов государственной инфраструктуры. Это системы и средства, которые настолько жизненно важны для государства, что нарушение их работы или уничтожение оказывает необратимое негативное воздействие на национальную и экономическую безопасность, здравоохранение, правопорядок и т.д. Некоторые общемировые тенденции, увеличивающие угрозы для таких объектов:
Эти тенденции, в частности, касаются систем органов государственной власти, финансово-кредитной и банковской деятельности, спутниковых систем, систем управления добычей и транспортировкой нефти, нефтепродуктов и газа, объектов ядерной энергетики, и военных объектов.
На сегодняшний день создан широкий спектр ИКТ-средств для применения в военной области. В частности, это борьба с системами управления (CommandandControlWarfare (C2W)) — военная стратегия с применением информационной среды на поле боя для физического разрушения командной структуры противника; разведывательное противоборство (Intelligence-Based Warfare (IBW)) — операции с помощью автоматизированных систем, которые, в свою очередь, являются потенциальными объектами кибератак (выделяются «наступательные» и «оборонительные» кибер-разведывательные операции); электронное противоборство (ElectronicWarfare) — военные действия, включающие использование электромагнитной и направленной энергии для контроля электромагнитного спектра или атаки противника, которые состоит из трех подразделений: электронная атака, электронная защита и поддержка электронного противоборства (в русскоязычных источниках эквивалентом понятия «электронное противоборство» часто является «радиоэлектронная борьба» — РЭБ); военные средства, способствующие проведению информационных операций, в частности, включающие стратегические коммуникации, операции в киберпространстве и космосе, военные операции по поддержке информации, разведку, специальные технические процедуры, совместные операции электромагнитного спектра и т.д. Таким образом, глобальная цель обеспечения информационной безопасности уже носит стратегический характер. А безопасность использования ИКТ оказывает существенное влияние на один из важнейших показателей глобальной безопасности – уровень стратегической стабильности. Эта проблема на современном этапе пока недостаточно изучена, но ее актуальность возрастает.
Базовыми документами по информационной безопасности в России являются серия международных стандартов, включающая стандарты по информационной безопасности опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Вот некоторые из них:
В 1975 году Джерри Зальцер и Майкл Шрёдер в статье «Защита информации в компьютерных системах» впервые предложили разделить нарушения безопасности на три основных категории: неавторизованное раскрытие информации (англ. unauthorized information release), неавторизованное изменение информации (англ. Unauthorized information modification) и неавторизованный отказ в доступе (англ. Unauthorized denial of use) к информации. Позднее эти категории получили краткие наименования и стандартизированные определения:
В совокупности эти три ключевых принципа информационной безопасности именуются триадой CIA.
Конфиденциальность информации достигается предоставлением к ней доступа c наименьшими привилегиями исходя из принципа минимальной необходимой осведомлённости (англ. need-to-know). Иными словами, авторизованное лицо должно иметь доступ только к той информации, которая ему необходима для исполнения своих должностных обязанностей. Упомянутые выше преступления против неприкосновенности частной жизни, такие, как кража личности, являются нарушениями конфиденциальности. Одной из важнейших мер обеспечения конфиденциальности является классификация информации, которая позволяет отнести её к строго конфиденциальной, или предназначенной для публичного, либо внутреннего пользования. Шифрование информации — характерный пример одного из средств обеспечения конфиденциальности.
Целостность. Чёткое осуществление операций или принятие верных решений в организации возможно лишь на основе достоверных данных, хранящихся в файлах, базах данных или системах, либо транслируемых по компьютерным сетям. Иными словами, информация должна быть защищена от намеренного, несанкционированного или случайного изменения по сравнению с исходным состоянием, а также от каких-либо искажений в процессе хранения, передачи или обработки. Однако её целостности угрожают компьютерные вирусы и логические бомбы, ошибки программирования и вредоносные изменения программного кода, подмена данных, неавторизованный доступ, бэкдоры и тому подобное. Помимо преднамеренных действий, во многих случаях неавторизованные изменения важной информации возникают в результате технических сбоев или человеческих ошибок по оплошности или из-за недостаточной профессиональной подготовки. Например, к нарушению целостности ведут: случайное удаление файлов, ввод ошибочных значений, изменение настроек, выполнение некорректных команд, причём, как рядовыми пользователями, так и системными администраторами.
Для защиты целостности информации необходимо применение множества разнообразных мер контроля и управления изменениями информации и обрабатывающих её систем. Типичным примером таких мер является ограничение круга лиц с правами на изменения лишь теми, кому такой доступ необходим для выполнения служебных обязанностей. При этом следует соблюдать принцип разграничения полномочий, согласно которому изменения в данные или информационную систему вносит одно лицо, а подтверждает их или отклоняет – другое. Кроме того, любые изменения в ходе жизненного цикла информационных системы должны быть согласованны, протестированы на предмет обеспечения информационной целостности и внесены в систему только корректно сформированными транзакциями. Обновления программного обеспечения необходимо производить с соблюдением мер безопасности. Любые действия, влекущие изменения, должны быть обязательно протоколированы.
Доступность. Согласно этому принципу, информация должна быть доступна авторизованным лицам, когда это необходимо. Основными факторами, влияющими на доступность информационных систем, являются DoS-атаки (аббревиатура от Denial of Service с англ. — «отказ в обслуживании»), атаки программ-вымогателей, саботаж. Кроме того, источником угроз доступности являются непреднамеренные человеческие ошибки по оплошности или из-за недостаточной профессиональной подготовки: случайное удаление файлов или записей в базах данных, ошибочные настройки систем; отказ в обслуживании в результате превышения допустимой мощности или недостатка ресурсов оборудования, либо аварий сетей связи; неудачно проведённое обновление аппаратного или программного обеспечения; отключение систем из-за аварий энергоснабжения. Существенную роль в нарушении доступности играют также природные катастрофы: землетрясения, смерчи, ураганы, пожары, наводнения и тому подобные явления. Во всех случаях конечный пользователь теряет доступ к информации, необходимой для его деятельности, возникает вынужденный простой. Критичность системы для пользователя и её важность для выживания организации в целом определяют степень воздействия времени простоя. Недостаточные меры безопасности увеличивают риск поражения вредоносными программами, уничтожения данных, проникновения из-вне или DoS-атак. Подобные инциденты могут сделать системы недоступными для обычных пользователей.
Попытка несанкционированного доступа может происходить несколькими путями:
Профилактические методы, такие как тестирование информационной системы, могут быть использованы для эффективной идентификации уязвимостей в зависимости от критичности системы информационных и телекоммуникационных технологий (ИКТ) и доступных ресурсов (например, выделенных фондов, доступной технологии, лиц, имеющих опыт проведения тестирования). Методы тестирования включают:
Автоматизированные инструментальные средства поиска уязвимостей используются для просмотра группы хостов или сети на предмет известных уязвимых сервисов (например, система разрешает использование анонимного протокола передачи файлов (FTP), ретрансляцию отправленной почты). Следует, однако, отметить, что некоторые из потенциальных уязвимостей, идентифицированных автоматизированными инструментальными средствами поиска уязвимостей, могут не представлять реальных уязвимостей в контексте среды системы. Например, некоторые из этих средств поиска определяют потенциальные уязвимости, не учитывая среду и требования сайта.
Некоторые из уязвимостей, отмеченных автоматизированными инструментальными средствами поиска уязвимостей, могут в действительности не быть уязвимостями для конкретного сайта, а быть сконфигурированными таким образом, потому что этого требует среда. Таким образом, этот метод может давать ошибочные результаты исследования.
В заключении хотелось бы отметить, что обеспечение информационной безопасности очень и очень дорогостоящее мероприятие, при этом неправильный выбор того, что необходимо сделать может повлечь колоссальные потери.