Читаем Безопасность информационных систем. Учебное пособие полностью

Преимуществом данного метода является возможность разделения задач администрирования при максимальном использовании встроенных средств защиты на всех уровнях иерархии сложной системы. Однако появляется другая проблема – проблема доверия встроенным механизмам защиты, которые могут содержать как ошибки, так и закладки, что при определенных условиях позволит злоумышленнику их преодолеть. Решение этой проблемы возможно с помощью рассмотренного ранее метода уровневого контроля целостности списков санкционированных событий, а также метода противодействия ошибкам и закладкам в средствах информационной системы, сущность которого состоит в следующем.

При доступе санкционированного пользователя либо злоумышленника к информации должен произойти ряд событий:

• авторизация пользователя, должен быть запущен некоторый процесс (программа) на исполнение;

• при доступе к информации (файлу, таблице) должны быть проверены права доступа пользователя, при этом собственно операционная система и СУБД должны обладать некоторым набором заданных администраторами свойств и т. д.

Далее система защиты информации создает эталонные копии списков контролируемых событий и осуществляет их непрерывный контроль в процессе функционирования системы. При искажении исходного списка вырабатывается реакция системы защиты информации (например, восстановление исходного списка, выключение компьютера и т. д.).

Если доступ к информации осуществляет санкционированный пользователь и не нарушает своих прав в рамках заданной администратором безопасности разграничительной политики, он получает доступ к информации. В противном случае нарушителю необходимо осуществить какое-либо изменение контролируемого события при доступе к информации. Иначе нарушитель не получит доступ к данным. В этом случае системой защиты информации будет оказано противодействие НСД. Особенностью данного подхода является то, что для системы защиты информации неважно, за счет чего злоумышленником осуществляется попытка модификации контролируемого события при доступе к информации, в том числе и за счет использования им ошибки либо закладки. Фиксируется не причина попытки изменения события, а сам факт подобного изменения.

Применение этого метода позволяет повысить доверие к встроенным механизмам защиты информационной системы и, как следствие, рассматривать их как основные средства защиты при построении сложной защищенной информационной системы.

Преимуществом рассмотренных принципов реализации системы защиты информации является ее реализация на прикладном уровне, т. е. практически инвариантна к типу используемых в информационных системах операционной системе, СУБД и приложений, и ее применение практически не приводит к снижению надежности функционирования системы.

В современном мире информационная безопасность становится жизненно необходимым условием обеспечения интересов человека, общества и государства и важнейшим, стержневым, звеном системы национальной безопасности страны.

Доктрина национальной безопасности страны рассматривает всю работу в информационной сфере на основе и в интересах Концепции национальной безопасности РФ.

Доктрина выделяет четыре основные составляющие национальных интересов России в информационной сфере.

Первая составляющая включает соблюдение конституционных прав и свобод человека и гражданина в области получения и пользования информацией, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны.

Для ее реализации необходимо:

1) повысить эффективность использования информационной инфраструктуры в интересах общественного развития, консолидации российского общества, духовного возрождения многонационального народа страны;

2) усовершенствовать систему формирования, сохранения и рационального использования информационных ресурсов, составляющих основу научно-технического и духовного потенциала России;

3) обеспечить конституционные права и свободы человека и гражданина свободно искать, получать, передавать, производить и распространять информацию любым законным способом, получать достоверную информацию о состоянии окружающей среды;

4) обеспечить конституционные права и свободы человека и гражданина на личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, на защиту своей чести и своего доброго имени;

5) укрепить механизмы правового регулирования отношений в области охраны интеллектуальной собственности, создать условия для соблюдения установленных федеральным законодательством ограничений на доступ к конфиденциальной информации;

6) гарантировать свободу массовой информации и запрет цензуры;

7) не допускать пропаганды и агитации, которые способствуют разжиганию социальной, расовой, национальной или религиозной ненависти и вражды;