Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Имеются в виду продажа железнодорожных и авиабилетов, банковские услуги и т.п.
Важность доступности как аспекта информационной безопасности находится в разительном противоречии с тем вниманием, которое уделяют данному аспекту потенциально заинтересованные стороны. Если вопросы защиты от несанкционированного доступа (то есть обеспечение конфиденциальности и целостности информации) курирует Гостехкомиссия России, а криптографические средства (что опять-таки связано с обеспечением конфиденциальности и целостности) — ФАПСИ, то доступностью на государственном уровне не занимается пока никто. На законодательном уровне вопросы доступности затрагиваются только в новой редакции Уголовного кодекса (раздел IX — "Преступления против общественной безопасности", глава 28 — "Преступления в сфере компьютерной информации", статья 274 — "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети").
Авторам не известны отечественные аппаратно-программные продукты общего назначения, повышающие доступность систем (равно как и организации, занимающиеся разработкой таких продуктов). Имеющиеся зарубежные решения не везде применимы и весьма дороги, что существенно сужает круг возможных российских покупателей.
Целостности повезло больше, чем доступности. Как уже отмечалось, различные аспекты целостности курируют ФАПСИ и Гостехкомиссия. Вышеупомянутая глава 28 УК предусматривает наказания за нарушение целостности. Есть отечественные продукты, обеспечивающие или контролирующие целостность.
В то же время, положение дел с целостностью далеко от идеала. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности — анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.
К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить полное представление о потенциальных рисках и степени их серьезности. Во-вторых, авторам не известны отечественные аппаратные реализации шифраторов с достаточным быстродействием, что накладывает ограничения на виды и объемы шифруемой информации. Программные разработки охватывают лишь часть распространенных компьютерных платформ.
|
|
|
|
| Грани информационной безопасности | Содержание | Законодательный, административный, процедурный, программно-технический уровни |
| Copyright ╘ 1993-2000, Jet Infosystems |