Три кита защиты информации

Светлана ШАЛБЕРОВА

Информационная безопасность АСУ основывается на трех китах: правового, организационно-административного и технического обеспечения. Рассмотрим их подробнее.

Ввиду того, что на сегодняшний день в Молдове правовой базы в области информатизационных отношений нет, можно утверждать, что государство недооценивает возможности и функции информационных сетей. Налицо очередная государственная промашка: реальное информационное пространство на территории республики уже сформировано (есть технические и человеческие ресурсы). Во всем мире информационное пространство является национальным богатством. Молдова, похоже, богата и без него. Иначе как объяснить, что в период снятия с должности министра связи и коммуникации, кем-то (?!) был продан домен MD (имя в Интернете) американской компании за 12 тысяч долларов? (Ниже мы приводим взгляд профессора Сергея Охрименко на роль государства в процессе обеспечения информационной безопасности).

В принципе, если есть развитая и действующая правовая база, следующие два пункта становятся, условно говоря, внутренними задачами определенных информационных сетей.

Приведу пример: в неком учреждении использовалась система шифрования, которая медленно работала. Кто-то из сотрудников принес систему шифрования, убыстряющую работу. В результате новая система начала видоизменять старую, а когда пришли липовые документы, измененная система их не распознала. И последовали неприятности.

Безусловно, информационная безопасность подразумевает и ее конфиденциальность, потому что даже если система защиты работает "не придерешься", то сотрудник может распечатать служебную информацию и вынести за пределы здания. Налицо вопрос защиты информации не технического, а организационно-административного порядка. В этих случаях должна работать система подписок. Ни одна серьезная западная фирма, имеющая свое информационное поле, не берет сотрудника на работу без подписки о неразглашении информации. Кроме того, считается нормой, когда пользователь имеет доступ только к тем ресурсам, которые ему необходимы для работы.

Многие учреждения в Молдове уже пришли к выводу, что нужно покупать только лицензионное программное обеспечение. Продавая лицензионную продукцию, фирма-поставщик дает соответствующие гарантии. Спрашивается, кто ответит за качество программного обеспечения, купленного на "птичке"? Поэтому даже в условиях жесткой экономии не надо забывать, что надежность системы напрямую связана с защитой информации.

В принципе, по словам людей, на практике занимающихся безопасностью автоматизированных информационных систем, каждая АИС требует индивидуальной политики безопасности, которая строится на определенных математических моделях, определяющих права доступа того или иного пользователя к информационным ресурсам. Прежде чем приступить к защите информационной системы, необходимо начать с анализа риска - оценки вероятности появления угрозы и определения необходимых затрат. Для этого рассматриваются условия, при которых может возникнуть та или иная угроза. Искусство защиты информации состоит именно в анализе риска, умении выявить потенциальную угрозу и предупредить ее. Попросту говоря, система защиты состоит из нескольких уровней -предупреждение, обнаружение и нейтрализация. Если предупредили - все нормально. Не удалось предупредить и обнаружить, значит, угроза реализована. Тогда встает вопрос: возможно ли угрозу нейтрализовать. Если смогли - хорошо. Если нет - летальный исход.

Задача специалистов, занимающихся информационной безопасностью, состоит в предупреждении угроз и предотвращении летальных исходов. В этом контексте необходимо также изучать вопросы, связанные с источником угроз на начальном этапе.

Многие ошибочно думают, что в основном информационным сетям вредят хакеры. Однако, в Молдове, кроме Фонда Сороса и еще одной фирмы-провайдера Интернет, пока никто от хакеров не пострадал. Чаще всего информацию приходится защищать от намеренного или непреднамеренного искажения.