Технико-экономические проблемы защиты информации в современных системах ее обработки тема диссертации и автореферата по ВАК РФ 05.13.19, кандидат технических наук Геннадиева, Елена Георгиевна

Проблемы защиты информации в современных системах автоматизированной ее обработки находятся в центре внимания специалистов уже больше тридцати лет. За это время произошли существенные изменения в постановке задачи (современная постановка будет рассмотрена в § 1.1) и достигнуты серьезные результаты как теоретического, так и практического плана. О теоретических достижениях в изучении и разработках проблем защиты говорит уже тот факт, что к настоящему времени опубликовано значительное количество книг монографического характера, издается ряд специализированных журналов, а количество статей по различным вопросам защиты информации появляется уже сотнями.

Первые в нашей стране публикации монографического характера ([ 2 ] , [ 3 ] ) , вышедшие в 1980 г. и 1982 г. соответственно были переводными книгами зарубежных специалистов. Особо заметную роль сыграла книга [ 2 ] , в которой достаточно полно по тому времени был систематизирован материал по различным аспектам проблемы.

Одной из первых монографий отечественных авторов была книга [ 1 ], в которой известные наши ученые А.Г.Мамиконов, В.В.Кульба и А.Б.Шелков предприняли попытку изучения и решения основных задач защиты при строгом теоретическом обосновании всех выдвигаемых положений и предлагаемых решений с использованием методов классической теории систем.

Следующий (в хронологическом порядке) следует назвать книгу [ 11 ], которая, как следует из самого его названия, целиком посвящена вопросам защиты информации в персональных ЭВМ. Важность данной книги обусловливается тем, что названные ЭВМ к настоящему времени получили массовое распространение, а надежная защита информации в них представляет собой далеко не ординарную задачу.

Заслуживает быть упомянутой книга [ 7 ], в которой с достаточно строгим научным обоснованием изложены теоретические и практические аспекты использования программных методов защиты информации, которые составляют важнейший компонент механизмов защиты в автоматизированных системах и сетях. В книге [ 8 ] авторы собрали и систематизировали большое количество зарубежных публикаций по различным аспектам защиты информации в банковских системах.

Поскольку защита информации в зарубежных банковских системах получила очень большое развитие, то рассматриваемая книга безусловно представляет большой интерес для специалистов соответствующего профиля.

Назовем еще монографию в двух книгах [ 4 ] , которая в хронологическом ряду является одной из последних. В ней автор, известный специалист в области защиты информации В.А.Герасименко полно и стройно изложил всю совокупность основных вопросов, относящихся к рассматриваемым проблемам. Из периодических изданий наибольший вклад в популяризацию проблем защиты информации и достигнутых результатов внес журнал " Зарубежная радиоэлектроника" в которой за истекшее время (до прекращения его выхода в 1995 г.) опубликовано около 40 статей, а один из выпусков журнала ( 1989, № 12) весь был посвящен вопросам защиты. Указанные публикации сыграли важную роль в инициировании соответствующих работ у нас в стране и в повышении квалификации соответствующих специалистов. Из выпускаемых в настоящее время журналов следует назвать Московский "Безопасность информационных технологий " и Санкт-Петербургский " Безопасность,Доверие,Информация БДИ )", в которых за трехлетнее их существование опубликовано свыше 150 различных материалов по рассматриваемым здесь проблемам. Публикуются статьи по защите информации также в журналах более широкого профиля.

Основные достижения в плане практического решения задач защиты информации в общем виде могут быть охарактеризованы следующими положениями:

1) практически подтверждено, что надежная защита может быть достигнута лишь при комплексном использовании различных средств защиты, причем сформировалась достаточно устойчивая классификационная структура средств защиты, включающая следующие разновидности:

- формальные : технические ( системы охраны, наблюдения, контроля доступа и др.) аппаратные (схемно вмонтированные в аппаратуру ЭВТ), программные ( специальные прог-раммы) и криптографические (криптографическое преобразование защищаемой информации); неформальные организационные, нормативно-правовые, морально-этические;

2) накоплен большой опыт защиты информации в системах различного назначения и уровня ;

3) создана сеть предприятий и фирм различных форм собственности, специализирующихся на разработке, производстве и распространении средств защиты;

4) в ряде учебных заведений налажена регулярная подготовка, переподготовка и повышения квалификации кадров по защите информации.

Однако несмотря на рассмотренные выше несомненные достижения, выявились также такие объективные и субъективные недостатки, которые автор работы [ 17 ] , небезосновательно назвал ( хотя и со знаком вопроса) кризисом в области защиты информации.Суть этих недостатков заключается в том, что по мере расширения возможностей современной ЭВТ и создания на ее основе распределенных сетей, основные компоненты ( аппаратура,программное обеспечение, базы данных ) становятся на столько большими и сложными, что эффективно и надежно контролировать их работу становится практически невозможным. Красноречивым подтверждением сказанного является нашумевшее в свое время дело В.Ливина и другие подобные факты. Утверждается также, что преодолеть эти недостатки в рамках прежних концепций защиты вряд ли удастся. Нужны новые подходы. Их поиску посвящена работа [ 18 ].

Основная сущность новых подходов характеризуется тем, что вместо встраивания механизмов защиты информации в уже в функционирующую информационную технологию необходимо создавать изначально защищенные информационные технологии. Однако, реализация новых подходов может быть эффективной лишь при соблюдении по крайней мере следующих условий :

1) проблемы защиты информации будут решаться в органической взаимосвязи с решением проблем построения самих информационных технологий;

2) вся совокупность задач защиты информации будет решаться на основе единогонаучно-методологического базиса;

3) в процессе создания и функционирования защитные информационных технологий будет осуществляться системная оптимизация по всей совокупности функциональных и технико-экономических показателей.

Что касается первого условия , то к настоящему времени достаточно полно разработана так называемая концепция информационного обеспечения деятельности предприятий,учреждений и иных организаций, в которой предусматривается взаимоувязанное решение задач функциональной переработки информации и управление информации ( включая ее защиту ) по всем этапам ее циркуляции. Основные положения этой концепции изложены в [ 5 ]. В целях создания предпосылок, необходимых для соблюдения второго условия в последние годы интенсивно велись работы по созданию целостной теории защиты информации, причем основы этой теории к настоящему времени уже созданы ; они в общем виде изложены в [ 19 ]. Гораздо хуже обстоит дело с третьим условием, т.е. системной оптимизацией защищенных информационных технологий по совокупности технико-экономических показателей. Как известно , существо этих показателей сводится к тому, чтобы создаваемые системы удовлетворяли задаваемым требованиям технических параметров при минимальном расходовании ресурсов или ( если ресурсы заранее ограничены ) при имеющихся ресурсах основные технические параметры имели наилучшие из всех возможных значений. Такая оптимизация по себе представляется весьма сложной задачей в силу того, что она является многокритериальной, причем требования к различным показателям нередко противоречивы. Применительно же к проблемам защиты информации названные трудности существенно усугубляются тем, что их решение должно опираться на данные о стоимости защищаемой информации, а методики этих показателей сколько-нибудь полно не разработаны, хотя общие подходы к определению обозначены в [ 4 ] и [ 5 ] . Исходя из сложившегося положения, в данной диссертации основной выбрана цель системного исследования всей совокупности технико-экономических вопросов защиты информации в рамках современной постановки задачи защиты и обоснованы рациональные пути их решения. Актуальность темы в общем виде уже сформулирована выше. В более предметном виде она может быть выражена следующими положениями:

1). необходимость в защите информации приняли массовый характер , в силу чего максимально возможная экономия средств на защиту при удовлетворении требований по надежности защиты представляет собою задачу общегосударственной значимости ;

2) в развитии систем защиты информации довольно устойчиво обозначилась тенденция их усложнения, чем также предопределяется необходимость повышенного внимания технико-экономическим аспектом их построения и организации функционирования;

3) системные исследования технико-экономических аспектов защиты информации до настоящего времени не проведены ;

4) в процессе исследований и разработок проблем защиты сформировано научно-методологическая база, на основе которой указанные выше исследования могут быть проведены по крайней мере в первом приближении.

Методы исследования. В соответствии с характером исследуемых проблем помимо общеизвестных методов научного исследования использовались методы теории вероятности , математической статистики, теории лингвистических переменных, неформально

-ICэвристические методы и основные положения теории защиты информации.

Полученные результаты и их научная новизна. В процессе исследований получены следующие результаты :

1. Сформирована структура и обосновано содержание комплекса технико-экономических задач защиты информации.

2. Обоснована структура расходов ресурсов на защиту информации и разработана общая модель управления ресурсами, выделяемыми на защиту.

3. Разработаны методы определения значений параметров защищаемой информации, определяющих требуемый уровень ее защищенности.

4. Разработаны общие модели синтеза систем защиты информации, оптимальных по технико-экономическим показателям.

5. Обоснованы пути и методы существенного снижения расходования ресурсов на защиту информации.

6. Разработаны модели оптимального управления функционированием систем защиты информации.

В таком виде результаты получены впервые.

Практическая значимость. Полученные результаты создают объективные предпосылки для решения всего комплекса технико-экономических задач, связанных с построением систем защиты информации, оптимальных по технико-экономическим показателям,организацией и обеспечением управления этими системами в процессе их функционирования в целях эффективного поддержания значений технико-экономических показателей. Повсеместная реализация этих результатов позволит перевести процессы защиты информации на качественно новую ступень и существенно (на 15-30 %) снизить расходы на защиту.

Апробация работы. Результаты проведенных исследований обсуждались на научно-техническом совете Центрального научно-исследовательского института радиоэлектроники и связи и были использованы в разработках института. Результаты использованы также при создании автоматизированной информационной системы ЦНИИРЭС. Основные положения диссертации использованы при подготовке учебного курса по защите информации в Миноборонпроме.

Публикации. Основные положения диссертационной работы опубликованы в 12 работах общим объемом 5.6 п.л.

Автор защищает основные результаты работы :

1. Структуру и содержание комплекса технико-экономических задач ЗИ.

2. Структуру расходов на ЗИ и общую модель управления ресурсами, выделяемыми на защиту.

3. Методы определения значений параметров защищаемой информации, необходимых для решения технико-экономических задач, и общую модель синтеза систем ЗИ, оптимальных по экономических показателям.

4. Пути существенного снижения расходов ресурсов на ЗИ.

Модели оптимального управления функционированием систем ЗИ.

Выводы по гл. 3.

1. Основными технико-экономическими задачами построения и поддержания функционирования систем защиты информации (СЗИ) являются задачи проектирования оптимальных СЗИ, поиска способов сокращения расходов на создание СЗИ при сохранении уровня защищенности информации и разработки методологии рационального управления СЗИ в процессе их функционирования.

2. Проектирование СЗИ, оптимальных по технико-экономическим показателям, полностью вписывается в методологию проектирования больших систем, разработанной в классической теории систем. В качестве же основы для построения оптимизирующего алгоритма могут быть использованы зависимости между уровнем защищенности информации и ресурсами, вкладываемыми в осуществление каждой из функций защиты полного их множества.

3. Наиболее перспективным способом снижения расходов на создание СЗИ является типизация и стандартизация их компонентов или целых систем. Наиболее полным решение вопроса будет создание репрезентативного набора типовых СЗИ, наиболее универсальным — реализация так называемой семирубежной модели СЗИ.

4. В целях оптимизации процессов поддержания функционирования СЗИ предложен комплекс моделей управления защитой информации, базирующийся на основные положения так называемой конструктивной теории управления.

5. Практическая реализация разработанных методов и моделей сопряжена с решением ряда достаточно сложных проблем, среди которых одной из наиболее серьезных представляется обеспечение моделей необходимыми исходными данными. Однако анализ существа этих проблем дает основания утверждать, что уже в настоящее время есть объективные предпосылки для эффективного их решения.

Заключение

В заключении представляется целесообразным акцентировать внимание, что в процессе проведения системных исследований технико-экономических аспектов защиты информации показано, что названые аспекты в настоящее время составляют одну из наиболее актуальных проблем защиты, эффективное их решение является необходимым условием существенного снижения затрат на защиту, что в настоящее время характеризуется как задача государственной значимости. В тоже время системные исследования технико-экономических аспектов до настоящего времени не проведены, что является серьезным препятствием на пути их решения. В связи с этим понадобилось обосновать структуру и содержание комплекса технико-экономических задач, структуру расходов на защиту информации и модель оптимального управления этими расходами. Учитывая , что допустимые расходы на защиту в решающей степени зависят от характеристик защищаемой информации, а вопросы определения значений этих характеристик разработаны явно недостаточно, то в диссертации пришлось уделить им достаточно большое внимание.

С учетом всего сказанного удалось разработать методы и модели создания систем защиты информации, оптимальных по технико-экономическим показателям и разработать предложения по существенному снижению расходов на защиту, основу которых составляет типизация систем защиты.

Так в общем виде может бьггь представлено содержание диссертационной работы. В более конкретном виде основные ее результаты, как уже отмечалось во введении, представляются следующим перечнем:

1 .Сформирована структура и обосновано содержание технико-экономических задач защиты информации.

2. Обоснована структура расходов ресурсов на защиту информации и разработана общая модель управления ресурсами, выделенными на защиту.

3. Разработаны методы определения значения параметров, защищаемой информации, определяющих требуемый уровень ее защищенности.

4. Разработаны общие модели синтеза систем защиты информации, оптимальных по технико-экономическим показателям.

5. Обоснованы пути и методы существенного снижения расходов на защиту информации.

6. Разработаны модели оптимального управления функционированием систем защиты информации. Эти результаты и выносятся на защиту.

1. Мамиконов А.Г., Кульба В.В., Шелков А.Б. Достоверность, защита и резервирование информации в АСУ. - М.: Энергоатомиздат, 1986.

2. Хоффман Л.Дж. Современные методы защиты информации, пер.с англ. М.: Сов.радио, 1980.

3. Сяо Д., Керр Д., Мэдник С. Защита ЭВМ. Пер! с англ. М.: Мир, 1982.

4. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. М.: Энергоатомиздат, кн. 1 и 2, 1994.

5. Герасименко В.А. Основы информационной грамоты. М.: Энергоатомиздат, 1996.

6. Гайкович В.Ю., Першин А.Н. Безопасность электронных банковских систем. М.: Единая Европа, 1994 .

7. Расторгуев С.П. Программные методы защиты информации в компьютерах и сетях. М.: Яхтсмен, 1993.

8. Перфильева Н.Н. Приложение теории нечетных множеств. Итоги науки и техники, т.29 ВИНИТИ, 1990, с.83-151

9. Бешелев С.Д., Гурвич Р.Г. Математико-статистические методы экспертных оценок. М.: Статистика, 1980.

10. Бакаев А.А., Костина Н.И., Яровицкий Н.В. Имитационный модели в экономике. Киев : Наукова думка., 1978 .

11. Спевисцев А.В, Вегнер В.А., Крутяков А.Ю. и др. Защита информации в персональных ЭВМ. М.: Радио и связь, ВЕСТА, 1992.

12. Руководящий документ Гостехкомиссии России. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации. М.: Воениздат, 1992.

13. Безруков Н.Н. Компьютерная вирусология. Справочное руководство. Киев: Укр.сов.энциклопедия, 1991.

14. Заличев Н.Н. Энтропия информации и сущность жизни. М.: Радиоэлектроника, 1995.

15. Герасименко В.А., Попов Г.А., Таирян В.Н. Основы оптимизации в системах управления. / Моск. историко-арх. инс-т, 1990. Доп. в ВИНИТИ 10.04.90 № 2373 В90.

16. Дружинин Г.В., Сергеева И.В., Качество информации. М.: Радио и связь, 1990 .

17. Герасименко В.А. Кризис в области защиты информации ? Если да, то где же выход ?!! Безопасность информационных технологий 1995 , № 3, с.118-123.

18. Герасименко В.А., Малюк А.А. Новый этап в развитии теории и практики защиты информации и его кадровое обеспечение. // Там же, 1996 № 3 с.78-90

19. Герасименко В.А. Состояние перспективы и проблемы развития теории защиты информации. // Там же, 1994 № 3-4 с.44-63

20. Поспелов Д.А. Большие системы (ситуационное управление). -М.: Знание 1971.

21. Букатова И.Л. Эволюционное моделирование и его приложение. М: Наука, 1979

22. Геннадиева Е.Г. Тезисы доклада на межведомственной конференции « Безопасность обрабатываемой информации в АСУ, СВТ и ТСПИ. 0бнинск-90,1990.

23. Геннадиева Е.Г. Отчет по НИР «Исследования по определению и созданию путей развития АО «ЦНИИРЭС» на длительную перспективу». Институт межотраслевых исследова-ний, Москва, 1996. ^ Гос.р*ъ . С(. 9- 70 00 4\SLk ■

24. Геннадиева Е.Г. Тезисы доклада на международной конференции и выставки «Безопасность информации». «Общий анализ технико-экономических аспектов построения и поддержания функционирования СЗИ»., Москва, 1997.

25. Геннадиева Е.Г., Квасницкий В.Н. Тезисы доклада на международной конференции и выставки.//Безопасность информации. «Принципиальные подходы к построению моделей синтеза оптимальных СЗИ»., Москва, 1997.

26. Ухлинов JI.M. Управление безопасностью информации в автоматизированных системах. М.: МИФИ, 1996.

27. Скородумов Б.И. Программно-аппаратные комплексы защиты от несанкционированного доступа к информации. М.: МИФИ, 1996.

28. Показатели защищенности от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России. М.: 1992.

29. Концепция Защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Руководящий документ Гостехкомиссии России. М.: 1992.

30. Герасименко В.А. На пути к аксиоматическому построению теории защиты информации. «Безопасность информационных технологий. 1997,N2, с.63-71.

31. Вощинин А.П., Сотиров Г.Р. Оптимизация в условиях неопределенности. М.: Техника, 1989.

32. Герасименко В.А., Размахнин М.К. Принципы и методы проектирования механизмов защиты информации в системах электронной обработки данных. // Зарубежная радиоэлектроника 1981 № 5 с.81-95.

33. Гроувер А. Защита программного обеспечения. Пер. с англ. М.:Мир 1992

34. Ухлинов JI.M. Принципы построения систем управления безопасностью данных в информационно-вычислительных сетях. // Автоматика и вычислительная техника 1990, № 4 с. 11 -17

35. Михайлов С.Ф., Петров В.А., Тимофеев Ю.А. Защита информации в автоматизированных системах . М.: МИФИ, 1995

36. Петров В А., Пискарев А. С. Шеин А. В. Защита информации от несанкционированного доступа в автоматизированных системах. М.: МИФИ, 1993

37. Гайкови В.Ю., Ершов Д.В. Основы безопасности информационных технологий.: МИФИ 1995

38. Голубев В.В., Дубров ПЛ., Павлов Г.А. Компьютерные преступления и защита информации в вычислительных системах. // Вычислительная техника и ее применение. М.: Знание 1990 № 9 с.3-26

39. Сименс Г.Дж. Защита информации. // ТИИ ЭР, т.76 № 5 1980

40. Герасименко В. А. Мясников В А. Защита информации в автоматизированных системах обработки данных и управления. М.: МЭИ, 1983

41. Герасименко В.А. Мясников В.А. Защита информации от несанкционированного доступа. М.: МЭИ 1984

42. Левкин В.В. Шеин А.В. Система Защиты информации от несанкционированного диспута " СНЕГ " М.: МИФИ, 19961. Пшлояение1. АКТо внедрении методов оптимизации затрат по защите информации

43. В соответствии с Распоряжением о назначении комиссии от « 21 » февраля 1997 г. № 6, комиссия в составе:

44. Председатель Юрасов Виктор Иванович, начальник лаборатории защиты информации и противодействия ИТР, к.т.н.1. Члены комиссии:

45. Харькин Дмитрий Анатольевич зам.Генерального директора по безопасности и режиму;

46. Сидоров Владислав Григорьевич Главный специалист планово-экономического отделасоставила настоящий акт в следующем:

47. Комиссия считает целесообразным довести методологию оценок и полученные результаты до предприятий и организаций, проводящих работы по защите информации.

48. Яеребин й.Н. заместитель начальника ГосНйМнС, д.т.н.,проф.,председатель комиссии Ковальков ш.й. начальник Центра экономики авиационной промышленности, д.э.н., проф., член комиссии

49. SWEMEL Innovation Enterprise1« 44h Likhachevsky Lane, 126438, Moscow, Russia Ph/Fax: Й^ШМО!,1646181. Ph: *ППЦ1ИГ1«Г