История становления теории информационной безопасности
Методы и средства защиты информации в каждую историческую эпоху тесно связаны с уровнем развития науки и техники. Категории защищаемой информации определялись экономическими, политическими и военными интересами государства.
Элементы защиты информации использовались с древнейших времён: известно, что тайнопись применяли ещё в Древнем Египте и Древнем Риме. По свидетельству Геродота, уже в V в. до н. э. применялось кодирование информации. Классическим примером одного из первых применений криптографии является так называемый «шифр Цезаря».
Проследим связь между развитием политической и экономической структуры России и деятельностью по защите информации (табл. 1, 2).
Выводы по таблице 1:
Обусловленность системы защиты информации историческим развитием;
Распределение компетенций, регламентация прав и ответственности между департаментами и отделами;
Отсутствие специальных органов защиты информации;
Отсутствие научной проработки вопроса;
Опыт защиты информации в Российской империи был ис- пользован при организации зашиты информации в СССР.
Выводы по таблице 2:
На проблему защиты информации большое влияние оказывали внутренние и внешние политические причины.
Враждебное для СССР окружение выдвинуло на первое место вопросы обеспечения секретности информации.
Таблица 1
Защита информации в России
Период Факторы влияния Деятельность по защите Органы защиты
XVII в.
Образование российского централизованного государства, формирование органов государственного управления, развитие международных связей
Использование дезинформации; введение ограничений на въезд; шифрование переписки; введение ответственности за разглашение информации.
Ответственность за шпионаж и государственную измену.
Ответственность за хищение и подделку документов и печатей. Вопросы защиты информации в Судебниках 1497 и 1550 гг.
Оружейный, Казённый, Посольский приказы. Приказ тайных дел
XVIII в.
Развитие торгово-промышленной деятельности, появление акционерных компаний, кредитные отношения, биржевая деятельность
Расширение состава защищаемой информации
Преображенский Приказ, Верховный тайный совет. Военная Коллегия. Коллегия иностранных дел. Тайная розыскных дел Канцелярия. Тайная экспедиция
XIX в.
Новые формы акционерных обществ, промышленная революция
Ограничение на публикацию сведений, полученных по служебным каналам.
Защита коммерческой тайны (тайны торговых, купеческих книг).
Законодательство в области патентного и авторского права.
Цензурные уставы
Государственный Совет. 1-й и 3-й отдел Собственной Его императорского величества канцелярии. Главное управление по делам печати. Особый отдел Департамента полиции.
Технический комитет
Начало ХХ в. Первая мировая война
Закон «О государственной измене путём шпионажа». Создание «закрытых» зон. Расширение состава защищаемой информации.
Военно-промышленная тайна.
Защита информации в процессе радиотелеграфных переговоров
Министерство внутренних дел, Департамент полиции, Военное министерство, Комитет для защиты промышленной собственности
Таблица 2
Защита информации в СССР (1917–1995)
Период Факторы влияния Деятельность по защите Органы защиты
1917 - 1945
Изменение политического и экономического строя
Отмена коммерческой тайны.
Увеличение объёма сведений, составляющих гостайну.
Активизация иностранных спецслужб по добыванию информации о политическом, экономическом и военном положении СССР.
Централизация управления защитой госсекретов.
Усиление ответственности за разглашение гостайны, утрату секретных документов и халатное обращение с ними
Спец. органы защиты информации (спец. отдел ВЧК-ГПУ, далее - 7-й отдел НКВД)
1945 - 1975 Холодная война
Введение должности заместителя начальника объекта по режиму.
Расширение объёма и тематики защищаемой информации и категорирование её по степени секретности.
Ужесточение режима секретности. «Перечень сведений, составляющих гостайну» (1948). «Инструкция по обеспечению сохранения гостайны в учреждениях и на предприятиях СССР» (1948)
Министерство государственной безопасности (1946).
Комитет государственной безопасности при Совете министров СССР (1954)
1975 - 1995
Появление информационных войн и противоборства
Появление новых носителей информации, автоматизированных систем и распределенных систем обработки данных.
Широкомасштабное применение средств технической разведки.
Разработка теоретических моделей безопасности
Государственная техническая комиссия по противодействию иностранным техническим разведкам (1973)
На современном этапе развития общества информация выступает как форма собственности, и следовательно, имеет определенную ценность. Чтобы подчеркнуть роль информации в обществе, говорят об «информационном обществе», в отличие от предыдущей фазы развития общества - «индустриальном обществе».
Начиная с 90-х гг. ХХ в. исследованиями в области информационной безопасности активно занимаются российские ученые.
В.А. Герасименко разработал системно-концептуальный подход к обеспечению информационной безопасности автоматизированных систем обработки данных. А.А. Грушо и Е.Е. Тимонина представили доказательный подход к проблеме гарантированности защиты информации в компьютерной системе.
А.А. Грушо в сферу исследований были введены новые виды скрытых каналов утечки информации, основывающихся на использовании статистических характеристик работы системы.
С.П. Расторгуев и А. Ю. Щербаков разработали теорию разрушающих программных воздействий. А.Ю. Щербаковым также была разработана субъектно-объектная модель системы, на базе которой сформированы понятия информационных потоков и доступов в компьютерной системе.
Большой вклад в исследование теоретических основ информационной безопасности внесли представители Санкт-Петербургской научной школы во главе с П.Д. Зегждой. Ими разработана таксонометрия брешей и изъянов в системах защиты компьютерных систем, представлен ряд технических решений по созданию защищенных компьютерных систем, в частности, организационно-иерархическая система разграничения доступа.
Представителями школы Института криптографии, связи и информатики (ИКСИ) Академии ФСБ России во главе с Б.А. Погореловым (П.Н. Девянин, Д.И. Правиков, А.Ю. Щербаков, С.Н. Смирнов, Г.В. Фоменков и др.) были проведены исследования в области криптографической защиты информации, а также подготовлена целая серия учебных изданий, что позволило сформировать методическую базу подготовки специалистов в сфере информационной безопасности.
При рассмотрении вопросов информационной безопасности в настоящее время можно выделить два подхода:
Неформальный, или описательный. При этом комплекс вопросов построения защищённых систем делится на основные направления, соответствующие угрозам, разрабатывается комплекс мер и механизмов защиты по каждому направлению.
Формальный. Основан на понятии политики безопасности и определении способов гарантирования выполнения её положений.
Как естественно-научная дисциплина теория информационной безопасности развивается в направлении формализации и математизации основных положений, выработки комплексных подходов к решению задач защиты информации.
Теория информационной безопасности постоянно развивается т. к. в связи с развитием технологий обработки и передачи информации постоянно возникают новые задачи по обеспечению информационной безопасности.
Необходимо отметить, что в настоящее время это одна из самых развивающихся естественных наук. Постоянно появляются новые перспективные направления исследований, а уже имеющиеся получают еще более глубокую научную проработку.
К числу перспективных направлений следует отнести следующие:
Формализация положений теории информационной безопасности;
Разработка моделей безопасности, более точно отражающих существующий уровень развития компьютерной техники и информационных технологий и более удобных для практического использования и анализа защищенности реальных АС;
Разработка средств и методов противодействия угрозам информационной войны;
Вопросы обеспечения безопасности в глобальных информационных сетях, например Internet;
Безопасность систем электронной коммерции;
Вопросы безопасности обработки информации мобильными пользователями.
Особую роль в развитии теории информационной безопасности как науки и отрасли промышленности играют так называемые центры информационной безопасности. К ним относятся государственные, общественные и коммерческие организации, а также неформальные объединения, основные направления деятельности которых - координация усилий, направленных на актуализацию проблем защиты информации, проведение теоретических исследований и разработка конкретных практических решений в области безопасности, аналитическая деятельность и прогнозирование.
В Российской Федерации известными центрами информационной безопасности являются такие учреждения, как Федеральная служба технического и экспортного контроля (ФСТЭК), Институт криптографии, связи и информатики Академии федеральной службы безопасности (ИКСИ) и Академия криптографии Российской Федерации (АК РФ).
Зарубежные центры информационной безопасности широко представлены в сети Internet. По приоритетным для них направлениям деятельности среди таких центров выделяются:
Информационно-аналитические. В основном занимаются сбором и распространением информации об известных уязвимых местах систем, атаках и вторжениях, программных и аппаратных средствах профилактики и защиты. Регулярно публикуются и рассылаются аналитические обзоры, проводятся интернет-конференции, посвященные защите информации.
Оперативного реагирования. Для этих центров ключевым аспектом деятельности является оказание практической помощи тем, чьим интересам был нанесен ущерб в результате нарушения информационной безопасности.
Консультационные. Преимущественно занимаются оказанием консалтинговых услуг организациям, испытывающим трудности с выбором или внедрением программных, аппаратных или комплексных мер защиты, разработкой политики безопасности или использованием нормативно-правовой базы, регламентирующей вопросы применения мер защиты.
Научно-исследовательские. Как правило, функционируют на базе факультетов крупных учебных заведений или подразделений государственных организаций и сосредоточены на изучении и совершенствовании теоретических основ информационной безопасности, исследовании и разработке моделей безопасных систем, синтезе и анализе защитных механизмов, совершенствовании законодательной базы.
Центры сертификации. Реализуют программы тестирования, сравнения и сертификации средств защиты, а также разрабатывают подходы к сертификации и методики тестирования. Существуют государственные и независимые центры сертификации.
Роль таких центров в целом выражена в том, что они определяют направления дальнейшего развития.
