Характеристика методов и средств защиты информации. Классификация видов, методов и средств защиты информации. Формальные средства защиты информации

Рассмотри основные способы ЗИ.

1) Управление доступом – это способ защиты информации регулированием использование всех ресурсов системы (технических, программных, элементов баз данных). В системе обработки данных должны быть регламентированы дни недели и время суток, в которые разрешена работа пользователям и персоналу системы. Так же должен быть определен перечень ресурсов системы, к которым разрешен доступ и порядок доступа к ним. Необходимо иметь список лиц, которым представлено право на использование технических средств, программ и функциональных задач и т.д. Управление доступом включает следующие функции защиты: идентификацию пользователей, персонала и ресурсов системы; проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а так же запрашиваемых ресурсов и процедур установленному регламенту; разрешение и создание условий работы в пределах установленного регламента; регистрацию (протоколирование) обращений к защищаемым ресурсам; реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

2) Маскировка – способ защиты информации путем ее криптографического закрытия.

3) Регламентация – заключается в разработке и реализации в процессе функционирования систем обработки данных, комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения защищаемой информации, при которых возможности несанкционированного доступа сводились бы к минимуму.

4) Принуждение – пользователи и персонал системы обмена данными вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы ЗИ реализуются применением различных средств защиты. Различают: технические, программные, организационные, законодательные и морально-этические.

Техническими называют средства, которые реализуются в виде электрических, электромеханических и электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические.

Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру систем обработки данных или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу.

Физические – такие средства, которые реализуются в виде автономных устройств или систем (электронно-механическое оборудование охранной сигнализации и видеонаблюдения, замки на дверях, решетки на окнах и т.д.).

Программные средства защиты образуют программы, специально предназначенные для выполнения функций, связанных с ЗИ.

Организационными средствами защиты называются организационно технические и организационно правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование систем, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательными средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств. Эти нормы большей частью не являются обязательными, как законодательные меры, однако, несоблюдение их может привести к потере авторитета и престижа человека или организации.

Все рассмотренные средства защиты делятся на формальные и неформальные. К первым относятся средства, выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам относятся такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.

В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности . Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.

Информация и ее классификация

Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) , статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».

Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию , а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна .

Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:

1. Свободно распространяемую
2. Предоставляемую по соглашению лиц , участвующих в соответствующих отношениях
3. Которая в соответствии с федеральными законами подлежит предоставлению или распространению
4. Распространение, которой в Российской Федерации ограничивается или запрещается

Информация по назначению бывает следующих видов:

1. Массовая - содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
2. Специальная - содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
3. Секретная - доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
4. Личная (приватная) - набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.

Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен - это государственная тайна и конфиденциальные данные .

Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:

1. Сведения в военной области.
2. Сведения в области экономики, науки и техники.
3. Сведения в области внешней политики и экономики.
4. Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности , а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.

Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера» .

Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:

• Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
• Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)

Рисунок 1. Классификация видов информации.

Персональные данные

Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных» , статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных является - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.

Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации) .

Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.

Учитывая статью 7, закона № 152-ФЗ «О персональных данных» , операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.

Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.

Основные носители информации:

• Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• Документы всех типов: личные, служебные, государственные;
• Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• Электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.

Классификация средств защиты информации

В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации» , статья 7, п. 1. и п. 4:

1. Защита информации представляет собой принятие правовых, организационных и технических мер , направленных на:

• Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• Соблюдение конфиденциальности информации ограниченного доступа;
• Реализацию права на доступ к информации.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить :

• Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• Своевременное обнаружение фактов несанкционированного доступа к информации;
• Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• Постоянный контроль за обеспечением уровня защищенности информации;
• Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ ).

Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:

1. Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
   Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.
2. Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
   Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
   Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.
3. Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).

Средства защиты информации

Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные) .

Неформальные средства защиты информации

Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.

Правовую основу (законодательные средства ) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.

Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.

Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.

Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.

В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.

Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.

Формальные средства защиты информации

Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.

Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.

Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.

Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.

К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.

Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.

Примером комплексных решений служат DLP-системы и SIEM-системы.

DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.

SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.

Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.

Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.

Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.

Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.

В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности - это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.

Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» - это комплексный подход.

Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.

Рисунок 2. Классификация средства защиты информации.

Информатика, кибернетика и программирование

Развитие новых информационных технологий сопровождаются такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к секретной и конфиденциальной информации. Поэтому защита информации является важнейшей государственной задачей в любой стране.

РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ

Институт информационных наук и технологий безопасности

Р Е Ф Е Р А Т

Классификация и характеристика видов,

Методов и средств защиты информации

И их соотношение с объектами защиты

Учебная дисциплина: Основы информационной безопасности

Преподаватель: Русецкая И.А.

Выполнил: Гладун Я.

Курс: 1-й

Группа: 1 ИБ

Москва -

2015

Введение

1.Система защиты информации

2.Угрозы безопасности информации в компьютерных системах и их классификация.

3.Виды защиты информации.

4.Методы защиты информации.

5.Классификация современных методов и средств защиты информации.

6.Источники

Введение

Развитие новых информационных технологий сопровождаются такими негативными явлениями, как промышленный шпионаж, компьютерные преступления и несанкционированный доступ (НСД) к секретной и конфиденциальной информации. Поэтому защита информации является важнейшей государственной задачей в любой стране. Острая необходимость в защите информации в России нашла выражение в создании Государственной системы защиты информации (ГСЗИ) и в развитии правовой базы информационной безопасности. Приняты и введены в действие законы «О государственной тайне», «Об информации, информатизации и защите информации», «О правовой охране программ для электронных вычислительных машин и баз данных», «Доктрина информационной безопасности Российской Федерации» и др.

Защита информации должна обеспечивать предотвращение ущерба в результате утери (хищения, утраты, искажения, подделки) информации любом ее виде. Организация мер защиты информации должна проводиться в полном соответствии с действующими законами и нормативными документами по безопасности информации, интересами пользователей информации. Чтобы гарантировать высокую степень защиты информации, необходимо постоянно решать сложные научно-технические задачи разработки и совершенствования средств ее защиты.

Определения информации и ее конкретных разновидностей приводятся в законе РФ от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и в ст. 2 Федерального Закона «Об участии в международном информационном обмене»:

− информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления;

− документированная информация (документ) – зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;

− информация о гражданах (персональные данные) – сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;

− конфиденциальная информация – документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Более общее определение информации может быть следующим:

Информация – это сведения об окружающем мире, которые являются объектом хранения, преобразования, передачи и использования для определенных целей. Согласно этому определению, человек находится в постоянно изменяющемся информационном поле, влияющем на его образ жизни и действия.

Защищаемая информация обладает следующими свойствами:

Уровень доступа к ней, ограничения на порядок распространения и

использования может устанавливать только владелец или наделенные таким правом определенные лица;

Чем ценнее для собственника информация, тем тщательнее она защищается и тем меньшее число лиц имеет доступ к этой информации.

Информация по форме представления, способам кодирования и хранения может быть графической, звуковой, текстовой, цифровой (компьютерной), видеоинформацией и т.п.

Важными свойствами информации являются прежде всего ее достоверность, полнота, объективность, своевременность, важность. Носители защищаемой информации классифицируются как документы; изделия (предметы); вещества и материалы; электромагнитные, тепловые, радиационные и другие излучения; гидроакустические, сейсмические и другие физические поля, представляющие особые виды материи; сам

объект с его видовыми характеристиками и т.п.

Носителем защищаемой информации может быть также человек.

С развитием информационного общества все большее значение приобретают проблемы, связанные с защитой конфиденциальной информации.

Информация как категория, имеющая стоимость, защищается ее собственником от лиц и организаций, пытающимися ею завладеть. Чем выше уровень секретности информации, тем выше и уровень ее защиты, тем больше средств затрачивается на ее защиту.

Каждое государство защищает свои информационные ресурсы.

В общем случае цели защиты информации можно

сформулировать как:

Предотвращение утечки, хищения, утраты, искажения, подделки ин-

формации;

Предотвращение угроз безопасности личности, общества, государства;

Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

Предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;

Защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

Сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

Обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Эффективность защиты информации определяется ее своевременностью, активностью, непрерывностью и комплексностью. Очень важно проводить защитные мероприятия комплексно, то есть обеспечивать нейтрализацию всех опасных каналов утечки информации. Надо помнить, что даже один-единственный не закрытый канал утечки может свести на нет эффективность всей системы защиты.

Основными объектами защиты информации являются :

Информационные ресурсы, содержащие сведения, связанные с государственной тайной и конфиденциальной информацией.

Средства и информационные системы (средства вычислительной техники, сети и системы), программные средства (операционные системы, системы управления базами данных, прикладное программное обеспечение), автоматизированные системы управления, системы связи и передачи данных, технические средства приёма, передачи и обработки информации ограниченного доступа (звукозапись, звукоусиление, звуковоспроизведение, переговорные и телевизионные устройства, средства изготовления, тиражирование документов и другие технические средства обработки графической, смысловой и буквенно-цифровой информации),

т.е. системы и средства, непосредственно обрабатывающие конфиденциальную информацию и информацию, относящуюся к категории государственной тайны.

Эти средства и системы часто называют техническими средствами приёма, обработки и хранения информации (ТСПИ).

Технические средства и системы, не входящие в состав ТСПИ, но территориально находящиеся в помещениях обработки секретной и конфиденциальной информации. Такие технические средства и системы называются вспомогательными техническими средствами и системами (ВТСС).

К ним относятся: технические средства телефонной, громкоговорящей связи, системы пожарной и охранной сигнализации, радиотрансляции, часофикации, средства и системы передачи данных в системе радиосвязи, контрольно-измерительная аппаратура, электробытовые приборы и т.д., также сами помещения, предназначенные для обработки информации ограниченного распространения.

ТСПИ можно рассматривать как систему, включающую стационарное оборудование, периферийные устройства, соединительные линии, распределительные и коммуникационные устройства, системы электропитания, системы заземления.

Технические средства, предназначенные для обработки конфиденциальной информации, включая помещения, в которых они размещаются, представляют объект ТСПИ.

Существующие на сегодняшний день методы и средства защиты информации в автоматизированных системах достаточно разнообразны, что, несомненно, отражает многообразие способов и средств возможных несанкционированных действий. Главным недостатком существующих методов и средств защиты информации, включая современные средства поиска уязвимостей автоматизированных систем и обнаружения несанкционированных действий, является то, что они, в подавляющем большинстве случаев, позволяют организовать защиту информации лишь от постфактум выявленных угроз, что отражает определенную степень пассивности обороны.

Адекватный уровень информационной безопасности в состоянии обеспечить только комплексный подход, предполагающий целенаправленное использование традиционных организационных и программно-технических правил обеспечения безопасности на единой концептуальной основе с одновременным поиском и глубоким изучением новых приемов и средств защиты.

Поэтому для защиты объектов информации необходимо создание надежной системы защиты (СЗИ).

1. Система защиты информации

Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении рабочих процессов.

Система защиты информации (СЗИ) может быть в лучшем случае адекватна потенциальным угрозам. Поэтому при планировании защиты необходимо представлять, кого и какая именно информация может интересовать, какова ее ценность и на какие финансовые жертвы ради нее способен пойти злоумышленник.

СЗИ должна быть комплексной, т. е. использующей не только технические средства защиты, но также административные и правовые. СЗИ должна быть гибкой и адаптируемой к изменяющимся условиям. Главную роль в этом играют административные (или организационные) мероприятия, такие, например, как регулярная смена паролей и ключей, строгий порядок их хранения, анализ журналов регистрации событий в системе, правильное распределение полномочий пользователей и многое другое. Человек, отвечающий за все эти действия, должен быть не только преданным сотрудником, но и высококвалифицированным специалистом как в области технических средств защиты, так и в области вычислительных средств вообще.

Выделяют следующие основные направления защиты и соответствующие им технические средства:

Защита от несанкционированного доступа (НСД) ресурсов автономно работающих и сетевых ПК. Эта функция реализуется программными, программно-аппаратными и аппаратными средствами, которые будут рассмотрены ниже на конкретных примерах.

Защита серверов и отдельных пользователей сети Internet от злонамеренных хакеров, проникающих извне. Для этого используются специальные межсетевые экраны (брандмауэры), которые в последнее время приобретают все большее распространение (см. «Мир ПК», №11/2000, с. 82).

Защита секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного ее искажения осуществляется чаще всего с помощью криптографических средств, традиционно выделяемых в отдельный класс. Сюда же можно отнести и подтверждение подлинности сообщений с помощью электронной цифровой подписи (ЭЦП). Применение криптосистем с открытыми ключами и ЭЦП имеет большие перспективы в банковском деле и в сфере электронной торговли. В данной статье этот вид защиты не рассматривается.

Достаточно широкое распространение в последние годы приобрела защита ПО от нелегального копирования с помощью электронных ключей. В данном обзоре она также рассмотрена на конкретных примерах.

Защита от утечки информации по побочным каналам (по цепям питания, каналу электромагнитного излучения от компьютера или монитора). Здесь применяются такие испытанные средства, как экранирование помещения и использование генератора шума, а также специальный подбор мониторов и комплектующих компьютера, обладающих наименьшей зоной излучения в том частотном диапазоне, который наиболее удобен для дистанционного улавливания и расшифровки сигнала злоумышленниками.

Защита от шпионских устройств, устанавливаемых непосредственно в комплектующие компьютера, так же как и измерения зоны излучения, выполняется спецорганизациями, обладающими необходимыми лицензиями компетентных органов.

Одной из важных целей атакующей стороны в условиях информационного конфликта является снижение показателей своевременности, достоверности и безопасности информационного обмена в противоборствующей системе до уровня, приводящего к потере управления

В работе “Основные принципы обеспечения информационной безопасности в ходе эксплуатации элементов вычислительных сетей” А.А. Гладких и В.Е. Дементьева дается структурно-схематическое описание информационного противоборства.

Авторы пишут, что содержание информационного противоборства включает две составные части, которыми охватывается вся совокупность действий, позволяющих достичь информационного превосходства над противником. Первой составной частью является противодействие информационному обеспечению управления противника (информационное противодействие). Оно включает мероприятия по нарушению конфиденциальности оперативной информации, внедрению дезинформации, блокированию добывания сведений, обработки и обмена информацией (включая физическое уничтожение носителей информации) и блокированию фактов внедрения дезинформации на всех этапах информационного обеспечения управления противника. Информационное противодействие осуществляется путем проведения комплекса мероприятий, включающих техническую разведку систем связи и управления, перехват передаваемой по каналам связи оперативной информации. Приводится схема (рис. 1.1.):

Рис. 1.1. Структура информационного противоборства

Вторую часть составляют мероприятия по защите информации, средств ее хранения, обработки, передачи и автоматизации этих процессов от воздействий противника (информационная защита), включающие действия по деблокированию информации (в том числе защиту носителей информации от физического уничтожения), необходимой для решения задач управления и блокированию дезинформации, распространяемой и внедряемой в систему управления.

Информационная защита не исключает мероприятий по разведке, защите от захвата элементов информационных систем, а также по радиоэлектронной защите. Как известно, атаки могут производиться как из-за пределов сети (атаки по сети), так и по внутренним каналам (физические атаки). Поэтому информационная защита также делится на два вида: внешнюю и внутреннюю. Для достижения своих целей атакующая сторона будет пытаться использовать оба вида атак. Сценарий ее действий заключается в том, чтобы с помощью физических атак завладеть некоторой информацией о сети, а затем с помощью атак по сети осуществлять несанкционированный доступ (НСД) к компонентам всей сети системы. По данным статистики доля физических атак составляет 70 % от общего числа совершенных атак. На рис.1.2 дана оценка совершенных НСД в ходе физических атак на вычислительные сети, при этом для наглядности сравнительные данные по различным категориям нарушений приведены к десятибалльной шкале. Заметно, что 5 позиция во всех категориях является превалирующей.

Наиболее частым нарушениями по сети являются: сбор имен и паролей, подбор паролей, выполнение действий, приводящих к переполнению буферных устройств и т.п.

Рис. 1.2. Оценка НСД в ходе физических атак на вычислительные сети по десятибалльной системе

Действительно, в случае получения доступа к офисной технике, рабочим столам сотрудников, компьютерным системам и сетевым устройствам, атакующая сторона резко повышает шансы на успех в целях изучения уязвимых мест в системе защиты и проведения эффективной атаки.

В книге ” А.А. Гладких и В.Е. Дементьева приводится математический метод расчета коэффицента защиты:

Поиск уязвимых мест в информационно-расчетном комплексе (ИРК) занимает определенный интервал времени, в то время как атака производится на интервале. Здесь >> , при этом достаточно мало, а > 0. Определим как коэффициент защиты. Если, ИРК считается неуязвимым, при атакующая сторона использует априорную информацию для преодоления защиты и проведения атаки на систему. Будем считать, что система защиты носит пассивный характер при, при ресурс системы повышается в раз.

Значения параметра обеспечивается за счет своевременного изменения конфигурации защиты или подготовки вместо реальных параметров ИРК ложных, обманных. Подготовку таких параметров целесообразно выделить в самостоятельную область защиты, не связывая ее с рядом фоновых задач по обеспечению безопасности ИРК.

2.Угрозы безопасности информации в компьютерных системах и их классификация .

Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которое может привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.

Всё множество потенциальных угроз безопасности информации в автоматизированных информационных системах (АИС) или в компьютерных системах (КС) может быть разделено на два класса: случайные угрозы и преднамеренные угрозы. Угрозы, которые не связаны с преднамеренными действиями злоумышленников и реализуются в случайные моменты времени, называются случайными или непреднамеренными.

К случайным угрозам относятся: стихийные бедствия и аварии, сбои и отказы технических средств, ошибки при разработке АИС или КС, алгоритмические и программные ошибки, ошибки пользователей и обслуживающего персонала.

Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным – до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом может происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается конфиденциальность информации, однако при этом создаются предпосылки для злоумышленного воздействия на информацию. Согласно тем же статистическим данным только в результате ошибок пользователей и обслуживающего персонала происходит до 65% случаев нарушения безопасности информации.

Следует отметить, что механизм реализации случайных угроз изучен достаточно хорошо и накоплен значительный опыт противодействия этим угрозам. Современная технология разработки технических и программных средств, эффективная система эксплуатации автоматизированных информационных систем, включающая обязательное резервирование информации, позволяют значительно снизить потери от реализации угроз этого класса.

Угрозы, которые связаны со злоумышленными действиями людей, а эти действия носят не просто случайный характер, а, как правило, являются непредсказуемыми, называются преднамеренными. К преднамеренным угрозам относятся:

Традиционный или универсальный шпионаж и диверсии,

Несанкционированный доступ к информации,

Электромагнитные излучения и наводки,

Несанкционированная модификация структур,

Вредительские программы.

В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий. К методам шпионажа и диверсий относятся: подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов систем защиты, подкуп и шантаж сотрудников, сбор и анализ отходов машинных носителей информации, поджоги, взрывы, вооруженные нападения диверсионных или террористических групп.

Несанкционированный доступ к информации – это нарушение правил разграничения доступа с использованием штатных средств вычислительной техники или автоматизированных систем. Несанкционированный доступ возможен:

При отсутствии системы разграничения доступа;

При сбое или отказе в компьютерных системах;

При ошибочных действиях пользователей или обслуживающего персонала компьютерных систем;

При ошибках в системе распределения доступа;

При фальсификации полномочий.

Процесс обработки и передачи информации техническими средствами компьютерных систем сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи, сигнализации, заземлении и других проводниках. Всё это получило название: ”побочные электромагнитные излучения и наводки” (ПЭМИН). Электромагнитные излучения и наводки могут быть использованы злоумышленниками, как для получения информации, так и для её уничтожения.

Большую угрозу безопасности информации в компьютерных системах представляет несанкционированная модификация алгоритмической, программной и технической структуры системы.

Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших название “вредительские программы”. В зависимости от механизма действия вредительские программы делятся на четыре класса:

“логические бомбы”;

“черви”;

“троянские кони”;

“компьютерные вирусы”.

Логические бомбы – это программы или их части, постоянно находящиеся в ЭВМ или вычислительных систем (КС) и выполняемые только при соблюдении определённых условий. Примерами таких условий могут быть: наступление заданной даты, переход КС в определённый режим работы, наступление некоторых событий заданное число раз и тому подобное.

Черви – это программы, которые выполняются каждый раз при загрузке системы, обладают способностью перемещаться в вычислительных системах (ВС) или в сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти и блокировке системы.

Троянские кони – это программы, полученные путём явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.

Компьютерные вирусы – это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путём создания своих копий, а при выполнении определённых условий оказывают негативное воздействие на КС.

Все компьютерные вирусы классифицируются по следующим признакам:

1. по среде обитания;
2. по способу заражения;
3. по степени опасности вредительских воздействий;
4. по алгоритму функционирования.

По среде обитания компьютерные вирусы подразделяются на:

1. сетевые;
2. файловые;
3. загрузочные;
4. комбинированные.

Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах внешних запоминающих устройств. Комбинированные вирусы размещаются в нескольких средах обитания. Например, загрузочно-файловые вирусы.

По способу заражения среды обитания компьютерные вирусы делятся на:

1. резидентные;
2. нерезидентные.

Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания в оперативную память компьютера. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешённые только операционной системе, заражают среду обитания и при выполнении определённых условий реализуют вредительскую функцию.

Нерезидентные вирусы попадают в оперативную память компьютера только на время их активности, в течение которого выполняют вредительскую функцию и функцию заражения. Затем они полностью покидают оперативную память, оставаясь в среде обитания.

По степени опасности для информационных ресурсов пользователя вирусы разделяются на:

1. безвредные;
2. опасные;
3. очень опасные.

1. расходуют ресурсы компьютерной системы;
2. могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов;
3. вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы при модернизации операционной системы или аппаратных средств.

Опасные вирусы вызывают существенное снижение эффективности компьютерной системы, но не приводят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах.

Очень опасные вирусы имеют следующие вредительские воздействия:

1. вызывают нарушение конфиденциальности информации;
2. уничтожают информацию;
3. вызывают необратимую модификацию (в том числе и шифрование) информации;
4. блокируют доступ к информации;
5. приводят к отказу аппаратных средств;
6. наносят ущерб здоровью пользователям.

По алгоритму функционирования вирусы подразделяются на:

1. не изменяющие среду обитания при их распространении;
2. изменяющие среду обитания при их распространении.

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации. В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы, идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации.

Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки:

источник угрозы - фактор (уязвимость) - угроза (действие) - последствия (атака).

Под этими терминами следует понимать:

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности.

Угроза (действие ) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации.

Фактор (уязвимость ) - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации.

Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости).

Как видно из определения, атака - это всегда пара "источник - фактор", реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации

Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является "ущерб".

Рассмотрим понятие “ущерб” как категорию классификации угроз.

Проявления возможного ущерба могут быть различны:

моральный и материальный ущерб деловой репутации организации;

моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

Материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

Материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

Материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

Моральный и материальный ущерб от дезорганизации деятельности организации;

Материальный и моральный ущерб от нарушения международных отношений.

Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина11субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние совершенное с прямым или косвенным умыслом2) или по неосторожности (деяние, совершенное по легкомыслию, небрежности3, в результате невиновного причинения вреда4) и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом.

Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным или арбитражным правом, как предмет рассмотрения.

В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода).

При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория "ущерб" справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления.

Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Российской Федерации.

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе

Уничтожени е - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению. Уничтоженное имущество не может быть восстановлено путем ремонта или реставрации и полностью выводится из хозяйственного оборота.

Уничтожение компьютерной информации - стирание ее в памяти ЭВМ.

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений

Хотя говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и том, что стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды.. Здесь правомочно применение категории "причинение вреда имуществу". При этом, речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях подпадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества - то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба.

Таким образом, обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

Хищение (копирование) информации;

Уничтожение информации;

Модификация (искажение) информации;

Нарушение доступности (блокирование) информации;

Отрицание подлинности информации;

Навязывание ложной информации.

Носителями угроз безопасности информации являются источники угроз. В качестве источников угроз могут выступать как субъекты (личность) так и объективные проявления. Причем, источники угроз могут находиться как внутри защищаемой организации - внутренние источники, так и вне ее - внешние источники. Деление источников на субъективные и объективные оправдано исходя из предыдущих рассуждений по поводу вины или риска ущерба информации. А деление на внутренние и внешние источники оправдано потому, что для одной и той же угрозы методы парирования для внешних и внутренних источников могу быть разными.

Все источники угроз безопасности информации можно разделить на три основные группы:

I. Обусловленные действиями субъекта (антропогенные источники угроз).

II. Обусловленные техническими средствами (техногенные источники угрозы).

III. Обусловленные стихийными источниками.

При выборе метода ранжирования источников угроз использовалась методология, изложенная в международных стандартах19, а также практический опыт российских экспертов в области информационной безопасности.

Все источники угроз имеют разную степень опасности (Коп)i, которую можно количественно оценить, проведя их ранжирование.

3. Виды защиты информации.

Защита информации и информационных систем осуществляется по разным линиям, которые можно определять как виды защиты. Каждая из них содержит свои методы и средства, представляющие специфику зашиты. Таким образом, к видам защиты информации относятся:

1. Организационно-технические и режимные меры и методы.

Этот вид характеризуется построением так называемая Политика информационной безопасности или Политика безопасности рассматриваемой информационной системы. Политика безопасности (информации в организации) (англ. Organizational security policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.

Политика безопасности информационно-телекоммуникационных технологий (англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.

2.Программно-технические способы и средства обеспечения информационной безопасности .

Эта линия защиты предполагает разработку методов и средств, которые можно классифицировать, в зависимости от способа, объекта и цели применения следующим образом:

Средства защиты от несанкционированного доступа (НСД).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства

Системы резервного копирования.

Системы бесперебойного питания.

Системы аутентификации.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

3. Организационная защита объектов информатизации

Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию.

Первое из приведенных определений в большей степени показывает сущность организационной защиты информации. Второе — раскрывает ее структуру на уровне предприятия. Вместе с тем оба определения подчеркивают важность нормативно-правового регулирования вопросов защиты информации наряду с комплексным подходом к использованию в этих целях имеющихся сил и средств. Основные направления организационной защиты информации приведены ниже.

Организационная защита информации:

Организация работы с персоналом;

Организация внутриобъектового и пропускного режимов и охраны;

Организация работы с носителями сведений;

Комплексное планирование мероприятий по защите информации;

Организация аналитической работы и контроля.

В отношении информационных систем большое здесь значение имеют:

Организация работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учёт, исполнение, возврат, хранение и уничтожение;

Организация использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

Организация работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты.

4. Правовая защита информации.

Для защиты информации создается система защиты информации, состоящая из совокупности органов и (или) исполнителей, используемой ими техники защиты, организованная и функционирующая по правилам, установленным правовыми, распорядительными и нормативными документами в области защиты информации.

Правовое обеспечение информационной безопасности заключается в исполнении существующих или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц, руководителей, пользователей и обслуживающего технического персонала за утечку, потерю или модификацию доверенной им информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к техническим средствам и информации.

Среди всех международных нормативных актов в области информационной безопасности в нашей стране чаще всего применяются организационно-технические документы, в частности стандарты. Большая часть из них принята в качестве национальных стандартов в сфере защиты информации.

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся

Акты федерального законодательства:

1. Международные договоры РФ;
2. Конституция РФ;
3. Законы федерального уровня (включая федеральные конституционные законы, кодексы);
4. Указы Президента РФ;
5. Постановления Правительства РФ;
6. Нормативные правовые акты федеральных министерств и ведомств;
7. Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

К нормативно-методическим документам можно отнести:

1. Методические документы государственных органов России:
2. Доктрина информационной безопасности РФ;
3. Руководящие документы ФСТЭК (Гостехкомиссии России);
4. Приказы ФСБ;
5. Стандарты информационной безопасности , из которых выделяют:
6. Международные стандарты;
7. Государственные (национальные) стандарты РФ;
8. Рекомендации по стандартизации;
9. Методические указания.

Отечественная федеральная и ведомственная нормативная база по защите информации к настоящему времени включает более сотни нормативных документов, относящихся к вопросам информационной безопасности на государственном, региональном, местном, ведомственном уровнях. По своему назначению и содержанию их можно разделить на три группы:

1. Концептуальные документы, определяющие основу защиты информации в России.

2. Федеральные законы, определяющие систему защиты информации в России.

3. Вспомогательные нормативные акты в виде указов Президента РФ, постановлений Правительства РФ, межведомственных и ведомственных руководящих документов и стандартов, регулирующих процесс и механизмы исполнения положений и требований к системе обеспечения информа ционной безопасности государств.

4.Методы защиты информации

З ащита информации в компьютерных системах обеспечивается созданием комплексной системы защиты. Комплексная система защиты включает:

1. правовые методы защиты;
2. организационные методы защиты;
3. методы защиты от случайных угроз;
4. методы защиты от традиционного шпионажа и диверсий;
5. методы защиты от электромагнитных излучений и наводок;
6. методы защиты от несанкционированного доступа;
7. криптографические методы защиты;
8. методы защиты от компьютерных вирусов.

Среди методов защиты имеются и универсальные, которые являются базовыми при создании любой системы защиты. Это, прежде всего, правовые методы защиты информации, которые служат основой легитимного построения и использования системы защиты любого назначения. К числу универсальных методов можно отнести и организационные методы, которые используются в любой системе защиты без исключений и, как правило, обеспечивают защиту от нескольких угроз.

Методы защиты от случайных угроз разрабатываются и внедряются на этапах проектирования, создания, внедрения и эксплуатации компьютерных систем. К их числу относятся:

1. создание высокой надёжности компьютерных систем;
2. создание отказоустойчивых компьютерных систем;
3. блокировка ошибочных операций;
4. оптимизация взаимодействия пользователей и обслуживающего персонала с компьютерной системой;
5. минимизация ущерба от аварий и стихийных бедствий;
6. дублирование информации.

При защите информации в компьютерных системах от традиционного шпионажа и диверсий используются те же средства и методы защиты, что и для защиты других объектов, на которых не используются компьютерные системы. К их числу относятся:

1. создание системы охраны объекта;
2. организация работ с конфиденциальными информационными ресурсами;
3. противодействие наблюдению и подслушиванию;
4. защита от злоумышленных действий персонала.

Все методы защиты от электромагнитных излучений и наводок можно разделить на пассивные и активные. Пассивные методы обеспечивают уменьшение уровня опасного сигнала или снижение информативности сигналов. Активные методы защиты направлены на создание помех в каналах побочных электромагнитных излучений и наводок, затрудняющих приём и выделение полезной информации из перехваченных злоумышленником сигналов. На электронные блоки и магнитные запоминающие устройства могут воздействовать мощные внешние электромагнитные импульсы и высокочастотные излучения. Эти воздействия могут приводить к неисправности электронных блоков и стирать информацию с магнитных носителей информации. Для блокирования угрозы такого воздействия используется экранирование защищаемых средств.

Для защиты информации от несанкционированного доступа создаются:

1. система разграничения доступа к информации;
2. система защиты от исследования и копирования программных средств.

Исходной информацией для создания системы разграничения доступа является решение администратора компьютерной системы о допуске пользователей к определённым информационным ресурсам. Так как информация в компьютерных системах хранится, обрабатывается и передаётся файлами (частями файлов), то доступ к информации регламентируется на уровне файлов. В базах данных доступ может регламентироваться к отдельным её частям по определённым правилам. При определении полномочий доступа администратор устанавливает операции, которые разрешено выполнять пользователю. Различают следующие операции с файлами:

1. чтение (R);
2. запись;
3. выполнение программ (E).

Операции записи имеют две модификации:

1. субъекту доступа может быть дано право осуществлять запись с изменением содержимого файла (W);
2. разрешение дописывания в файл без изменения старого содержимого (A).

Система защиты от исследования и копирования программных средств включает следующие методы:

1. методы, затрудняющие считывание скопированной информации;
2. методы, препятствующие использованию информации.

Под криптографической защитой информации понимается такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий. По виду воздействия на исходную информацию методы криптографического преобразования информации разделяются на следующие группы:

1. шифрование;
2. стенография;
3. кодирование;
4. сжатие.

Вредительские программы и, прежде всего, вирусы представляют очень серьёзную опасность для информации в компьютерных системах. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.

Компьютерные вирусы - это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения в компьютерных системах. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в компьютерных системах. В процессе распространения вирусы могут себя модифицировать.

Для борьбы с компьютерными вирусами используются специальные антивирусные средства и методы их применения. Антивирусные средства выполняют следующие задачи:

1. обнаружение вирусов в компьютерных системах;
2. блокирование работы программ-вирусов;
3. устранение последствий воздействия вирусов.

Обнаружение вирусов и блокирование работы программ-вирусов осуществляется следующими методами:

1. сканирование;
2. обнаружение изменений;
3. эвристический анализ;
4. использование резидентных сторожей;
5. вакцинирование программ;
6. аппаратно-программная защита.

Устранение последствий воздействия вирусов реализуется следующими методами:

1. восстановление системы после воздействия известных вирусов;
2. восстановление системы после воздействия неизвестных вирусов.

Профилактика заражения вирусами компьютерных систем

Главным условием безопасной работы в компьютерных системах является соблюдение правил, которые апробированы на практике и показали свою высокую эффективность.

Правило первое. Обязательное использование программных продуктов, полученных законным путём. Так как в пиратских копиях вероятность наличия вирусов во много раз выше, чем в официально полученном программном обеспечении.

Правило второе. Дублирование информации, то есть создавать копии рабочих файлов на съёмных носителях информации (дискеты, компакт-диски и другие) с защитой от записи.

Правило третье. Регулярно использовать антивирусные средства, то есть перед началом работы выполнять программы-сканеры и программы-ревизоры (Aidstest и Adinf). Эти антивирусные средства необходимо регулярно обновлять.

Правило четвертое. Проявлять особую осторожность при использовании новых съёмных носителей информации и новых файлов. Новые дискеты и компакт-диски необходимо проверять на отсутствие загрузочных и файловых вирусов, а полученные файлы – на наличие файловых вирусов. Проверка осуществляется программами-сканерами и программами, осуществляющими эвристический анализ (Aidstest, Doctor Web, AntiVirus). При первом выполнении исполняемого файла используются резидентные сторожа. При работе с полученными документами и таблицами нужно запретить выполнение макрокоманд встроенными средствами текстовых и табличных редакторов (MS Word, MS Excel) до завершения полной проверки этих файлов на наличие вирусов.

Правило пятое. При работе в системах коллективного пользования необходимо новые сменные носители информации и вводимые в систему файлы проверять на специально выделенных для этой цели ЭВМ. Это должен выполнять администратор системы или лицо, отвечающее за безопасность информации. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.

Правило шестое. Если не предполагается осуществлять запись информации на носитель, то необходимо заблокировать выполнение этой операции.

Постоянное выполнение изложенных правил позволяет значительно уменьшить вероятность заражения программными вирусами и обеспечить защиту пользователя от безвозвратных потерь информации.

В особо ответственных системах для борьбы с вирусами используются аппаратно-программные средства (например, Sheriff).

Порядок действий пользователя при обнаружении заражения вирусами компьютерной системы

Не смотря на строгое выполнение всех правил профилактики заражения вирусами компьютерной системы, нельзя полностью исключить возможность их заражения. Однако если придерживаться определённой последовательности действий при заражении вирусами, то последствия пребывания вирусов в компьютерной системе можно свести к минимуму.

О наличии вирусов можно судить по следующим событиям:

1. появление сообщений антивирусных средств о заражении или о предполагаемом заражении;
2. явные проявления присутствия вирусов (сообщения, выдаваемые на монитор или принтер, звуковые эффекты, уничтожение файлов и другие);
3. неявные проявления заражения, которые могут быть вызваны сбоями или отказами аппаратных и программных средств, “зависаниями” системы, замедлением выполнения определённых действий, нарушением адресации, сбоями устройств и другими проявлениями.

При получении информации о предполагаемом заражении пользователь должен убедиться в этом. Решить такую задачу можно с помощью всего комплекса антивирусных средств. Если заражение действительно произошло, тогда пользователю следует выполнить следующую последовательность действий:

1. выключить ЭВМ для уничтожения резидентных вирусов;
2. осуществить загрузку эталонной операционной системы со сменного носителя информации, в которой отсутствуют вирусы;
3. сохранить на сменных носителях информации важные файлы, которые не имеют резидентных копий;
4. использовать антивирусные средства для удаления вирусов и восстановления файлов, областей памяти. Если работоспособность компьютерной системы восстановлена, то завершить восстановление информации всесторонней проверкой компьютерной системы с помощью всех имеющихся в распоряжении пользователя антивирусных средств. Иначе продолжить выполнение антивирусных действий;
5. осуществить полное стирание и разметку (форматирование) несъёмных внешних запоминающих устройств. В персональных компьютерах для этого могут быть использованы программы MS-DOS FDISK и FORMAT. Программа форматирования FORMAT не удаляет главную загрузочную запись на жёстком диске, в которой может находиться загрузочный вирус. Поэтому необходимо выполнить программу FDISKс недокументированным параметром MBR, создать с помощью этой же программы разделы и логические диски на жёстком диске. Затем выполняется программа FORMAT для всех логических дисков;
6. восстановить операционную систему, другие программные системы и файлы с резервных копий, созданных до заражения;
7. тщательно проверить файлы, сохранённые после обнаружения заражения, и, при необходимости, удалить вирусы и восстановить файлы;
8. завершить восстановление информации всесторонней проверкой компьютерной системы с помощью всех имеющихся в распоряжении пользователя антивирусных средств.

Особенности защиты информации в базах данных

Базы данных рассматриваются как надёжное хранилище структурированных данных, снабжённое специальным механизмом для их эффективного использования в интересах пользователей (процессов). Таким механизмом является система управления базами данных (СУБД). Под системой управления базами данных понимается программные или аппаратно-программные средства, реализующие функции управления данными, такие как: просмотр, сортировка, выборка, модификация, выполнение операций определения статистических характеристик и другие.

Базы данных размещаются:

1. на компьютерной системе пользователя;
2. на специально выделенной ЭВМ (сервере).

На компьютерной системе пользователя, как правило, размещаются личные или персональные базы данных, которые обслуживают процессы одного пользователя.

На серверах базы данных размещаются в локальных и корпоративных компьютерных сетях, которые используются, как правило, централизованно. Общедоступные глобальные компьютерные сети имеют распределённые базы данных. В таких сетях серверы размещаются на различных объектах сети. Серверы – это специализированные ЭВМ, приспособленные к хранению больших объёмов данных и обеспечивающие сохранность и доступность информации, а также оперативность обработки поступающих запросов. В централизованных базах данных решаются проще проблемы защиты информации от преднамеренных угроз, поддержания актуальности и непротиворечивости данных. Достоинством распределённых баз данных является их высокая защищённость от стихийных бедствий, аварий, сбоев технических средств и диверсий, если осуществляется дублирование этих данных.

Особенности защиты информации в базах данных:

1. необходимость учёта функционирования СУБД при выборе механизмов защиты;
2. разграничение доступа к информации реализуется не на уровне файлов, а на уровне частей баз данных.

При создании средств защиты информации в базах данных необходимо учитывать взаимодействие этих средств не только с операционной системой, но с СУБД. При этом возможно встраивание механизмов защиты в СУБД или использование их в виде отдельных компонент. Для большинства СУБД придание им дополнительных функций возможно только на этапе их разработки. В эксплуатируемые системы управления базами данных дополнительные компоненты могут быть внесены путём расширения или модификации языка управления.

Законодательные акты РФ, регулирующие правовые отношения в сфере информационной безопасности и защиты государственной тайны

В государстве должна проводиться единая политика в области безопасности информационных технологий. Это требование нашло отражение в “Концепции национальной безопасности Российской Федерации”, утверждённой Указом Президента РФ № 1300 от 17 декабря 1997 года. В этом документе отмечается, что в современных условиях всеобщей информатизации и развития информационных технологий резко возрастает значение обеспечения национальной безопасности РФ в информационной сфере. Значимость обеспечения безопасности государства в информационной сфере подчёркнута и в принятой в сентябре 2000 года “Доктрине информационной безопасности Российской Федерации”. В этих документах определены важнейшие задачи государства в области информационной безопасности.

25 февраля 1995 года Государственной Думой принят Федеральный закон “Об информации, информатизации и защите информации”. В законе даны определения основных терминов: информация, информатизация, информационные системы, информационные ресурсы, конфиденциальная информация, собственник и владелец информационных ресурсов, пользователь информации. Государство гарантирует права владельца информации, независимо от форм собственности, распоряжаться ею в пределах, установленных законом. Владелец информации имеет право защищать свои информационные ресурсы, устанавливать режим доступа к ним. В этом законе определены цели и режимы защиты информации, а также порядок защиты прав субъектов в сфере информационных процессов и информатизации.

Другим важным правовым документом, регламентирующим вопросы защиты информации в КС, является закон РФ “О государственной тайне”, принятый 21.07.93 года. Закон определяет уровни секретности государственной информации и соответствующую степень важности информации.

Отношения, связанные с созданием программ и баз данных, регулируются законом РФ от 23.09.92 года “О правовой охране программ для ЭВМ и баз данных” и законом РФ от 09.07.93 года “Об авторском праве и смежных правах”.

Важной составляющей правового регулирования в области информационных технологий является установление ответственности

граждан за противоправные действия при работе с КС. Преступления, совершённые с использованием КС или причинившие ущерб владельцам КС, получили название компьютерных преступлений.

В Уголовном кодексе РФ, принятом 1 января 1997 года, включена глава № 28, в которой определена уголовная ответственность за преступления в области компьютерных технологий.

В статье 272 предусмотрены наказания за неправомерный доступ к компьютерной информации. Это правонарушение может наказываться от штрафа в размере 200 минимальных зарплат до лишения свободы на срок до 5 лет.

Статья 273 устанавливает ответственность за создание, использование и распространение вредоносных программ для ЭВМ. Это правонарушение может наказываться от штрафа до лишения свободы на срок до 7 лет.

В статье 274 определена ответственность за нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Если такое деяние причинило существенный вред, то виновные наказываются лишением права занимать определённые должности или заниматься определённой деятельностью на срок до 5 лет. Если те же деяния повлекли тяжкие последствия, то предусмотрено лишение свободы на срок до 4 лет.

5. Классификация современных методов и средств защиты.

Основная классификация современных методов и средств защиты:

1. Программные методы защиты

2. Электронные ключи защиты

3. Смарт-карты

4. USB-токены

5. Персональные средства криптографической защиты информации (ПСКЗИ)

6. Защищенные флэш-накопители

Классификация современных методов защиты может проводиться и по следующим параметрам:

-по стоимости программы, обеспечивающей защиту информации,

-по распространенности метода защиты и области применения

-по степени защиты от взлома, исправлению неполадок и предотвращению поломки или взлома.

Классификация по стоимости средства

Защита информации сегодня – одна из тех вещей, на которую тратятся большие деньги. И это того стоит, потому что сегодня информация значит очень много и может стать довольно серьезным оружием. Взлом информации, как и ее защита стоит довольно дорого, но, как правило, в защите информации нуждаются те, кто готов потратить деньги на осуществление этой защиты. Важность информации прямо пропорциональна деньгам, которые стоит защита этой информации. Решать, стоит ли способ осуществления защиты информации тех денег, которые за нее запрашиваются, владельцу информации

Самые дорогие и самые функциональные средства защиты – электронные ключи защиты и смарт-карты. Система защиты в таких программах довольно гибкая, что позволяет перепрограммировать данные под конкретного пользователя. Электронные ключи защиты разрабатываются на заказ в индивидуальном порядке, поэтому схема их взлома куда более сложная чем, скажем, в смарт-картах. Более сложная организация непосредственно метода защиты обуславливает высокую цену за программу.

Если говорить о стоимости программ, обеспечивающих защиту информации, стоит отметить, что цена некоторых из них соизмерима с ценой взлома этих же систем. Поэтому приобретать такие программы весьма нецелесообразно – ведь взломать такие программы едва ли труднее и дороже их установки. Например, стоимость взлома смарт-карты составляет примерно $50 тыс., причем лаборатории-разработчики не гарантируют защиту от взлома.

ПСКЗИ, флэш-накопители и USB -токены выступают на втором месте по критерию стоимости. Эти средства защиты продаются отдельно от программы, нуждающейся в защите данных, что в принципе препятствует взлому информации, так как не существует каких-то общих схем для взлома. Флэш-накопители и USB -токены являются персональными средствами защиты, поэтому чтобы получить доступ к информации, нужно получить доступ непосредственно к защитному устройству. Как правило, стоимость таких защитных устройств адекватна их надежности и функциональности.

На фоне остальных программные методы защиты выступают более дешевыми. Это объясняется тем, что исходные данные для программы задаются сразу же, не могут быть изменены, и являются частью самой программы. Защита устанавливается по одним и тем же схемам и занимает память на жестком диске, пользователь не платит за непосредственно защиту информации, он платит за саму информацию. Так же относительно маленькая стоимость программных методов защиты объясняется легкостью поломки и/или взлома. Для всех методов существуют одинаковые схемы, по которым защита настраивается. Достаточно только знать такую схему, и взломать защиту не составит труда для хорошего программиста.

ПСКЗИ стоят немного дороже из-за гибкости внутренней системы осуществления защиты, но также являются скорее частными средствами защиты и стоят не намного дороже флэш-накопителей, учитывая возможности их функционала .

Классификация по распространенности средства

Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития.

Другим, широко распространенным методом защиты являются защищенные флэш-накопители. Они доступны любому пользователю, удобны в применении и не требуют никаких специальных знаний для пользования. Только вот и взлом таких флэш-накопителей осуществляется довольно легко.

Электронные ключи защиты, защищенные флэш-накопители, смарт-карты и USB -токены – средства защиты распространенные как среди частных пользователей, так и среди служебных аппаратов типа платежных терминалов, банковских аппаратов, кассовых аппаратов и других. Флэш-накопители и USB -токены легко используются для защиты ПО, а их относительно недорогая стоимость позволяет их широкое распространение. Электронные ключи защиты используются при работе с аппаратами, содержащими информацию не конкретного пользователя, но информацию о целой системе. Такие данные, как правило, нуждаются в дополнительной защите, потому что затрагивают как саму систему, так и многих ее пользователей. Система, позволяющая программировать опции в смарт-картах и ключах, позволяет расширить область их применения, настраивая систему защиты под существующую операционную систему. К примеру, частные клубы используют ключи для защиты частной информации, не подлежащей информации.

Особняком стоит защита информации в службах безопасности различных организаций. Здесь практически все методы защиты информации находят свое применение, а иногда для защиты информации кооперируются несколько методов защиты с разным функционалом. Здесь же находят свое применение и ПСКЗИ, выполняя не столько функцию защиты информации, сколько функцию защиты в целом. Также ПСКЗИ осуществляет, например, систему пропусков, с помощью радио-меток обращаясь к общей системе, которая позволяет или, соответственно, не позволяет доступ.

Классификация по защите от взлома, исправлению неполадок и предотвращению поломки или взлома

Более всего подвержены поломкам частные средства защиты информации, флэш-накопители, ПСКЗИ или токены, и чаще всего это происходит по вине пользователя. В принципе, все эти средства создаются по технологии, защищающей от порчи от внешних воздействий. Но, к сожалению, из-за неправильной эксплуатации такие средства часто ломаются. Если говорить о взломе, то здесь стоит отметить, что взлом подобных систем осуществляется только при физической краже носителя, что затрудняет работу хакера. Как правило, в каждом таком носителе есть ядро (кристалл), непосредственно обеспечивающий саму защиту. Взлом кода к такому носителю или к его ядру стоит примерно столько же, сколько и сам носитель, для умелого специалиста взлом средних по защищенности носителей не представляет особых трудностей, поэтому разработчики на данный момент работают не над расширением функционала таких систем защиты, а именно над защитой от взлома. Например, разработчики ПСКЗИ «ШИПКА» имеют целую команду, уже около двух лет занимающуюся только вопросами защиты от взлома. Надо сказать, что они преуспели в этом деле. Ядро системы защищено как физически, так и на уровне программирования. Чтоб до него добраться, нужно преодолеть двухступенчатую дополнительную защиту. Однако широко такая система не используется из-за высокой стоимости процесса производства таких носителей.

Так же подвержены взлому и программные методы обеспечения защиты информации. Написанные по одному и тому же алгоритму, они имеют и одинаковый алгоритм взлома, чем успешно пользуются создатели вирусов. Предотвратить взлом в таких случаях можно только созданием многоступенчатой или дополнительной защиты. Что касается поломки, здесь вероятность того, что алгоритм выйдет из строя и метод перестанет работать, определяется только занесением вируса, то есть, взломом алгоритма. Физически программные методы защиты информации выйти из строя, естественно, не могут, следовательно, предотвратить появление неполадок в работе можно только предотвратив взлом алгоритма.

Смарт-карты были представлены в качестве пригодных для решения задач по удостоверению личности, потому что они устойчивы к взлому. Встроенный чип смарт-карт обычно применяет некоторые криптографические алгоритмы. Однако существуют методы восстановления некоторых внутренних состояний. Смарт-карты могут быть физически повреждены химическими веществами или техническими средствами таким образом, чтобы можно было получить прямой доступ к чипу, содержащему информацию. Хотя такие методы могут повредить сам чип, но они позволяют получить доступ к более подробной информации (например, микрофотографию устройства шифрования). Естественно, смарт-карты тоже бывают разности и в зависимости от разработчика и цены, по которой смарт-карта распространяется, защищенность от взлома может быть разной. Но в каждой карте все равно существует разработанный специально уникальный код, который значительно затрудняет доступ к информации.

Электронные ключи так же, как персональные носители систем защиты информации, также подвержены физической поломке. От этого их защищает как внешнее устройство (пластиковый корпус), так и внутреннее: информация находится в системе, способной работать автономно и в режиме off - line . Код, обеспечивающий устройство защиты, находится в памяти, защищенной от внезапных отключений питания компьютера или других внешних воздействий. Что касается взлома, его можно осуществить только двумя способами: эмулированием ключа или взломом программного модуля. Эмулирование ключа – процесс очень трудоемкий, и редко кому удавалось совершить взлом именно этим способом. В 1999 году злоумышленникам удалось разработать довольно корректно работающий эмулятор ключа HASP 3 компании Aladdin . Это стало возможным благодаря тому, что алгоритмы кодирования были реализованы программно. Сейчас, тем не менее, для взлома ключей хакеры пользуются, чаще всего, вторым способом. Взлом программного модуля заключается в деактивации части кода. Чтобы этого не произошло, разработчики, во-первых, используют частные алгоритмы, разработанные специально для данного ключа и не доступные для публики, а во-вторых, шифруют наиболее уязвимые части кода дополнительно, делая доступ к структурной защите очень трудным.

Существуют смарт-карты, которые можно довольно легко взломать. А существуют и такие, которые взломать можно только при наличии специальных данных, доступных только разработчикам. В то же время, это совсем не значит, что чем дороже средство защиты, тем оно лучше. Но судить об эффективности работы даже систем защиты одного вида, например, обо всех электронных ключах вместе взятых, не рассматривая особенности работы, невозможно.

В заключение, следует назвать некоторые эффективные средства защиты информации, разработанные недавно. Это: программная система StarForce, платформа для защиты программ HASP SRM, персональные идентификаторы SafeNet iKey, промышленная система защиты информации SafeNet eToken, программный пакет Athena SmartCard Solutions, радиочастотная карта Em-Marine, персональные средства криптографической защиты информации ШИПКА, диск Plexuscom с биометрической защитой.

6. Источники.

1. Закон РФ «О государственной тайне», Гражданский кодекс РФ 1994 г., Закон РФ «Об информации, информатизации и защите информации».

2. Технические средства и методы защиты информации:Учебник для вузов / Зайцев А.П., Шелупанов А.А., Мещеряков Р.В. и др.; под ред. А.П. Зайцева и А.А. Шелупанова. – М.: ООО «Издательство Машиностроение»

3. Основы информационной безопасности. Белов Е.Б., Лось В.П., Мещеряков Р.В., Шелупанов А.А. Учебное пособие для ВУЗов

4. Галатенко В.А. Основы информационной безопасности

5. Варфоломеев А.А. Основы информационной безопасности. Учебное пособие –М.,2008

6. Базовые принципы информационной безопасности вычислительных сетей: учебное пособие для студентов, обучающихся по специальностям 08050565, 21040665, 22050165, 23040165 / А.А. Гладких, В.Е. Дементьев;- Ульяновск: УлГТУ, 2009.- 156 с.

7.МельниковВ.В .. Учебное пособие по курсу Методы и средства защиты информации.

8. Мельников, В. В. Защита информации в компьютерных системах

9.Web-сервер Совета безопасности РФ. http://www.scrf.gov.ru/

10. Web-сервер Федерального агентства правительственной связи и информации при Президенте Российской Федерации. http://www.fagci.ru/

11. Web-сервер Государственной технической комиссии при Президенте Российской Федерации. http://www.infotecs.ru/gtc/

12. Web-сервер подразделения по выявлению и пресечению преступлений, совершаемых с использованием поддельных кредитных карт, и преступлений, совершаемых путем несанкционированного доступа в компьютерные сети и баз данных. http://www.cyberpolice.ru

13. http://www.osp.ru/pcworld/2001/05/161548/

14. http://www.rnbo.ru/catalog/7/166

А также другие работы, которые могут Вас заинтересовать
30700.		АНАЛИЗ 1 ГЛАВЫ 1 ЧАСТИ «МАСТЕРА И МАРГАРИТЫ»	20.62 KB
	Патриавшие пруды это центр Москвы давно пользующийся дурной славой Время года месяц: Весна май Время суток: Небывало жаркий закат странности возникающие в это время на Патриарших: одновременная икота литераторов; отсутствие в жаркое время отдыхающих под липами; появление прозрачного человека в клетчатом пиджаке; чувство необоснованного страха появившегося у Берлиоза...
30701.		Анализ романа Замятина Мы	19.86 KB
	Солженицын1 История создания и смысл названия романа: Роман создавался вскоре после возвращения автора из Англии в революционную Россию в 1920 году по некоторым сведениям работа над текстом продолжалась и в 1921 году. Первая публикация романа состоялась за границей в 1924 году. В случае с названием романа Мы и с героем романа это утверждение особенно справедливо.
30702.		Приём антитезы в произведениях русской литературы 2-й половины XIX века. Ф.М. Достоевский «Преступление и наказание»	132.77 KB
	I антитеза ос6новное идейно композиционный принцип романа Преступление и наказание II функции антитезы. Приём антитезы при создании образа главного героя: А замечательная внешность Раскольникова и одежда нищего; Б описание каморки и страшная теория Раскольникова; В бесчеловечность теории и её неприятие сердцем сны Раскольникова. Приём антитезы в основе системы персонажей: А двойники Раскольникова Лужин и Свидригайлов; Б правда Сони Мармеладовой и правда Раскольникова.
30703.		И. А. Бунин. Тема любви	15.98 KB
	Тема любви. В теме любви Бунин раскрывается как человек удивительного таланта тонкий психолог умеющий передать состояние души раненной любовью. На протяжении столетий многие художники слова посвящали свои произведения великому чувству любви и каждый из них находил чтото неповторимое индивидуальное этой теме. Эта тайна бытия становится темой бунинского рассказа Грамматика любви1915.
30704.		Образ нигилиста Базарова и тема смены поколений в романе И.С. Тургенева «Отцы и дети». Тургеневский принцип «тайной психологии» в изображении человеческих характеров	13.82 KB
	Сюжет строится на столкновение двух враждебных идеологий разночиннодемократической к которой относится Евгений Базаров и либеральнодворянской.Взгляды Базарова главного героя романа сводятся к резкой критике того положения которое сложилось в стране. Но Базаров не видит силы и в народе.
30705.		Философское звучание стихотворения А.С. Пушкина «Вновь я посетил…»	12.03 KB
	Так в стихотворении начинает звучать мотив жизни и смерти. Мотив семьи таким образом перерастает в тему смены поколения вечного непрестанного обновления жизни. Так к финалу стихотворения мотив смерти преобразуется в мотив памяти а воспоминание о своем личном приобретает характер всеобщий философский.
30706.		Новая социалистическая «волна» в Западной Европе: приход к власти лейбористов в Великобритании, социалистов во Франции, социал-демократов в Германии (опыт 1990-х гг.)	27.5 KB
	Германия В Западной Германии СоцДемокрПартГерм выиграла выборы в ФРГ в 1969 и находилась у власти до 1982 правительства в эти годы возглавлял Вилли Брандт а затем с 1974 Гельмут Шмидт. Вначале СДПГ выступала против перевооружения Западной Германии и вступления её в НАТО но впоследствии её позиция резко изменилась. В советском секторе оккупации где впоследствии была провозглашена ГДР СДПГ и Коммунистическая партия Германии объединились в Социалистическую единую партию Германии.
30707.		Буржуазно-демократические революции в Германии, Австрии, Венгрии (1918): общее и особенное	23.5 KB
	Вслед за Германией буржуазнодемократические революции начались в Австрии и Венгрии что привело к свержению монархии и провозгласило республику во главе с коалиционным правительством и с буржуазнодемократическими правами и свободами. В Венгрии была объявлена республика а потом ее провозгласили Советской республикой по примеру России но она не сумела удержать власть и распалась в 1919 г. в Венгрии была установлена авторитарная диктатура и она была провозглашена монархическим государством.
30708.		Политика правящих кругов и усиление левой оппозиции во Франции (1919 – 1923 гг.)	22.5 KB
	В отношении рабочего класса применялась политика уступок которые чередовались репрессиями. Политика правящих кругов также отразилась и на политическом уровне впервые были проведены выборы в парламент и объединение в Национальный блок целью которого стала борьба с большевизмом.

Обеспечение информационной безопасности России является одной из приоритетных государственных задач. Под информационной безопасностью (безопасностью информации) понимают состояние защищенности собственно информации и её носителей (человека, органов, систем и средств, обеспечивающих получение, обработку, хранение, передачу и использование информации) от различного вида угроз. Источники этих угроз могут преднамеренными (т.е. имеющими цель незаконного получения информации) и непреднамеренными (такую цель не преследующими).

Обеспечить безопасность информации можно различными методами и средствами как организационного, так и инженерного характера. Комплекс организационных мер, программных, технических и других методов и средств обеспечения безопасности информации образует систему защиты информации.

В Российской Федерации формируется Концепция информационной безопасности как составной части национальной безопасности России. В рамках проекта этой Концепции сформулированы основные положения государственной политики обеспечения информационной безопасности, имеющие большое значение для построения как государственной, так и ведомственных систем защиты информации и заключающиеся в следующем:

– государство формирует Федеральную программу ИБ, объединяющую усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности России;

– государство формирует нормативно-правовую базу, регламентирующую права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

– ограничение доступа к информации есть исключение из общего принципа открытости информации и осуществляется только на основе законодательства;

– доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

– ответственность за сохранность, засекречивание и рассекречивание информации персонифицируется;

– юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

– государство осуществляет контроль за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования предприятий и организаций в области защиты информации;

– государство проводит протекционистскую политику, поддерживающую деятельность отечественных производителей средств информатизации и защиты информации, и осуществляет меры по защите внутреннего рынка от проникновения на него некачественных средств информатизации и информационных продуктов;

– государство стремится к отказу от зарубежных информационных технологий для информатизации органов государственной власти и управления по мере создания конкурентоспособных отечественных информационных технологий и средств информатизации;

– государство законными средствами обеспечивает защиту общества от ложной, искаженной и недостоверной информации, поступающей через СМИ;

– государство способствует предоставлению гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям;

– государство прилагает усилия для противодействия информационной экспансии США и других развитых стран, поддерживает интернационализацию глобальных информационных сетей и систем.

На основе приведенных положений государственной политики обеспечения информационной безопасности должны проводиться все мероприятия по защите информации в различных сферах деятельности государства, в т.ч. в оборонной сфере. Это предполагает, в свою очередь, разработку соответствующего научно-технического и организационно-правого обеспечения защиты информации.

Научно-техническое обеспечение должно быть направлено на достижение необходимого уровня защищенности информационных технологий, систем и средств информатизации и связи и заключается в проведении фундаментальных и прикладных исследований, создании защищенных технологий, средств и систем, а также создании средств и систем контроля состояния защиты информации.

Организационно-правовое обеспечение защиты информации должно представлять собой высокоупорядоченную совокупность организационных решений, законов, нормативов и правил, регламентирующих как общую организацию работ по защите информации в масштабах государства и ведомства, так и создание, и функционирование систем защиты информации на конкретных объектах.

Целью данной курсовой работы является – сопоставить виды, средства и методы защиты информации с объектами защиты.

Объект исследования – объекты защиты информации.

Поставленная цель раскрывается через следующие задачи:

1. рассмотреть виды, средства и методы защиты информации;

2. обозначить объекты защиты информации;

3. сопоставить способы защиты информации с объектами защиты.

Виды, средства и методы защиты информации

По своей общей направленности угрозы информационной безопасности Российской Федерации подразделяются на следующие виды:

· угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

· угрозы информационному обеспечению государственной политики Российской Федерации;

· угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

· угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России.

Угрозами информационному обеспечению государственной политики Российской Федерации могут являться:

· монополизация информационного рынка России, его отдельных секторов отечественными и зарубежными информационными структурами;

· блокирование деятельности государственных средств массовой информации по информированию российской и зарубежной аудитории;

· низкая эффективность информационного обеспечения государственной политики Российской Федерации вследствие дефицита квалифицированных кадров, отсутствия системы формирования и реализации государственной информационной политики.

Угрозами развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов могут являться:

· противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий;

· закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам;

· вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи;

· увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности.

Угрозами безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России, могут являться:

· противоправные сбор и использование информации;

· нарушения технологии обработки информации;

· внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;

· разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно – телекоммуникационных систем, в том числе систем защиты информации;

· уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;

· воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;

· компрометация ключей и средств криптографической защиты информации;

· утечка информации по техническим каналам;

· внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;

· уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;

· перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;

· использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;

· несанкционированный доступ к информации, находящейся в банках и базах данных;

· нарушение законных ограничений на распространение информации.

Все известные на настоящий момент меры защиты информации можно разделить на следующие виды :

Правовые;

Организационные;

Технические.

В большинстве работ правовые меры защиты информации принято рассматривать в рамках организационно-правового обеспечения защиты информации. Объединение организационных и правовых мер вызвано отчасти объективно сложившимися обстоятельствами:

· проблемы законодательного регулирования защиты информации регламентировались ограниченным и явно недостаточным количеством нормативно-правовых актов;

· в отсутствии законодательства по вопросам защиты информации разрабатывалось большое количество ведомственных нормативных документов, основное назначение которых заключалось в определении организационных требований по обеспечению защиты информации;

· внедрение автоматизированных информационных систем требует соответствующего правового обеспечения их защиты, однако, на практике в развитии правовой базы не произошло существенных изменений и приоритет остается за организационными мерами.

Организационно-правовое обеспечение защиты информации представляет совокупность законов и других нормативно-правовых актов, а также организационных решений, которые регламентируют как общие вопросы обеспечения защиты информации, так и организацию, и функционирование защиты конкретных объектов и систем. Правовые аспекты организационно-правового обеспечения защиты информации направлены на достижение следующих целей:

1. формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации;

2. определение мер ответственности за нарушение правил защиты информации;

3. придание юридической силы технико-математическим решениям вопросов организационно-правового обеспечения защиты информации;

4. придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.

В современной юриспруденции организационный и правовой подходы не объединяют. Однако, вопреки сложившимся традициям, не следует ограничиваться рассмотрением вопросов правовой защиты информации в рамках правовых аспектов комплексной защиты информации.

К правовым мерам следует отнести нормы законодательства, касающиеся вопросов обеспечения безопасности информации. Информационные отношения достигли такой ступени развития, на которой оказалось возможным сформировать самостоятельную отрасль законодательства, регулирующую информационные отношения. В эту отрасль, которая целиком посвящена вопросам информационного законодательства, включаются:

· законодательство об интеллектуальной собственности;

· законодательство о средствах массовой информации;

· законодательство о формировании информационных ресурсов и предоставлении информации из них;

· законодательство о реализации права на поиск, получение и использование информации;

· законодательство о создании и применении информационных технологий и средств их обеспечения.

В отрасли права, акты которых включают информационно-правовые нормы, входят конституционное право, административное право, гражданское право, уголовное право, предпринимательское право.

В соответствии с действующим законодательством информационные правоотношения – это отношения, возникающие при:

· формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации;

· создании и использовании информационных технологий и средств их обеспечения;

· защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

В соответствии с определением, изложенным в Законе Российской Федерации «О государственной тайне», к средствам защиты информации относятся «технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты, информации».

Все средства защиты можно разделить на две группы – формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на технические (физические, аппаратные) и программные.

Технические средства защиты – это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой).

К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.

Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.

Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:

1) функциональное назначение, то есть основные задачи защиты объекта, которые могут быть решены с их применением;

2) сопряженность средств защиты с другими средствами объекта обработки информации (ООИ);

3) сложность средства защиты и практического его использования;

4) тип средства защиты, указывающий на принципы работы их элементов;

5) стоимость приобретения, установки и эксплуатации.

В зависимости от цели и места применения, выполняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные:

Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

· внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);

· внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);

· опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения).

Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

· нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;

· поиск закладных устройств – защита от использования злоумышленником закладных устройств съема информации;

· маскировка сигнала, содержащего конфиденциальную информацию, – защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

· идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

· определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

· контроль работы технических средств и пользователей,

· регистрация работы технических средств и пользователей при обработке информации ограниченного использования,

· уничтожения информации в ЗУ после использования,

· сигнализации при несанкционированных действиях,

· вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Неформальные средства делятся на организационные, законодательные и морально-этические.

Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

Основными мероприятиями являются следующие:

Обязательные

· Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.

· Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).

· Организация надежного пропускного режима.

· Контроль внесения изменений в математическое и программное обеспечение.

· Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.

· Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.

· Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

· Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.

· Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.

· Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения. Особенно подобным поведением «грешат» программные продукты фирмы «Microsoft».

· Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.

· Приобрести сертифицированные средства защиты информации.

· Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.

Дополнительные

· Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.

· Провести «испытание» имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.

Одно из важнейших организационных мероприятий – содержание в вычислительном центре специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование.

Законодательные средства – существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.

Морально-этические нормы – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Морально-этические способы защиты информации можно отнести к группе тех методов, которые, исходя, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации, или по его вине соперник получает возможность несанкционированного доступа к носителям защищаемой информации.

Морально-нравственные способы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного о сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Основными организационными и техническими методами , используемыми в защите государственной тайны, являются: скрытие, ранжирование, дробление, учет, дезинформация, морально-нравственные меры, кодирование и шифрование.

Скрытие как метод защиты информации является в основе своей реализации на практике одним из основных организационных принципов защиты информации – максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

· засекречивания информации, т.е. отнесения ее к секретной или конфиденциальной информации различной степени секретности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;

· устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

Скрытие – один из наиболее общих и широко применяемых методов защиты информации.

Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться но тематическому признаку или по признаку секретности информации и определяется матрицей доступа.

Ранжирование как метод защиты информации является частным случаем метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Дезинформация – один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств: вооружения и военной техники, а также при производстве товаров народного потребления.

Учет (аудит) также является одним из важнейших методов защиты информации, обеспечивающих возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превышает какой-то минимальный объем.

Принципы учета засекреченной информации:

· обязательность регистрации всех носителей защищаемой информации;

· однократность регистрации конкретного носителя такой информации;

· указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;

· единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации.

Кодирование – метод защиты информации, преследующий цель скрыть от нарушителя содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в чужие руки, а также при обработке и хранении информации в средствах вычислительной техники (СВТ).

Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при помощи которых информация может быть преобразована (закодирована) таким образом, что прочесть ее можно будет, только если пользователь располагает соответствующим ключом (кодом) для ее раскодирования. Кодирование информации может производиться с использованием технических средств или вручную.

Шифрование – метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Шифрование может быть предварительное (шифруется текст документа) и линейное (шифруется разговор). Для шифрования информации может использоваться специальная аппаратура.

Знание возможностей приведенных методов позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты секретной информации.

Объекты защиты информации

В соответствии с законами Российской Федерации защите подлежит информация, отнесенная к государственной тайне, конфиденциальная информация, в том числе персональные данные, неправомерное обращение с которыми может нанести ущерб ее собственнику, владельцу, пользователю или другому лицу. Законодательно определены и режимы защиты такой информации.

Собственниками, владельцами, пользователями (потребителя) информации могут быть государственные и негосударственные предприятия, организации, физические лица.

Основные объекты защиты можно объединить в следующие группы:

· собственники, владельцы, пользователи (потребители) информации;

· информационные ресурсы с ограниченным доступом, составляющие коммерческую, банковскую тайну, иные чувствительные по отношению к случайным и несанкционированным воздействиям и нарушению их безопасности информационные ресурсы, в том числе открытая (общедоступная) информация, представленные в виде документов и массивов информации, независимо от формы и вида их представления;

· процессы обработки информации в автоматических системах – информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический персонал разработчиков и пользователей системы и ее обслуживающий персонал;

· информационная инфраструктура, включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены чувствительные компоненты автоматической системы;

Очень часто путают саму информацию и её носитель. Такая путаница приводит к непониманию сути проблемы и, следовательно, к невозможности её решить. Поэтому следует чётко представлять себе, где информация, а где её материальный носитель.

Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.

Носителем информации может быть любой материальный объект. И наоборот – любой материальный объект всегда несёт на себе некую информацию (которая, однако, далеко не всегда имеет для нас значение). Например, книга как совокупность переплёта, бумажных листов, и типографской краски на них является типичным носителем информации.

Чтобы отличать информацию от её носителя, надо твёрдо помнить, что информация – это сугубо нематериальная субстанция. Всё, что является материальным объектом, информацией быть не может, но только лишь её носителем. В том же примере с книгой и листы, и знаки на них – только носитель; информация же заключена в порядке расположения печатных символов на листах. Радиосигнал – тоже материальный объект, поскольку является комбинацией электрических и магнитных полей (с другой точки зрения – фотонов), поэтому он не является информацией. Информация в данном случае – порядок чередования импульсов или иных модуляций указанного радиосигнала.

Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.

Теперь перейдём к более конкретному рассмотрению. Хотя любой материальный объект – носитель информации, но люди используют в качестве таковых специальные объекты, с которых информацию удобнее считывать.

Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.

Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители.

В группе носителей и технических средств передачи и обработки информации защите подлежат:

· Собственно носители информации в виде информационных физических полей и химических сред, сигналов, документов на бумажной, магнитной, оптической и других основах:

· Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Применяется как основной стационарный носитель информации в компьютерах. Большая ёмкость, высокая скорость доступа. Иногда встречаются модели со съёмным диском, который можно вынуть из компьютера и спрятать с сейф. Так выглядит НЖМД.

HDD габаритом 5,25 дюйма

HDD габаритом 3,5 дюйма

· Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Основной сменный носитель для персональных компьютеров. Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая. Основное преимущество – транспортабельность.

· Лазерный компакт-диск (CD, CD-ROM). Большая ёмкость, средняя скорость доступа, но отсутствует возможность записи информации. Запись производится на специальном оборудовании. Так выглядит CD‑привод.

Внешний

Внутренний

Привод компакт-дисков обязательно помечен значком

· Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других – также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.

· DVD‑диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5–20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.

· Сменный магнитный диск типа ZIP или JAZZ. Похож на дискету, но обладает значительно большей ёмкостью. Так выглядит ZIP‑диск и привод для него.

Накопитель ZIP (внешний)

Сменный ZIP‑диск

· Магнитооптический или т.н. флоптический диск. Сменный носитель большой ёмкости. Так выглядит магнитооптический диск и привод для него.

Магнитооптический накопитель (внутренний)

Магнитооптический диск

· Кассета с магнитной лентой – сменный носитель для стримера (streamer) – прибора, специально предназначенного для хранения больших объёмов данных. Некоторые модели компьютеров приспособлены для записи информации на обычные магнитофонные кассеты. Кассета имеет большую ёмкость и высокую скорость записи-считывания, но медленный доступ к произвольной точке ленты. Так выглядит стример и его кассеты.

Стримеры

Внешний стример

Внутренний стример

Кассеты для стримера

Кассета для стримера

Чистящая кассета для стримера

· Перфокарты – в настоящее время почти не используются.

· Перфолента – в настоящее время почти не используется.

· КассетыимикросхемыПЗУ (read-only memory, ROM). Характеризуются невозможностью или сложностью перезаписи, небольшой ёмкостью, относительно высокой скоростью доступа, а также большой устойчивостью к внешним воздействиям. Обычно применяются в компьютерах и других электронных устройствах специализированного назначения, таких как игровые приставки, управляющие модули различных приборов, принтеры и т.д.

· Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.

· Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.

Кроме того, носителем информации является оперативная память компьютера, ОЗУ (RAM), но она не пригодна для долговременного хранения информации, поскольку данные в ней не сохраняются при отключении питания. Так выглядят модули оперативной памяти.

Модуль памяти SIMM
(standart inline memory module)

Модуль памяти DIMM

· Средства электронно-вычислительной техники (ЭВТ).

· Средства связи (ТЛФ, ТЛГ, ГГС, телефаксы, телетайпы).

· Средства преобразования речевой информации (средства звукозаписи, звукоусиления, звуковоспроизведения, звукового сопровождения).

· Средства визуального отображения (дисплеи, средства внутреннего телевидения).

· Средства изготовления и размножения документов (принтеры, ксероксы, плоттеры и т.д.).

· Вспомогательные технические средства (средства, не обрабатывающие защищаемую информацию, но размещенные в помещениях, где она обрабатывается).

· Помещения, выделенные для размещения объектов защиты.

· Для объектов органов управления, военных и промышленных объектов защите подлежит информация:

· о местоположении объекта;

· о предназначении, профиле деятельности, структуре объекта и режиме его функционирования;

· циркулирующая в технических средствах, используемых на объекте;

· о разрабатываемых (производимых, испытываемых) или эксплуатируемых образцах вооружения, военной техники или производствах и технологиях;

· о научно-исследовательских и опытно-конструкторских работах.

Хорошая защита информации обходится дорого. Плохая же защита никому не нужна, ибо наличие в ней лишь одной «дырки» означает полную бесполезность всей защиты в целом (принцип сплошной защиты). Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того. Способен ли возможный ущерб от разглашения или потери информации превысить затраты на её защиту? С этой же целью надо максимально сузить круг защищаемой информации, чтобы не тратить лишних средств и времени.

Прежде чем защищать информацию, нелишне определить перечень вероятных угроз, поскольку от всего на свете вы всё равно не защититесь. Возможен вариант, когда вам надо обезопасить данные от несанкционированного доступа извне, например, из Интернета. Возможно, однако, что чужих хакеров ваши данные вовсе не интересуют, и вам следует защищать информацию только от собственных сотрудников. Возможно также, что похищение или разглашение вашей информации никому не навредит, но вот её подмена может нанести вам урон. Во всех трёх случаях методы защиты будут сильно различаться.

При планировании схемы защиты информации большое значение имеет не только её объективная надёжность, но и отношение к защите других людей. В некоторых случаях достаточно, чтобы вы сами были уверены в достаточной надёжности защиты. А в других – это нужно доказать иным людям (например, заказчикам), часто не разбирающимся в соответствующих вопросах. Здесь встаёт вопрос сертификации.

Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует защиту информации. Любую защиту можно преодолеть. Но лишь «в принципе». Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.

Важно различать два вида защиты информации – защита объектов и защита непосредственно информации, безотносительно к тому, где она находится.

Первый вид включает несколько методов защиты объектов информации (здесь мы будем рассматривать только компьютерные носители), их можно подразделить на программные, аппаратные и комбинированные. Метод же защиты самой информации только один – использование криптографии, то есть, шифровка данных.

Наиболее распространённые методы защиты объектов:

· Для всех сменных носителей – физическая их защита, например, запереть в сейф.

· Для всех встроенных в компьютер носителей – воспрепятствование включению питания компьютера. Конечно, этот метод действенен для ограниченного числа случаев.

· Программное воспрепятствование доступу к конкретному носителю или к компьютеру целиков. Например, пароль на CMOS.

· Программно-аппаратный метод с использованием электронных ключей, которые чаще всего вставляются в COM‑порт ПК. Не получая нужный ответ от ключа, программа, для которой он предназначен, не будет работать или давать пользователю доступ к своим данным.

· Специально оборудованное (в идеале – специально построенное) помещение для размещения автоматических систем и организационных структур.

· Организация пропускного контроля в помещения, в которых размещены автоматические системы.

Наиболее простой и надежный способ защиты информации от несанкционированного доступа (НСД) – режим автономного использования ЭВМ одним пользователем, работающим в отдельном помещении при отсутствии посторонних лиц. В этом случае роль замкнутого контура защиты выполняют помещение, его стены, потолок, пол и окна. Если стены, потолок, пол и дверь достаточно прочны, пол не имеет люков, сообщающихся с другими помещениями, окна и дверь оборудованы охранной сигнализацией, то прочность защиты будет определяться техническими характеристиками охранной сигнализации при отсутствии пользователя (ЭВМ не включена) в нерабочее время.

В рабочее время, когда ЭВМ включена, возможна утечка информации за счет ее побочного электромагнитного излучения и наводок. Для устранения такой опасности, если это необходимо, проводятся соответствующие технические мероприятия по уменьшению или зашумлени ю сигнала. Кроме того, дверь помещения для исключения доступа посторонних лиц должна быть оборудована механическим или электромеханическим замком. В некоторых случаях, когда в помещении нет охранной сигнализации, на период длительного отсутствия пользователя ЭВМ полезно помещать в сейф, по крайней мере, хотя бы ее системный блок и носители инфор мации . Применение в некоторых ЭВМ в системе ввода-вывода BIOS встроенного аппаратного пароля, блокирующего загрузку и ра оту ЭВМ, к сожалению, не спасает положения, так как данная аппаратная часть при отсутствии на корпусе системного блока замка и отсутствии хозяина может быть свободно заменена на другую – такую же (так как узлы унифицированы), но только с известным значением пароля. Обычный механический замок, блокирующий включение и загрузку ЭВМ, более эффективная в этом случае мера.

В последнее время для защиты от хищения специалисты рекомендуют механически закреплять ЭВМ к столу пользователя. Однако при этом следует помнить, что при отсут ствии охранной сигнализации, обеспечивающей постоянный контроль доступа в помещение или к сейфу прочность замков и креплений должна быть такова, чтобы ожидаемое суммарное время, необходимое нарушителю для преодоления такого ро да препятствий или обхода их, превышало время отсутствия пользователя ЭВМ. Если это сделать не удается, то охранная сигнализация о язательна. Тем самым будет соблюдаться основной принцип срабатывания за щиты и следовательно, будут выполняться требования по ее эффектив ности.

Перечисленные выше меры защиты информации ограниченного доступа от нару шите я-непрофессионала в принципе можно счи тать достаточными при работе с автономной ЭВМ одного пользователя. На практике же человек не может постоянно быть изолированным от общества, в том числе и на работе. Его посещают друзья, знакомые, сослуживцы обращаются по тем или иным вопросам. Отдельное поме ение для его работы не всегда может быть предоставлено. По рассеянности или озабоченный личными проблемами пользователь может компьютер включить, а ключ оставить в замке; на столе забыть дискету, а сам на короткое время покинуть помещение, что создает предпосылки для несанкционированного доступа к информации лиц, не допущенных к ней, но имеющих доступ в помещение. Распространенные в настоящее время развлекательные программы могут послужить средством для занесения программных вирусов в ЭВМ. Использование посторонних дискет для оказания дружеской услуги может обойтись очень дорого. Помимо заражения ЭВМ вирусом можно перепутать дискеты и отдать случайно другу дискету с секретной информацией.

Все перечисленные средства и им подобные должны с различной степенью безопасности обеспечивать только санкционированный доступ к информации и программам со стороны клавиатуры, средств загрузки и внутреннего монтажа компьютера. Возможные каналы НСД к информации ЭВМ и средства защиты, рекомендуемые для их перекрытия приведены в Приложении.

Защита от НСД со стороны клавиатуры усложняется тем, что современные компьютеры по своему назначению обладают широким спектром функциональных возможностей, которые с течением времени продолжают развиваться. Более того, иногда кажется, что требования по защите вступают в противоречие с основной задачей компьютера: с одной стороны, ЭВМ – серийное устройство массового применения, с другой – индивидуального.

Если в каждый из выпускаемых персональных компьютеров, например, установить на заводе-изготовителе электронный замок, открывае ый перед началом работы пользователем с помощью ключа-пароля, то возникает вопрос защиты хранения и последующей замены его ответной части в замке. Если ее может заменить пользователь, то это может сделать и нарушитель. Если эта часть компьютера постоянна, то она известна изготовителям, через которых может стать известной и нарушителю. Однако последний вариант более предпочтителен при условии сохранения тайны ключа фирмой-изготовителем, а также высокой стойкости ключа к подделке и расшифровке. Стойкость ключа должна быть известна и выражаться в величине затрат времени нарушителя на выполнение этой работы, так как по истечении этого времени необходима замена его на новый, если защищаемый компьютер продолжает использоваться. Но и этого условия тоже оказывается недостаточно. Необходимо также, что ратными и программными средствами. В целях перекрытия возможных каналов НСД к информации ЭВМ, кроме упомянутых, могут быть применены и другие методы и средства защиты.

При использовании ЭВМ в многопользовательском режиме не обходимо применить в ней программу контроля и разграничения доступа. Существует много подобных программ, которые часто разрабатывают сами пользователи Однако специфика работы программного обеспечения ЭВМ такова что с помощью ее клавиатуры достаточно квалифицированный программист-нарушитель может защиту такого рода легко обойти. Поэтому эта мера эффективна только для защиты от неквалифицированного нарушителя. Для защиты от нарушителя-профессионала поможет комплекс программно-аппаратных средств. Например, специальный электронный ключ, вставляемый в свободный слот ПК, и специальные программные фрагменты, закладываемые в прикладные программы ПК, которые взаимодействуют с электронным ключом по известному только пользователю алгоритму. При отсутствии ключа эти программы не работают. Однако такой ключ неудобен в обращении, так как каждый раз приходится вскрывать системный блок ПК. В связи с этим его переменную часть – пароль – выводят на отдельное устройство, которое и становится собственно ключом, а считывающее устройство устанавливается на лицевую панель системного блока или выполняется в виде выносного отдельного устройства. Таким способом можно заблокировать и загрузку ПК, и программу контроля и разграничения доступа.

Определенную проблему представляет собой защита от НСД остатков информации, которые могут прочитать при наложении на старую запись новой информации на одном и том же носителе, а также при отказах аппаратуры.

Отходы носителей скапливаются в мусорной корзине. Поэтому во избежание утечки информации должны быть предусмотрены средства механического уничтожения отработанных носителей с остатками информации.

Отдельную проблему в защите ПО и информации составляет проблема защиты от программных вирусов.

Если ЭВМ работает в автономном режиме, проникновение вируса возможно только со стороны внешних носителей ПО и информации. Если ЭВМ является элементом вычислительной сети (или АСУ), то проникновение вируса возможно также и со стороны каналов связи. Поскольку этот вопрос представляет отдельную проблему, он рассмотрен ниже в специальном разделе.

Еще один уровень защиты от неквалифицированного нарушителя может быть обеспечен путем использованиякомпрессии данных

Однако наличие таких программных средств служит д я других целей – для восстановления испорченной вирусами или неосторожными действиями пользователей информации. Следовательно, их применение должно быть строго регламентировано и доступно только администратору системы. В последнее время появились методы защиты от анализа программ

Для создания замкнутой оболочки защиты информации в ЭВМ и объединения перечисленных средств в одну систему необходимы соответствующие средст управления и контроля. В зависимости от режима использования ЭВМ – автономного или сетевого (в составе сети – локальной, региональной или глобальной) – они будут носить различный характер.

В автономном режиме могут быть два варианта управления: однопользовательский и многопользовательский. В первом случае пользователь сам выполняет функции управления и контроля и несет ответственность за безопасность своей и доверяемой ему информации.

В многопользовательском режиме перечисленные функции рекомендуется поручить специальному должностному лицу. Им может быть один из пользователей или руководитель работ. При этом, однако, ключи шифрования и информация, закрытая ими другим пользователем, ему могут быть недоступны до момента передачи руководителю работ.

Следует отметить, что в автономном режиме функции контроля ослаблены из-за отсутствия механизма быстрого обнаружения НСД, так как это приходится осуществлять организационными мерами по инициативе человека. Следовательно, многопользовательский режим нежелателен с позиций безопасности и не рекомендуется для обработки важной информации.

В сетевом варианте можно автоматизировать процесс контроля и все перечисленные функции выполнять со специального рабочего места службы безопасности.

В сетевом варианте должностное лицо – пользователь может передавать сообщения и документы другому пользователю по каналам связи, и тогда возникает необходимость выполнять, в интересах безопасности передаваемой информации, дополнительные функции по обеспечению абонентского шифрования и цифровой подписи сообщений.

Заключение

В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие.

Столь же ярко демонстрирует повышение роли информации в производственных процессах появление в XX веке такого занятия, как промышленный шпионаж. Не материальные ценности, а чистая информация становится объектом похищения.

В прошлые века человек использовал орудия труда и машины для обработки материальных объектов, а информацию о процессе производства держал в голове. В XX столетии появились машины для обработки информации – компьютеры, роль которых все повышается.

С повышением значимости и ценности информации соответственно растёт и важность её защиты.

С одной стороны, информация стоит денег. Значит, утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.

Поэтому прежде чем защищать ту или иную информацию, следует подумать, а имеет ли это смысл. Прежде всего – с экономической точки зрения.

При построении защиты нужно руководствоваться следующим принципом. На защиту информации можно потратить средств не свыше необходимого. Необходимый же уровень определяется тем, чтобы затраты вероятного противника на преодоление защиты были выше ценности этой информации с точки зрения этого противника.

Основные выводы о способах использования рассмотренных выше средств, методов и мероприятий защиты, сводится к следующему:

1. Наибольший эффект достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм защиты информации.

2. Механизм защиты должен проектироваться параллельно с созданием систем обработки данных, начиная с момента выработки общего замысла построения системы.

3. Функционирование механизма защиты должно планироваться и обеспечиваться наряду с планированием и обеспечением основных процессов автоматизированной обработки информации.

4. Необходимо осуществлять постоянный контроль функционирования механизма защиты.

Цель курсовой работы достигнута.

Приложение

Возможные каналы несанкционированного доступа к информации ЭВМ и средства защиты, рекомендуемые для их перекрытия

№ п/п	Возможные каналы НСД	Средства защиты
1.	Дисплей, принтер, плоттер, графопостроитель
2.	Клавиатура, сканер, манипулятор «мышь»	Специальный электронный ключ в сочетании с фрагментами ПО Программа контроля и разграничения доступа (пароли) Средства защиты от отладочных программ Блокировка механическим замком включения электропитания Блокировка механическим замком механизма загрузки ПО
3.	Дисковод	Отдельное помещение с контролируемым доступом Применение ЭВМ без дисковода Установка механической крышки с механическим замком Средства защиты от вирусов Средства верификации НГМД Средства защиты от несанкционированной загрузки ПО Средства контроля целостности ПО
4.	ГМД, Стриммер	Отдельное помещение с контролируемым доступом Учет и регистрация Маркировка цветом Хранение в сейфах Стирание остатков информации Уничтожение остатков информации Компрессия данных Шифрование данных
5.	ЖМД	Отдельное помещение с контролируемым доступом Металлический шкаф с замком Средства контроля целостности ПО Стирание остаточной информации Уничтожение остаточной информации Шифрование данных
6.	Внутренний монтаж	Отдельное помещение с контролируемым доступом Блокировка снятия кожуха системного блока механическим замком
7.	ПЭМИН	Средства уменьшения и зашумления сигналов и установление границ контролируемой зоны
8.	Отходы носителей с информацией	Отдельное помещение с контролируемым доступом Средства уничтожения отходов носителей
9.	Документы	Отдельное помещение с контролируемым доступом Учет и регистрация документов

1.СПС «КонсультантПлюс». Федеральный закон «Об информации, информатизации и защите информации».

2.СПС «КонсультантПлюс». Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации В.В. Путиным и принята Советом безопасности Российской Федерации 12 сентября 2000 г.).

3.СПС «КонсультантПлюс». Федеральный закон «О государственной тайне».

4.Ю.Н. Максимов, В.Г. Сонников, В.Г. Петров и др. Технические методы и средства защиты информации. – СПб.: ООО «Издательство Полигон», 2000. – 320 с.

5.Дж. Макнамара. Секреты компьютерного шпионажа: Тактика и контрмеры. – М.: БИНОМ. Лаборатория знаний, 2004. – 536 с.

Веб-документы:

6.Федотов Н.Н. Защита информации. Учебный курс ( HTML‑версия). http://www.college.ru/UDP/texts/ (22 мая 2007 г.).

Судя по растущему количеству публикаций и компаний, профессионально занимающихся защитой информации в компьютерных системах, решению этой задачи придается большое значение. Одной из наиболее очевидных причин нарушения системы защиты является умышленный несанкционированный доступ (НСД) к конфиденциальной информации со стороны нелегальных пользователей и последующие нежелательные манипуляции с этой информацией. Защита информации – это комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Поскольку утрата информации может происходить по сугубо техническим, объективным и неумышленным причинам, под это определение подпадают также и мероприятия, связанные с повышением надежности сервера из-за отказов или сбоев в работе винчестеров, недостатков в используемом программном обеспечении и т.д.

Следует заметить, что наряду с термином "защита информации" (применительно к компьютерным сетям) широко используется, как правило, в близком значении, термин "компьютерная безопасность".

Переход от работы на персональных компьютерах к работе в сети усложняет защиту информации по следующим причинам:

большое число пользователей в сети и их переменный состав. Защита на уровне имени и пароля пользователя недостаточна для предотвращения входа в сеть посторонних лиц;

значительная протяженность сети и наличие многих потенциальных каналов проникновения в сеть;

уже отмеченные недостатки в аппаратном и программном обеспечении, которые зачастую обнаруживаются не на предпродажном этапе, называемом бета- тестированием, а в процессе эксплуатации. В том числе неидеальны встроенные средства защиты информации даже в таких известных и "мощных" сетевых ОС, как Windows NT или NetWare.

Остроту проблемы, связанной с большой протяженностью сети для одного из ее сегментов на коаксиальном кабеле, иллюстрирует рис. 9.1 . В сети имеется много физических мест и каналов несанкционированного доступа к информации в сети. Каждое устройство в сети является потенциальным источником электромагнитного излучения из-за того, что соответствующие поля, особенно на высоких частотах, экранированы неидеально. Система заземления вместе с кабельной системой и сетью электропитания может служить каналом доступа к информации в сети, в том числе на участках, находящихся вне зоны контролируемого доступа и потому особенно уязвимых. Кроме электромагнитного излучения, потенциальную угрозу представляет бесконтактное электромагнитное воздействие на кабельную систему. Безусловно, в случае использования проводных соединений типа коаксиальных кабелей или витых пар, называемых часто медными кабелями, возможно и непосредственное физическое подключение к кабельной системе. Если пароли для входа в сеть стали известны или подобраны, становится возможным несанкционированный вход в сеть с файл-сервера или с одной из рабочих станций. Наконец возможна утечка информации по каналам, находящимся вне сети:

хранилище носителей информации,

элементы строительных конструкций и окна помещений, которые образуют каналы утечки конфиденциальной информации за счет так называемого микрофонного эффекта,

телефонные, радио-, а также иные проводные и беспроводные каналы (в том числе каналы мобильной связи).

Рис. 9.1. Места и каналы возможного несанкционированного доступа к информации в компьютерной сети

Любые дополнительные соединения с другими сегментами или подключение к Интернет порождают новые проблемы. Атаки на локальную сеть через подключение к Интернету для того, чтобы получить доступ к конфиденциальной информации, в последнее время получили широкое распространение, что связано с недостатками встроенной системы защиты информации в протоколах TCP/IP. Сетевые атаки через Интернет могут быть классифицированы следующим образом:

Сниффер пакетов (sniffer – в данном случае в смысле фильтрация) – прикладная программа, которая использует сетевую карту, работающую в режиме promiscuous (не делающий различия) mode (в этом режиме все пакеты, полученные по физическим каналам, сетевой адаптер отправляет приложению для обработки).

IP-спуфинг (spoof – обман, мистификация) – происходит, когда хакер, находящийся внутри корпорации или вне ее, выдает себя за санкционированного пользователя.

Отказ в обслуживании (Denial of Service – DoS). Атака DoS делает сеть недоступной для обычного использования за счет превышения допустимых пределов функционирования сети, операционной системы или приложения.

Парольные атаки – попытка подбора пароля легального пользователя для входа в сеть.

Атаки типа Man-in-the-Middle – непосредственный доступ к пакетам, передаваемым по сети.

Атаки на уровне приложений.

Сетевая разведка – сбор информации о сети с помощью общедоступных данных и приложений.

Злоупотребление доверием внутри сети.

Несанкционированный доступ (НСД), который не может считаться отдельным типом атаки, так как большинство сетевых атак проводятся ради получения несанкционированного доступа.

Вирусы и приложения типа "троянский конь".

Классификация средств защиты информации

Защита информации в сети нарис. 9.1 . может быть улучшена за счет использования специальных генераторов шума, маскирующих побочные электромагнитные излучения и наводки, помехоподавляющих сетевых фильтров, устройств зашумления сети питания, скремблеров (шифраторов телефонных переговоров), подавителей работы сотовых телефонов и т.д. Кардинальным решением является переход к соединениям на основе оптоволокна, свободным от влияния электромагнитных полей и позволяющим обнаружить факт несанкционированного подключения.

В целом средства обеспечения защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые аппаратными средствами решают задачи защиты информации . Они либо препятствуют физическому проникновению, либо, если проникновение все же состоялось, доступу к информации, в том числе с помощью ее маскировки. Первую часть задачи решают замки, решетки на окнах, защитная сигнализация и др. Вторую – упоминавшиеся выше генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, "перекрывающих" потенциальные каналы утечки информации или позволяющих их обнаружить. Преимущества технических средств связаны с их надежностью, независимостью от субъективных факторов, высокой устойчивостью к модификации. Слабые стороны – недостаточная гибкость, относительно большие объем и масса, высокая стоимость.

Программные средства включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию. Недостатки – ограниченная функциональность сети, использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).

Смешанные аппаратно-программные средства реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства.

Организационные средства складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия). Преимущества организационных средств состоят в том, что они позволяют решать множество разнородных проблем, просты в реализации, быстро реагируют на нежелательные действия в сети, имеют неограниченные возможности модификации и развития. Недостатки – высокая зависимость от субъективных факторов, в том числе от общей организации работы в конкретном подразделении.

По степени распространения и доступности выделяются программные средства, поэтому далее они рассматриваются более подробно (см. "Стандартные методы шифрования и криптографические системы" и "Программные средства защиты информации"). Другие средства применяются в тех случаях, когда требуется обеспечить дополнительный уровень защиты информации .

Шифрование данных представляет собой разновидность программных средствзащиты информации и имеет особое значение на практике как единственная надежнаязащита информации , передаваемой по протяженным последовательным линиям, от утечки. Шифрование образует последний, практически непреодолимый "рубеж" защиты от НСД. Понятие "шифрование" часто употребляется в связи с более общим понятиемкриптографии .Криптография включает способы и средства обеспечения конфиденциальности информации (в том числе с помощью шифрования) и аутентификации.Конфиденциальность – защищенность информации от ознакомления с ее содержанием со стороны лиц, не имеющих права доступа к ней. В свою очередьаутентификация представляет собой установление подлинности различных аспектов информационного взаимодействия: сеанса связи, сторон (идентификация), содержания (имитозащита) и источника (установление авторства c помощью цифровой подписи).

Число используемых программ шифрования ограничено, причем часть из них являются стандартами де-факто или де-юре. Однако даже если алгоритм шифрования не представляет собой секрета, произвести дешифрование (расшифрование) без знания закрытого ключа чрезвычайно сложно. Это свойство в современных программах шифрования обеспечивается в процессе многоступенчатого преобразования исходной открытой информации (plain text в англоязычной литературе) с использованием ключа (или двух ключей – по одному для шифрования и дешифрования). В конечном счете, любой сложный метод (алгоритм) шифрования представляет собой комбинацию относительно простых методов.