Понятие «информация» сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.

С точки зрения потребителя, качество используемой информации позволяет получать дополнительный экономический или моральный эффект.

С точки зрения обладателя – сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации. При этом под безопасностью понимается состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз.

При хранении, поддержании и предоставлении доступа к любому информационному объекту его владелец либо уполномоченное им лицо накладывает явно либо самоочевидно набор правил по работе с ней. Умышленное их нарушение классифицируется как атака на информацию.

Каковы возможные последствия атак на информацию? В первую очередь, конечно, это экономические потери.

Раскрытие коммерческой информации может привести к серьезным прямым убыткам на рынке.

Известие о краже большого объема информации обычно серьезно влияет на репутацию фирмы, приводя косвенно к потерям в объемов торговых операций.

Фирмы-конкуренты могут воспользоваться кражей информации, если та осталась незамеченной, для того чтобы полностью разорить фирму, навязывая ей фиктивные либо заведомо убыточные сделки.

Подмена информации, как на этапе передачи, так и на этапе хранения в фирме может привести к огромным убыткам.

Многократные успешные атаки на фирму, предоставляющую какой-либо вид информационных услуг, снижают доверие к фирме у клиентов, что сказывается на объеме доходов.

Как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.

Защита информации – комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостность, доступность и, если нужно, конфиденциальность информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных).

Система называется безопасной, если она, используя соответствующие аппаратные и программные средства, управляет доступом к информации так, что только должным образом авторизованные лица или же действующие от их имени процессы получают право читать, писать, создавать и удалять информацию.

Абсолютно безопасных систем нет, поэтому говорят о надежной системе в смысле «система, которой можно доверять» (как можно доверять человеку). Система считается надежной, если она с использованием достаточных аппаратных и программных средств обеспечивает одновременную обработку информации разной степени секретности группой пользователей без нарушения прав доступа.

Основными критериями оценки надежности являются политика безопасности и гарантированность.

Политика безопасности, являясь активным компонентом защиты (включает в себя анализ возможных угроз и выбор соответствующих мер противодействия), отображает тот набор законов, правил и норм поведения, которым пользуется конкретная организация при обработке, защите и распространении информации.

Выбор конкретных механизмов обеспечения безопасности системы производится в соответствии со сформулированной политикой безопасности.

Гарантированность, являясь пассивным элементом защиты, отображает меру доверия, которое может быть оказано архитектуре и реализации системы (другими словами, показывает, насколько корректно выбраны механизмы, обеспечивающие безопасность системы).

В надежной системе должны регистрироваться все происходящие события, касающиеся безопасности (должен использоваться механизм подотчетности протоколирования, дополняющийся анализом запомненной информации, то есть аудитом).

Основные направления защиты информации – охрана государственной, коммерческой, служебной, банковской тайн, персональных данных и интеллектуальной собственности.

Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Соответствуют перечню сведений, составляющих государственную тайну, не входят в перечень сведений, не подлежащих засекречиванию, и отвечают законодательству РФ о государственной тайне (принцип законности);

Целесообразность засекречивания конкретных сведений установлена путем экспертной оценки вероятных экономических и иных последствий, возможности нанесения ущерба безопасности РФ, исходя из баланса жизненно важных интересов государства, общества и личности (принцип обоснованности);

Ограничения на распространение этих сведений и на доступ к ним установлены с момента их получения (разработки) или заблаговременно (принцип своевременности);

Компетентные органы и их должностные лица приняли в отношении конкретных сведений решение об отнесении их к государственной тайне и засекречивании и установили в отношении их соответствующий режим правовой охраны и защиты (принцип обязательной защиты).

Коммерческая тайна охраняется при содействии государства. Примером этого утверждения могут служить многочисленные факты ограничения доступа иностранцев в страну (в Китае – для защиты секретов производства фарфора), в отдельные отрасли экономики или на конкретные производства. В России к коммерческой тайне относили промысловую тайну, но затем она была ликвидирована как правовой институт в начале 30-х годов и в связи с огосударствлением отраслей экономики защищалась как государственная и служебная тайна. Сейчас начался обратный процесс.

Информация может составлять коммерческую тайну, если она отвечает следующим требованиям (критерии правовой охраны):

Имеет действительную или потенциальную коммерческую ценность в силу ее неизвестности третьим лицам;

Не подпадает под перечень сведений, доступ к которым не может быть ограничен, и перечень сведений, отнесенных к государственной тайне;

К ней нет свободного доступа на законном основании;

Обладатель информации принимает меры к охране ее конфиденциальности.

К коммерческой тайне не может быть отнесена информация:

Подлежащая раскрытию эмитентом ценных бумаг, профессиональным участником рынка ценных бумаг и владельцем ценных бумаг в соответствии с законодательством Российской Федерации о ценных бумагах;

Связанная с соблюдением экологического и антимонопольного законодательства, обеспечением безопасных условий труда, реализацией продукции, причиняющей вред здоровью населения, другими нарушениями законодательства Российской Федерации, законодательства субъектов Российской Федерации, а также содержащая данные о размерах причиненных при этом убытков;

О деятельности благотворительных организаций и иных некоммерческих организаций, не связанной с предпринимательской деятельностью;

О наличии свободных рабочих мест;

О хранении, использовании или перемещении материалов и использовании технологий, представляющих опасность для жизни и здоровья граждан или окружающей среды;

О реализации государственной программы приватизации и об условиях приватизации конкретных объектов;

О размерах имущества и вложенных средствах при приватизации;

О ликвидации юридического лица и о порядке и сроке подачи заявлений или требований его кредиторами;

Для которой определены ограничения по установлению режима коммерческой тайны в соответствии с федеральными законами и принятыми в целях их реализации подзаконными актами.

Основными субъектами права на коммерческую тайну являются обладатели коммерческой тайны, их правопреемники.

Обладатели коммерческой тайны – физические (независимо от гражданства) и юридические (коммерческие и некоммерческие организации) лица, занимающиеся предпринимательской деятельностью и имеющие монопольное право на информацию, составляющую для них коммерческую тайну.

Вся информация с точки зрения права делится на несколько основных сегментов:

1) Информация без ограничения права доступа. К такому рода информации, например, относится:

Информация общего пользования, предоставляемая пользователям бесплатно;

Информация о состоянии окружающей природной среды, ее загрязнении – сведения (данные), полученные в результате мониторинга окружающей природной среды, ее загрязнения (Федеральный закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия»);

Информация в области работ по хранению, перевозке, уничтожению химического оружия – сведения о состоянии здоровья граждан и объектов окружающей среды в районах размещения объектов по хранению химического оружия и объектов по уничтожению химического оружия, мероприятиях по обеспечению химической, санитарно-гигиенической, экологической и пожарной безопасности при проведении работ по хранению, перевозке и уничтожению химического оружия, а также о мерах по предотвращению возникновения чрезвычайных ситуаций и ликвидации их последствий при выполнении указанных работ, предоставляемая по запросам граждан и юридических лиц, в том числе общественных объединений (Федеральный закон от 2 мая 1997 г. № 76-ФЗ «Об уничтожении химического оружия», статья 1.2).

Информация, содержащая сведения об обстоятельствах и фактах, представляющих угрозу жизни, здоровью граждан, не подлежит засекречиванию, не может быть отнесена к тайне.

2) Информация с ограниченным доступом – государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, профессиональная тайна и персональные данные как институт охраны права неприкосновенности частной жизни.

3) Информация, распространение которой наносит вред интересам общества, законным интересам и правам граждан, – порнография; информация, разжигающая национальную, расовую и другую рознь; пропаганда и призывы к войне, ложная реклама, реклама со скрытыми вставками и т. п. – так называемая «вредная» информация.

4) Объекты интеллектуальной собственности (то, что не может быть отнесено к информации с ограниченным доступом, но охраняется особым порядком через институты интеллектуальной собственности – авторское право, патентное право, средства индивидуализации и т. п. Исключение составляют ноу-хау, которые охраняются в режиме коммерческой тайны).

Компьютерные преступления чрезвычайно многогранные и сложные явления. Объектами таких преступных посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты или программное обеспечение и базы данных, для которых технические средства являются окружением; компьютер может выступать как предмет посягательств или как инструмент.

Виды компьютерных преступлений чрезвычайно многообразны. Это и несанкционированный доступ к информации, хранящейся в компьютере, и ввод в программное обеспечение «логических бомб», которые срабатывают при выполнении определенных условий и частично или полностью выводят из строя компьютерную систему, и разработка и распространение компьютерных вирусов, и хищение компьютерной информации. Компьютерное преступление может произойти также из-за небрежности в разработке, изготовлении и эксплуатации программно-вычислительных комплексов или из-за подделки компьютерной информации.

Среди всего набора методов защиты информации выделяют следующие:

Рисунок 11.1. Классификация методов защиты информации в компьютерных системах

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будут размещаться компьютеры; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности компьютерной системы.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей. В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты (хотя далеко не все).

Инженерно-техническая защита (ИТЗ) – это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.

Например, средства инженерно-технической защиты можно рассматривать по объектам их воздействия. В этом плане они могут применяться для защиты людей, материальных средств, финансов, информации.

Многообразие классификационных характеристик позволяет рассматривать инженерно-технические средства по объектам воздействия, характеру мероприятий, способам реализации, масштабу охвата, классу средств злоумышленников, которым оказывается противодействие со стороны службы безопасности.

По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

1. физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации (рис. 16) и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

2. аппаратные средства – приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. В практике деятельности предприятия находит широкое применение самая различная аппаратура, начиная с телефонного аппарата до совершенных автоматизированных систем, обеспечивающих производственную деятельность. Основная задача аппаратных средств – обеспечение стойкой защиты информации от разглашения, утечки и несанкционированного доступа через технические средства обеспечения производственной деятельности;

3. программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбор, накопление, хранение, обработка и передача) данных;

4. криптографические средства – это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Физические средства защиты – это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радио– и радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

1) охрана территории предприятия и наблюдение за ней;

2) охрана зданий, внутренних помещений и контроль за ними;

3) охрана оборудования, продукции, финансов и информации;

4) осуществление контролируемого доступа в здания и помещения.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов – это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и т. д.). Средства пожаротушения относятся к системам ликвидации угроз.

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

1) проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

2) выявление каналов утечки информации на разных объектах и в помещениях;

3) локализация каналов утечки информации;

4) поиск и обнаружение средств промышленного шпионажа;

5) противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как:

1) средства собственной защиты, предусмотренные общим программным обеспечением;

2) средства защиты в составе вычислительной системы;

3) средства защиты с запросом информации;

4) средства активной защиты;

5) средства пассивной защиты и другие.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации, в частности такие:

1) защита информации от несанкционированной доступа;

2) защита информации от копирования;

3) защита программ от копирования;

4) защита программ от вирусов;

5) защита информации от вирусов;

6) программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

1) идентификации технических средств, файлов и аутентификации пользователей;

2) регистрации и контроля работы технических средств и пользователей;

3) обслуживания режимов обработки информации ограниченного пользования;

4) защиты операционных средств ЭВМ и прикладных программ пользователей;

5) уничтожения информации в защитные устройства после использования;

6) сигнализирующих нарушения использования ресурсов;

7) вспомогательных программ защиты различного назначения.

Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

1) идентификация субъектов и объектов;

2) разграничение (иногда и полная изоляция) доступа к вычислительным ресурсам и информации;

3) контроль и регистрация действий с информацией и программами.

Наиболее распространенным методом идентификации является парольная идентификация. Однако практика показывает, что парольная защита данных является слабым звеном, так как пароль можно подслушать или подсмотреть, перехватить или просто разгадать.

Средства защиты от копирования предотвращают использование ворованных копий программного обеспечения и являются в настоящее время единственно надежным средством – как защищающим авторское право программистов-разработчиков, так и стимулирующих развитие рынка. Под средствами защиты от копирования понимаются средства, обеспечивающие выполнение программой своих функций только при опознании некоторого уникального некопируемого элемента. Таким элементом (называемым ключевым) может быть дискета, определенная часть компьютера или специальное устройство, подключаемое к персональному компьютеру. Защита от копирования реализуется выполнением ряда функций, являющихся общими для всех систем защиты:

1. Идентификация среды, из которой будет запускаться программа (дискета или ПК);

2. Аутентификация среды, из которой запущена программа;

3. Реакция на запуск из несанкционированной среды;

4. Регистрация санкционированного копирования;

5. Противодействие изучению алгоритмов работы системы.

Вредительские программы и, прежде всего, вирусы представляют очень серьезную опасность при хранении на ПЭВМ конфиденциальной информации. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. Знание механизмов действия вирусов, методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и потерь от их воздействия.

«Компьютерные вирусы» – это небольшие исполняемые или интерпретируемые программы, обладающие свойством распространения и самовоспроизведения (репликации) в компьютерной системе. Вирусы могут выполнять изменение или уничтожение программного обеспечения или данных, хранящихся в ПЭВМ. В процессе распространения вирусы могут себя модифицировать.

В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам:

– по среде обитания вируса,

– по способу заражения среды обитания,

– по деструктивным возможностям,

– по особенностям алгоритма вируса.

Массовое распространение вирусов, серьезность последствий их воздействия на ресурсы компьютеров вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач:

– обнаружение вирусов в КС,

– блокирование работы программ-вирусов,

– устранение последствий воздействия вирусов.

Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных вирусов.

При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

– удаление вирусов,

– восстановление (при необходимости) файлов, областей памяти.

Для борьбы с вирусами используются программные и аппаратно-программные средства, которые применяются в определенной последовательности и комбинации, образуя методы борьбы с вирусами.

Самым надежным методом защиты от вирусов является использование аппаратно-программных антивирусных средств. В настоящее время для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине. Это позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускается. Таким образом, можно установить защиту на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.

При выполнении запретных действий любой программой контроллер выдает соответствующее сообщение пользователю и блокирует работу ПЭВМ.

Аппаратно-программные антивирусные средства обладают рядом достоинств перед программными:

– работают постоянно;

– обнаруживают все вирусы, независимо от механизма их действия;

– блокируют неразрешенные действия, являющиеся результатом работы вируса или неквалифицированного пользователя.

Недостаток у этих средств один – зависимость от аппаратных средств ПЭВМ. Изменение последних ведет к необходимости замены контроллера.

Современные программные антивирусные средства могут осуществлять комплексную проверку компьютера на предмет выявления компьютерных вирусов. Для этого используются такие антивирусные программы как – Kaspersky Anti-Virus (AVP), Norton Antivirus, Dr. Web, Symantec Antivirus. Все они имеют антивирусные базы, которые периодически обновляются.

Криптография как средство защиты (закрытия) информации приобретает все более важное значение в мире коммерческой деятельности.

Криптография имеет достаточно давнюю историю. Вначале она применялась главным образом в области военной и дипломатической связи. Теперь она необходима в производственной и коммерческой деятельности. Если учесть, что сегодня по каналам шифрованной связи только у нас в стране передаются сотни миллионов сообщений, телефонных переговоров, огромные объемы компьютерных и телеметрических данных, и все это не для чужих глаз и ушей, становится ясным: сохранение тайны этой здесь крайне необходимо.

Криптография включает в себя несколько разделов современной математики, а также специальные отрасли физики, радиоэлектроники, связи и некоторых других смежных отраслей. Ее задачей является преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц. То есть криптография должна обеспечить такую защиту секретной (или любой другой) информации, что даже в случае ее перехвата посторонними лицами и обработки любыми способами с использованием самых быстродействующих ЭВМ и последних достижений науки и техники, она не должна быть дешифрована в течение нескольких десятков лет. Для такого преобразования информации используются различные шифровальные средства – такие, как средства шифрования документов, в том числе и портативного исполнения, средства шифрования речи (телефонных и радиопереговоров), телеграфных сообщений и передачи данных.

Исходная информация, которая передается по каналам связи, может представлять собой речь, данные, видеосигналы, называется незашифрованными сообщениями Р.

В устройстве шифрования сообщение Р шифруется (преобразуется в сообщение С) и передается по «незакрытому» каналу связи. На приемной стороне сообщение С дешифруется для восстановления исходного значения сообщения Р.

Параметр, который может быть применен для извлечения отдельной информации, называется ключом.

Если в процессе обмена информацией для шифрования и чтения использовать один тот же ключ, то такой криптографический процесс называется симметричным. Его основным недостатком является то, что прежде, чем начать обмен информацией, нужно выполнить передачу ключа, а для этого необходима защищенная связь.

В настоящее время при обмене данными по каналам связи используется несимметричное криптографическое шифрование, основанное на использовании двух ключей. Это новые криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого.

В криптографии с открытым ключом имеются, по крайней мере, два ключа, один из которых невозможно вычислить из другого. Если ключ расшифрования вычислительными методами невозможно получить из ключа зашифрования, то секретность информации, зашифрованной с помощью несекретного (открытого) ключа, будет обеспечена. Однако этот ключ должен быть защищен от подмены или модификации. Ключ расшифрования также должен быть секретным и защищен от подмены или модификации.

Если, наоборот, вычислительными методами невозможно получить ключ зашифрования из ключа расшифрования, то ключ расшифрования может быть не секретным.

Ключи устроены таким образом, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой. Создав пару ключей, компания широко распространяет открытый (публичный) ключ и надежно охраняет закрытый (личный) ключ.

Защита публичным ключом не является абсолютно надежной. Изучив алгоритм ее построения можно реконструировать закрытый ключ. Однако знание алгоритма еще не означает возможность провести реконструкцию ключа в разумно приемлемые сроки. Исходя из этого, формируется принцип достаточности защиты информации: защиту информации принято считать достаточной, если затраты на ее преодоление превышают ожидаемую стоимость самой информации. Этим принципом руководствуются при несимметричном шифровании данных.

Разделение функций зашифрования и расшифрования посредством разделения на две части дополнительной информации, требуемой для выполнения операций, является той ценной идеей, которая лежит в основе криптографии с открытым ключом.

Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности, – единственным средством защиты от хищений.

Под информационной безопасностью понимают состояние информационной защищенности среды общества от внутренних и внешних угроз, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств (Закон РФ «Об участии в международном информационном обмене»).

К системе безопасности информации предъявляются определенные требования:

– четкость определения полномочий и прав пользователей на доступ к определенным видам информации;

– предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;

– сведение к минимуму числа общих для нескольких пользователей средств защиты;

– учет случаев и попыток несанкционированного доступа к конфиденциальной информации;

– обеспечение оценки степени конфиденциальной информации;

– обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя.

Под системой безопасности понимают организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.

С точки зрения информационной безопасности информация обладает следующими категориями:

1. Конфиденциальность – гарантия того, что конкретная информация доступна только тому кругу лиц, для которого она предназначена; нарушение этой категории называется хищением либо раскрытием информации.

2. Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений; нарушение этой категории называется фальсификацией сообщения.

3. Ааутентичность – гарантия того, что источником информации является именно то лицо, которое заявлено как ее автор; нарушение этой категории также называется фальсификацией, но уже автора сообщения.

4. Апеллируемость – довольно сложная категория, но часто применяемая в электронной коммерции – гарантия того, что при необходимости можно будет доказать, что автором сообщения является именно заявленный человек, и не может являться никто другой; отличие этой категории от предыдущей в том, что при подмене автора, кто-то другой пытается заявить, что он автор сообщения, а при нарушении апеллируемости – сам автор пытается «откреститься» от своих слов, подписанных им однажды.

Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями.

Такими действиями являются:

Ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

Модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

Разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

Действия, приводящие к неправомерному овладению конфиденциальной информацией:

1. Разглашение – это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

2. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

3. Несанкционированный доступ – это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

1. Почему необходимо защищать информацию?

2. Что понимается под защитой информации?

3. Какую систему можно назвать безопасной?

4. Что такое государственная тайна?

5. Какие сведения можно отнести к государственной тайне?

6. Что такое коммерческая тайна?

7. Какая информация составляет коммерческую тайну?

8. Что не относится к коммерческой тайне?

9. Какие уровни доступа к информации регламентированы российским законодательством?

10. Как подразделяются методы защиты информации?

11. Чем характеризуются организационно-правовые методы и средства защиты информации?

12. Какие инженерно-технические методы и средства используются при защите информации?

13. Как защитить информацию от несанкционированного доступа?

14. Что такое «компьютерный вирус»?

15. Как классифицируются компьютерные вирусы?

16. Какие средства используются для антивирусной защиты?

17. С помощью чего вирус может попасть в компьютер?

18. Как защищают информацию от копирования?

19. На чем основаны криптографические методы и средства защиты информации?

20. Как осуществляется несимметричное шифрование данных?

21. Что понимается под информационной безопасностью?

23. Что такое угрозы информационной безопасности?

24. Какие действия приводят к неправомерному овладению информацией?

1. Маскировка - метод защиты процесса переработки информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

2. Регламентация - метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

3. Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

4. Побуждение - такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические.

Средства обеспечения безопасности процессов переработки информации, используемые для создания механизма зашиты, подразделяются на:

Формальные (выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека);

Неформальные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

К формальным средствам защиты относятся:

1. Технические средства (электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.

Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.

Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.)

2. Программные средства - это программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Если рассматривать неформальные средства защиты, можно выделить:

– организационные (представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты обработки информации). Охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытание, эксплуатация);

– законодательные, которые определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил;

– морально-этические, которые реализуются в виде всевозможных норм, сложившихся традиционно или складывающихся по мере распространения вычислительной техники и средств связи в обществ. Подобные нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.

Для реализации мер безопасности используются различные механизмы шифрования (криптографии ).

Криптография - это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Сущность криптографических методов заключается в следующем: готовое к передаче сообщение - будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным, текстом (сообщением). В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст.

Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст. Метод преобразования в криптографической системе определяется используемым специальным алгоритмом, действие которого определяется уникальным числом или битовой последовательностью, обычно называемым шифрующим ключом .

Шифрование может быть симметричным и асимметричным . Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования - другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.

Информацией являются любые данные, находящиеся в памяти вычислительной системы, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, различные данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом - информация.

Информация:

Информация свободного доступа

Информация ограниченного доступа

1. Конфиденциальная информация

   Секретная информация

Конфиденциальная (confidential, частный) – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, промышленной тайне и других законодательных актов. Собственник информации может самостоятельно установить ее статус как конфиденциальной (например, личная тайна). Требует безусловной защиты.

Служебная тайна - сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:

информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;

данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);

документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.

Информация секретная – информация, содержащая в соответствии с законом о Гос. Тайне сведения, составляющие таковую. Требует самой высокой степени защиты

Гос тайна – защищаемые государством сведения в области его военной, оборонной, внешнеполитической, экономической, разведывательной и т.п. деятельности, распространение которых может нанести ущерб безопасности государства. Распространение ГОС СЕКРЕТОВ регулируется государством и контролируется спецслужбами.

Виды информации ограниченного доступа

И нформационнаяб езопасность (ИБ) – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущерб владельцам, и пользователям информации.

ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.

НСД - НеСанкционированный Доступ -unauthorizedaccessОдно из наиболее распространенных и разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.

ИБ должна обеспечивать:

целостность данных –под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

2. конфиденциальность информации -это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)

3. доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.

Основные направления деятельности по защите информации

Принципы построения систем защиты информации (информационной безопасности)

Системность

Комплексность

Непрерывность защиты

Разумная достаточность

Гибкость управления и применения

Открытость алгоритмов и механизмов защиты

Простота применения защитных методов и средств

Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой - резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.

Принципы защиты информации от НСД

Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:

Прицип обоснованности доступа заключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.

Принцип разграничения - для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации

Принцип чистоты ресурсов заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности - каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей

Принцип целостности средств защиты подразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования.

2. Методы и средства защиты информации

Методы защиты информации

препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации

управление доступом – метод определения и распределения ресурсов системы санкционированным пользователям

шифрование - метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

регламентация – метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

побуждение - метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

Средства

технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится нааппаратные ифизические .

Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.

Физические средства защиты:

обеспечивают безопасность помещений, где размещены серверы сети;

ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

обеспечивают защиту от сбоев электросети.

программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Стандартные защищенные программные средства:

Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам - управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация " иногда используют словосочетание "проверка подлинности".

Регистрация и анализ событий, происходящих в системе - обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

Криптографическое закрытие информации

Защита от внешних вторжений - брандмауэры

Защита от компьютерных вирусов - антивирусные пакеты,антиспамовые фильтры

Средства резервного копирования и восстановления данных

аппаратно-программные средства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

морально-этические средства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.

законодательные – средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

По сво­ему функ­ци­о­наль­но­му на­зна­че­нию ме­то­ды и сред­ст­ва ин­фор­ма­ци­он­ной бе­з­о­па­с­но­сти мо­ж­но раз­де­лить на следующие разновидности:

Методы и средства пре­ду­п­ре­ж­де­ния - пред­на­зна­че­ны для со­з­да­ния та­ких ус­ло­вий, при ко­то­рых воз­мо­ж­ность по­я­в­ле­ния и ре­а­ли­за­ции де­с­та­би­ли­зи­ру­ю­щих фа­к­то­ров (уг­роз) ис­к­лю­ча­ет­ся или сво­дит­ся к ми­ни­му­му;

Методы и средства об­на­ру­же­ния - пред­на­зна­че­ны для об­на­ру­же­ния по­я­вив­ших­ся уг­роз или воз­мо­ж­но­сти их по­я­в­ле­ния и сбо­ра до­по­л­ни­тель­ной ин­фор­ма­ции;

Методы и средства ней­т­ра­ли­за­ции - пред­на­зна­че­ны для ус­т­ра­не­ния по­я­вив­ших­ся уг­роз;

Методы и средства вос­ста­но­в­ле­ния - пред­на­зна­че­ны для вос­ста­но­в­ле­ния нор­маль­ной ра­бо­ты защищаемой системы (иногда и самой системы защиты).

При использовании любой информационной технологии следует обращать внимание на наличие средств защиты данных, программ, компьютерных систем.

Безопасность данных включает обеспечение достоверности данных и защиту данных и программ от несанкционированного доступа, копирования, изменения.

Достоверность данных контролируется на всех этапах технологического процесса эксплуатации ЭИС. Различают визуальные и программные методы контроля.Визуальный контроль выполняется на домашинном и заключительном этапах.Программный – на внутримашинном этапе. При этом обязателен контроль при вводе данных, их корректировке, т.е. везде, где есть вмешательство пользователя в вычислительный процесс. Контролируются отдельные реквизиты, записи, группы записей, файлы.Программные средства контроля достоверности данных закладываются на стадии рабочего проектирования.

Защита данных и программ от несанкционированного доступа, копирования, изменения реализуется программно-аппаратными методами и технологическими приемами. К программно-аппаратным средствам защиты относят пароли, электронные ключи, электронные идентификаторы, электронную подпись, средства кодирования, декодирования данных. Для кодирования, декодирования данных, программ и электронной подписи используются криптографические методы. Например, в США применяется криптографический стандарт, разработанный группой IETF . Экспорту он не подлежит. Разработаны в том числе и отечественные электронные ключи, например, Novex Key для защиты программ и данных в системах Windows , DOS , Netware . Средства защиты аналогичны, по словам специалистов, дверному замку. Замки взламываются, но никто не убирает их с двери, оставив квартиру открытой.

Технологический контроль заключается в организации многоуровневой системы защиты программ и данных как средствами проверки паролей, электронных подписей, электронных ключей, скрытых меток файла, использованием программных продуктов, удовлетворяющих требованиям компьютерной безопасности, так и методами визуального и программного контроля достоверности, целостности, полноты данных.

Безопасность обработки данных зависит от безопасности использования компьютерных систем. Компьютерной системой называется совокупность аппаратных и программных средств, различного рода физических носителей информации, собственно данных, а также персонала, обслуживающего перечисленные компоненты.

В настоящее время в США разработанстандарт оценок безопасности компьютерных систем – критерии оценок пригодности. В нем учитываются четыре типа требований к компьютерным системам:

· требования к проведению политики безопасности – security policy ;

· ведение учета использования компьютерных систем – accounts ;

· доверие к компьютерным системам;

· требования к документации.

Требования к проведению последовательнойполитики безопасности и ведение учета использования компьютерных систем зависят друг от друга и обеспечиваются средствами, заложенными в систему, т.е. решение вопросов безопасности включается в программные и аппаратные средства на стадии проектирования.

Нарушениедоверия к компьютерным системам, как правило, бывает вызвано нарушением культуры разработки программ: отказом от структурного программирования, неисключением заглушек, неопределенным вводом и т.д. Для тестирования на доверие нужно знать архитектуру приложения, правила устойчивости его поддержания, тестовый пример.

Требования к документации означают, что пользователь должен иметь исчерпывающую информацию по всем вопросам. При этом документация должна быть лаконичной и понятной.

Только после оценки безопасности компьютерной системы она может поступить на рынок.

Во время эксплуатации ИС наибольший вред и убытки приносят вирусы. Защиту от вирусов можно организовать так же, как и защиту от несанкционированного доступа. Технология защиты является многоуровневой и содержит следующие этапы:

1. Входной контроль нового программного обеспечения или дискеты, который осуществляется группой специально подобранных детекторов, ревизоров и фильтров. Например, в состав группы можно включить Scan , Aidstest , TPU 8CLS . Можно провести карантинный режим. Для этого создается ускоренный компьютерный календарь. При каждом следующем эксперименте вводится новая дата и наблюдается отклонение в старом программном обеспечении. Если отклонения нет, то вирус не обнаружен.

2. Сегментация жесткого диска. При этом отдельным разделам диска присваивается атрибут Read Only . Для сегментации можно использовать, например, программу Manager и др.

3. Систематическое использование резидентных, программ-ревизо­ров и фильтров для контроля целостности информации, например Check 21, SBM , Antivirus 2 и т.д.

4. Архивирование. Ему подлежат и системные, и прикладные программы. Если один компьютер используется несколькими пользователями, то желательно ежедневное архивирование. Для архивирования можно использовать PKZIP и др.

Эффективность программных средств защиты зависит отправильности действий пользователя, которые могут быть выполнены ошибочно или со злым умыслом. Поэтому следует предпринять следующие организационные меры защиты:

· общее регулирование доступа, включающее систему паролей и сегментацию винчестера;

· обучение персонала технологии защиты;

· обеспечение физической безопасности компьютера и магнитных носителей;

· выработка правил архивирования;

· хранение отдельных файлов в шифрованном виде;

· создание плана восстановления винчестера и испорченной информации.

Для шифровки файлов и защиты от несанкционированного копирования разработано много программ, например Catcher , Exeb и др. Одним из методов защиты являетсяскрытая метка файла : метка (пароль) записывается в сектор на диске, который не считывается вместе с файлом, а сам файл размещается с другого сектора, тем самым файл не удается открыть без знания метки.

Восстановление информации на винчестере – трудная задача, доступная системным программистам с высокой квалификацией. Поэтому желательно иметь несколько комплектов дискет для архива винчестера и вестициклическую запись на эти комплекты. Например, для записи на трех комплектах дискет можно использовать принцип «неделя-месяц-год». Периодически следует оптимизировать расположение файлов на винчестере с помощью утилиты Speed Disk и т.п., что существенно облегчает их восстановление.

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

• Потеря информации вследствие повреждения носителей – жестких дисков;
• Ошибки в работе программных средств;
• Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

• Препятствие;
• Маскировка;
• Регламентация;
• Управление;
• Принуждение;
• Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии , при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

• Физические;
• Программные и аппаратные;
• Организационные;
• Законодательные;
• Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

• D – нулевой уровень безопасности;
• С – системы с произвольным доступом;
• В – системы с принудительным доступом;
• А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

• Снабжение метками секретности всех ресурсов системы;
• Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
• Структурирование доверенной вычислительной базы на хорошо определенные модули;
• Формальную политику безопасности;
• Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или .

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем: