Меню
ГлавнаяWord

Классификация мер защиты информации. Правовые меры защиты

Технические меры защиты

Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что они являются фундаментом, на котором строится вся система защиты.

Организационные меры защиты

Вопрос 3. Классификация мер защиты информации

Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические.

К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных мер, к организационным мерам относятся:

· исключение случаев ведения особо важных работ только одним человеком;

· наличие плана восстановления работоспособности центра после выхода его из строя;

· организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

· универсальность средств защиты от всех пользователей (включая высшее руководство);

· возложение ответственности на лицо, которое должно обеспечить безопасность центра;

· выбор места расположения центра и т.п.

Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

· просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

· знакомиться с должностными инструкциями каждого сотрудника;

· определять возможные каналы утечки информации;


· намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи. Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

· источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

· устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

· устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

· устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.д. и т.п.);

· устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

· средства охранно-пожарной сигнализации;

· средства защиты портов компьютерной техники.

Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

· пароли доступа;

· защита массивов информации;

· защита от вирусов;

· защита программ;

· защита баз данных;

· криптографические методы защиты.

Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом. Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

К правовым мерам защиты компьютерной информации и, в конечном итоге, обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ. Правовые средства защиты информации представляют собой комплекс гражданско-правовых, административно-правовых и уголовно-правовых норм, регулирующих общественные отношения в сфере использования компьютерной информации и устанавливающих ответственность за несанкционированное использование данных программных средств .

Наиболее важными направлениями этой деятельности являются:

· разработка нормативной правовой базы в области обеспечения информационной безопасности Российской Федерации;

· создание условий для реализации прав граждан и общественных объединений на разрешенную законом деятельность в информационной сфере;

· определение и поддержание баланса между потребностью граждан, общества и государства в свободном обмене информацией и необходимыми ограничениями на распространение информации;

· оценка состояния информационной безопасности Российской Федерации, выявление источников внутренних и внешних угроз информационной безопасности, определение приоритетных направлений предотвращения, отражения и нейтрализации этих угроз;

· контроль деятельности федеральных органов государственной власти и органов государственной власти субъектов Российской Федерации, государственных и межведомственных комиссий, участвующих в решении задач обеспечения информационной безопасности Российской Федерации;

· предупреждение, выявление и пресечение правонарушений, связанных с посягательствами на законные интересы граждан, общества и государства в информационной сфере, на осуществление судопроизводства по делам о преступлениях в этой области;

· защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти и органах государственной власти субъектов Российской Федерации, на предприятиях оборонного комплекса;

· обеспечение контроля за созданием и использованием средств защиты информации посредством обязательного лицензирования деятельности в данной сфере и сертификации средств защиты информации.

Кроме того, к правовым мерам можно отнести комплекс мер, обеспечивающих соблюдение авторского права. К ним относятся документация, сопровождающая любой программный продукт, которая может выполнять функции защиты. Этому способствуют следующие факторы: ее репродуцирование стоит достаточно дорого, особенно если оригинал выполнен в цвете и не может быть качественно воспроизведен одноцветным копировальным устройством. Можно упомянуть упаковку программного продукта, выполняющую те же функции, что и документация. Одновременно применяется целый комплекс технических мер, препятствующих копированию программного обеспечения.

Все меры противодействия компьютерным преступлениям можно условно подразделить на технические, организационные и правовые .

Возможна и другая классификация, при которой все меры подразделяются на правовые, организационно-технические и экономические 14 .

К экономическим мерам защиты компьютерной информации относится разработка программ обеспечения информационной безопасности России и определение порядка их финансирования, а также совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических мер защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

11.3.1. Организационные меры защиты

Организационные меры защиты информации и информационных систем включают в себя совокупность организационных мероприятий по подбору, проверке и инструктажу персонала, осуществлению режима секретности, обеспечению физической охраны объектов . Кроме вышеперечисленных к организационным мерам относятся:

    исключение случаев ведения особо важных работ только одним человеком;

    наличие плана восстановления работоспособности центра после выхода его из строя;

    организация обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра;

    универсальность средств защиты от всех пользователей (включая высшее руководство);

    возложение ответственности на лицо, которое должно обеспечить безопасность центра;

    выбор места расположения центра и т.п.

Организационные мероприятия рассматриваются многими специалистами, занимающимися вопросами безопасности компьютерных систем, как наиболее важные и эффективные из всех средств защиты. Это связано с тем, что ониявляются фундаментом, на котором строится вся система защиты 15 .

Применяемые в отдельных предприятиях, организациях и учреждениях, фирмах, компаниях организационные меры защиты информации включают использование паролей и других средств, исключающих доступ к программным и информационным файлам, а также другие меры, которые в массовом масштабе не реализуются. В целях исключения неправомерного доступа к компьютерной информации предприятий, организаций и учреждений, фирм, компаний необходимо периодически реализовывать следующие организационные мероприятия :

    просматривать всю документацию соответствующего учреждения, организации, фирмы, компании;

    знакомиться с должностными инструкциями каждого сотрудника;

    определять возможные каналы утечки информации;

    намечать реальные мероприятия по ликвидации слабых звеньев в защите информации.

11.3.2. Технические меры защиты

К техническим мерам можно отнести защиту от несанкционированного доступа к компьютерной системе, резервирование важных компьютерных систем, принятие конструкционных мер защиты от хищений и диверсий, обеспечение резервным электропитанием, разработку и реализацию специальных программных и аппаратных комплексов безопасности и т.д .

Все технические методы подразделяются на аппаратные, программные и комплексные. Аппаратные методы предназначены для защиты от неправомерного доступа аппаратных средств и средств связи.Аппаратные средства и методы защиты реализуются путем применения различных технических устройств специального назначения. К ним относятся:

    источники бесперебойного питания аппаратуры, а также различные устройства стабилизации, предохраняющие от резких скачкообразных перепадов напряжения и пиковых нагрузок в сети электропитания;

    устройства экранирования аппаратуры, линий проводной связи и помещений, в которых находится компьютерная техника;

    устройства определения и фиксации номера вызывающего абонента, работающие по принципу обычного телефонного автоматического определителя номера (АОН);

    устройства, обеспечивающие только санкционированный физический доступ пользователя на охраняемые объекты средств компьютерной техники (шифрозамки, устройства идентификации личности и т.п.);

    устройства идентификации и фиксации терминалов пользователей при попытках несанкционированного доступа к компьютерной сети;

    средства охранно-пожарной сигнализации;

    средства защиты портов компьютерной техники.

Говоря о мерах защиты персональных компьютеров, необходимо назвать ключи блокировки, применяемые для опознания пользователей. Заметим, что эффективность защиты возрастает при использовании совокупности технических методов опознания пользователей и паролей доступа. Своеобразным ключом блокировки может являться специальное внешнее устройство, находящееся непосредственно у пользователя, приемная часть которого монтируется непосредственно в персональный компьютер и за счет блокировки обеспечивает доступ к ресурсам персонального компьютера. Ключевым блокирующим устройством должно быть как средство идентификации личности по физическим параметрам, так и средство аутентификации.

Незаконное копирование данных с машинных носителей или непосредственно из оперативного запоминающего устройства предотвращается с помощью специального кодирования хранящейся и обрабатываемой информации. Кодирование может производиться с помощью соответствующих подпрограмм и дополнительного кодирующего оборудования. Кодирование в этом случае используется как мера защиты и безопасности данных не только при хранении и обработке информации в персональном компьютере, но и при передаче данных от одного вычислительного комплекса к другому.

Практическое использование технических мер по защите данных показало, что одна треть предлагаемого производителями программного обеспечения для персональных компьютеров не имеет защиты информации. В остальных же случаях эти меры в основном ограничиваются программным контролем подлинности пользователя.

Программные методы защиты предназначены, для непосредственной защиты машинной информации, программных средств, компьютерной техники от несанкционированного ознакомления с ней пользователей, не имеющих допуска. Кроме того, программные средства защиты должны обеспечивать контроль за правильностью осуществления процессов ввода, вывода, обработки, записи, стирания, чтения и передачи информации по каналам связи. Все программные методы защиты подразделяются на следующие виды:

    пароли доступа;

    защита массивов информации;

    защита от вирусов;

    защита программ;

    защита баз данных;

    криптографические методы защиты.

Обеспечение защиты компьютерной информации должно представлять совокупность различных мероприятий, осуществляемых как во время разработки, так и на всех этапах эксплуатации системы автоматизированной обработки данных .

Для защиты информации при ее передаче обычно используют различные способы шифрования данных перед их вводом в канал связи или на физический носитель с последующей расшифровкой, в том числе криптографические. Как показывает практика, такие способы шифрования позволяют достаточно надежно скрыть смысл сообщения.

Для ограничения доступа к информационным ресурсам используются средства регистрации и средства контроля. Средства контроля доступа предназначены непосредственно для защиты, а задача средств регистрации заключается в обнаружении и фиксации уже совершенных действий преступника или попыток их совершения.

Возможна идентификация пользователя по электронной подписи, что регламентировано федеральным законом 16 . Электронная подпись дает возможность не только гарантировать аутентичность документа в части его авторства, но и установить неискаженность (целостность) содержащейся в нем информации, а также зафиксировать попытки подобного искажения. Переданный получателю подписанный документ состоит из текста, электронной подписи и сертификата пользователя. Последний содержит в себе гарантированно подлинные данные пользователя, в том числе его отличительное имя и открытый ключ расшифрования для проверки подписи получателем либо третьим лицом, осуществившим регистрацию сертификата.

К программным методам защиты относится и защита базы данных,которая включает в себя защиту от любого несанкционированного или случайного их изменения или уничтожения. Дополнительной целью является защита от несанкционированного снятия информации внутри базы данных.

Следует отметить, что надежная защита компьютерной информации может быть обеспечена только при применении комплексных мер защиты. Комплексность состоит в использовании аппаратных и программных мер защиты. Только в этом случае удается достигнуть требуемого уровня защищенности как самой компьютерной техники, так и информации, находящейся в ней.

В целом организационные и технические меры защиты компьютерной информации должны составлять единый комплекс. Данным вопросам уделено довольно много внимания в специальной технической литературе и посвящено большое количество научных исследований и технических изысканий нашей стране и мире.

Классификация мер по защите информации

В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно под­разделить на:

· Нормативно-правовые

· Морально-этические

· Организационные

· Технические.

Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные от­ношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав про­граммистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы обще­ственного контроля за разработчиками компьютерных систем и принятие со­ответствующих международных договоров об их ограничениях, если они вли­яют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.

Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы триви­альных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не ре­шены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом пред­приятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном пред­приятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:

· Применение научных принципов в обеспечении информацион­ной безопасности, включающих в себя: законность, экономичес­кую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь тео­рии с практикой, специализацию и профессионализм, программ­но-целевое планирование, взаимодействие и координацию, до­ступность в сочетании с необходимой конфиденциальностью

· Принятие правовых обязательств со стороны сотрудников пред­приятия в отношении сохранности доверенных им сведений (ин­формации)

· Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информа­ции

Для надежной защиты конфиденциальной информации целесообразно при­менять следующие организационные мероприятия:

· Определение уровней (категорий) конфиденциальности защи­щаемой информации

· Выбор принципов (локальный, объектовый или смешанный) ме­тодов и средств защиты

· Установление порядка обработки защищаемой информации

· Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов меж­ду собой и относительно границ контролируемой зоны

· Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц

Технические средства - комплексы специального технического и про­граммного обеспечения, предназначенные для предотвращения утечки об­рабатываемой или хранящейся у вас информации путем исключения не­санкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппарат­ные, программные и аппаратно-программные.

Для блокирования возможных каналов утечки информации через тех­нические средства обеспечения производственной и трудовой деятельнос­ти с помощью специальных технических средств и создания системы защи­ты объекта по ним необходимо осуществить ряд мероприятий:

· специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подве­денные коммуникации

· Выделить те помещения, внутри которых циркулирует конфиден­циальная информация и учесть используемые в них техничес­кие средства

Осуществить такие технические мероприятия:

· проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в поме­щениях

· перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.

Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудно­стью в ее создании является то, что она одновременно должна удовлетво­рять двум группам прямо противоположных требований:

· Обеспечивать надежную защиту информации

· Не создавать заметных неудобств сотрудникам и особенно кли­ентам.

Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглаше­ния информации, циркулирующей в определенном носителе.

Защита компьютера

В персональном компьютере в качестве вычислительных ресурсов выступают оперативная память, процессор, встроенные накопители на жестких или гибких магнитных дисках, клавиатура, дисплей, принтер, пе­риферийные устройства. Защита оперативной памяти и процессора предусматривает контроль за появлением в оперативной памяти так называемых ре­зидентных программ, защиту системных данных, очистку остатков секретной информации в неиспользуемых областях памяти. Для этого достаточно иметь в своем распоряжении программу просмотра оперативной памяти для конт­роля за составом резидентных программ и их расположением.

Гораздо важнее защита встроенных накопителей. Существуют несколь­ко типов программных средств, способных решать эту задачу:

Защита диска от записи и чтения

Контроль за обращениями к диску

Средства удаления остатков секретной информации.

Но самый надежный метод защиты, безусловно, шифрование, так как в этом случае охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи дискеты). Однако в ряде случаев использование шифрования затруднитель­но либо невозможно, поэтому необходимо использовать оба метода в со­вокупности. Большинство средств защиты реализуются в виде программ или пакетов программ, расширяющих возможности стандартных операци­онных систем, а также систем управления базами данных. Более подробно о защите компьютерной информации рассказано в следующих главах.



Методы и средства защиты информации в каналах связи

Безопасность связи при передаче речевых сообщений основывается на использовании большого количества различных методов закрытия сооб­щений, меняющих характеристики речи таким образом, что она становит­ся неразборчивой и неузнаваемой для подслушивающего лица, перехватив­шего закрытое сообщение. При этом оно занимает ту же полосу частот, что и открытый сигнал. Выбор методов закрытия зависит от вида конкрет­ного применения и технических характеристик канала передачи.

В зависимости от спектра передачи речевых сигналов методы защиты речевых сигналов в узкополосных каналах разделяют на следующие виды:

· Аналоговое скремблирование

· Маскирование сигнала специальной заградительной помехой

· Дискретизация речи с последующим шифрованием.

При аналоговом скремблировании изменяется характеристика речево­го сигнала, в результате чего образуется модулированный сигнал, облада­ющий свойствами неразборчивости и неузнаваемости. Полоса частот спек­тра преобразованного сигнала остается такой же, как и исходного. Анало­говое скремблирование осуществляется на базе временной и/или частотной перестановок отрезков речи.

За счет временных перестановок преобразованное сообщение кодиру­ется, при этом расширяется спектр. Искажения спектра в узкополосном канале определяют потери в восстановленном сообщении. Аналогично, пе­рестановки отрезков спектра при частотном скремблировании приводят к интермодуляционным искажениям восстанавливаемого сообщения.

Маскирование речевого сигнала основано на формировании аддитивной заградительной помехи с последующим ее выделением и компенсацией на при­емной стороне. Как правило, этот метод используется в сочетании с простей­шим скремблированием (наложением мультипликативной помехи на сигнал).

Метод дискретизации речи с последующим шифрованием предполагает передачу основных компонентов речевого сигнала путем преобразования их в цифровой поток данных, который смешивается с псевдослучайной пос­ледовательностью. Полученное таким образом закрытое сообщение с по­мощью модема передается в канал связи.

В цифровых системах компоненты речи преобразуются в цифровой поток. Дальнейшие операции преобразования включают перестановку, скремблиро­вание псевдослучайной последовательностью, временное запаздывание.

Цифровая подпись

Для решения задачи аутентификации информации Диффи и Хеллманом в 1976 г. предложена концепция аутентификации на основе «цифровой подписи». Она заключается в том, что каждый пользователь сети имеет свой секретный ключ, необходимый для формирования подписи, соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. В предложенной схеме цифровая подпись вычисляется на основе защищаемого сообщения и секретного ключа конкретного пользователя, являющегося отправителем этого сообщения. Каждый пользователь, имеющий соответствующий открытый ключ, может аутентифицировать сообщение по подписи. Кроме того, знание открытого ключа не позволяет подделать подпись. Такие схемы аутентификации называются асимметричными.

Вне зависимости от используемого алгоритма схема цифровой подписи включает две процедуры: процедуру формирования подписи и процедуру проверки, существенной особенностью которых является следующее. При выполнении процедуры формирования подписи используется секретный ключ, известный только лицу, осуществляющему эту процедуру. При выполнении процедуры проверки используется открытый ключ. Только в этом случае арбитр, разрешая возникший спор, может убедиться, что именно тот, кто владеет соответствующим ключом, произвел данную подпись.

Основная область применения цифровой подписи - это информационные системы, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров, например договора о контроле за ядерными испытаниями и т.д.). Возможно применение схем цифровой подписи для создания «электронного нотариуса» с целью обеспечения охраны авторских прав на программные изделия. Что же касается цифровой подписи, то:

1. Каждый человек использует для подписи документов свой секретный уникальный ключ.

2. Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха.

3. Цифровая подпись документа есть функция содержания этого документа и секретного ключа. Цифровая подпись может передаваться отдельно от документа.

4. Копия подписанного цифровым способом документа не отличается от его оригинала (нет проблемы подписи каждой копии).

Методы построения цифровой подписи

Наиболее часто для построения схемы цифровой подписи используется алгоритм RSA. Схема цифровой подписи, основанная на алгоритме RSA, заключается в следующем. Допустим, пользователь А желает передать несекретное сообщение Х пользователю В, предварительно его подписав. Для этого он, используя секретный ключ d, вычисляет подпись у

И посылает (Х.у). Получатель В имеющий соответствующий открытый ключе, получив (Х.у) проверяет равенство

И сравнивает результат этого вычисления с X. В случае совпадения полученное сообщение считается подлинным. Длина подписи в этом случае равна длине сообщения, что не всегда удобно.

Другие методы основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических криптоалгоритмов или так называемых «односторонних функций сжатия».

Примером таких методов являются:

1. Метод MAC (Message Authentication Codes). В нем формируется контрольная комбинация от документа (сообщения или файла) в виде свертки данного документа с секретным ключом на основе классического алгоритма типа DES.

2. Метод MDS (Manipulation Detection Codes). Метод основан на использовании кодов, обнаруживающих обман. Производится вычисление контрольной комбинации от документа на основе использования односторонней (полислучайной) функции сжатия.

Какой метод считать лучшим, определяется из конкретных условий работы. Для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное лучше использовать алгоритм RSA. Для контроля целостности больших объемов информации предпочтительней методы аутентификации на основе блочных алгоритмов.

Сравним цифровую подпись с обычной подписью. С помощью обычной подписи всегда можно доказать авторство, потому, что:

1. У каждого человека свой только ему присущий почерк, который характеризуется определенным написанием букв, давлением на ручку и т.д.

2. Попытка подделки подписи обнаруживается с помощью графологического анализа

3. Подпись и подписываемый документ передаются только вместе на одном листе бумаги. Ситуаций, когда подпись передается отдельно от документа, не существует. При этом подпись не зависит от содержания документа, на котором она поставлена.

4. Копии подписанного документа недействительны, если они не имеют своей настоящей (а не скопированной) подписи.

Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

Используемые пароли можно подразделить на семь основных групп:

Пароли, устанавливаемые пользователем

Пароли, генерируемые системой

Случайные коды доступа, генерируемые системой

Полуслова

Ключевые фразы

Интерактивные последовательности типа «вопрос - ответ» ;

«Строгие» пароли.

Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и опре­деляют, насколько они секретны. Неподходящие пароли заменяются.

Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и акту­альных для всех тем - особенно если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экра­не монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные пред­положения и первые умозаключения в определенных группах людей оказы­ваются одинаковыми. И пользователи выдают первое, что приходит им в го­лову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.

Случайные пароли и коды, устанавливаемые системой, могут быть не­скольких разновидностей. Системное программное обеспечение может ис­пользовать полностью случайную последовательность символов - вплоть до случайного выбора регистров, цифр, пунктуации длины; или же исполь­зовать в генерирующих процедурах ограничения. Создаваемые компьюте­ром пароли могут также случайным образом извлекаться из списка обыч­ных или ничего не значащих слов, созданных авторами программы, кото­рые образуют пароли вроде onah.foopn, или ocar-back-treen.

Полуслова частично создаются пользователем, а частично - каким-либо случайным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его ка­кой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».

Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла - «ловящий рыбу нос». Следу­ет заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции клю­чевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

Интерактивные последовательности «вопрос - ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного пла­на: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «пра­вильными». Системы с использованием «вопросов - ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обыч­но с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды - это паро­ли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным кли­ентам возможности системы. Они также порой применяются при первом вхож­дении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

Итак, для того, чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

Быть определенной длины

Включать в себя как прописные, так и строчные буквы

Включать в себя одну и более цифр,

Включать в себя один нецифровой и один неалфавитный символ.

Электронные ключи

Для борьбы с компьютерным пиратством наряду со специальными программными средствами используются и аппаратно-программные средства. Они базируются на применении электронных устройств, подключаемых либо к внутренней шине компьютера, либо к его наружным разъемам. Если оценивать степень надежности защиты объемом трудозатрат, необходимых для ее «взлома», то аппаратно-программные средства «прочнее» чисто программных.

Действительно, для вскрытия такой защиты недостаточно распутать ухищрения в программе. Необходимо восстановить протоколы и содержание обмена программ с дополнительной аппаратурой. Решение этих задач требует, как правило, применения специальных аппаратных средств типа логических анализаторов.

Электронный ключ - это компактный прибор, который подсоединяется к параллельному или последовательному портам компьютера и не влияет на взаимодействие компьютера с внешними устройствами. Идея защиты с использованием электронного ключа состоит в применении в защищаемой программе специального алгоритма взаимодействия с ключом, который не позволяет исполнять программу без него. В этом случае каждый экземпляр программы поставляется вместе с электронным ключом. Критерии оценки качества электронного ключа: ключ должен представлять собой некоторый генератор функций, а не просто память для констант; ключ должен быть выполнен на базе заказной интегральной схемы, что исключает возможность его законного воспроизведения.

Электронные ключи могут использоваться для решения следующих задач:

  • защита программ от несанкционированного распространения;
  • защита данных от раскрытия содержащейся в них информации;
  • защита компьютеров от доступа к ним посторонних лиц

1. Защита программ осуществляется двумя способами. Первый способ (назовем его ручным) состоит во встраивании самим разработчиком в свою программу фрагментов, взаимодействующих с электронным ключом. Второй способ основан на автоматическом включении в защищаемый файл обменов с ключом. В этом случае поставляемая вместе с ключом специальная программа автоматически обрабатывает исполняемые файлы таким образом, что без ключа они оказываются неработоспособными. Преимуществом автоматической защиты перед ручной является практически нулевая трудоемкость этой процедуры. Кроме того, программа автоматической защиты создается высококвалифицированными специалистами, что обеспечивает ее большую надежность.

2. Защита данных от раскрытия содержащейся в них информации достигается путем шифрования. Существуют достаточно эффективные методы шифрования, например алгоритм DES. Однако надежность шифрования не может быть выше надежного хранения и передачи шифровального ключа. В этом случае шифровальный ключ не надо запоминать или записывать и, что очень важно, вводить в компьютер с клавиатуры. Хранящиеся в компьютере данные могут быть дешифрованы только при наличии ключа. Кроме того, для повышения надежности сама программа шифрования - дешифрования может быть защищена с помощью того же самого ключа.

3. Защита компьютера от посторонних лиц предполагает загрузку операционной системы только для санкционированных пользователей, а также обеспечение доступа каждого пользователя только к выделенным ресурсам, среди которых могут быть логические диски, каталоги и отдельные файлы. Реализация такой защиты связана с идентификацией пользователей. Для этого могут быть использованы электронные ключи. При этом возможны два подхода.

Первый подход предполагает, что каждый санкционированный пользователь имеет в своем распоряжении уникальный электронный ключ. Распознавание пользователя осуществляется без ввода каких-либо паролей после подсоединения ключа к разъему. В этом случае можно утверждать, что ключ к тайнам пользователя хранится у них в кармане. Но, если компьютер эксплуатируется в организации, то администрация, как правило, желает иметь доступ ко всем файлам и контролировать работу всех пользователей. Для этого необходимо иметь хотя бы по два одинаковых набора ключей, причем один набор хранится у руководителя организации.

Второй подход обеспечивает снижение стоимости защиты за счет того, что используется только один ключ для всех пользователей. Ключом распоряжается администратор системы, назначаемый руководством организации. Загрузка операционной системы возможна только при подсоединенном ключе. Идентификация пользователей осуществляется путем ввода паролей.


Под целостностью данных понимается система правил Microsoft Access, позволяющих при изменении одних объектов автоматически изменять все связанные с ними объекты и обеспечивать защиту от случайного удаления или изменения связанных данных.

Список значений может быть задан либо фиксированным набором зна­чений, которые вводятся пользователем при создании поля, либо спис­ком значений из ссылочной таблицы или запроса.

Индекс - средство Microsoft Access, ускоряющее поиск и сортировку в таблице. Ключевое поле таблицы индексируется автоматически. Не допускается создание индексов для полей типа MEMO и «Гипер­ссылка» или полей объектов OLE.

Уникальный индекс - индекс, определенный для свойства Индекси­рованное поле значением «Да (Совпадения не допускаются)». При этом ввод в индексированное поле повторяющихся значений становится невозможным. Для ключевых полей уникальный индекс создается автоматически.

С чего начинается информационная безопасность компьютерных сетей предприятия? Теория говорит об ана­лизе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных служ­бах предприятия.

Вы должны уметь четко ответить на вопросы:

Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предпри­ятии?

Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.

Вы сумеете узнать каждый компьютер "в лицо"? Обнаружите ли вы "маскарад" оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей ло­шадкой оборудование на самом деле является троянским конем?

Какие задачи и с какой целью решаются на каждом компьютере? Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопаснос­ти от него можно ожидать только вреда. А вот еще несколько вопросов по оборудованию. Каков порядок ремонта и технической профилактики компьютеров?

Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место? Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу ново­го оборудования?

Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как прави­ло, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информа­ционной безопасности:

Появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

Необходимость дополнительных материальных затрат как на проведение таких работ, так и на расшире­ние штата специалистов, занимающихся проблемой информационной безопасности.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

Принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);

Использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призван­ные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей техничес­кой поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выпол­няются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответ­ствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования ме­ханизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизиро­ванной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам относятся:

Разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

Мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);

Периодически проводимые (через определенное время) мероприятия;

Постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

Общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;

Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных цен­тров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п.);

Мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программ­ных средств, документирование и т. п.);

Проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения ме­роприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наво­док;

Разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной бе­зопасности;

Внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользова­телей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

Оформление юридических документов (в форме договоров, приказов и распоряжений руководства орга­низации) по вопросам регламентации отношений с пользователями (клиентами), работающими в авто­матизированной системе, между участниками информационного обмена и третьей стороной (арбитра­жем, третейским судом) о правилах разрешения споров, связанных с применением электронной подпи­си;

Определение порядка назначения, изменения, утверждения и предоставления конкретным должност­ным лицам необходимых полномочий по доступу к ресурсам системы;

Мероприятия по созданию системы защиты КС и созданию инфраструктуры;

Мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используе­мых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз дан­ных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уров­ням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адек­ватных требований по основным направлениям защиты);

Организацию надежного пропускного режима;

Определение порядка учета, выдачи, использования и хранения съемных магнитных носителей инфор­мации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

Организацию учета, хранения, использования и уничтожения документов и носителей с закрытой ин­формацией;

Определение порядка проектирования, разработки, отладки, модификации, приобретения, специссле­дования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на ра­бочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

Создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подраз­делений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасно­сти программно-информационных ресурсов автоматизированной системы обработки информации;

Определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в кри­тических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и дей­ствиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

Анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы,

Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

Периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эф­фективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

Мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

Мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

Мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспече­ния (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлет­ворение требованиям защиты, документальное отражение изменений и т. п.);

Мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обуче­ние, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

Мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противо­пожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической цело­стности СВТ, носителей информации и т. п.).

Мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

Явный и скрытый контроль за работой персонала системы;

Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

Постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специа­листов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защи­ты.

Несколько детализируя методологию построения систем информационной безопасности относительно корпоративной сети, а также учитывая вышесказанное по возможным угрозам сети и имеющимся способам борьбы с ними, алгоритм построения системы информационной безопасности корпоративной сети может быть представлен следующим образом.

Весь объект защиты имеет несколько направлений возможных атак. Для каждого вида атаки существуют соответствующие способы и средства борьбы с ними. Определив основные способы борьбы, мы тем самым сформируем политику информационной безопасности. Выбрав в соответствии со сформированной политикой совокупность средств обеспечения информационной безопасности, объединив их системой управления, мы получим фактически систему защиты информации.

Аналогичным образом анализируются угрозы на уровне корпоративной сети. Она может быть представлена тремя основными составляющими – техническое обеспечение, информационное обеспечение и программное обеспечение. Каждый из этих компонент может далее детализироваться до степени, достаточной для формулировки основных угроз на этом уровне и возможных способов борьбы с ними.

Выбор конкретных способов и средств защиты информации на уровне сети также выливается в соответствующую политику и систему информационной безопасности, которые органически вливаются в общую политику и систему информационной безопасности всего объекта (см. ниже схемы “Вероятные угрозы” ).

В практической деятельности в информационных технологиях при­менение мер и способов защиты информации включает следующие са­мостоятельные направления, представленные на рис.8.6.

Для каждого направления определены основные цели и задачи.

1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач - защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой матери­альный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.

Рис. 8.6. Меры и способы защиты, используемые в информационных технологиях

Требования по защите информации от несанкционированного дос­тупа в информационных технологиях направлены на достижение трех основных свойств защищаемой информации:

В части технической реализации защита от несанкционированного доступа в информационных технологиях сводится к задаче разграниче­ния функциональных полномочий и доступа к данным с целью не толь­ко использования информационных ресурсов, но и их модификации.

    Защита информации в каналах связи направлена на предотвраще­ние возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов меж­ду различными уровнями управления экономическим объектом или внешними органами. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтроли­руемых каналах связи является применение криптографии и специаль­ных связных протоколов.

    Защита юридической значимости электронных документов оказы­вается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые доку­менты. Их общая особенность заключается в том, что в случае возник­новения споров (в том числе и судебных), должна быть обеспечена воз­можность доказательства истинности факта того, что автор действитель­но фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы зашиты значимости электронных до­кументов решаются совместно с вопросами защиты ИТ экономического объекта.

    Защита информации от утечки по каналам побочных электромаг­нитных излучений и наводок является важным аспектом защиты конфи­денциальной и секретной информации в вычислительной технике от не­санкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информа­тивных электромагнитных сигналов за пределы охраняемой территории экономического объекта. При этом предполагается, что внутри охраняе­мой территории применяются эффективные режимные меры, исклю­чающие возможность бесконтрольного использования специальной ап­паратуры перехвата, регистрации и отображения электромагнитных сиг­налов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназна­ченных для размещения средств вычислительной техники, а также тех­нические меры, позволяющие снизить интенсивность информативных излучений самого оборудования персональных компьютеров и каналов связи.

В некоторых ответственных случаях может быть необходима допол­нительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств промышленного шпиона­жа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.

5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллекту­альной собственности, воплощенной в виде программ и ценных баз дан­ных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, прове­рок по обращениям к устройствам хранения ключа и ключевым диске­там, блокировка отладочных прерываний, проверка рабочего персо­нального компьютера по его уникальным характеристикам и т.д.), кото­рая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.

Общим свойством средств защиты программ и баз данных в ИТ от несанкционированного копирования является ограниченная стойкость такой защиты, т.к. в конечном случае исполнимый код программы по­ступает на выполнение в центральный процессор в открытом виде и мо­жет быть прослежен с помощью аппаратных отладчиков. Однако это об­стоятельство не снижает потребительских свойств средств защиты до минимума, т.к. основная цель их применения - максимально затруд­нить, хотя бы временно, возможность несанкционированного копиро­вания ценной информации.