Elettracompany.com

Компьютерный справочник
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Типы защиты информации

Виды защиты информации

В соответствии с ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» [14, с. 2] выделяется следующие виды защиты информации: правовая, техническая, криптографическая и физическая.

Правовая защита информации. Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением [14, с. 2].

К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства. В некотором роде эту группу мер можно отнести к профилактическим. Их основной функцией является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления. Достоинствами правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права в случае незаконного тиражирования [30, с. 7; 48, с. 23].

Техническая защита информации. Защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств [14, с. 3].

Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от несанкционированного доступа, от математического воздействия, от вредоносных программ и т.п.

Криптографическая защита информации. Защита информации с помощью ее криптографического преобразования [9, с. 61; 14, с. 3].

Криптографические преобразования связаны с шифрованием и дешифрованием информации. При шифровании с помощью правил, содержащихся в шифре, происходит преобразование защищаемой информации к неявному виду. Дешифрование – обратный процесс, т.е. преобразование шифрованного сообщения в исходную информацию. Кроме этого существуют другие методы криптографического преобразования:

· Шифрование. При шифровании каждый символ защищаемого сообщения подвергается обратимым математическим, логическим или другим преобразованиям, в результате которых исходная информация представляется в виде хаотического набора букв, цифр и других символов.

· Стенография. Стенография, в отличие от других методов преобразования информации, позволяет скрыть не только смысл информации, но и сам факт хранения или передачи закрытой информации. В КС практическое использование стенографии только начинается, но этот метод защиты информации считается перспективным. В основе всех методов стенографии лежит маскирование закрытой информации среди открытых файлов.

· Кодирование. Кодирование широко используется для защиты информации от искажений в каналах связи. Обычно кодирование связано с заменой смысловых конструкций исходной информации алфавитно-цифровыми кодами. В этом случае для кодирования и обратного преобразования используются специальные таблицы или словари, хранящиеся в секрете, при этом кодировочные таблицы необходимо часто менять.

· Рассечение/разнесение. Рассечение/разнесение заключается в том, что массив защищаемых данных делится (рассекается) на такие элементы, каждый из которых в отдельности не позволяет раскрыть содержание защищаемой информации. Выделенные таким образом элементы данных разносятся по разным зонам ЗУ или располагаются на различных носителях

· Сжатие. Целью сжатия является сокращение объема информации, но в то же время сжатая информация не может быть использована без обратного преобразования, но этот метод нельзя считать надежным [3, с. 51-53; 7, с. 41-46; 9, с. 62-63].

Физическая защита информации. Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты [14, с. 3].

К ряду таковых средств можно отнести механические, электрические, электромеханические, электронные, электронно-механические устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

Существует три вида защиты от воздействия дестабилизирующих факторов:

1. внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);

2. внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);

3. опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения) [1, с. 64; 7, с. 51-52, 30, с. 8].

Подводя итог данной главы можно смело сказать, что процесс защиты информации очень объемен и трудоемок. Для каждой поставленной цели существует комплекс задач, выполнение которых и способствует ее достижению. Немаловажно знать, что каждый вид защиты информации ориентирован на предотвращение обусловленных проблем, имеющих отношение именно к определенному виду защиты.

Значение защиты информации определяется не только в системе информационной безопасности, но и в системе национальной безопасности. Цели защиты информации для государства, общества и отдельных личностей различны. Они в конечном итоге дополняют друг друга и каждый из субъектов заинтересован в защите информации других субъектов.

Информационная безопасность. Виды угроз и защита информации

В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня – ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много – это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности .

Информационная безопасность

Информационная безопасность (англ. «Information security») – защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий сопровождающихся нанесением ущерба владельцам или пользователям информации.

Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации.

Цель защиты информации – минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.

Угрозы информационной безопасности

Основные типы угроз информационной безопасности:

1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).

2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).

3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).

а) ошибки пользователей и сисадминов;

б) ошибки в работе ПО;

в) сбои в работе компьютерного оборудования;

г) нарушение сотрудниками компании регламентов по работе с информацией.

2. Внешние угрозы:

а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);

б) компьютерные вирусы и иные вредоносные программы;

в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).

Методы и средства защиты информации

Методы обеспечения безопасности информации в ИС:

  • Препятствие — физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
  • Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например,когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
  • Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
  • Противодействие атакам вредоносных программ (англ. «malware») предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
  • Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
  • Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т.п.).
  • Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Читать еще:  Защита информации лекция

Средства защиты информации:

  • Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
  • Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
  • Смешанные средства – комбинация аппаратных и программных средств.
  • Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

Ссылки и источники

© Копирование материала допустимо только при указании прямой гиперссылки на источник: Галяутдинов Р.Р.

Классификация методов защиты информации

Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.

Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.

Виды информационных угроз

Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.

Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.

В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:

  • Потеря информации вследствие повреждения носителей – жестких дисков;
  • Ошибки в работе программных средств;
  • Нарушения в работе аппаратных средств из-за повреждения или износа.

Современные методы защиты информации

Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:

  • Препятствие;
  • Маскировка;
  • Регламентация;
  • Управление;
  • Принуждение;
  • Побуждение.

Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.

Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.

Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.

Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.

Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.

На видео – подробная лекция о защите информации:

Средства защиты информационных систем

Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:

  • Физические;
  • Программные и аппаратные;
  • Организационные;
  • Законодательные;
  • Психологические.

Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.

Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.

Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.

Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.

Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.

Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.

Защита передаваемых электронных данных

Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.

Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.

Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.

Классы безопасности информационных систем

Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:

  • D – нулевой уровень безопасности;
  • С – системы с произвольным доступом;
  • В – системы с принудительным доступом;
  • А – системы с верифицируемой безопасностью.

Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.

Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.

В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.

Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.

Класс безопасности В2 характерен для многих современных систем и предполагает:

  • Снабжение метками секретности всех ресурсов системы;
  • Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
  • Структурирование доверенной вычислительной базы на хорошо определенные модули;
  • Формальную политику безопасности;
  • Высокую устойчивость систем к внешним атакам.

Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.

Читать еще:  Защита от воздействия статического электричества

Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.

На видео – подробная лекция о безопасности информационных систем:

Техническая защита информации, данных, информационных систем

Компания «Интегрус» оказывает услуги по настройке систем технической защиты информации предприятий, помогая предотвратить утечку данных и (или) несанкционированный доступ к сведениям компании.

Техническая защита информации представляет собой целый комплекс работ: от оборудования помещений средствами ограничения доступа, шифрования данных, информирования коллектива и обнаружения предполагаемых каналов утечки до постоянного обновления средств и способов поддержания безопасности.

Техническая защита направлена на повышение сохранности технологических данных, ноу-хау, информации из патентов, собственных наработок или приобретенных методик, лицензий. Также методами и средствами технической защиты обеспечивается информационная безопасность сведений о финансовых операциях организации, кредитах, контрагентах, персональных данных (ПНд) сотрудников, руководства, клиентов и поставщиков.

Для построения эффективной технической защиты информации в информационных системах, базах данных, интернете, на предприятиях в целом все хранимые и обрабатываемые данные следует предварительно рассортировать по уровню ценности и их специфике. Объектами системы технической защиты информации являются:

  • базы данных (БД) с информацией о партнерах, клиентах (заказчиках), поставщиках (услуг, товаров, ресурсов);
  • документация в электронном виде (в том числе в системах электронного документооборота, ЭДО) и на бумажных носителях;
  • любые сведения, составляющие коммерческую тайну (обычно это финансовые данные: активы и пассивы предприятия, кредиты и дебиторская задолженность, размеры заработной платы ключевых сотрудников и т.д.);
  • технологическая, техническая и производственная информация – специфика производственных процессов, ноу-хау, состав оборудования и топология технологических цепочек.

Опасность для объектов технической защиты информации представляют:

  • внешние источники – конкуренты, злоумышленники;
  • собственные сотрудники (вплоть до руководства).

Сотрудники имеют доступ к объектам коммерческой информации и могут передать его посторонним (третьим) лицам. Руководители – не обращают должного внимания на обеспечение безопасности сведений, полагая угрозы ложными (мнимыми) или несущественными. Построение системы защиты данных начинается с разработки норм технического контроля защиты информации.

Как правило, организация контроля над действиями персонала является относительно простой задачей. Контроль за действиями руководства осуществить гораздо сложнее.

Защита информации по техническим каналам

Техническое обеспечение безопасности защиты конфиденциальной и коммерческой информации является совокупностью мероприятий, направленных на решение трех задач:

  1. Закрытость для посторонних лиц строений и помещений, где хранятся носители важных сведений.
  2. Исключение порчи или уничтожения информационных носителей как в результате действий злоумышленников, так и в случае стихийных бедствий.
  3. Безопасность хищения конфиденциальных сведений по техническим каналам.

Требования к оборудованию и средствам обеспечения защиты данных:

  1. Готовность 24/7 к атаке хакеров.
  2. Разноуровневые зоны контроля (степень охраны зависит от ценности данных).
  3. Использование нескольких видов обеспечения защиты единовременно.
  4. Своевременное обновление технических средств и каналов связи.

Каналами, по которым «сливается» информация, часто являются неэкранированные проводка, контуры, приборы, подверженные воздействию электромагнитных полей. Доступ к техническому каналу передачи информации означает ее беззащитность перед искажением, наведением помех, блокировкой либо несанкционированным использованием. С целью получения информации злоумышленники могут использовать импульсопередающие устройства, выводящие из строя инженерно-техническую защиту.

Методы защиты технических каналов утечки информации основываются на решениях службы безопасности и проектных организаций, лицензированных ФСТЭК. Выделяют три этапа работ:

  1. Подготовительный, оценивающий угрозы для помещений, определяющий категории защищаемых данных и бюджет на инженерно-технические разработки.
  2. Проектировочный, устанавливающий программное обеспечение и технические средства.
  3. Финальный, вводящий в эксплуатацию и определяющий дальнейшее сопровождение с обновлением систем безопасности.

Основными мероприятиями на пути к полноценной охране информации являются:

  • создание службы (отдела) безопасности;
  • использование специальных технических устройств;
  • мониторинг «слабого звена» для получения неконтролируемого доступа к информационным сигналам.

Разработка системы и методов по технической защите информации начинается с оценки рисков – наиболее проблемными зонами обычно являются:

  • возможности для несанкционированного доступа к охраняемой информации;
  • «дыры» для действия по копированию, изменению, уничтожению и иные преступным действиям с данными;
  • каналы утечки финансовой, коммерческой и технологической информации.

Разработка системы и выбор средств технической защиты информации на этапе оценки рисков включает в себя изучение действий персонала, категоризацию запросов на «свои» и «чужие», распределение доступов между доверенными лицами и рядовыми пользователями. Для выявления подозрительных (ненадежных) сотрудников помогает так называемый поведенческий анализ.

Технические средства защиты информации (СЗИ)

Существуют разные виды обеспечения безопасности технических средств и систем информационной защиты. Методы и средства выбираются исходя из оценки прогнозируемых рисков – вероятностей и степени опасности:

  • аппаратных сбоев в работе средств обработки, хранения, передачи, шифрования информации;
  • несанкционированного доступа со стороны персонала предприятия или «внешних» злоумышленников;
  • искажения, хищения, целенаправленного изменения информации посредством технических средств (посредством электромагнитного излучения, физического подключения к линиям связи, визуального или акустического наблюдения) или программного обеспечения

Программные средства защиты данных

Программные средства позволяют защитить техническую информацию, секретные данные, технологии. Для этой цели используются:

  • антивирусы;
  • программы, обеспечивающие безопасность на уровне каналов связи и предотвращающие несанкционированный доступ к ним;
  • программы-блокираторы доступа во всемирную сеть.

Использование специального программного обеспечения (ПО) эффективно контролирует способы обмена информацией, нуждающейся в защите, и ограничивает доступность к секретным данным. Категорически запрещается использовать на предприятиях программные продукты, не имеющие лицензии либо специальные сертификаты безопасности. Нелицензионное ПО чревато распространением вирусов, способных собирать и передавать информацию третьим лицам.

Аппаратные средства защиты информации

Аппаратные средства защиты данных представляют собой различные по принципу работы устройства, решающие задачи по пресечению разглашения, утечки информации, несанкционированному использованию конфиденциальных данных. К аппаратно-техническим средствам относят шумогенераторы, фильтры сети, сканирующие радиоприемники и другие устройства, способные:

  • проводить исследования на наличие вероятных каналов «слива» информации;
  • выявлять и перекрывать каналы утечки на объектах и в помещениях;
  • локализовывать места «пробоя»;
  • обнаруживать шпионские программы/приборы;
  • противодействовать стороннему доступу к конфиденциальным сведениям.

Аппаратные средства надежны, не зависят от субъективных обстоятельств, устойчивы к модификации. Их минусы – малая гибкость, объем и масса, большая стоимость. По функционалу различаются средства обнаружения, поиска, детализации измерений, активной / пассивной защиты.

Организационно-техническая защита информации

Организационно-техническая защита информации оперирует доступом к информации, подразумевая ограничение на работу с ней, разграничение полномочий лиц и контроль. Совокупность мер означает:

  • подбор, проверку, инструктаж персонала;
  • обеспечение программно-технических работ;
  • назначение лиц, отвечающих за конкретные участки (оборудование);
  • осуществление режимности (в т.ч. секретной);
  • физическую охрану объектов;
  • оборудование помещения металлическими решетками, дверями, замками.

Инженерно-технические средства защиты

Инженерно-технические СЗИ помимо физических, аппаратных и программных подразумевает наличие криптографических средств шифрования данных, позволяя сохранить тайну телефонных переговоров, телеметрических/компьютерных данных, сообщений. Математический метод преобразования передаваемой информации делает их нераспознаваемыми для сторонних лиц. Криптографическая защита бывает с открытым либо симметричным ключом.

Обычно на предприятиях устанавливается комбинированная система защиты, реализуемая в виде аппаратных, программных, физических и криптографических методов противодействия проникновению и похищению информации. Деление на группы условно. На практике методы образуют комплексы программно-аппаратных модулей с разными алгоритмами шифрования информации.

Требования по технической защите информации

Всевозможные вариации требований по технической защите и криптографической защите информации сформулированы в ГОСТах: 50922-2007, 51275-2007, 51624-2000, 52863-2007.

Разработка СЗИ осуществляется только организациями, имеющими лицензию ФСТЭК, во взаимодействии с отделом безопасности заказчика. Совместно вырабатываются конкретные требования, аналитику, определяют необходимый уровень СЗИ, согласовывают выбор аппаратуры и ПО, организуя работы с целью предупреждения и выявления целостности контуров защиты, а также аттестуя объекты информатизации.

Рекомендации по технической защите информации

Рекомендации по технической защите информации конкретизированы в СТР-К («Специальных требованиях и рекомендациях по технической защите конфиденциальной информации», приказ № 282 ГТК при Президенте РФ от 30.08.2002,) и зависят от категорийности защиты, уровня секретности, режима обработки данных. Дифференцированный подход считается достаточным для разработки и применения мер противодействия незаконному доступу к информации.

Лицензирование в области технической защиты информации

Особенностью технического обеспечения является обязательная сертификация средств защиты. Получение лицензии ФСТЭК для работы с информацией, представляющей коммерческую тайну, обязательно.

Вид лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) зависит от сферы деятельности компании (предприятия) и уровня задач, которые ставятся по обеспечению безопасности.

Для получения лицензии необходимо:

  • выполнить работы по соответствию требований закона;
  • обеспечить защиту, тестирование компьютерных систем и помещений;
  • разработать нормативные документы и ПО;
  • заказать экспертизу.

Получить лицензию можно за 45 дней с момента подачи документов.

Основные виды защиты информации;

Угрозы безопасности информации и их классификация

Читать еще:  Допустимое сопротивление молниезащиты

Автоматизированные системы, обрабатывающие информацию, являются сложными техническими системами. Недостаточная надежность функционирования таких систем, сбои и отказы в работе тех или иных функциональных устройств, могут привести к потере информации.

В ряде случаев стоимость обрабатываемой информации значительно превосходит стоимость оборудования, входящего в состав автоматизированной системы. В таких ситуациях ставится задача сохранения информации даже в условиях производственных катастроф и стихийных бедствий.

Для того чтобы сформулировать задачи защиты информации от злоумышленников, необходимо представить себе их цели и возможности по достижению этих целей.

Обычно различают следующие цели нарушителя:

• незаконное завладение конфиденциальной информацией;

• нарушение функционирования АС;

• незаконное копирование программ (и другой ценной информации);

• отказ от информации

Под конфиденциальной информацией понимается информация, доступ к которой ограничен в соответствии с законодательством. Факт попадания такой информации злоумышленнику называют утечкой информации и говорят о защите информации от утечки. Утечка информации может быть разной по последствиям. Так, например, утечка информации, связанная с хищением носителя или даже компьютера в целом, очень быстро обнаруживается. В то же время негласная для законного владельца утечка информации наносит больший вред.

Модификация информации всегда подразумевается неявной для законного владельца информации. Модификация информации может проявляться по-разному. Например, в финансовом документе она может заключаться в «исправлении» номера счета, куда надо переслать деньги, или размера суммы, подлежащей перечислению по указанному адресу. В сетях с коммутацией пакетов модификация может заключаться в изъятии из канала связи части сообщения, изменение порядка следования частей сообщения. Наконец,

возможен повтор или посылка фальсифицированного сообщения, например, с указанием банку перечислить деньги.

Уничтожение информации может привести к краху вычислительной системы, если не были приняты профилактические меры по резервному копированию информации, и к временному выходу системы из строя при наличии резервных копий.

Под нарушением функционирования автоматизированной системы подразумевают (в отличие от уничтожения информации) скрытные действия, мешающие нормально функционировать системе. Такие действия могут осуществляться захватом ресурсов, запуска на решение посторонних задач или повышением приоритетности задач, не требующих срочного решения. К указанным вмешательствам в работу наиболее чувствительны информационные системы, работающие в режиме реального времени или в режиме оперативного принятия решений.

Говоря о незаконном копировании программ, имеют в виду копирование не конфиденциальной информации, а информации, распространяемой па коммерческой или другой договорной основе. Незаконное копирование программ и другой ценной информации рассматривается как нарушение авторских прав разработчиков программного продукта и баз данных.

Отказ от информации характерен для следующих ситуаций взаимодействия двух удаленных абонентов в телекоммуникационной сети. Если абонент А посылает абоненту В сообщение, а позднее отказывается от факта отправки такого сообщения, то говорят об отказе от факта передачи сообщения. Если абонент В получив сообщение от абонента А, позднее отказывается от факта получения сообщения, то говорят об отказе от факта получения сообщения. Первый случай реален, например, если посланное сообщение содержало некоторые обязательства отправителя по отношению к получателю, а второе – если полученное сообщение содержало некоторые поручения для получателя. Отказ от информации делает практически невозможным взаимодействие удаленных абонентов с использованием прогрессивных компьютерных и сетевых технологий.

При рассмотрении целей злоумышленника необходимо отметить следующее обстоятельство. При создании той или иной системы защиты информации в автоматизированной системе или сети, злоумышленник лишается возможности достичь своих целей наиболее простыми и доступными (как в отсутствие защиты) средствами. В новых условиях злоумышленник постарается исследовать внедренную систему защиты и найти пути ее преодоления. При этом у него появляются новые цели: узнать ключи или пароли, модифицировать программное обеспечение системы защиты информации и тем самым полностью или частично нейтрализовать защитный механизм, обойти его. Такие цели носят по сравнению со сформулированными выше промежуточный характер. Но эти цели надо обязательно учитывать при проектировании и внедрении средств защиты информации.

В практической деятельности выделяют следующие основные виды защиты информации:

– защита информации от несанкционированного доступа:

– защита информации от перехвата в системах связи.

– защита юридической значимости электронных документов.

– защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучении и наводок.

– защита информации от компьютерных вирусов и других опасных воздействии по каналам распространения программ.

– защита от несанкционированного копирования и распространения программ и ценной компьютерной информации.

Защита конфиденциальной и ценной информации от несанкционированного доступа (НСД) призвана обеспечить решение одной из двух наиболее важных задач защиты имущественных прав владельцев и пользователей ЭВМ – защиту собственности, воплощенной в обрабатываемой информации от всевозможных злоумышленных покушении, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб К ней примыкает задача защиты государственных секретов, где в качестве собственника информации выступает государство Основной целью этого вида защиты является обеспечения конфиденциальности, целостности и доступности информации В части технической реализации защита от НСД сводится к задаче разграничения функциональных полномочии и доступа к информации

Существуют два принципа формулирования правил разграничения доступа дискреционный и мандатный.

Первый из них базируется на матричных моделях.

Пусть имеется некоторое множество поименованных объектов доступа (файлы, каталоги, устройства, и тому подобное) и некоторое множество субъектов доступа (пользователи, их процессы). Правила разграничения доступа тогда записываются в виде матрицы, каждый из столбцов которой соответствует одному объекту доступа, а каждая строка соответствует одному субъекту доступа. На пересечении i-го столбца и j-ой строки записываются права доступа j-го субъекта доступа к i-му объекту доступа (читать, записывать, удалять, и тому подобное).

На практике системы разграничения доступа, базирующиеся на матричных моделях, реализуются обычно в виде специальных компонент универсальных ОС или СУБД, либо в виде самостоятельных программных изделий. Существенной особенностью матричных средств разграничения доступа для наиболее используемых универсальных ОС является принципиальная децентрализованность механизмов диспетчера доступа, что приводит к невозможности строгого выполнения требований верифицируемости, защищенности и полноты контроля указанных механизмов.

Мандатный принцип разграничения доступа основан на том, что все объекты доступа наделяются метками конфиденциальности (например по грифам секретности: ‘»особой важности», «совершенно секретно», «секретно», «несекретно»), а для каждого субъекта доступа определяется уровень допуска (например уровень секретности документов, с которыми субъекту разрешено работать). Тогда при общении пользователя с системой чтение разрешается только по отношению к информации соответствующего уровня конфиденциальности или ниже. А запись информации разрешается только для информации соответствующего уровня конфиденциальности или выше. Такие правила обеспечивают при прохождении информации не понижение уровня ее конфиденциальности.

Отметим, что в наиболее ответственных случаях используются оба принципа формулирования правил разграничения доступа.

Сама процедура доступа пользователя (в соответствии с правилами разграничения доступа) происходит в три этапа: идентификация, аутентификация и авторизация.

Идентификация заключается в предъявлении пользователем системе своего идентификатора (имени) и проверке наличия в памяти системы этого имени.

Аутентификация заключается в проверке принадлежности субъекту доступа предъявленного им идентификатора (проверка подлинности). Для реализации процедуры аутентификации используется идентификатор субъекта доступа, который является либо его секретом (пароль и тому подобное), либо является уникальным для субъекта и гарантировано неподделываемым (биометрические характеристики).

Авторизация заключается в установлении прав доступа к тому или иному ресурсу в соответствии с правилами разграничения доступа.

Простейший способ защиты автоматизированной системы от удаленного доступа несанкционированных пользователей – это отказ от работы в сети, обеспечение физической защиты от всех внешних сетевых соединений. В наиболее ответственных случаях так и поступают.

Однако в силу практической невозможности такой изоляции в большинстве случаев в настоящее время, необходимо предусмотреть простые и ясные правила осуществления коммуникаций между локальными сетями различной степени защищенности, или даже, защищенной сети с незащищенной. Защищенная локальная сеть при этом представляется как бы находящейся внутри периметра, поддерживающего секретность. Внутри периметра служба контроля доступа и другие защитные механизмы определяют: кто и к какой информации допущен. В такой среде шлюзовая система, которая иногда называется брандмауэром, маршрутизатором или модулем защищенного интерфейса, может отделять защищенные системы или сети от незащищенных систем или сетей извне. Незащищенная система может общаться с защищенной только через единственный канал связи, контролируемый защищенным шлюзом. Шлюз контролирует трафик как извне, так и наружу, и эффективно изолирует защищенную сеть от внешнего мира. Благодаря тому, что брандмауэр защищает другие компьютеры, находящиеся внутри периметра, защита может быть сконцентрирована в брандмауэре.

Ссылка на основную публикацию
Adblock
detector