Средства защиты

Физические	Аппаратные, программные	Программные (криптограф)	Организационные	Законодательные	Морально-этические
Технические	Неформальные
Формальные

 

Рис. 2. Методы и средства обеспечения безопасности информации.

 

Препятствия - методы физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. д.).Реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, источники бесперебойного питания, электромеханическое оборудование охранной сигнализации. Так, различают наружные системы охраны («Ворон», GUARDW1R, FPS и др.), ультразвуковые, лазерные системы (Cyclops и т. д.), системы прерывания луча (Pulsar30u и т. п.), телевизионные системы (УМ26 и др.), ра­диолокационные системы («ВИТИМ» и т. д.), система контроля вскрытия аппаратуры и др.

Управление доступом - включает следующие функции защиты:

• идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

• опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

• проверку полномочий (проверка соответствия дня недели, вре­мени суток, запрашиваемых ресурсов и процедур установленному регламенту);

• разрешение и создание условий работы в пределах установлен­ного регламента;

• регистрацию (протоколирование) обращений к защищаемым ресурсам;

• регистрацию (сигнализация, отключение, задержка работ, от­каз в запросе) при попытках несанкционированных действий. Обеспечивается аппаратными и программными средствами.

Под ап­паратными средствами принято понимать технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному ин­терфейсу. Например, система опознания и разграничения доступа к информации (посредством паролей, записи кодов и другой инфор­мации на различные карточки).

Программные средства представляют собой программное обеспе­чение, специально предназначенное для выполнения функций защи­ты информации. В такую группу средств входят:

· механизмы обеспечения целостности данных, механизмы постановки графика,

· механизмы управления маршрутизацией,

· меха­низмы арбитража,

· антивирусные программы, программы архивации (например, zip, rar, arj и др.),

· защита при вводе и выводе информации и т. д.

Маскировка — метод защиты информации путем ее криптографи­ческого закрытия. Этот метод широко применяется за рубежом как при обработке, так и при хранении информации, в том числе на дис­кетах. При передаче информации по каналам связи большой протя­женности данный метод является единственно надежным. Обеспечивается программными средствами путем

· механизма шифрова­ния (криптографии - специальный алгоритм, который запускается уникальным числом или битовой последовательностью, обычно на­зываемым шифрующим ключом; затем по каналам связи передается зашифрованный текст, а получатель имеет свой ключ для дешифрова­ния информации),

· механизма электронной цифровой подписи,

· механизма контро­ля доступа,

10.01.02 принят закон РФ «Об электронной цифровой подписи» (ЭЦП), согласно которого ЭЦП- реквизит электронного документа, предназначенный для его защиты от подделки. ЭЦП признается равнозначной собственноручной подписи на бумажном носителе и выполняет следующие функции:

· удостоверяет, что подписанный текст документа исходит от лица, поставившего подпись;

· не дает права отказа от обязательств, связанных с подписанным документом или текстом;

· гарантирует целостность и неизменность подписанного документа;

ЭЦП представляет собой несколько буквенно- цифровых символов, передаваемых с электронным документом. Технология получения и проверки ЭЦП включает в себя следующие процедуры:

1) процедуру вычисления дайджеста (хеш- функции) сообщения;

2) процедуру шифровки дайджеста закрытым ключом отправителя;

3) процедуру вычисления дайджеста сообщения (хеш- функции) получателем;

4) проверку полученного дайджеста, путем расшифрования его открытым ключом;

5) Верификация- сравнение вычисленного получателем дайджеста с полученным в результате расшифрования.

Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи за­щищаемой информации, при которых возможности несанкциони­рованного доступа к ней сводились бы к минимуму. Достигается путем разработки организационных мероприятий. Организационные средства защиты представляют собой организа­ционно-технические и организационно-правовые мероприятия, осу­ществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все струк­турные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной инфор­мационной системы банковской деятельности, монтаж и наладка оборудования, использование, эксплуатация).

Принуждение - метод защиты, при котором пользователи и пер­сонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материаль­ной, административной или уголовной ответственности. Законодательные средства защиты определяются законодатель­ными актами страны, которыми регламентируются правила пользо­вания, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К настоящему времени насчитывается свыше 1000 нормативных актов различного уровня , регулирующих правоотношения в области создания, распространения, обработки, хранения и использования информации и правоотношения в области создания и эксплуатации информационных систем.

Закон РФ «Об информации, информатизации и защите информации подразделяет информацию по уровню доступа на следующие категории:

· Общедоступная;

· Открытая информация;

· Информация о гражданах (персональные данные);

· Конфиденциальная информация- сведения, определяемые общим понятием тайна. В действующих сегодня законах встречается более 30 видов тайн. Их перечень упорядочен законом РФ «О государственной тайне» и подзаконным актом – Указом президента РФ № 188 от 06.03.97г.

О последствиях разглашения государственной тайны прописано в Гражданском Кодексе РФ, Уголовном Кодексе РФ, Трудовом Кодексе РФ.

Побуждение — метод защиты, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных).

Морально-этические средства защиты реализуются в виде все­возможных норм, которые сложились традиционно или складыва­ются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязатель­ными как законодательные меры, однако несоблюдение их обычно ведет к потере авторитета и престижа человека. Наиболее показатель­ным примером таких норм является Кодекс профессионального по­ведения членов Ассоциации пользователей ЭВМ США.

Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотрен­ной процедуре без непосредственного участия человека) и неформаль­ные (определяются целенаправленной деятельностью человека либо регламентируют эту деятельность).

 

3. Принципы проектирования системы защиты

Защита информации в АИТУ должна основываться на следую­щих основных принципах:

1) системности;

2) комплексности;

3) не­прерывности защиты;

4) разумной достаточности;

5) гибкости уп­равления и применения;

6) открытости алгоритмов и механизмов защиты;

7) простоты применения защитных мер и средств.

При проектировании существенное значение придается предпроектному обследованию объекта. На этой стадии:

§ устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой АИС, оценивается уровень ее конфиденциальности и объем;

§ определяются режимы обработки информации (диалоговый, телеобработка и режим реального времени), состав комплекса технических средств и т. д.;

§ анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

§ определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта авто­матизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;

§ определяются мероприятия по обеспечению режима секретно­сти на стадии разработки.

 

Для построения эффективной системы защиты необходимо провести следующие работы:

1) определить угрозы безопасности информации;

2) выявить возможные каналы утечки информации и несанкцио­нированного доступа (НСД) к защищаемым данным;

3) построить модель потенциального нарушителя;

4) выбрать соответствующие меры, методы, механизмы и сред­ства защиты;

 

5) построить замкнутую, комплексную, эффективную систему защиты, проектирование которой начинается с проектирования самих автоматизированных систем и технологий.

Этапы проектирования системы защиты:

Первый этап- анализ объекта защиты с целью определить, что защищать;

Второй этап- выявление угроз;

Третий этап- анализ эффективности действующей системы защиты;

Четвертый этап- разработка дополнительных мер защиты;

Пятый этап- согласование с руководителями разработанных мероприятий;

Шестой этап- реализация мероприятий, контроль за их исполнением.