Технические и программно-математические методы защиты информации

Технические и программно-математические методы защиты информации. Учитывая, что предметом данной работы являются организация безопасности в области защиты информации прежде необходимо дать ряд основных понятий данной сферы деятельности.

Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п. Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты. Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты. Безопасность информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.

Требования по безопасности информации - руководящие документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности ее защиты. Криптографическая защита - защита данных при помощи криптографического преобразования преобразования данных. Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки. И так Информацию достаточно условно можно разделить на сведения, отнесенные к государственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию. Рассматривать первый тип мы не будем.

Согласно списку терминов и определений Гостехкомиссии России конфиденциальная информация - это информация, требующая защиты (любая, ее назначение и содержание не оговариваются). Персональные данные - это сведения о гражданах или предприятиях. В соответствии с Федеральным законом № 24 "Об информации, информатизации и защите информации" "защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб собственнику, владельцу или иному лицу". Из описанного следует, что ВЫ обязаны заботиться о сохранности своей информации.

Например, никто кроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всех предприятиях, где я работал и работаю. В данной работе не будут затронуты информация, распространяемая по каналам связи (телефония, WEB, E-mail, локальные сети и т.д.), а также проблемы, связанные с ее перехватом, блокировкой и защитой.

Это связано с широтой проблемы и другими методами защиты. Основное внимание мы сосредоточим на информации, хранимой и используемой на предприятии или у граждан. От чего же необходимо защищать информацию? Ответ - в Положении "О государственном лицензировании деятельности в области защиты информации" №60, где говорится, что "защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.". Пример - в одном из РЭУ подмосковного города были похищены компьютеры, и в результате была обнародована информация о прописке граждан.

Также в современных российских условиях не следует сбрасывать со счета и попытки предприятий скрыть данные от силовых ведомств. Правомочность этих действий мы не оспариваем, но каждое предприятие само решает, какие данные оно хочет обнародовать, какие - нет (по определению конфиденциальной информации). Кстати, информация, хранимая на компьютерах, не может использоваться как улики в уголовно-гражданских делах, но вполне возможно ее применение для выполнения следственных действий.

Защиту информации следует рассматривать как неотъемлемую часть хранения. Невозможно обеспечить серьезную защиту, не выполняя резервное копирование информации. К счастью, обеспечить сохранность копий гораздо проще, для этого достаточно административных мер (хранение в несгораемых сейфах). Емкость стриммеров, CD-R, CD-RW, DVD достаточна для составления резервных копий и восстановления из них в кратчайшие сроки.

Пренебрежение данными мерами чревато даже по техническим соображениям - надежность технических средств хранения далека от 1 (а вероятность сбоя Windows 95/98 в течение рабочего дня равна 1), и потерять информацию по причине программного сбоя или поломки накопителя очень обидно и дорого.

Известны случаи потери бухгалтерской отчетности за три месяца, восстановление заняло два месяца, штрафы за несвоевременное представление отчетности превысили стоимость сломавшегося накопителя более чем в 100 раз, не считая приостановки лицензии и косвенных потерь. Методы защиты информации и их главные недостатки: Административные меры Если территория (помещение) предприятия имеет охрану, персоналу можно доверять, локальная сеть не имеет выходов в глобальные сети, то такую защищенность надо признать очень высокой.

Однако это идеальный случай, и в практике такое не всегда выполнимо (пример - персональная база жителей Санкт-Петербурга из ГУВД, обнародованная на CD). Пренебрегать этим методом нельзя, и он, как правило, дополняет или контролирует другие методы. Защита средствами операционной системы MS-DOS, как наиболее распространенная операционная система, не представляет каких-либо методов защиты. Это наиболее открытая операционная система, и на ее базе разработано много различных аппаратных и программных средств, в частности - виртуальные кодируемые или шифруемые диски, блокираторы загрузки и тд. Однако имеющиеся средства дисассемблирования, отладчики, а также большое количество квалифицированных программистов сводят на нет все программные методы.

DR-DOS, как одна из разновидностей MS-DOS, хоть и поддерживает блокировку файлов, но загрузка с дискеты или с другого накопителя делает бесполезной использование встроенных систем защиты.

Windows 95/98 основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная система Windows 95/98 не выдерживает никакой критики, и даже установка дополнительных модулей системной политики не решает данную задачу. Windows NT и Novell, хотя и решают задачу защиты, но вот простейший пример - у Вас похитили, или изъяли в установленном порядке, компьютер. Диск установили вторым - и все ваше администрирование, на которое потрачены тысячи (если не миллионы) человеко-часов уже никому не помеха.

Я не хотел упоминать в данной работе защиту информации установкой пароля BIOS, но большое количество наблюдаемых установок данного пароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это - открыть компьютер, установить перемычку и снять ее (самое большее - две минуты). Есть два (известных мне) исключения - системы с часами на базе микросхем DALLAS и переносные компьютеры. Здесь задачка не так просто решается. Помогает снятие накопителя и установка его в другой компьютер (опять же две минуты). Блокировка загрузки операционной системы По этому пути идут многие фирмы.

У данного метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные платы перехватывают прерывание по загрузке, однако Setup современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства. Физическое уничтожение накопителя Это наиболее древний и действенный метод, вспомните сжигание, съедание бумаг.

Конечно, в наше время он становится более изощренным, в частности, к компьютерной безопасности можно приобщить следующие методы: • выкинуть из окна винчестер или целиком компьютер, сломать дискету; • электромагнит, пробивающий насквозь накопитель или дискету (московская разработка, последствия очень впечатляющие); • пиропатрон, установленный под накопителем (за хранение и применение взрывчатых веществ предусмотрена уголовная ответственность). Данным методам очень тяжело что-то противопоставить, но при ложном срабатывании слишком велика стоимость потерь.

Имеются в виду только материальные потери, так как грамотное ведение резервного копирования решает задачу восстановления в кратчайшие сроки. Очень интересно, конечно, кроме последнего пункта, что эти меры не требуют никакого согласования, лицензирования и сертификации, если они выполнены силами самого предприятия. Например, нельзя обвинить изготовителя окна, что он стал виновником уничтожения информации, если компьютер был с него скинут.

Очень распространено использование сменных HDD или магнитооптических дисков. Однако опыт их использования, особенно при постоянном изъятии, говорит о значительном сокращении срока их службы (удары по винчестеру) и частых сбоях (характерных для магнитооптики). Стирание информации Метод имеет много общего с предыдущим и в тоже время лишен ряда его недостатков, так как теряется только информация, а не накопитель (яркий пример - стирание пленки в фильме "Гений"). Информацию восстанавливаем с резервной копии - и нет проблем.

Программное стирание и комплексы, использующие данную функцию, требуют нахождения компьютера исключительно под напряжением. Это трудно выполнимо, даже мощные UPS не могут обеспечить работу компьютеров более часа. Пример: один комплекс дал сбой, так как удаляемый файл был открыт программой и блокировка операционной системы остановила дальнейшее удаление. Аппаратное стирание, выполняющее свои функции без участия компьютера, особенно при наличии резервного источника питания, устраняет эти проблемы.

Скорость уничтожения, как правило, соизмерима со скоростью работы самого накопителя. Хотя для магнитной ленты возможно и мгновенное стирание. Данные устройства могут применятся не только в помещении офиса, но, например, и в кейсе, при перевозке информации. Шифрование данных Это одно из мощнейших методов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование - это процесс преобразования открытых данных в зашифрованные при помощи шифра или зашифрованных данных в открытые при помощи шифра - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей (конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования). Стойкость современных шифровальных систем достаточно высока, и будем считать ее достаточной.

Но - Вот тут-то мы и получаем мощное сопротивление со стороны законодательства. Во-первых, разработчик, продавец и установщик должны иметь лицензию.

Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязан иметь лицензию ФАПСИ. В России разрешено использование только одного алгоритма и принципиально невозможно получить, а значит и использовать, импортные разработки! Например, появившаяся в печати реклама комплекса "Secret Disk" о продаже его в магазинах просто непонятна (одно из двух - или это не шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит: "В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ". Сможете ли вы применить данный метод после этих разъяснений? Приобретаемые технические устройства защиты информации могут не иметь сертификации, при условии, что они не будут использованы в государственных и банковских учреждениях.

Однако предприятие-продавец должно иметь лицензию на право занятия данной деятельностью.

Ответственность за использование несертифицированных средств, как ни странно, лежит на самом потребителе, хотя он может (или должен? и куда?) обратиться для проверки на соответствие данной системы.

Заключение Итак, подведем итоги. Эту работу ни в коем случае не следует рассматривать как полную (есть о чем поговорить ) и, не содержащий ошибок или противоречий. Но однако известно множество случаев, когда фирмы (не только зарубежные ) ведут между собой настоящие "шпионские войны", вербуя сотрудников конкурента с целью получения через них доступа к информации, составляющую коммерческую тайну. Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития.

Принятый еще в 1971 году КЗоТ несмотря на многочисленные изменения безнадежно устарел и не обеспечивает соответствующего современным реалиям регулирования многих вопросов, в том числе и о коммерческой тайне. Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому целесообразно подробно проинформировать всех сотрудников о последствиях нарушений.

В то же время надо отдавать себе отчет, что ущерб, причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить). Компенсировать убытки, потребовав их возмещения с виновного работника, скорее всего не удастся, отчасти из-за несовершенного порядка обращения имущественных взысканий на физических лиц, отчасти - просто из- за отсутствия у физического лица соответствующих средств. Хотелось бы надеяться что создающееся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно - интеллектуального объединения со всем миром.