Классификация мер по защите информации в соответствии с ст. 16 π. 1 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание информационная безопасность, в перечень мер защиты должны быть включены и физические меры защиты.

Законодательные меры

Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры но разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ "Преступления в сфере компьютерной информации", содержащей три статьи.

• 1. Статья 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями). Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
• 2. Статья 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа – специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
• 3. Статья 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это – нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.

Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 "Нарушение авторских и смежных прав" и 147 "Нарушение изобретательских и патентных прав" гл. 19 "Преступления против конституционных прав и свобод человека и гражданина" Уголовного кодекса РФ.

Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.

Физические меры

Физические меры (доля 15–20%) обеспечивают ограничение физического доступа к компьютеру, линии связи, телекоммуникационному оборудованию и контроль доступа. Физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. Эти меры включают: охрану периметра, территории, помещений; визуальное и видеонаблюдение; опознавание людей и грузов; идентификацию техники; сигнализацию и блокировку; ограничение физического доступа в помещения.

Выделяют три основные макрофункции физической защиты (рис. 11.2):

• внешнюю защиту;
• опознавание;
• внутреннюю защиту.

Перечисленные средства служат для обнаружения угроз и оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз.

Из 12 разбитых по функциональному признаку групп более детально рассмотрим четыре группы, использующие в своей технической реализации собственные компьютерные средства либо пригодные для защиты самих рабочих помещений с компьютерами.

Охранная сигнализация. Основной элемент сигнализации – датчики, фиксирующие изменение одного или нескольких физических параметров, характеристик.

Датчики классифицируют по следующим группам:

• объемные, позволяющие контролировать пространство помещений, например внутри компьютерных классов;
• линейные, или поверхностные, для контроля периметров территорий, зданий, стен, проемов (окна, двери);
• локальные, или точечные, для контроля состояния отдельных элементов (закрыто окно или дверь).

Датчики устанавливаются как открыто, так и скрытно. Наиболее распространены:

Выключатели (размыкатели), механически или магнитным способом замыкающие (размыкающие) управляю-

Рис. 11.2.

щую электрическую цепь при появлении нарушителя. Бывают напольные, настенные, на касание;

• инфраакустические, устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
• датчики электрического ноля, состоящие из излучателя и нескольких приемников. Выполняются в виде натянутых между столбами проводов-кабелей. Изменение поля при появлении нарушителя и фиксируется датчиком;
• инфракрасные датчики (излучатель – диод либо лазер), используемые для сканирования поверхностей или объемов помещений. Тепловая "фотография" запоминается и сравнивается с последующей для выявления факта перемещения объекта в защищаемом объеме;
• микроволновые – сверхвысокочастотный передатчик и приемник;
• датчики давления, реагирующие на изменение механической нагрузки на среду, в которой они уложены или установлены;
• магнитные датчики (в виде сетки), реагирующие на металлические предметы, имеющиеся у нарушителя;
• ультразвуковые датчики, реагирующие на звуковые колебания конструкций в области средних частот (до 30– 100 кГц);
• емкостные, реагирующие на изменение электрической емкости между полом помещения и решетчатым внутренним ограждением при появлении инородного объекта.

Средства оповещения и связи. Всевозможные сирены, звонки, лампы, подающие постоянный или прерывистые сигналы о том, что датчик зафиксировал появление угрозы. На больших расстояниях используют радиосвязь, на малых – специальную экранированную защищенную кабельную разводку. Обязательное требование – наличие автоматического резервирования электропитания средств сигнализации.

Охранное телевидение. Распространенное физическое средство защиты. Главная особенность – возможность не только фиксировать визуально факт нарушения режима охраны объекта и контролировать обстановку вокруг объекта, но и документировать факт нарушения, как правило, с помощью видеомагнитофона.

В отличие от обычного телевидения, в системах охранного ТВ монитор принимает изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте (так называемое закрытое ТВ). Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые должен быть ограничен.

Рассмотренные выше три группы относятся к категории средств обнаружения вторжения или угрозы.

Естественные средства противодействия вторжению. Сюда относятся естественные или искусственные барьеры (водные преграды, сильно пересекающаяся местность, заборы, спецограждения, особые конструкции помещений, сейфы, запираемые металлические ящики для компьютеров и т.п.).

Средства ограничения доступа, в состав которых входит компьютерная техника. Сюда относятся биометрические или иные, использующие внешние по отношению к компьютеру носители паролей или идентифицирующих кодов: пластиковые карты, флеш-карты, таблетки Touch Memory и другие средства ограничения доступа.

Биометрические средства ограничения доступа. Особенность биометрических методов допуска состоит в их статистической природе. В процессе проверки объекта при наличии ранее запомненного кода устройство контроля выдает сообщение по принципу "совпадает" или "не совпадает". В случае считывания копии биологического кода и его сравнения с оригиналом речь идет о вероятности ошибки, которая является функцией чувствительности, разрешающей способности и программного обеспечения контролирующего доступ прибора. Качество биометрической системы контроля доступа определяется следующими характеристиками:

• вероятностью ошибочного допуска "чужого" – ошибка первого рода;
• вероятностью ошибочного задержания (отказа в допуске) "своего" легального пользователя – ошибка второго рода;
• временем доступа или временем идентификации;
• стоимостью аппаратной и программной частей биометрической системы контроля доступа, включая расходы на обучение персонала, установку, обслуживание и ремонт.

Бо́льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик) – преобразователь (сигналы датчика в цифровой код для компьютера) – компьютер (хранитель базы биометрических кодов – характеристик объекта, сравнение с принятой от датчика информацией, принятие решения о допуске объекта или блокировании его доступа).

В качестве уникального биологического кода человека в биометрии используются параметры двух групп.

Поведенческие, основанные на специфике действий человека, – это тембр голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик – временна́я неустойчивость, т.е. возможность значительного изменения со временем. Это в значительной степени ограничивает применение поведенческих характеристик как средств ограничения доступа. Однако на протяжении относительно короткого временно́го интервала они применимы как идентифицирующие личность средства. Пример – фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на изъятой у него клавиатуре (лучше на его же компьютере).

Физиологические, использующие анатомическую уникальность каждого человека, – радужная оболочка глаза, сетчатка глаза, отпечатки пальцев, отпечаток ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия) на пальцах на основе ультразвукового цифрового сканирования, форма ушной раковины, трехмерное изображение лица, структура кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов. Справедливости ради отметим, что бо́льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.

Устройства биометрического контроля начали распространяться в России еще до 2000 г. Однако из-за высокой цены на российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические средства доступны и имеют устойчивый спрос в России. Иная причина – осознание необходимости защиты от преступности у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Раньше в России на режимных предприятиях применялись замки с PIN-кодом, затем появились магнитные пластиковые карты, которые необходимо было провести через специальные устройства считывания, еще позднее – карточки дистанционного считывания. Опыт, в том числе и российский, показывает, что данные средства эффективны только от случайного посетителя и слабы при жестких формах преступности, когда похищаются и пароли входа в информационную систему, и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.

Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник пытается использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.

Известная компания Identix, занимающаяся автоматизированным дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:

• контроль физического доступа в здание, на стоянки автомашин и в другие помещения;
• контроль компьютерных станций (серверов, рабочих мест) и систем телекоммуникаций;
• контроль доступа к сейфам, складам и т.п.;
• идентификация в электронной коммерции;
• контроль членства в различных организациях и клубах;
• паспортный контроль;
• выдача и контроль виз, лицензий;
• контроль времени посещения;
• контроль транспортных средств;
• идентификация кредитных и смарт-карт.

В табл. 11.1 сопоставлены характеристики промышленных биометрических систем контроля доступа.

Таблица 11.1

Характеристики промышленных биометрических систем контроля доступа

Ограничителем распространения биометрических средств контроля доступа в ряде стран выступает действующее на их территории законодательство. В России действует закон о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", введен в действие с 26 января 2007 г.). Подобные законы существуют в других странах, а в некоторых отсутствуют. Статья 11 "Биометрические персональные данные" указанного Закона не содержит исчерпывающего перечня параметров, которые можно отнести к этим данным.

Несомненно, что создание пусть небольших, локальных баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной информации.

Пластиковые карты. Лидером среди переносных носителей персональных идентификационных кодов (PIN) и кодов физического доступа остаются пластиковые карты.

Пластиковая карта представляет собой пластину стандартных размеров (85,6x53,9x0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Основная функция пластиковой карты – обеспечение идентификации владельца карты как субъекта системы физического доступа или платежной системы. Па пластиковую карту наносят:

• логотип банка-эмитента (выпустившего карту);
• логотип или название платежной системы, обслуживающей карту;
• имя держателя карты;
• номер его счета;
• срок действия.

Могут присутствовать фотография, подпись владельца и другие параметры.

Алфавитно-цифровые данные – имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью импринтера, осуществляющего "прокатку" карты.

По принципу действия карты делятся на две группы – пассивные и активные.

Пассивные карты только хранят информацию на носителе, но не обеспечивают ее автономной обработки. Пример – широко распространенные во всем мире карты с магнитной полосой на обратной стороне (три дорожки). Две дорожки хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только там, где хорошо развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и MasterCard/Europay используют дополнительные средства защиты карт – голограммы и нестандартные шрифты для эмбоссирования.

Активные пластиковые карты содержат встроенную микросхему и допускают разную степень обработки информации без участия банка, обслуживающего платежную систему. Типичный пример – карты-счетчики и карты с памятью. Но они уступают место интеллектуальным или смарт-картам, в состав которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату самостоятельно (без участия банка, т.е. в режиме offline) проводить не только идентификацию клиента, но и выполнение ряда финансовых операций: снятие денег со счета, безналичную оплату счетов и товаров.

Хотя имеются случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный вид карт обладает высокой надежностью и вытесняет другие виды карт.

Организационные (административные) меры

Административные меры (доля 50–60%) включают:

• разработку политики безопасности применительно к конкретной информационной системе (какие профили, какие пароли, какие атрибуты, какие права доступа);
• разработку средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности);
• распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности);
• обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников;
• контроль за соблюдением установленной политики безопасности;
• разработку мер безопасности на случай природных или техногенных катастроф и террористических актов.

Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике службы безопасности (информационной безопасности), системном (сетевом) администраторе.

Ведение

Во все времена информация являлась основой развития человечества и любых сфер деятельности. На сегодняшний день, в любом бизнес-процессе ключевую роль играет обладание информацией, а значит - её защита.

По общемировой статистике 80% компаний, допустивших утечку коммерческой информации, неминуемо завершили свою деятельность крахом.

На сегодняшний день свыше 4,6 миллионов компьютеров во всём мире подвержены уязвимостям, и более 90% компьютеров потенциально уязвимы. Ежедневно совершается более 6000 атак на компьютерные сети организаций разного уровня. По данным «InfoWatch», в 2007 году общемировые убытки от информационных утечек достигнут отметки в 1 трлн. долл. Это на 300 млрд. долл. больше, чем в 2006 году.

За последние годы актуальность этой угрозы возросла настолько, что сегодня кража классифицированных сведений стабильно занимает первые места во всех рейтингах угроз ИТ-безопасности. Возрастающее использование электронной почты, интернет - пейджеров и других средств передачи данных, распространенность мобильных устройств - все это значительно осложняет контроль над потоками данных, а следовательно содействует утечки информации.

Целью курсовой работы является знакомство со средствами защиты информации. Часть из которых рассмотрим подробно.

o Криптография

o Аутентификация

o Протоколирование и аудит

o Управление доступом

В практической части курсовой работы перед нами была поставлена экономическая задача. При решении которой, была использована программа для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм.

Меры информационной безопасности

Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется

Можно выделить следующие направления мер информационной безопасности.

- правовые

Организационные

Технические

К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства. К правовым мерам также относятся вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.

К организационным мерам относится: охрана вычислительного центра, тщательный подбор персонала, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.

К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

Технические меры защиты информации

Технические меры можно классифицировать так потенциальные угрозы, против которых направлены технические меры защиты информации:

1. Потери информации из-за сбоев оборудования:

перебои электропитания;

сбои дисковых систем;

сбои работы серверов, рабочих станций, сетевых карт и т.д.

2. Потери информации из-за некорректной работы программ:

потеря или изменение данных при ошибках ПО;

потери при заражении системы компьютерными вирусами;

3. Потери, связанные с несанкционированным доступом:

несанкционированное копирование, уничтожение или подделка информации;

ознакомление с конфиденциальной информацией

4. Ошибки обслуживающего персонала и пользователей:

случайное уничтожение или изменение данных;

некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

По средствам зашиты технические меры можно разделить на:

Аппаратные средства защиты

Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами, например с программными.

Можно выделить наиболее важные элементы аппаратной защиты:

защита от сбоев в электропитании;

защита от сбоев серверов, рабочих станций и локальных компьютеров;

защита от сбоев устройств, для хранения информации;

защита от утечек информации электромагнитных излучений.

программные средства защиты

Программными, называются средства защиты данных, функционирующие в составе программного обеспечения.

Среди них можно выделить следующие;

средства архивации данных

антивирусные программы

криптографические средства

средства идентификации и аутентификации пользователей

средства управления доступом

протоколирование и аудит

Как примеры комбинаций вышеперечисленных средств можно привести:

защиту баз данных

защиту информации при работе в компьютерных сетях.

В практической деятельности в информационных технологиях при­менение мер и способов защиты информации включает следующие са­мостоятельные направления, представленные на рис.8.6.

Для каждого направления определены основные цели и задачи.

1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач - защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой матери­альный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.

Рис. 8.6. Меры и способы защиты, используемые в информационных технологиях

Требования по защите информации от несанкционированного дос­тупа в информационных технологиях направлены на достижение трех основных свойств защищаемой информации:

В части технической реализации защита от несанкционированного доступа в информационных технологиях сводится к задаче разграниче­ния функциональных полномочий и доступа к данным с целью не толь­ко использования информационных ресурсов, но и их модификации.

Защита информации в каналах связи направлена на предотвраще­ние возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов меж­ду различными уровнями управления экономическим объектом или внешними органами. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтроли­руемых каналах связи является применение криптографии и специаль­ных связных протоколов.

Защита юридической значимости электронных документов оказы­вается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые доку­менты. Их общая особенность заключается в том, что в случае возник­новения споров (в том числе и судебных), должна быть обеспечена воз­можность доказательства истинности факта того, что автор действитель­но фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы зашиты значимости электронных до­кументов решаются совместно с вопросами защиты ИТ экономического объекта.

Защита информации от утечки по каналам побочных электромаг­нитных излучений и наводок является важным аспектом защиты конфи­денциальной и секретной информации в вычислительной технике от не­санкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информа­тивных электромагнитных сигналов за пределы охраняемой территории экономического объекта. При этом предполагается, что внутри охраняе­мой территории применяются эффективные режимные меры, исклю­чающие возможность бесконтрольного использования специальной ап­паратуры перехвата, регистрации и отображения электромагнитных сиг­налов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназна­ченных для размещения средств вычислительной техники, а также тех­нические меры, позволяющие снизить интенсивность информативных излучений самого оборудования персональных компьютеров и каналов связи.

В некоторых ответственных случаях может быть необходима допол­нительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств промышленного шпиона­жа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.

5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллекту­альной собственности, воплощенной в виде программ и ценных баз дан­ных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, прове­рок по обращениям к устройствам хранения ключа и ключевым диске­там, блокировка отладочных прерываний, проверка рабочего персо­нального компьютера по его уникальным характеристикам и т.д.), кото­рая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.

Общим свойством средств защиты программ и баз данных в ИТ от несанкционированного копирования является ограниченная стойкость такой защиты, т.к. в конечном случае исполнимый код программы по­ступает на выполнение в центральный процессор в открытом виде и мо­жет быть прослежен с помощью аппаратных отладчиков. Однако это об­стоятельство не снижает потребительских свойств средств защиты до минимума, т.к. основная цель их применения - максимально затруд­нить, хотя бы временно, возможность несанкционированного копиро­вания ценной информации.

С чего начинается информационная безопасность компьютерных сетей предприятия? Теория говорит об ана­лизе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных служ­бах предприятия.

Вы должны уметь четко ответить на вопросы:

Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предпри­ятии?

Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.

Вы сумеете узнать каждый компьютер "в лицо"? Обнаружите ли вы "маскарад" оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей ло­шадкой оборудование на самом деле является троянским конем?

Какие задачи и с какой целью решаются на каждом компьютере? Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопаснос­ти от него можно ожидать только вреда. А вот еще несколько вопросов по оборудованию. Каков порядок ремонта и технической профилактики компьютеров?

Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место? Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу ново­го оборудования?

Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как прави­ло, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информа­ционной безопасности:

Появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

Необходимость дополнительных материальных затрат как на проведение таких работ, так и на расшире­ние штата специалистов, занимающихся проблемой информационной безопасности.

Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

Принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);

Использование только дополнительных технических средств защиты информации (ТСЗИ).

В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призван­ные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей техничес­кой поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выпол­няются.

Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответ­ствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования ме­ханизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизиро­ванной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

К организационным мерам относятся:

Разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

Мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);

Периодически проводимые (через определенное время) мероприятия;

Постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

Разовые мероприятия

К разовым мероприятиям относят:

Общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;

Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных цен­тров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п.);

Мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программ­ных средств, документирование и т. п.);

Проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения ме­роприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наво­док;

Разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной бе­зопасности;

Внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользова­телей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

Оформление юридических документов (в форме договоров, приказов и распоряжений руководства орга­низации) по вопросам регламентации отношений с пользователями (клиентами), работающими в авто­матизированной системе, между участниками информационного обмена и третьей стороной (арбитра­жем, третейским судом) о правилах разрешения споров, связанных с применением электронной подпи­си;

Определение порядка назначения, изменения, утверждения и предоставления конкретным должност­ным лицам необходимых полномочий по доступу к ресурсам системы;

Мероприятия по созданию системы защиты КС и созданию инфраструктуры;

Мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используе­мых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз дан­ных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уров­ням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адек­ватных требований по основным направлениям защиты);

Организацию надежного пропускного режима;

Определение порядка учета, выдачи, использования и хранения съемных магнитных носителей инфор­мации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

Организацию учета, хранения, использования и уничтожения документов и носителей с закрытой ин­формацией;

Определение порядка проектирования, разработки, отладки, модификации, приобретения, специссле­дования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на ра­бочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

Создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подраз­делений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасно­сти программно-информационных ресурсов автоматизированной системы обработки информации;

Определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в кри­тических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и дей­ствиях персонала, стихийных бедствий.

Периодически проводимые мероприятия

К периодически проводимым мероприятиям относят:

Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

Анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы,

Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

Периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эф­фективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

Мероприятия по пересмотру состава и построения системы защиты.

Мероприятия, проводимые по необходимости

К мероприятиям, проводимым по необходимости, относят:

Мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

Мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспече­ния (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлет­ворение требованиям защиты, документальное отражение изменений и т. п.);

Мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обуче­ние, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

Постоянно проводимые мероприятия

Постоянно проводимые мероприятия включают:

Мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противо­пожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической цело­стности СВТ, носителей информации и т. п.).

Мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

Явный и скрытый контроль за работой персонала системы;

Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

Постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специа­листов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защи­ты.

Несколько детализируя методологию построения систем информационной безопасности относительно корпоративной сети, а также учитывая вышесказанное по возможным угрозам сети и имеющимся способам борьбы с ними, алгоритм построения системы информационной безопасности корпоративной сети может быть представлен следующим образом.

Весь объект защиты имеет несколько направлений возможных атак. Для каждого вида атаки существуют соответствующие способы и средства борьбы с ними. Определив основные способы борьбы, мы тем самым сформируем политику информационной безопасности. Выбрав в соответствии со сформированной политикой совокупность средств обеспечения информационной безопасности, объединив их системой управления, мы получим фактически систему защиты информации.

Аналогичным образом анализируются угрозы на уровне корпоративной сети. Она может быть представлена тремя основными составляющими – техническое обеспечение, информационное обеспечение и программное обеспечение. Каждый из этих компонент может далее детализироваться до степени, достаточной для формулировки основных угроз на этом уровне и возможных способов борьбы с ними.

Выбор конкретных способов и средств защиты информации на уровне сети также выливается в соответствующую политику и систему информационной безопасности, которые органически вливаются в общую политику и систему информационной безопасности всего объекта (см. ниже схемы “Вероятные угрозы” ).

Физическая система защиты системы и данных может осуществляться только в отношении рабочих ЭВМ и узлов связи и оказывается невозможной для средств передачи, имеющих большую протяженность. По этой причине в ИВС должны использоваться средства, исключающие несанкционированный доступ к данным и обеспечивающие их секретность.

Неизбежным средством борьбы с этой опасностью стали постоянно увеличивающиеся расходы на защиту информации. Например, по оценке немецких экспертов лишь в 1987 году в промышленности и учебных заведениях Западной Европы потрачено

1 к 7 млрд марок на обеспечение безопасности компьютеров.

Исследования практики функционирования систем обработки информации и вычислительных систем доказали, что существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа в системах и сетях.

В их числе:

• - чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• - копирование носителей и файлов информации с преодолением мер защиты;
• - маскировка под зарегистрированного пользователя;
• - маскировка под запрос системы;
• - использование программных ловушек;
• - использование недостатков операционной системы;
• - незаконное подключение к аппаратуре и линиям связи;
• - злоумышленный вывод из строя механизмов защиты;
• - внедрение и использование компьютерных вирусов.

Обеспечение безопасности информации в ИВС и в автономно работающих ПЭВМ достигается комплексом организационных, организационно-технических, технических и программных мер.

К организационным мерам защиты информации относятся:

• - ограничение доступа в помещения, в которых происходит подготовка и обработка информации;
• - доступ к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
• - хранение магнитных носителей и регистрационных журналов в закрытых для доступа посторонних лиц сейфах;
• - исключение просмотра посторонними лицами содержания обрабатываемых материалов через дисплей, принтер и т.д.;
• - использование криптографических кодов при передаче информации по каналам связи ценной информации;
• - уничтожение красящих лент, бумаги и иных материалов, содержащих фрагменты ценной информации.

Организационно-технические меры зашиты информации включают:

• - осуществление питания оборудования, обрабатывающего ценную информацию от независимого источника или через специальные фильтры;
• - установку на дверях помещений кодовых замков;
• - использование для отображения информации при вводе- выводе жидкокристаллических или плазменных дисплеев, а для получения твердых копий -- струйных принтеров и термопринтеров, поскольку дисплей дает такое высокочастотное электромагнитное излучение, что изображение с его экрана можно принимать на расстоянии нескольких сотен километров;
• - уничтожение информации, хранящейся в ОЗУ и на «винчестере» при списании или отправке ПЭВМ в ремонт;
• - установка клавиатуры и принтеров на мягкие прокладки с целью снижения возможности снятия информации акустическим способом;
• - ограничение электромагнитного излучения путем экранирования помещений, где происходит обработка информации, листами из металла или специальной пластмассы.

Технические средства защиты информации -- это системы охраны территорий и помещений с помощью экранирования машинных залов и организация контрольно-пропускных систем.

Защита информации в сетях и вычислительных средствах с помощью технических средств реализуется на основе организации доступа к памяти с помощью:

• - контроля доступа к различным уровням памяти компьютера;
• - блокировки данных и ввода ключей;
• - выделения контрольных битов для записей с целью идентификации и др.

Архитектура программных средств защиты информации включает:

• - контроль безопасности, в том числе и контроль регистрации вхождения в систему, фиксацию в системном журнале, контроль действий пользователя;
• - реакцию, в том числе звуковую, на нарушение системы защиты контроля доступа к ресурсам сети;
• - контроль мандатов доступа;
• - формальный контроль защищенности операционных систем (базовой операционной и сетевой);
• - контроль алгоритмов защиты;
• - проверку и подтверждение правильности функционирования технического и программного обеспечения.

Для надежной защиты информации и выявления случаев неправомочных действий проводится регистрация работы системы: создаются специальные дневники и протоколы, в которых фиксируются все действия, имеющие отношение к защите информации в системе. Фиксируются время поступления заявки, ее тип, имя пользователя и терминала, с которого инициализируется заявка. При отборе событий, подлежащих регистрации, необходимо иметь в виду, что с ростом количества регистрируемых событий, затрудняется просмотр дневника и обнаружение попыток преодоления защиты. В этом случае можно применять программный анализ и фиксировать сомнительные события.

Используются также специальные программы для тестирования системы защиты. Периодически или в случайно выбранные моменты времени они проверяют работоспособность аппаратных и программных средств защиты.

К отдельной группе мер по обеспечению сохранности информации и выявлению несанкционированных запросов относятся программы обнаружения нарушений в режиме реального времени. Программы данной группы формируют специальный сигнал при регистрации действий, которые могут привести к неправомерным действиям по отношению к защищаемой информации. Сигнал может содержать информацию о характере нарушения, месте его возникновения и другие характеристики. Кроме того, программы могут запретить доступ к защищаемой информации или симулировать такой режим работы (например, моментальная загрузка устройств ввода-вывода), который позволит выявить нарушителя и задержать его соответствующей службой.

Один из распространенных способов защиты -- явное указание секретности выводимой информации. В системах, поддерживающих несколько уровней секретности, вывод на экран терминала или печатающего устройства любой единицы информации (например, файла, записи или таблицы) сопровождается специальным грифом с указанием уровня секретности. Это требование реализуется с помощью соответствующих программных средств.

В отдельную группу выделены средства зашиты от несанкционированного использования программного обеспечения. Они приобретают особое значение вследствие широкого распространения персональных компьютеров. Исследования, проведенные зарубежными исследователями, свидетельствуют, что на одну проданную копию оригинальной программы приходится минимум одна нелегальная. А для особо популярных программ это соотношение достигает 1:7.

Особое внимание уделяется законодательным средствам, регулирующим использование программных продуктов. В соответствии с Законом Российской Федерации об информации, информатизации и защите информации от 25 января 1995 года предусматриваются санкции к физическим и юридическим лицам за нелегальное приобретение и использование программных продуктов.

Большую опасность представляют компьютерные вирусы.

Компьютерный вирус -- это специально написанная небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. «заражать» их), а также выполнять различные нежелательные действия. Программа, внутри которой находится компьютерный вирус, называется зараженной. Когда такая программа начинает работу, то сначала управление получает вирус, который находит и заражает другие программы, а также выполняет ряд вредных действий, в частности «засоряет» активную память, портит файлы и т. д.

Для маскировки вируса его действия по заражению других программ и нанесению вреда могут выполняться не всегда, а при выполнении каких-либо условий. После того, как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно, т. е. внешне работа зараженной программы какое-то время не отличается от работы незараженной программы.

Действия вируса могут выполняться достаточно быстро и без выдачи сообщений, поэтому пользователь часто и не замечает, что компьютер работает несколько странно. Однако по прошествии некоторого времени, на компьютере может происходить следующее:

• - некоторые программы перестают работать или работают неправильно;
• - на экран выводятся посторонние сообщения, символы, рисунки и т. д.;
• - работа на компьютере существенно замедляется;
• - некоторые файлы оказываются испорченными и т.д.

Многие вирусы устроены так, что при запуске зараженной

программы они остаются постоянно (точнее, до перезагрузки ОС) в памяти компьютера и время от времени заражают программы. Кроме того, зараженные программы с данного компьютера могут быть перенесены с помощью дискет или по локальной сети на другие компьютеры.

Если не принимать мер по защите от вируса, то последствия заражения вирусом компьютера могут быть серьезными. В число средств и методов защиты от компьютерных вирусов входят:

• - общие средства защиты информации, которые полезны так же, как и страховка от физической порчи машинных дисков, неправильно работающих программ или ошибочных действий пользователя;
• - профилактические меры, позволяющие уменьшить вероятность заражения вирусов;
• - специализированные программы для защиты от вирусов.

Комплексное решение вопросов безопасности ИВС принято

именовать архитектурой безопасности, где выделяются угрозы безопасности, службы безопасности и механизмы обеспечения безопасности.

Под угрозой безопасности понимается событие или действие, которое может привести к разрушению, искажению или несанкционированному использованию ресурсов сети, включая хранимую и обрабатываемую информацию, а также программные и аппаратные средства.

Угрозы распределяются на случайные (непреднамеренные) и умышленные. Источником первых могут быть ошибки в ПО, неправильные действия пользователей, выход из строя аппаратных средств и др.

Умышленные угрозы преследуют цель нанесения ущерба пользователям (абонентам) вычислительной сети и подразделяются на активные и пассивные.

Пассивные угрозы не разрушают информационные ресурсы и не оказывают влияния на функционирование ИВС. Их задача -- несанкционированно получить информацию. Активные угрозы преследуют цель нарушить процесс функционирования ИВС путем разрушения или радиоэлектронного подавления линий связи ИВС, вывода из строя ЭВМ или ее операционной системы, искажения баз данных и т. д. Источником активных угроз могут быть непосредственные действия людей -- злоумышленников, компьютерные вирусы и т. д.

Служба безопасности вычислительной сети призвана обеспечить:

• - подтверждение подлинности того, что объект, который предлагает себя в качестве отправителя информации в сети, действительно им является;
• - целостность информации, выявляя искажения, вставки, повторы и уничтожение данных, передаваемых в сетях, а также последующее восстановление данных;
• - секретность всех данных, передаваемых по сетям;
• - нейтрализацию всех попыток несанкционированного использование ресурсов ЭВМ. При этом контроль доступа может быть избирательным, т.е. распространяться только на некоторые виды доступа к ресурсам, например, на обновление информации в базе данных, либо полным;
• - получателя информации доказательствами, что информация получена от данного отправителя, несмотря на попытки отправителя отрицать факт отправления;

К механизмам обеспечения безопасности относятся:

• - идентификация пользователей;
• - шифрование данных;
• - электронная подпись;
• - управление маршрутизацией и др.

Идентификация пользователей позволяет устанавливать конкретного пользователя, работающего за терминалом и принимающего или отправляющего сообщения. Право доступа к определенным вычислительным и информационным ресурсам, программам и наборам данных, а также ВС в целом предоставляется ограниченному контингенту лиц, и система должна распознавать пользователей, работающих за терминалами. Идентификация пользователей чаще всего производится с помощью паролей.

Пароль -- это совокупность символов, известных подключенному к сети абоненту, вводится в начале сеанса взаимодействия с сетью, а иногда и в конце сеанса (в особо ответственных случаях пароль выхода из сети может отличаться от входного). Система может предусматривать ввод пароля для подтверждения правомочия пользователя через определенные интервалы времени.

Для защиты средств идентификации пользователей от неправомочного использования, пароли передаются и сравниваются в зашифрованном виде, а таблицы паролей хранятся в зашифрованном виде, что исключает возможность прочтения паролей без знания ключа.

Для идентификации пользователей могут применять и физические методы: например, карточка с магнитным покрытием, на котором записывается персональный идентификатор пользователя или карточка со встроенным чипом.

Наиболее надежным, хотя и наиболее сложным является способ идентификации пользователя на основе анализа его индивидуальных параметров: отпечатков пальцев, рисунков линий руки, радужной оболочки глаз и др.

Шифрование данных -- это обеспечение секретности методами криптографии, т. е. методами преобразования данных из общепринятой формы в кодированную (шифрование) и обратного преобразования (дешифрования) на основе правил, известных только взаимодействующим абонентам сети. Криптография применяется для защиты передаваемых данных, а также информации, хранимой в базах данных, на магнитных и оптических дисках и т. д.

К криптографическим средствам предъявляются требования сохранения секретности, даже когда известна сущность алгоритмов шифрования -- дешифрования. Секретность обеспечивается введением в алгоритмы специальных ключей (кодов). Зашифрованный текст превращается в исходный только в том случае, когда в процессе шифрования и дешифрования используется один и тот же ключ. Область значений ключа выбирается столь большой, что практически исключается возможность его определения путем простого перебора.