Головна  /  Мережева безпека  /  Цикл обробки персональних даних. Програмний та апаратний захист інформації Сполучені технічні засоби захисту приклади

Цикл обробки персональних даних. Програмний та апаратний захист інформації Сполучені технічні засоби захисту приклади

Мережева безпека
16.07.2020

У сучасних інформаційних системах (ІВ) інформація має дві суперечливі властивості – доступність і захищеність від несанкціонованого доступу. У багатьох випадках розробники ІС стикаються із проблемою вибору пріоритету однієї з цих властивостей.

Під захистом інформації зазвичай розуміється забезпечення її захищеності від несанкціонованого доступу. У цьому під самим несанкціонованим доступом прийнято розуміти події, які спричинили "…знищення, блокування, модифікацію, чи копіювання інформації…" (КК РФ ст.272). Всі методи та засоби захисту інформації можна умовно розбити на дві великі групи: формальні та неформальні.

Мал. 1. Класифікація методів та засобів захисту інформації

Формальні методи та засоби

Це такі засоби, які виконують свої захисні функції строго формально, тобто за попередньо передбаченою процедурою і без безпосередньої участі людини.

Технічні засоби

Технічними засобами захисту називаються різні електронні та електронно-механічні пристрої, які включаються до складу технічних засобів ІВ та виконують самостійно або в комплексі з іншими засобами деякі функції захисту.

Фізичні засоби

Фізичними засобами захисту називаються фізичні та електронні пристрої, елементи конструкцій будівель, засоби пожежогасіння, та цілий рядінших засобів. Вони забезпечують виконання таких завдань:

  • захист території та приміщень обчислювального центру від проникнення зловмисників;
  • захист апаратури та носіїв інформації від пошкодження чи розкрадання;
  • запобігання можливості спостереження за роботою персоналу та функціонуванням обладнання з-за меж території або через вікна;
  • запобігання можливості перехоплення електромагнітних випромінювань працюючого обладнання та ліній передачі даних;
  • контроль за режимом роботи персоналу;
  • організацію доступу до приміщення працівників;
  • контроль за переміщенням персоналу у різних робочих зонах тощо.

Криптографічні методи та засоби

Криптографічними методами та засобами називаються спеціальні перетворення інформації, внаслідок яких змінюється її подання.

Відповідно до виконуваних функцій криптографічні методи та засоби можна розділити на наступні групи:

  • ідентифікація та аутентифікація;
  • розмежування доступу;
  • шифрування даних, що захищаються;
  • захист програм від несанкціонованого використання;
  • контроль цілісності інформації та ін.

Неформальні методи та засоби захисту інформації

Неформальні засоби – такі, що реалізуються внаслідок цілеспрямованої діяльності людей, або регламентують (безпосередньо чи опосередковано) цю діяльність.

До неформальних засобів належать:

Організаційні засоби

Це організаційно-технічні та організаційно-правові заходи, що здійснюються у процесі створення та експлуатації ІС з метою забезпечення захисту інформації. За змістом все безліч організаційних заходів умовно можна розділити такі групи:

  • заходи, що здійснюються під час створення ІВ;
  • заходи, що здійснюються в процесі експлуатації ІВ: організація пропускного режиму, організація технології автоматизованої обробки інформації, організація роботи у змінах, розподіл реквізитів розмежування доступу (паролів, профілів, повноважень тощо);
  • заходи загального характеру: облік вимог захисту під час підбору та підготовки кадрів, організація планових та превентивних перевірок механізму захисту, планування заходів щодо захисту інформації тощо.

Законодавчі кошти

Це законодавчі акти країни, якими регламентуються правила використання та опрацювання інформації обмеженого використання та встановлюються заходи відповідальності за порушення цих правил. Можна сформулювати п'ять ”основних принципів”, які є основою системи законів про захист інформації:

  • не повинні створюватися системи, що накопичують великий обсяг персональної інформації, діяльність яких була б засекречена;
  • повинні існувати способи, за допомогою яких окрема особистість може встановити факт збору персональної інформації, дізнатися для чого вона збирається і як використовуватиметься;
  • повинні існувати гарантії того, що інформація, отримана для якоїсь однієї мети, не буде використана для інших цілей без інформування про це особи, до якої вона належить;
  • повинні існувати способи, за допомогою яких людина може виправити інформацію, що відноситься до неї та міститься в ІВ;
  • будь-яка організація, що накопичує, зберігає та використовує персональну інформаціюповинна забезпечувати надійність зберігання даних при їхньому відповідному використанні та повинна вживати всіх заходів для запобігання неправильному використанню даних.

Морально – етичні норми

Ці норми може бути як і писаними (загальноприйняті норми чесності, патріотизму тощо.) і писаними, тобто. оформленими в деяке зведення правил та розпоряджень (статут).

З іншого боку, всі методи та засоби захисту інформації можна розділити на дві великі групи за типом об'єкта, що захищається. У першому випадку об'єктом є носій інформації, і тут використовуються всі неформальні, технічні та фізичні методи та засоби захисту інформації. У другому випадку йдеться про саму інформацію, і для її захисту використовуються криптографічні методи.

Найбільш небезпечними (значущими) загрозами безпеці інформації є:

  • порушення конфіденційності (розголошення, витік) відомостей, що становлять банківську, судову, лікарську та комерційну таємницю, а також персональних даних;
  • порушення працездатності (дезорганізація роботи) ІВ, блокування інформації, порушення технологічних процесів, зрив своєчасного вирішення завдань;
  • порушення цілісності (перекручування, підміна, знищення) інформаційних, програмних та інших ресурсів ІВ, а також фальсифікація (підробка) документів.

Наведемо нижче коротку класифікацію можливих каналів витоку інформації в ІВ – способів організації несанкціонованого доступу до інформації.

Непрямі канали, що дозволяють здійснювати несанкціонований доступ до інформації без фізичного доступу до компонентів ІС:

  • застосування підслуховуючих пристроїв;
  • дистанційне спостереження, відео та фотозйомка;
  • перехоплення електромагнітних випромінювань, реєстрація перехресних наведень тощо.

Канали, пов'язані з доступом до елементів ІВ, але не потребують зміни компонентів системи, а саме:

  • спостереження за інформацією у процесі обробки з метою її запам'ятовування;
  • розкрадання носіїв інформації;
  • збирання виробничих відходів, що містять оброблювану інформацію;
  • навмисне зчитування даних із файлів інших користувачів;
  • читання залишкової інформації, тобто. даних, що залишаються на полях пристроїв, що запам'ятовують після виконання запитів;
  • копіювання носіїв інформації;
  • навмисне використання доступу до інформації терміналів зареєстрованих користувачів;
  • маскування під зареєстрованого користувача шляхом викрадення паролів та інших реквізитів розмежування доступу до інформації, що використовуються в ІС;
  • використання для доступу до інформації так званих «лазівок», тобто можливостей обходу механізму розмежування доступу, що виникають внаслідок недосконалості та неоднозначностей мов програмування та загальносистемних компонентів програмного забезпечення в ІС.

Канали, пов'язані з доступом до елементів ІВ та зі зміною структури її компонентів:

  • незаконне підключення спеціальної реєструючої апаратури до пристроїв системи або до ліній зв'язку;
  • зловмисна зміна програм таким чином, щоб ці програми поряд з основними функціями обробки інформації здійснювали також несанкціонований збір та реєстрацію інформації, що захищається;
  • зловмисне виведення з ладу механізму захисту.

1.3.3. Обмеження доступу до інформації

У загальному випадкуСистема захисту від несанкціонованого доступу складається з трьох основних процесів:

  • ідентифікація;
  • автентифікація;
  • авторизація.

При цьому учасниками цих процесів прийнято вважати суб'єкти – активні компоненти (користувачі чи програми) та об'єкти – пасивні компоненти (файли, бази даних тощо).

Завданням систем ідентифікації, аутентифікації та авторизації є визначення, верифікація та призначення набору повноважень суб'єкта за доступу до інформаційної системи.

Ідентифікацією суб'єкта при доступі до ІВ називається процес зіставлення його з деякою, збереженою системою в деякому об'єкті, характеристикою суб'єкта – ідентифікатором. Надалі ідентифікатор суб'єкта використовується для надання суб'єкту певного рівня прав та повноважень при користуванні інформаційною системою.

Автентифікацією суб'єкта називається процедура верифікації власності ідентифікатора суб'єкту. Аутентифікація проводиться на підставі того чи іншого секретного елемента (аутентифікатора), який має як суб'єкт, так і інформаційна система. Зазвичай в деякому об'єкті в інформаційній системі, званому базою облікових записів, зберігається не сам секретний елемент, а деяка інформація про нього, на підставі якої приймається рішення щодо адекватності суб'єкта ідентифікатора.

Авторизацією суб'єкта називається процедура наділення його правами відповідними його повноваженням. Авторизація здійснюється лише після того, як суб'єкт успішно пройшов ідентифікацію та автентифікацію.

Весь процес ідентифікації та аутентифікації можна схематично представити так:

Мал. 2. Схема процесу ідентифікації та аутентифікації

2- вимога пройти ідентифікацію та аутентифікацію;

3 відсилання ідентифікатора;

4- перевірка наявності отриманого ідентифікатора на основі облікових записів;

6- відсилання автентифікаторів;

7- перевірка відповідності отриманого аутентифікатора зазначеному раніше ідентифікатору на базі облікових записів.

З наведеної схеми (рис.2) видно, що з подолання системи захисту від несанкціонованого доступу можна змінити роботу суб'єкта, здійснює реалізацію процесу ідентифікації/аутентифікації, або змінити вміст об'єкта – бази облікових записів. Крім того, необхідно розрізняти локальну та віддалену аутентифікацію.

При локальній автентифікації можна вважати, що процеси 1,2,3,5,6 проходять у захищеній зоні, тобто атакуючий не має можливості прослуховувати або змінювати інформацію, що передається. У разі віддаленої аутентифікації доводиться зважати на те, що атакуючий може брати як пасивну, так і активну участь у процесі пересилання ідентифікаційної /аутентифікаційної інформації. Відповідно в таких системах використовуються спеціальні протоколи, що дозволяють суб'єкту довести знання конфіденційної інформації, не розголошуючи її (наприклад, протокол аутентифікації без розголошення).

Загальну схему захисту інформації в ІВ можна подати так (рис.3):

Мал. 3. Знімання захисту інформації в інформаційній системі

Таким чином, всю систему захисту інформації в ІВ можна розбити на три рівні. Навіть якщо зловмиснику вдасться обійти систему захисту від несанкціонованого доступу, він зіткнеться з проблемою пошуку необхідної інформації в ІВ.

Семантичний захист передбачає приховування місця знаходження інформації. Для цих цілей може бути використаний, наприклад, спеціальний формат запису на носій або стеганографічні методи, тобто приховування конфіденційної інформації у файлах-контейнерах, що не несуть будь-якої значущої інформації.

В даний час стеганографічні методи захисту інформації набули широкого поширення у двох найбільш актуальних напрямках:

  • приховування інформації;
  • захист авторських прав.

Останньою перешкодою на шляху зловмисника до конфіденційної інформації є її криптографічне перетворення. Таке перетворення називається шифрацією. Коротка класифікація систем шифрування наведена нижче (рис.4):

Мал. 4. Класифікація систем шифрування

Основними характеристиками будь-якої системи шифрування є:

  • розмір ключа;
  • складність шифрації/дешифрації інформації для легального користувача;
  • складність «зламування» зашифрованої інформації.

Нині вважають, що алгоритм шифрації/дешифрації відкритий і загальновідомий. Таким чином, невідомим є лише ключ, власником якого є легальний користувач. У багатьох випадках саме ключ є найуразливішим компонентом системи захисту від несанкціонованого доступу.

З десяти законів безпеки Microsoft два присвячені паролям:

Закон 5: «Слабкий пароль порушить найсуворіший захист»,

Закон 7: «Шифровані дані захищені настільки, наскільки безпечний ключ дешифрації».

Саме тому вибору, зберігання та зміни ключа в системах захисту інформації надають особливо важливе значення. Ключ може вибиратися користувачем самостійно або нав'язуватись системою. Крім того, прийнято розрізняти три основні форми ключового матеріалу:

1.3.4. Технічні засоби захисту інформації

Загалом захист інформації технічними засобами забезпечується в наступних варіантах:
джерело та носій інформації локалізовані в межах кордонів об'єкта захисту та забезпечена механічна перешкода від контакту з ними зловмисника або дистанційного впливу на них полів його технічних засобів

  • співвідношення енергії носія та перешкод на вході приймача встановленого в каналі витоку таке, що зловмиснику не вдається зняти інформацію з носія з необхідною для її використання якістю;
  • зловмисник не може виявити джерело чи носій інформації;
  • замість істинної інформації зловмисник отримує хибну, яку він сприймає як істинну.

Ці варіанти реалізують такі способи захисту:

  • запобігання безпосередньому проникненню зловмисника до джерела інформації за допомогою інженерних конструкцій, технічних засобів охорони;
  • приховування достовірної інформації;
  • "підсовування" зловмиснику неправдивої інформації.

Застосування інженерних конструкцій та охорона – найдавніший метод захисту людей та матеріальних цінностей. Основним завданням технічних засобів захисту є недопущення (запобігання) безпосередньому контакту зловмисника чи сил природи з об'єктами захисту.

Під об'єктами захисту розуміються як і матеріальні цінності, і носії інформації, локалізовані у просторі. До таких носіїв відносяться папір, машинні носії, фото- та кіноплівка, продукція, матеріали тощо, тобто все, що має чіткі розміри та вагу. Для організації захисту таких об'єктів зазвичай використовуються такі технічні засоби захисту, як охоронна та пожежна сигналізація.

Носії інформації у вигляді електромагнітних та акустичних полів, електричного струмуне мають чітких кордонів та для захисту такої інформації можуть бути використані методи приховування інформації. Ці методи передбачають такі зміни структури та енергії носіїв, за яких зловмисник не може безпосередньо або за допомогою технічних засобів виділити інформацію з якістю, достатньою для використання її у власних інтересах.

1.3.5. Програмні засоби захисту інформації

Ці засоби захисту призначені спеціально для захисту комп'ютерної інформаціїта побудовані на використанні криптографічних методів. Найбільш поширеними програмними засобами є:

  • Програми для криптографічної обробки (шифрації/дешифрації) інформації («Верба» МО ПНДЕІ www.security.ru; «Криптон» Анкад www.ancud.ru; «Secret Net» Інформзахист www.infosec.ru; «Dallas Lock» Конфідент www.security.ru; confident.ru та інші);
  • Програми для захисту від несанкціонованого доступу до інформації, що зберігається на комп'ютері («Соболь» Анкад www.ancud.ru та інші);
  • Програми стеганографічної обробки інформації («Stegano2ET» та інші);
  • Програмні засоби гарантованого знищення інформації;
  • Системи захисту від несанкціонованого копіювання та використання (з використанням електронних ключів, наприклад фірми Аладдін www.aladdin.ru та з прив'язкою до унікальних властивостей носія інформації «StarForce»).

1.3.6. Антивірусні засоби захисту інформації

У загальному випадку слід говорити про «шкідливі програми», саме так вони визначаються в керівних документах ДержТехКомісії та в існуючих законодавчих актах (наприклад, стаття 273 УКРФ «Створення, використання та розповсюдження» шкідливих програмдля ЕОМ»). Усі шкідливі програми можна розділити п'ять типів:

  • Віруси- Визначаються як шматки програмного коду, які мають можливість породжувати об'єкти з подібними властивостями. Віруси в свою чергу класифікують за місцем існування (наприклад: boot -, macro - і т.п. віруси) і за деструктивною дією.
  • Логічні бомби– програми, запуск яких відбувається лише за виконання певних умов (наприклад: дата, натискання комбінації клавіш, відсутність/наявність певної інформації тощо).
  • Черв'яки– програми, що мають можливість розповсюджуватися по мережі, передаючи у вузол призначення не обов'язково відразу повністю весь програмний код – тобто вони можуть «збирати» себе з окремих частин.
  • Трояни- Програми, що виконують не документовані дії.
  • Бактерії- На відміну від вірусів це цілісна програми, які мають властивість відтворення собі подібних.

В даний час шкідливих програм у «чистому» вигляді практично не існують - всі вони є деяким симбіозом перерахованих вище типів. Тобто, наприклад: троян може містити вірус і в свою чергу вірус може мати властивості логічної бомби. За статистикою щодня з'являється близько 200 нових шкідливих програм, причому «лідерство» належить черв'якам, що цілком природно, внаслідок швидкого зростання кількості активних користувачів мережі Інтернет.

Як захист від шкідливих програм рекомендується використовувати пакети антивірусних програм (наприклад: DrWeb, AVP – вітчизняні розробки, або зарубіжні, такі як NAV, TrendMicro, Panda тощо). Основним методом діагностики всіх антивірусних систем є «сигнатурний аналіз», тобто спроба перевірити отримувану нову інформацію на наявність у ній «сигнатури» шкідливої ​​програми – характерного шматка програмного коду. На жаль, такий підхід має дві істотні недоліки:

  • Можна діагностувати лише вже відомі шкідливі програми, а це потребує постійного оновлення баз «сигнатур». Саме про це попереджає один із законів безпеки Microsoft:

Закон 8: «Не оновлювана антивірусна програма не набагато краща за повну відсутність такої програми»

  • Безперервне збільшення числа нових вірусів призводить до суттєвого зростання розміру бази «сигнатур», що у свою чергу викликає значне використання антивірусної програми ресурсів комп'ютера і відповідно уповільнення його роботи.

Одним із відомих шляхів підвищення ефективності діагностування шкідливих програм є використання так званого «евристичного методу». У цьому випадку робиться спроба виявити наявність шкідливих програм, враховуючи відомі методи їх створення. Однак, на жаль, якщо у розробці програми брав участь висококласний фахівець, виявити її вдається лише після прояву нею своїх деструктивних властивостей.

Версія для друку

Хрестоматія

Назва роботи Анотація

Практикуми

Назва практикуму Анотація

Презентації

Назва презентації Анотація

Засоби захисту інформації - це вся лінійка інженерно-технічних, електричних, електронних, оптичних та інших пристроїв та пристроїв, приладів та технічних систем, а також інших виробів, що застосовуються для вирішення різних завдань із захисту інформації, у тому числі попередження витоку та забезпечення безпеки інформації, що захищається.

У цілому нині засоби захисту у частині запобігання навмисних дій залежно від способу реалізації можна розділити на группы:

Технічні (апаратні) засоби захисту інформації. Це різні типу пристрою (механічні, електромеханічні, електронні та інших.), які лише на рівні устаткування вирішують завдання інформаційного захисту, наприклад, завдання, як захист приміщення від прослуховування. Вони або запобігають фізичному проникненню, або, якщо проникнення все ж таки трапилося, перешкоджають доступу до даних, у тому числі за допомогою маскування даних. Першу частину завдання забезпечують замки, решітки на вікнах, захисна сигналізація та ін. Другу - генератори шуму, мережеві фільтри, радіоприймачі, що сканують, і безліч інших пристроїв, що «перекривають» потенційні канали витоку інформації (захист приміщення від прослуховування) або дозволяють їх виявити.

Програмні та технічні засобиЗахист інформації включають програми для ідентифікації користувачів, контролю доступу, шифрування інформації, видалення залишкової (робочої) інформації типу тимчасових файлів, тестового контролю системи захисту та ін.

Змішані апаратно- програмні засобизахисту інформації реалізують ті ж функції, що апаратні та програмні засоби окремо, і мають проміжні властивості, такі як захист приміщення від прослуховування.

Організаційні засоби захисту складаються з організаційно-технічних (підготовка приміщень з комп'ютерами, прокладання кабельної системи з урахуванням вимог обмеження доступу до неї та ін.) та організаційно-правових (національні законодавства та правила роботи, що встановлюються керівництвом конкретного підприємства).

Технічний захист інформації, як частина комплексної системи безпеки, багато в чому визначає успішність ведення бізнесу. Основна задача технічного захистуінформації - виявити та блокувати канали витоку інформації (радіоканал, ПЕМІН, акустичні канали, оптичні канали та ін.). Вирішення завдань технічного захисту інформації передбачає наявність фахівців у галузі захисту інформації та оснащення підрозділів спеціальною технікою виявлення та блокування каналів витоку. Вибір спецтехніки для вирішення завдань технічного захисту інформації визначається на основі аналізу ймовірних загроз та ступеня захищеності об'єкта.

Блокатори стільникового зв'язку(придушники стільникових телефонів), у просторіччі звані глушниками стільникових - ефективний засіб боротьби з витоком інформації по каналу стільникового зв'язку. Глушники стільникових працюють за принципом придушення радіоканалу між трубкою та базою. Технічний блокатор витоку інформації працює в діапазоні каналу, що пригнічується. Глушники стільникових телефонів класифікують за стандартом пригніченого зв'язку (AMPS/N-AMPS, NMT, TACS, GSM900/1800, CDMA, IDEN, TDMA, UMTS, DECT, 3G, універсальні), потужності випромінювання, габаритів. Як правило, при визначенні випромінюваної потужності глушників стільникових телефонів враховується безпека людей, що знаходяться в захищеному приміщенні, тому радіус ефективного придушення становить від декількох метрів до декількох десятків метрів. Застосування блокаторів стільникового зв'язку має бути суворо регламентовано, оскільки може створити незручності для третіх осіб.

Технічні (апаратні) засоби - це різні типу пристрою (механічні, електромеханічні, електронні), які апаратними засобами вирішують завдання захисту. Технічні заходи базуються на застосуванні наступних засобів та систем: охоронної та пожежної сигналізації, контролю та управління доступом, відеоспостереження та захисту периметрів об'єктів, захисту інформації, контролю стану довкіллята технологічного обладнання, систем безпеки, переміщення людей, транспорту та вантажів, обліку робочого часу персоналу та часу присутності на об'єктах різних відвідувачів. Технічні засоби або перешкоджають фізичному проникненню, або, якщо проникнення все ж таки відбулося, доступу до інформації, в тому числі за допомогою її маскування. Першу частину завдання вирішують замки, ґрати на вікнах, захисна сигналізація. Другу - генератори шуму, мережеві фільтри, скануючі радіоприймачі та безліч інших пристроїв, що "перекривають" потенційні канали витоку інформації або дозволяють їх виявити. Переваги технічних засобів пов'язані з їхньою надійністю, незалежністю від суб'єктивних факторів, високою стійкістю до модифікації. Слабкі сторони – недостатня гнучкість, відносно великі об'єм та маса, висока вартість.

Наразі розроблено значну кількість апаратних

засобів різного призначення, проте найбільшого поширення набувають такі:

· спеціальні регістри для зберігання реквізитів захисту: паролів, кодів, що ідентифікують, грифів або рівнів секретності;

· Джерела безперебійного живлення для тимчасової підтримки роботи комп'ютерів та пристроїв при аварійному відключенні напруги. Прикладами можуть бути: Liebert NX (10–1200 кВА), Liebert Hinet (10–30 кBA), Liebert UPStation GXT2;

· Устрою вимірювання індивідуальних характеристик людини (голосу, відбитків) з метою її ідентифікації;

· схеми переривання передачі у лінії зв'язку з метою періодичної перевірки адреси видачі даних;

· Мережеві перешкододавлюючі фільтри. Наприклад: мережевий фільтр типу FR 102 фірми Schaffner, фільтр типу 60-SPL-030-3-3 фірми Spectrum Control Inc.

Використання технічних засобів захисту дозволяє вирішувати такі задачи:

· Проведення спеціальних досліджень технічних засобів на наявність можливих каналів витоку інформації;

· Виявлення каналів витоку інформації на різних об'єктах та в приміщеннях;

· локалізація каналів витоку інформації;

· Пошук та виявлення засобів промислового шпигунства;

· Протидія несанкціонованому доступу до джерел конфіденційної інформації та інших дій.


за функціональному призначеннютехнічні засоби можуть бути класифіковані на:

· Засоби виявлення;

· Засоби пошуку та детальних вимірювань;

· Засоби активної та пасивної протидії.

При цьому за своїми технічним можливостямзасоби захисту інформації можуть бути загального призначення, розраховані на використання непрофесіоналами з метою отримання попередніх (загальних) оцінок, та професійні комплекси, що дозволяють проводити ретельний пошук, виявлення та прецизійні виміри всіх характеристик засобів промислового шпигунства.

Застосування інженерних конструкцій та охорона – найдавніший метод захисту людей та матеріальних цінностей. Основним завданням технічних засобів захисту є недопущення (запобігання) безпосередньому контакту зловмисника чи сил природи з об'єктами захисту.

Носії інформації у вигляді електромагнітних та акустичних полів, електричного струму не мають чітких меж та для захисту такої інформації можуть бути використані методи приховування інформації. Ці методи передбачають такі зміни структури та енергії носіїв, при яких зловмисник не може безпосередньо або за допомогою технічних засобів виділити інформацію з якістю, достатньою для використання її у власних інтересах.

У загальному випадку захист інформації технічними засобами забезпечується у таких варіантах: джерело та носій інформації локалізовані в межах кордонів об'єкта захисту та забезпечена механічна перешкода від контакту з ними зловмисника або дистанційного впливу на них полів його технічних засобів.

Поняття «інформація» сьогодні вживається дуже широко та різнобічно. Важко знайти таку галузь знань, де б вона не використовувалася. Величезні інформаційні потоки буквально захльостають людей. Як і будь-який продукт, інформація має споживачів, які потребують її, і тому має певні споживчі якості, а також має і своїх власників або виробників.

З погляду споживача, якість використовуваної інформації дозволяє отримувати додатковий економічний чи моральний ефект.

З погляду власника – збереження в таємниці комерційно важливої ​​інформаціїдозволяє успішно конкурувати над ринком виробництва та збуту товарів та послуг. Це, звісно, ​​вимагає певних дій, вкладених у захист конфіденційної інформації. При цьому під безпекою розуміється стан захищеності життєво важливих інтересів особи, підприємства, держави від внутрішніх та зовнішніх загроз.

При зберіганні, підтримці та наданні доступу до будь-якого інформаційному об'єктуйого власник або уповноважена ним особа накладає явно чи очевидно набір правил роботи з нею. Навмисне їхнє порушення класифікується як атака на інформацію.

Які можливі наслідки атак на інформацію? Насамперед, звісно, ​​це економічні втрати.

Розкриття комерційної інформації може призвести до серйозних прямих збитків на ринку.

Звістка про крадіжку великого обсягу інформації зазвичай серйозно впливає на репутацію фірми, призводячи опосередковано до втрат обсягів торгових операцій.

Фірми-конкуренти можуть скористатися крадіжкою інформації, якщо та залишилася непоміченою, щоб повністю розорити фірму, нав'язуючи їй фіктивні чи свідомо збиткові угоди.

Підміна інформації, як у етапі передачі, і на етапі зберігання у фірмі може призвести до великих збитків.

Багаторазові успішні атаки на фірму, що надає будь-який вид інформаційних послуг, знижують довіру до фірми у клієнтів, що впливає на обсяг доходів.

Як свідчить вітчизняний та зарубіжний друк, зловмисні дії над інформацією не лише не зменшуються, а й мають досить стійку тенденцію до зростання.

Захист інформації – комплекс заходів, спрямованих на забезпечення найважливіших аспектів інформаційної безпеки(цілісність, доступність і, якщо потрібно, конфіденційність інформації та ресурсів, що використовуються для введення, зберігання, обробки та передачі даних).

Система називається безпечною, якщо вона, використовуючи відповідні апаратні та програмні засоби, управляє доступом до інформації так, що тільки належним чином авторизовані особи або діючі від їх імені процеси отримують право читати, писати, створювати та видаляти інформацію.

Абсолютно безпечних системні, тому говорять про надійну систему у сенсі «система, якій можна довіряти» (як можна довіряти людині). Система вважається надійною, якщо вона з використанням достатніх апаратних та програмних засобів забезпечує одночасне опрацювання інформації різного ступеня секретності групою користувачів без порушення прав доступу.

Основними критеріями оцінки надійності є політика безпеки та гарантованість.

Політика безпеки, яка є активним компонентом захисту (включає аналіз можливих загроз і вибір відповідних заходів протидії), відображає той набір законів, правил і норм поведінки, яким користується конкретна організація при обробці, захисті та поширенні інформації.

Вибір конкретних механізмів забезпечення безпеки системи здійснюється відповідно до сформульованої політики безпеки.

Гарантованість, будучи пасивним елементом захисту, відображає міру довіри, яка може бути архітектурі та реалізації системи (іншими словами, показує, наскільки коректно обрані механізми, що забезпечують безпеку системи).

У надійній системі повинні реєструватися всі події, що відбуваються щодо безпеки (має використовуватися механізм підзвітності протоколювання, що доповнюється аналізом запам'ятованої інформації, тобто аудитом).

11.2. Основні напрямки захисту інформації

Основні напрями захисту інформації – охорона державної, комерційної, службової, банківської таємниць, персональних даних та інтелектуальної власності.

Державна таємниця – відомості, що захищаються державою в галузі її військової, зовнішньополітичної, економічної, розвідувальної, контррозвідувальної та оперативно-розшукової діяльності, поширення яких може завдати шкоди безпеці Російської Федерації.

Відповідають переліку відомостей, що становлять державну таємницю, не входять до переліку відомостей, що не підлягають засекреченню, та відповідають законодавству РФ про державну таємницю (принцип законності);

Доцільність засекречування конкретних відомостей встановлено шляхом експертної оцінки можливих економічних та інших наслідків, можливості заподіяння шкоди безпеці РФ, з балансу життєво важливих інтересів держави, нашого суспільства та особистості (принцип обгрунтованості);

Обмеження поширення цих відомостей і доступу до них встановлено з їх отримання (розробки) чи заздалегідь (принцип своєчасності);

Компетентні органи та їх посадові особи ухвалили щодо конкретних відомостей рішення про віднесення їх до державної таємниці та засекречення та встановили щодо їх відповідний режим правової охорони та захисту (принцип обов'язкового захисту).

Комерційна таємниця охороняється за сприяння держави. Прикладом цього твердження можуть бути численні факти обмеження доступу іноземців до країни (у Китаї – для захисту секретів виробництва порцеляни), окремі галузі економіки чи конкретні виробництва. У Росії її до комерційної таємниці відносили промислову таємницю, але потім вона була ліквідована як правовий інститут на початку 30-х років і у зв'язку з одержавленням галузей економіки захищалася як державна та службова таємниця. Нині розпочався зворотний процес.

Інформація може становити комерційну таємницю, якщо вона відповідає таким вимогам (критерії правової охорони):

Має дійсну чи потенційну комерційну цінність через її невідомість третім особам;

Не підпадає під перелік відомостей, доступ до яких не може бути обмежений, та перелік відомостей, віднесених до державної таємниці;

До неї немає вільного доступу на законних підставах;

Власник інформації вживає заходів щодо охорони її конфіденційності.


До комерційної таємниці не може бути віднесена інформація:

Підлягає розкриттю емітентом цінних паперів, професійним учасником ринку цінних паперів та власником цінних паперів відповідно до законодавства Російської Федерації про цінні папери;

Пов'язана з дотриманням екологічного та антимонопольного законодавства, забезпеченням безпечних умов праці, реалізацією продукції, що завдає шкоди здоров'ю населення, іншими порушеннями законодавства Російської Федерації, законодавства суб'єктів Російської Федерації, а також містить дані про розміри заподіяних при цьому збитків;

Про діяльність благодійних організацій та інших некомерційних організацій, що не пов'язана з підприємницькою діяльністю;

Про наявність вільних робочих місць;

Про зберігання, використання або переміщення матеріалів та використання технологій, що становлять небезпеку для життя та здоров'я громадян чи навколишнього середовища;

Про реалізацію державної програми приватизації та про умови приватизації конкретних об'єктів;

Про розміри майна та вкладені кошти при приватизації;

Про ліквідацію юридичної особи та про порядок та строк подання заяв або вимог її кредиторами;

Для якої визначено обмеження щодо встановлення режиму комерційної таємниці відповідно до федеральних законів та прийнятих з метою їх реалізації підзаконними актами.

Основними суб'єктами права на комерційну таємницю є власники комерційної таємниці, правонаступники.

Власники комерційної таємниці – фізичні (незалежно від громадянства) та юридичні (комерційні та некомерційні організації) особи, які займаються підприємницькою діяльністю та мають монопольне право на інформацію, що становить для них комерційну таємницю.

Рівні доступу до інформації з погляду законодавства

Вся інформація з погляду права ділиться на кілька основних сегментів:

1) Інформація без обмеження доступу. До такого роду інформації, наприклад, належить:

Інформація загального користування, яка надається користувачам безкоштовно;

Інформація про стан навколишнього природного середовища, його забруднення – відомості (дані), отримані в результаті моніторингу навколишнього природного середовища, його забруднення (Федеральний закон від 2 травня 1997 р. № 76-ФЗ «Про знищення хімічної зброї»);

Інформація в галузі робіт зі зберігання, перевезення, знищення хімічної зброї – відомості про стан здоров'я громадян та об'єктів довкілля в районах розміщення об'єктів зі зберігання хімічної зброї та об'єктів щодо знищення хімічної зброї, заходи щодо забезпечення хімічної, санітарно-гігієнічної, екологічної та пожежної безпекипри проведенні робіт із зберігання, перевезення та знищення хімічної зброї, а також щодо заходів щодо запобігання виникненню надзвичайних ситуацій та ліквідації їх наслідків при виконанні зазначених робіт, що надається за запитами громадян та юридичних осіб, зокрема громадських об'єднань (Федеральний закон від 2 травня 1997 р. № 76-ФЗ «Про знищення хімічної зброї», стаття 1.2).

Інформація, що містить відомості про обставини та факти, що становлять загрозу життю, здоров'ю громадян, не підлягає засекреченню, не може бути віднесена до таємниці.

2) Інформація з обмеженим доступом– державна таємниця, службова таємниця, комерційна таємниця, банківська таємниця, професійна таємниця та персональні дані як інститут охорони права недоторканності приватного життя.

3) Інформація, поширення якої завдає шкоди інтересам суспільства, законним інтересам та правам громадян – порнографія; інформація, що розпалює національну, расову та іншу ворожнечу; пропаганда та заклики до війни, хибна реклама, реклама із прихованими вставками тощо – так звана «шкідлива» інформація.

4) Об'єкти інтелектуальної власності (те, що не може бути віднесено до інформації з обмеженим доступом, але охороняється особливим порядком через інститути інтелектуальної власності – авторське право, патентне право, засоби індивідуалізації тощо. Виняток становлять ноу-хау, що охороняються у режимі комерційної таємниці).

11.3. Методи та засоби захисту інформації в комп'ютерних системах

Комп'ютерні злочини надзвичайно багатогранні та складні явища. Об'єктами таких злочинних посягань можуть бути самі технічні засоби (комп'ютери та периферія) як матеріальні об'єкти або програмне забезпечення та бази даних, для яких технічні засоби є оточенням; комп'ютер може бути предметом посягань чи інструмент.

Види комп'ютерних злочинів надзвичайно різноманітні. Це і несанкціонований доступ до інформації, що зберігається в комп'ютері, і введення в програмне забезпечення «логічних бомб», які спрацьовують при виконанні певних умов і частково або повністю виводять з ладу комп'ютерну систему, та розробка та розповсюдження комп'ютерних вірусів, та розкрадання комп'ютерної інформації. Комп'ютерний злочин може статися також через недбалість у розробці, виготовленні та експлуатації програмно-обчислювальних комплексів або через підробку комп'ютерної інформації.

Серед усього набору методів захисту виділяють такі:

Малюнок 11.1. Класифікація методів захисту інформації в комп'ютерні системи

Методи та засоби організаційно-правового захисту інформації

До методів та засобів організаційного захисту інформації належать організаційно-технічні та організаційно-правові заходи, що проводяться у процесі створення та експлуатації КС для забезпечення захисту інформації. Ці заходи повинні проводитися при будівництві чи ремонті приміщень, де розміщуватимуться комп'ютери; проектування системи, монтаж та налагодження її технічних та програмних засобів; випробуваннях та перевірці працездатності комп'ютерної системи.

Основою проведення організаційних заходів є використання та підготовка законодавчих та нормативних документів у галузі інформаційної безпеки, які на правовому рівні мають регулювати доступ до інформації з боку споживачів. У російському законодавстві пізніше, ніж у законодавстві інших розвинутих країн, з'явилися необхідні правові акти (хоча далеко не всі).

Методи та засоби інженерно-технічного захисту інформації

Інженерно-технічний захист (ІТЗ) – це сукупність спеціальних органів, технічних засобів та заходів щодо їх використання на користь захисту конфіденційної інформації.

Різноманітність цілей, завдань, об'єктів захисту та заходів, що проводяться, передбачає розгляд деякої системи класифікації засобів за видом, орієнтацією та іншими характеристиками.

Наприклад, засоби інженерно-технічного захисту можна розглядати щодо об'єктів їх впливу. У цьому плані можуть застосовуватися для захисту людей, матеріальних засобів, фінансів, інформації.

Різноманітність класифікаційних характеристик дозволяє розглядати інженерно-технічні засоби щодо об'єктів впливу, характеру заходів, способів реалізації, масштабу охоплення, класу засобів зловмисників, яким виявляється протидія з боку служби безпеки.

За функціональним призначенням засоби інженерно-технічного захисту діляться на такі групи:

1. фізичні засоби, що включають різні засоби та споруди, що перешкоджають фізичному проникненню (або доступу) зловмисників на об'єкти захисту матеріальним носіямконфіденційної інформації (рис. 16) та які здійснюють захист персоналу, матеріальних засобів, фінансів та інформації від протиправних впливів;

2. апаратні засоби – прилади, пристрої, пристрої та інші технічне рішення, що використовуються на користь захисту інформації. У практиці діяльності підприємства знаходить широке застосування різна апаратура, починаючи з телефонного апарату до досконалих автоматизованих систем, які забезпечують виробничу діяльність. Основне завдання апаратних засобів – забезпечення стійкого захисту інформації від розголошення, витоку та несанкціонованого доступу через технічні засоби забезпечення виробничої діяльності;

3. програмні засоби, що охоплюють спеціальні програми, програмні комплекси та системи захисту інформації в інформаційних системах різного призначення та засобах обробки (збір, накопичення, зберігання, обробка та передача) даних;

4. криптографічні засоби– це спеціальні математичні та алгоритмічні засоби захисту інформації, що передається по системах та мережах зв'язку, що зберігається та обробляється на ЕОМ з використанням різноманітних методів шифрування.

Фізичні методи та засоби захисту інформації

Фізичні засоби захисту – це різноманітні пристрої, пристрої, конструкції, апарати, вироби, призначені для створення перешкод на шляху руху зловмисників.

До фізичних засобів належать механічні, електромеханічні, електронні, електронно-оптичні, радіо- та радіотехнічні та інші пристрої для заборони несанкціонованого доступу (входу, виходу), пронесення (винесення) засобів та матеріалів та інших можливих видів злочинних дій.

Ці засоби застосовуються для вирішення наступних завдань:

1) охорона території підприємства та спостереження за нею;

2) охорона будівель, внутрішніх приміщень та контроль за ними;

3) охорона обладнання, продукції, фінансів та інформації;

4) здійснення контрольованого доступу до будівель та приміщень.

Усі фізичні засоби захисту об'єктів можна поділити на три категорії: засоби попередження, засоби виявлення та системи ліквідації загроз. Охоронна сигналізація та охоронне телебачення, наприклад, належать до засобів виявлення загроз; паркани навколо об'єктів – це засоби попередження несанкціонованого проникнення на територію, а посилені двері, стіни, стелі, решітки на вікнах та інші заходи є захистом і від проникнення, і від інших злочинних дій (підслуховування, обстріл, кидання гранат і вибухових пакетів тощо) .). Засоби пожежогасіння належать до систем ліквідації загроз.

Апаратні методи та засоби захисту інформації

До апаратних засобів захисту відносяться найрізноманітніші за принципом дії, устрою та можливостям технічні конструкції, що забезпечують припинення розголошення, захист від витоку та протидія несанкціонованому доступу до джерел конфіденційної інформації.

Апаратні засоби захисту застосовуються для вирішення наступних завдань:

1) проведення спеціальних досліджень технічних засобів забезпечення виробничої діяльності на наявність можливих каналів витоку інформації;

2) виявлення каналів витоку інформації на різних об'єктах та у приміщеннях;

3) локалізація каналів витоку інформації;

4) пошук та виявлення засобів промислового шпигунства;

5) протидія несанкціонованому доступу до джерел конфіденційної інформації та інших дій.

Програмні методи та засоби захисту інформації

Системи захисту комп'ютера від чужого вторгнення дуже різноманітні та класифікуються, як:

1) засоби власного захисту, передбачені загальним програмним забезпеченням;

2) засоби захисту у складі обчислювальної системи;

3) засоби захисту із запитом інформації;

4) засоби активного захисту;

5) засоби пасивного захисту та інші.

Основні напрямки використання програмного захисту інформації

Можна виділити такі напрямки використання програм для забезпечення безпеки конфіденційної інформації, зокрема такі:

1) захист інформації від несанкціонованого доступу;

2) захист інформації від копіювання;

3) захист програм від копіювання;

4) захист програм від вірусів;

5) захист інформації від вірусів;

6) програмний захистканалів зв'язку.

По кожному із зазначених напрямів є достатня кількість якісних, розроблених професійними організаціями та програмних продуктів, що розповсюджуються на ринках.

Програмні засоби захисту мають такі різновиди спеціальних програм:

1) ідентифікації технічних засобів, файлів та автентифікації користувачів;

2) реєстрації та контролю роботи технічних засобів та користувачів;

3) обслуговування режимів обробки інформації обмеженого користування;

4) захисту операційних засобів ЕОМ та прикладних програм користувачів;

5) знищення інформації у захисні пристрої після використання;

6) сигналізують порушення використання ресурсів;

7) допоміжні програми захисту різного призначення.

Захист інформації від несанкціонованого доступу

Для захисту від чужого вторгнення обов'язково передбачаються певні заходи безпеки. Основні функції, які мають здійснюватися програмними засобами, це:

1) ідентифікація суб'єктів та об'єктів;

2) розмежування (іноді і повна ізоляція) доступу до обчислювальних ресурсів та інформації;

3) контроль та реєстрація дій з інформацією та програмами.

Найбільш поширеним методом ідентифікації є парольна ідентифікація. Однак практика показує, що парольний захист даних є слабкою ланкою, оскільки пароль можна підслухати чи підглянути, перехопити чи просто розгадати.

Захист від копіювання

Засоби захисту від копіювання запобігають використанню викрадених копій програмного забезпечення і є нині єдино надійним засобом – як програмістів-розробників, що захищають авторське право, так і стимулюють розвиток ринку. Під засобами захисту від копіювання розуміються кошти, які забезпечують виконання програмою своїх функцій лише за пізнанні деякого унікального некопійованого елемента. Таким елементом (називним ключовим) може бути дискета, певна частина комп'ютера або спеціальний пристрій, що підключається до персонального комп'ютера. Захист від копіювання реалізується виконанням ряду функцій, які є спільними для всіх систем захисту:

1. Ідентифікація середовища, з якого запускатиметься програма (дискета або ПК);

2. Аутентифікація середовища, з якого запущено програму;

3. Реакція на запуск із несанкціонованого середовища;

4. Реєстрація санкціонованого копіювання;

5. Протидія вивчення алгоритмів роботи системи.

Захист програм та даних від комп'ютерних вірусів

Шкідницькі програми і, насамперед, віруси становлять дуже серйозну небезпеку при зберіганні на ПЕОМ конфіденційної інформації. Недооцінка цієї небезпеки може мати серйозні наслідки інформації користувачів. Знання механізмів дії вірусів, методів та засобів боротьби з ними дозволяє ефективно організувати протидію вірусам, звести до мінімуму ймовірність зараження та втрат від їхнього впливу.

«Комп'ютерні віруси» – це невеликі програми, що виконуються або інтерпретуються, що володіють властивістю поширення і самовідтворення (реплікації) в комп'ютерній системі. Віруси можуть виконувати зміну або знищення програмного забезпечення або даних, що зберігаються у ПЕОМ. У процесі поширення віруси можуть модифікувати себе.

Класифікація комп'ютерних вірусів

Нині у світі налічується понад 40 тисяч лише зареєстрованих комп'ютерних вірусів. Так як переважна більшість сучасних шкідницьких програм мають здатність до саморозмноження, то часто їх відносять до комп'ютерних вірусів. Усі комп'ютерні віруси можуть бути класифіковані за такими ознаками:

- по середовищі проживання вірусу,

– за способом зараження довкілля,

– за деструктивними можливостями,

- За особливостями алгоритму вірусу.

Масове поширення вірусів, серйозність наслідків їхнього впливу на ресурси комп'ютерів викликали необхідність розробки та використання спеціальних антивірусних засобів та методів їх застосування. Антивірусні засоби застосовуються для вирішення наступних завдань:

- Виявлення вірусів в КС,

- Блокування роботи програм-вірусів,

- Усунення наслідків впливу вірусів.

Виявлення вірусів бажано здійснювати на стадії їх впровадження або принаймні до початку здійснення деструктивних функцій вірусів. Слід зазначити, що немає антивірусних засобів, гарантують виявлення всіх можливих вірусів.

При виявленні вірусу необхідно відразу припинити роботу програми-вірусу, щоб мінімізувати збитки від його на систему.

Усунення наслідків впливу вірусів ведеться у двох напрямках:

- Видалення вірусів,

– відновлення (за потреби) файлів, областей пам'яті.

Для боротьби з вірусами використовуються програмні та апаратно-програмні засоби, які застосовуються у певній послідовності та комбінації, утворюючи методи боротьби з вірусами.

Найнадійнішим методом захисту від вірусів є використання апаратно-програмних антивірусних засобів. В даний час для захисту ПЕОМ використовуються спеціальні контролери та їхнє програмне забезпечення. Контролер встановлюється в роз'єм розширення та має доступ до загальної шини. Це дозволяє йому контролювати всі звернення до дисковій системі. У програмне забезпеченняконтролера запам'ятовуються області на дисках, зміна яких у звичайних режимахроботи не допускається. Таким чином, можна встановити захист на зміну головного завантажувального запису, завантажувальних секторів, файлів конфігурації, виконуваних файлів та ін.

При виконанні заборонених дій будь-якою програмою контролер видає відповідне повідомлення користувачеві та блокує роботу ПЕОМ.

Апаратно-програмні антивірусні засоби мають ряд переваг перед програмними:

- Працюють постійно;

– виявляють усі віруси, незалежно від механізму їхньої дії;

– блокують невирішені дії, які є результатом роботи вірусу чи некваліфікованого користувача.

Недолік цих коштів один – залежність від апаратних засобів ПЕОМ. Зміна останніх веде до необхідності заміни контролера.

Сучасні програмні антивірусні засоби можуть здійснювати комплексну перевірку комп'ютера щодо виявлення комп'ютерних вірусів. Для цього використовуються такі антивірусні програмияк - Kaspersky Anti-Virus (AVP), Norton Antivirus, Dr. Web, Symantec Antivirus. Усі вони мають антивірусні основи, які періодично оновлюються.

Криптографічні методи та засоби захисту інформації

Криптографія як засіб захисту (закриття) інформації набуває все більшого значення у світі комерційної діяльності.

Криптографія має досить давню історію. Спочатку вона застосовувалася головним чином галузі військового і дипломатичного зв'язку. Тепер вона необхідна у виробничій та комерційній діяльності. Якщо врахувати, що сьогодні каналами шифрованого зв'язку тільки у нас у країні передаються сотні мільйонів повідомлень, телефонних переговорів, величезні обсяги комп'ютерних і телеметричних даних, і все це не для чужих очей і вух, стає зрозумілим: збереження цієї таємниці тут вкрай необхідне.

Криптографія включає кілька розділів сучасної математики, а також спеціальні галузі фізики, радіоелектроніки, зв'язку і деяких інших суміжних галузей. Її завданням є перетворення математичними методами секретного повідомлення, що передається по каналах зв'язку, телефонної розмовиабо комп'ютерні дані таким чином, що вони стають абсолютно незрозумілими для сторонніх осіб. Тобто криптографія повинна забезпечити такий захист секретної (або будь-якої іншої) інформації, що навіть у разі її перехоплення сторонніми особами та обробки будь-якими способами з використанням швидкодіючих ЕОМ та останніх досягнень науки і техніки, вона не повинна бути дешифрована протягом кількох десятків років. Для такого перетворення інформації використовуються різні шифрувальні засоби – такі як засоби шифрування документів, у тому числі і портативного виконання, засоби шифрування мови (телефонних і радіопереговорів), телеграфних повідомлень і передачі даних.

Загальна технологія шифрування

Вихідна інформація, яка передається каналами зв'язку, може являти собою мову, дані, відеосигнали, називається незашифрованими повідомленнями Р.

У пристрої шифрування повідомлення Р шифрується (перетворюється на повідомлення С) і передається «неприхованим» каналом зв'язку. На приймальній стороні повідомлення дешифрується для відновлення вихідного значення повідомлення Р.

Параметр, який може бути застосований для отримання окремої інформації, називається ключем.

Якщо в процесі обміну інформацією для шифрування та читання використовувати той самий ключ, то такий криптографічний процес називається симетричним. Його основним недоліком є ​​те, що перш ніж розпочати обмін інформацією, потрібно виконати передачу ключа, а для цього необхідний захищений зв'язок.

В даний час при обміні даними каналами зв'язку використовується несиметричне криптографічне шифрування, засноване на використанні двох ключів. Це нові криптографічні алгоритми з відкритим ключем, що ґрунтуються на використанні ключів двох типів: секретного (закритого) та відкритого.

У криптографії з відкритим ключем є принаймні два ключі, один з яких неможливо обчислити з іншого. Якщо ключ розшифрування обчислювальними методами неможливо отримати з ключа зашифрування, секретність інформації, зашифрованої за допомогою несекретного (відкритого) ключа, буде забезпечена. Однак, цей ключ повинен бути захищений від заміни або модифікації. Ключ розшифрування також має бути секретним і захищеним від заміни або модифікації.

Якщо, навпаки, обчислювальними методами неможливо отримати ключ зашифрування ключа розшифрування, то ключ розшифрування може бути не секретним.

Ключі влаштовані таким чином, що повідомлення, зашифроване однією половинкою, можна розшифрувати лише іншою половинкою. Створивши кілька ключів, компанія широко розповсюджує відкритий (публічний) ключ і надійно охороняє закритий (особистий) ключ.

Захист публічним ключем не є абсолютно надійним. Вивчивши алгоритм її побудови, можна реконструювати закритий ключ. Проте знання алгоритму ще означає можливість провести реконструкцію ключа в розумно прийнятні терміни. Виходячи з цього, формується принцип достатності захисту: захист інформації прийнято вважати достатньою, якщо витрати на її подолання перевищують очікувану вартість самої інформації. Цим принципом керуються за несиметричного шифрування даних.

Поділ функцій зашифрування та розшифрування за допомогою поділу на дві частини додаткової інформації, необхідна виконання операцій, є цінною ідеєю, що лежить в основі криптографії з відкритим ключем.

Криптографічний захист фахівці приділяють особливу увагу, вважаючи її найбільш надійною, а для інформації, що передається по лінії зв'язку великої протяжності, – єдиним засобом захисту від розкрадань.

11.4. Інформаційна безпека та її основні компоненти

Під інформаційною безпекою розуміють стан інформаційної захищеності середовища суспільства від внутрішніх та зовнішніх загроз, що забезпечує її формування, використання та розвиток на користь громадян, організацій, держав (Закон РФ «Про участь у міжнародному інформаційному обміні»).

До системи безпеки інформації висуваються певні вимоги:

– чіткість визначення повноважень та прав користувачів на доступ до певним видамінформації;

– надання користувачеві мінімальних повноважень, необхідних для виконання дорученої роботи;

– зведення до мінімуму кількості загальних для кількох користувачів засобів захисту;

– облік випадків та спроб несанкціонованого доступу до конфіденційної інформації;

- Забезпечення оцінки ступеня конфіденційної інформації;

- Забезпечення контролю цілісності засобів захисту та негайне реагування на їх вихід з ладу.

Під системою безпеки розуміють організовану сукупність спеціальних органів, служб, засобів, методів та заходів, що забезпечують захист життєво важливих інтересів особистості, підприємства та держави від внутрішніх та зовнішніх загроз.

Як і будь-яка система, система інформаційної безпеки має свої цілі, завдання, методи та засоби діяльності, які узгоджуються за місцем та часом залежно від умов.

Категорії інформаційної безпеки

З погляду інформаційної безпеки інформація має такі категорії:

1. Конфіденційність - гарантія того, що конкретна інформація доступна тільки тому колу осіб, для якого вона призначена; порушення цієї категорії називається розкраданням чи розкриттям інформації.

2. Цілісність - гарантія того, що інформація зараз існує в її вихідному вигляді, тобто при її зберіганні або передачі не було здійснено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення.

3. Аутентичність – гарантія того, що джерелом інформації є саме та особа, яка заявлена ​​як її автор; порушення цієї категорії також називається фальсифікацією, але вже автор повідомлення.

4. Апелюваність - досить складна категорія, але часто застосовується в електронної комерції- гарантія того, що при необхідності можна буде довести, що автором повідомлення є саме заявлена ​​людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої у цьому, що з підміні автора, хтось інший намагається заявити, що він автор повідомлення, а за порушення апелюваності – сам автор намагається «відхреститися» від своїх слів, підписаних їм одного разу.

Загрози конфіденційної інформації

Під загрозами конфіденційної інформації прийнято розуміти потенційні чи реальні можливі діїпо відношенню до інформаційним ресурсам, що призводять до неправомірного оволодіння відомостями, що охороняються.

Такими діями є:

Ознайомлення з конфіденційною інформацієюрізними шляхами та способами без порушення її цілісності;

Модифікація інформації в кримінальних цілях як часткова або значна зміна складу та змісту відомостей;

Руйнування (знищення) інформації як акт вандалізму з метою прямого завдання матеріальних збитків.


Дії, що призводять до неправомірного оволодіння конфіденційною інформацією:

1. Розголошення – це навмисні чи необережні дії з конфіденційними відомостями, що призвели до ознайомлення з ними осіб, які не допущені до них.

2. Витік – це безконтрольний вихід конфіденційної інформації за межі організації або кола осіб, яким вона була довірена.

3. Несанкціонований доступ – це протиправне навмисне оволодіння конфіденційною інформацією особою, яка не має права доступу до секретів, що охороняються.

Контрольні питання

1. Чому потрібно захищати інформацію?

2. Що розуміємо під захистом інформації?

3. Яку систему можна назвати безпечною?

4. Що таке державна таємниця?

5. Які відомості можна зарахувати до державної таємниці?

6. Що таке комерційна таємниця?

7. Яка інформація становить комерційну таємницю?

8. Що стосується комерційної таємниці?

9. Які рівні доступу інформації регламентовані російським законодавством?

10. Як підрозділяються методи захисту?

11. Чим характеризуються організаційно-правові методи та засоби захисту інформації?

12. Які інженерно-технічні методи та засоби використовуються для захисту інформації?

13. Як захистити інформацію від несанкціонованого доступу?

14. Що таке "комп'ютерний вірус"?

15. Як класифікуються комп'ютерні віруси?

16. Які засоби використовуються для антивірусного захисту?

17. За допомогою чого вірус може потрапити до комп'ютера?

18. Як захищають інформацію від копіювання?

19. На чому ґрунтуються криптографічні методи та засоби захисту інформації?

20. Як здійснюється несиметричне шифрування даних?

21. Що розуміємо під інформаційною безпекою?

23. Що таке загрози інформаційній безпеці?

24. Які дії призводять до неправомірного оволодіння інформацією?

Інформація сьогодні – важливий ресурс, втрата якого загрожує неприємними наслідками. Втрата конфіденційних даних компанії несе у собі загрози фінансових втрат, оскільки отриманою інформацією можуть скористатися конкуренти чи зловмисники. Для запобігання таким небажаним ситуаціям всі сучасні фірми та установи використовують методи захисту інформації.

Безпека інформаційних систем (ІВ) – цілий курс, який проходять усі програмісти та фахівці у галузі побудови ІВ. Однак знати види інформаційних загрозта технології захисту необхідно всім, хто працює із секретними даними.

Види інформаційних загроз

p align="justify"> Основним видом інформаційних загроз, для захисту від яких на кожному підприємстві створюється ціла технологія, є несанкціонований доступ зловмисників до даних. Зловмисники планують заздалегідь злочинні дії, які можуть здійснюватися шляхом прямого доступу до пристроїв або віддаленої атаки з використанням спеціально розроблених для крадіжки інформації програм.

Крім дій хакерів, фірми нерідко стикаються із ситуаціями втрати інформації через порушення роботи програмно-технічних засобів.

У цьому випадку секретні матеріали не потрапляють до рук зловмисників, проте втрачаються і не підлягають відновленню або відновлюються надто довго. Збої в комп'ютерних системах можуть виникати з таких причин:

  • Втрата інформації внаслідок пошкодження носіїв – жорстких дисків;
  • Помилки у роботі програмних засобів;
  • Порушення у роботі апаратних засобів через пошкодження чи знос.

Сучасні методи захисту інформації

Технології захисту даних ґрунтуються на застосуванні сучасних методів, які запобігають витоку інформації та її втраті. Сьогодні використовується шість основних способів захисту:

  • Перешкода;
  • Маскування;
  • Регламентація;
  • Управління;
  • Примус;
  • Понукання.

Всі перелічені методи націлені на побудову ефективної технології, при якій виключені втрати через недбальство і успішно відбиваються різні види загроз. Під перешкодою розуміється спосіб фізичного захисту інформаційних систем, завдяки якому зловмисники не мають можливості потрапити на територію, що охороняється.

Маскування – засоби захисту інформації, що передбачають перетворення даних у форму, не придатну для сприйняття сторонніми особами. Для розшифровки потрібне знання принципу.

Управління – способи захисту інформації, у яких здійснюється управління всіма компонентами інформаційної системи.

Регламентація - найважливіший метод захисту інформаційних систем, що передбачає введення особливих інструкцій, згідно з якими повинні здійснюватися всі маніпуляції з даними, що охороняються.

Примус – методи захисту, тісно пов'язані з регламентацією, які передбачають запровадження комплексу заходів, у яких працівники змушені виконувати встановлені правила. Якщо використовуються способи впливу на працівників, при яких вони виконують інструкції з етичних та особистісних міркувань, то йдеться про спонукання.

На відео – докладна лекція про захист інформації:

Засоби захисту інформаційних систем

Способи захисту передбачають використання певного набору коштів. Для запобігання втраті та витоку секретних відомостей використовуються такі засоби:

  • Фізичні;
  • Програмні та апаратні;
  • Організаційні;
  • Законодавчі;
  • Психологічні.

Фізичні засоби захисту інформації запобігають доступу сторонніх осіб на територію, що охороняється. Основним і найстарішим засобом фізичної перешкоди є встановлення міцних дверей, надійних замків, ґрат на вікна. Для посилення захисту використовуються пропускні пункти, у яких контроль доступу здійснюють люди (охоронці) чи спеціальні системи. З метою запобігання втратам інформації також доцільна установка протипожежної системи. Фізичні засоби використовуються охорони даних як у паперових, і на електронних носіях.

Програмні та апаратні засоби – незамінний компонент для забезпечення безпеки сучасних інформаційних систем.

Апаратні засоби представлені пристроями, що вбудовуються в апаратуру обробки інформації. Програмні засоби – програми, що відображають хакерські атаки. Також до програмних засобів можна віднести програмні комплекси, які виконують відновлення втрачених відомостей. За допомогою комплексу апаратури та програм забезпечується резервне копіюванняінформації – для запобігання втратам.

Організаційні засоби пов'язані з кількома способами захисту: регламентацією, управлінням, примусом. До організаційних засобів належить розробка посадових інструкцій, бесіди з працівниками, комплекс заходів покарання та заохочення. При ефективному використанні організаційних засобівпрацівники підприємства добре обізнані про технологію роботи з відомостями, що охороняються, чітко виконують свої обов'язки і несуть відповідальність за надання недостовірної інформації, витік або втрату даних.

Законодавчі засоби – комплекс нормативно-правових актів, що регулюють діяльність людей, які мають доступ до відомостей, що охороняються, і визначають міру відповідальності за втрату або крадіжку секретної інформації.

Психологічні засоби – комплекс заходів для створення особистої зацікавленості працівників у безпеці та достовірності інформації. Для створення особистої зацікавленості персоналу керівники використовують різні види заохочень. До психологічних засобів належить і побудова корпоративної культури, коли кожен працівник почувається важливою частиною системи та зацікавлений у успіху підприємства.

Захист електронних даних, що передаються

Для забезпечення безпеки інформаційних систем сьогодні активно використовуються методи шифрування та захисту електронних документів. Дані технології дозволяють здійснювати віддалену передачу даних та віддалене підтвердження автентичності.

Методи захисту інформації шляхом шифрування (криптографічні) ґрунтуються на зміні інформації за допомогою секретних ключів особливого виду. У основі технології криптографії електронних даних – алгоритми перетворення, методи заміни, алгебра матриць. Стійкість шифрування залежить від цього, наскільки складним був алгоритм перетворення. Зашифрована інформація надійно захищена від будь-яких загроз, крім фізичних.

Електронна цифровий підпис(ЕЦП) – параметр електронного документа, що служить на підтвердження його справжності. Електронний цифровий підпис замінює підпис посадової особи на паперовому документі та має ту саму юридичну силу. ЕЦП служить для ідентифікації її власника та для підтвердження відсутності несанкціонованих перетворень. Використання ЕЦПзабезпечує не тільки захист інформації, але також сприяє здешевленню технології документообігу, знижує час руху документів під час оформлення звітів.

Класи безпеки інформаційних систем

Технологія захисту, що використовується, і ступінь її ефективності визначають клас безпеки інформаційної системи. У міжнародних стандартах виділяють 7 класів безпеки систем, які об'єднані у 4 рівні:

  • D – нульовий рівень безпеки;
  • С – системи із довільним доступом;
  • В – системи із примусовим доступом;
  • А - системи з безпекою, що верифікується.

Рівню D відповідають системи, у яких слабо розвинена технологія захисту. За такої ситуації будь-яка стороння особа має можливість отримати доступ до інформації.

Використання слаборозвиненої технології захисту загрожує втратою або втратою відомостей.

У рівні є такі класи – С1 і С2. Клас безпеки С1 передбачає поділ даних та користувачів. Певна група користувачів має доступ лише до певних даних, для отримання відомостей необхідна автентифікація – автентифікація користувача шляхом запиту пароля. При класі безпеки С1 у системі є апаратні та програмні засоби захисту. Системи з класом С2 доповнені заходами, що гарантують відповідальність користувачів: створюється та підтримується журнал реєстрації доступу.

Рівень включає технології забезпечення безпеки, які мають класи рівня С, плюс кілька додаткових. Клас В1 передбачає наявність політики безпеки, довіреної обчислювальної бази управління мітками безпеки і примусового управління доступом. При класі В1 фахівці здійснюють ретельний аналіз та тестування вихідного кодута архітектури.

Клас безпеки В2 характерний для багатьох сучасних системі передбачає:

  • Постачання мітками секретності всіх ресурсів системи;
  • Реєстрацію подій, пов'язаних з організацією таємних каналів обміну пам'яттю;
  • Структурування довіреної обчислювальної бази добре визначені модулі;
  • Формальну безпекову політику;
  • Висока стійкість систем до зовнішніх атак.

Клас В3 передбачає, на додаток до класу В1, оповіщення адміністратора про спроби порушення політики безпеки, аналіз появи таємних каналів, наявність механізмів відновлення даних після збою в роботі апаратури або .

Рівень А включає один, найвищий клас безпеки – А. До даному класувідносяться системи, що пройшли тестування та отримали підтвердження відповідності формальним специфікаціям верхнього рівня.

На відео – докладна лекція про безпеку інформаційних систем: