Правовые меры защиты. Меры защиты информационной безопасности
В практической деятельности в информационных технологиях применение мер и способов защиты информации включает следующие самостоятельные направления, представленные на рис.8.6.
Для каждого направления определены основные цели и задачи.
1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач - защиту хранимой и обрабатываемой в вычислительной технике информации от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.
Рис. 8.6. Меры и способы защиты, используемые в информационных технологиях
Требования по защите информации от несанкционированного доступа в информационных технологиях направлены на достижение трех основных свойств защищаемой информации:
В части технической реализации защита от несанкционированного доступа в информационных технологиях сводится к задаче разграничения функциональных полномочий и доступа к данным с целью не только использования информационных ресурсов, но и их модификации.
Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления экономическим объектом или внешними органами. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии и специальных связных протоколов.
Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных), должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронных подписей (цифровых подписей). На практике вопросы зашиты значимости электронных документов решаются совместно с вопросами защиты ИТ экономического объекта.
Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории экономического объекта. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования персональных компьютеров и каналов связи.
В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств промышленного шпионажа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений персонального компьютера, а также речевых и других несущих уязвимую информацию сигналов.
5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и базы данных предварительной обработке (вставка парольной защиты, проверок по обращениям к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочего персонального компьютера по его уникальным характеристикам и т.д.), которая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.
Общим свойством средств защиты программ и баз данных в ИТ от несанкционированного копирования является ограниченная стойкость такой защиты, т.к. в конечном случае исполнимый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако это обстоятельство не снижает потребительских свойств средств защиты до минимума, т.к. основная цель их применения - максимально затруднить, хотя бы временно, возможность несанкционированного копирования ценной информации.
Ведение
Во все времена информация являлась основой развития человечества и любых сфер деятельности. На сегодняшний день, в любом бизнес-процессе ключевую роль играет обладание информацией, а значит - её защита.
По общемировой статистике 80% компаний, допустивших утечку коммерческой информации, неминуемо завершили свою деятельность крахом.
На сегодняшний день свыше 4,6 миллионов компьютеров во всём мире подвержены уязвимостям, и более 90% компьютеров потенциально уязвимы. Ежедневно совершается более 6000 атак на компьютерные сети организаций разного уровня. По данным «InfoWatch», в 2007 году общемировые убытки от информационных утечек достигнут отметки в 1 трлн. долл. Это на 300 млрд. долл. больше, чем в 2006 году.
За последние годы актуальность этой угрозы возросла настолько, что сегодня кража классифицированных сведений стабильно занимает первые места во всех рейтингах угроз ИТ-безопасности. Возрастающее использование электронной почты, интернет - пейджеров и других средств передачи данных, распространенность мобильных устройств - все это значительно осложняет контроль над потоками данных, а следовательно содействует утечки информации.
Целью курсовой работы является знакомство со средствами защиты информации. Часть из которых рассмотрим подробно.
o Криптография
o Аутентификация
o Протоколирование и аудит
o Управление доступом
В практической части курсовой работы перед нами была поставлена экономическая задача. При решении которой, была использована программа для работы с электронными таблицами Microsoft Office Excel 2007. Полученные результаты были наглядно представлены в качестве таблиц и гистограмм.
Меры информационной безопасности
Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется
Можно выделить следующие направления мер информационной безопасности.
- правовые
Организационные
Технические
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства. К правовым мерам также относятся вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.
К организационным мерам относится: охрана вычислительного центра, тщательный подбор персонала, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
Технические меры защиты информации
Технические меры можно классифицировать так потенциальные угрозы, против которых направлены технические меры защиты информации:
1. Потери информации из-за сбоев оборудования:
перебои электропитания;
сбои дисковых систем;
сбои работы серверов, рабочих станций, сетевых карт и т.д.
2. Потери информации из-за некорректной работы программ:
потеря или изменение данных при ошибках ПО;
потери при заражении системы компьютерными вирусами;
3. Потери, связанные с несанкционированным доступом:
несанкционированное копирование, уничтожение или подделка информации;
ознакомление с конфиденциальной информацией
4. Ошибки обслуживающего персонала и пользователей:
случайное уничтожение или изменение данных;
некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.
По средствам зашиты технические меры можно разделить на:
Аппаратные средства защиты
Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами, например с программными.
Можно выделить наиболее важные элементы аппаратной защиты:
защита от сбоев в электропитании;
защита от сбоев серверов, рабочих станций и локальных компьютеров;
защита от сбоев устройств, для хранения информации;
защита от утечек информации электромагнитных излучений.
программные средства защиты
Программными, называются средства защиты данных, функционирующие в составе программного обеспечения.
Среди них можно выделить следующие;
средства архивации данных
антивирусные программы
криптографические средства
средства идентификации и аутентификации пользователей
средства управления доступом
протоколирование и аудит
Как примеры комбинаций вышеперечисленных средств можно привести:
защиту баз данных
защиту информации при работе в компьютерных сетях.
Необходимо:
1. Контролировать доступ как к информации в компьютере, так и к прикладным программам. Необходимо иметь иметь гарантии того, что только авторизованные пользователи имеют доступ к информации и приложениям.
Идентификация пользователей
Требуйте, чтобы пользователи выполняли процедуры входа в компьютер, и используйте это как средство для идентификации в начале работы. Чтобы эффективно контролировать микрокомпьютер, может оказаться наиболее выгодным использовать его как однопользовательскую систему. Обычно у микрокомпьютера нет процедур входа в систему, право использовать систему предоставляется простым включением компьютера.
Аутентификация пользователей
Используйте уникальные пароли для каждого пользователя, которые не являются комбинациями личных данных пользователей, для аутентификации личности пользователя. Внедрите меры защиты при администрировании паролей, и ознакомьте пользователей с наиболее общими ошибками, позволяющими совершиться компьютерному преступлению..
Другие меры защиты:
Пароли - только один из типов идентификации - что-то, что знает только пользователь. Двумя другими типами идентификации, которые тоже эффективны, являются что-то, чем владеет пользователь(например, магнитная карта), или уникальные характеристики пользователя(его голос).
Если в компьютере имеется встроенный стандартный пароль(пароль, который встроен в программы и позволяет обойти меры по управлению доступом), обязательно измените его. Сделайте так, чтобы программы в компьютере после входа пользователя в систему сообщали ему время его последнего сеанса и число неудачных попыток установления сеанса после этого. Это позволит сделать пользователя составной частью системы проверки журналов.
Защищайте ваш пароль:
Не делитесь своим паролем ни с кем;
Выбирайте пароль трудно угадываемым;
Попробуйте использовать строчные и прописные буквы, цифры, или выберите знаменитое изречение и возьмите оттуда каждую четвертую букву. А еще лучше позвольте компьютеру самому сгенерировать ваш пароль;
Не используйте пароль, который является вашим адресом, псевдонимом, именем жены, телефонным номером или чем-либо очевидным.
Используйте длинные пароли, так как они более безопасны, лучше всего от 6 до 8 символов;
Обеспечьте неотображаемость пароля на экране компьютера при его вводе;
Обеспечьте отсутствие паролей в распечатках
не записывайте пароли на столе, стене или терминале. Держите его в памяти
Серьезно относитесь к администрированию паролей:
Периодически меняйте пароли и делайте это не по графику;
Шифруйте или делайте что-нибудь еще с файлами паролей, хранящимися в компьютере, для защиты их от неавторизованного доступа;
Назначайте на должность администратора паролей только самого надежного человека;
Не используйте один и тот же пароль для всех сотрудников в группе
меняйте пароли, когда человек увольняется;
Заставляйте людей расписываться за получение паролей
установите и внедрите правила работы с паролями и обеспечьте, чтобы все знали их;
Установите порядок в организации, при котором для использования компьютерных ресурсов, получения разрешения доступа к информации и приложениям, и получения пароля требуется разрешение тех или иных начальников;
Защита файлов
Помимо идентификации пользователей и процедур авторизации разработайте процедуры по ограничению доступа к файлам с данными:
Используйте внешние и внутренние метки файлов для указания типа информации, который они содержат, и требуемого уровня безопасности;
Ограничьте доступ в помещения, в которых хранятся файлы данных, такие как архивы и библиотеки данных;
Используйте организационные меры и программно-аппаратные средства для ограничения доступа к файлам только авторизованных пользователей;
Предосторожности при работе:
Отключайте неиспользуемые терминалы;
Закрывайте комнаты, где находятся терминалы;
Разворачивайте экраны компьютеров так, чтобы они не были видны со стороны двери, окон и тех мест в помещениях, которые не контролируются;
Установите специальное оборудование, такое как устройства, ограничивающие число неудачных попыток доступа, или делающие обратный звонок для проверки личности пользователей, использующих телефоны для доступа к компьютеру программируйте терминал отключаться после определенного периода неиспользования если это возможно, выключайте систему в нерабочие часы.
2. Необходимо защищайте целостность информации. Вводимая информация должна быть авторизована, полна, точна и должна подвергаться проверкам на ошибки.
Целостность информации:
Проверяйте точность информации с помощью процедур сравнения результатов обработки с предполагаемыми результатами обработки. Например, можно сравнивать суммы или проверять последовательные номера;
Проверяйте точность вводимых данных, требуя от служащих выполнять проверки на корректность, такие как:
Проверки на нахождение символов в допустимом диапазоне символов(числовом или буквенном)
Проверки на нахождение числовых данных в допустимом диапазоне чисел
Проверки на корректность связей с другими данными, сравнивающими входные данные с данными в других файлах
Проверки на разумность, сравнивающие входные данные с ожидаемыми стандартными значениями
Ограничения на транзакции, сравнивающие входные данные с административно установленными ограничениями на конкретные транзакции
Трассируйте транзакции в системе:
Делайте перекрестные проверки содержимого файлов с помощью сопоставления числа записей или контроля суммы значений поля записи.
3. Необходимо защищать системные программы. Если ПО используется совместно, защищайте его от скрытой модификации при помощи политики безопасности, мер защиты при его разработке и контроле за ним в его жизненном цикле, а также обучения пользователей в области безопасности.
Меры защиты при разработке программ и соответствующие политики должны включать процедуры внесения изменений в программу, ее приемки и тестирования до ввода в эксплуатацию. Политики должны требовать разрешения ответственного лица из руководства для внесения изменений в программы, ограничения списка лиц, кому разрешено вносить изменения и явно описывать обязанности сотрудников по ведению документации.
Должен быть разработан и поддерживаться каталог прикладных программ.
Должны быть внедрены меры защиты по предотвращению получения, изменения или добавления программ неавторизованными людьми через удаленные терминалы.
4. Сделайте меры защиты более адекватными с помощью привлечения организаций, занимающихся тестированием информационной безопасности, при разработке мер защиты в прикладных программах и консультируйтесь с ними при определении необходимости тестов и проверок при обработке критических данных. Контрольные журналы, встроенные в компьютерные программы, могут предотвратить или выявить компьютерное мошенничество и злоупотребление.
Должны иметься контрольные журналы для наблюдения за тем, кто из пользователей обновлял критические информационные файлы
Если критичность информации, хранимой в компьютерах, требует контрольных журналов, то важны как меры физической защиты, так и меры по управлению доступом.
В компьютерной сети журналы должны храниться на хосте, а не на рабочей станции.
Контрольные журналы не должны отключаться для повышения скорости работы.
Распечатки контрольных журналов должны просматриваться достаточно часто и регулярно.
5. Необходимо рассмотреть вопрос о коммуникационной безопасности. Данные, передаваемые по незащищенным линиям, могут быть перехвачены.
Физическая безопасность.
Традиционная безопасность: замки, ограждение и охрана.
Физическая безопасность означает лишь содержание компьютера и информации в нем в безопасности от физических опасностей с помощью замков на входах в помещение, где он находится, строительства ограждения вокруг зданий и размещения охраны вокруг помещения. Но физическая безопасность сейчас изменилась из-за современной компьютерной среды - среды, которая часто представляет собой офис с большим числом персональных ЭВМ или терминалов. Физическая безопасность связана с внедрением мер защиты, которые защищают от стихийных бедствий(пожаров, наводнений, и землетрясений), а также всяких случайных инцидентов. Меры физической безопасности определяют, каким будет окружение компьютера, вводимые данные, и результаты обработки информации. Помимо помещений, где размещено компьютерное оборудование, окружение включает в себя библиотеки программ, журналы, магнитные носители, помещения для архивов, и помещения для ремонта техники. Меры физической защиты должны отвечать требованиям современной действительности и сочетать эффективность с невысокой ценой. Например, установка дорогой противопожарной системы может быть необходимой для защиты большого компьютера, обрабатывающего критические данные, но оказаться неоправданно дорогой при защите одной персональной ЭВМ.
Меры физической безопасности
1. Предотвратить злонамеренные разрушения, неавторизованное использование или кражу. ПЭВМ могут быть заперты в комнатах и доступ к ним может быть ограничен с помощью устройств блокировки клавиатуры и т.п. Удостоверьтесь, что люди соблюдают свои обязанности по использованию компьютеров и их можно проконтролировать.
2. Стихийные бедствия могут нанести большой ущерб как большим, так и маленьким компаниям.
Примите меры по предотвращению, обнаружению и минимизации ущерба от пожара, наводнения, загрязнения окружающей среды, высоких температур и скачков напряжения. Защищайте ПЭВМ с помощью кожухов, чтобы они не были повреждены системой пожаротушения. Не храните горючие материалы в этих помещениях.
Статическое электричество может очистить память в ПЭВМ. Антистатические коврики могут предотвратить это.
Скачки напряжения могут очистить память, изменить программы и разрушить микросхемы. Устройство бесперебойного питания(УБП) дает достаточно времени, чтобы отключить компьютер без потери данных.
Температура в помещении может контролироваться кондиционерами и вентиляторами, а также хорошей вентиляцией в помещении. Проблемы с чрезмерно высокой температурой могут возникнуть в стойках периферийного оборудования или из-за закрытия вентиляционного отверстия в терминалах или ПЭВМ.
Воздушные фильтры могут очистить воздух от вредных веществ в нем, которые могут нанести вред компьютерам и дискам. Следует запретить курить возле ПЭВМ.
Размещайте компьютеры подальше от того, что может явиться источником большого количества воды, например трубопроводов, обычно затапливаемых помещений или не используйте систему пожаротушения, если есть другие способы защиты от пожара.
3. Защищайте все носители информации(исходные документы, ленты, картриджи, диски, распечатки)
4. Удостоверьтесь, что существуют адекватные планы действий при ЧП(планы обеспечения непрерывной работы). Помните, что целью этих планов являются гарантии того, что пользователи смогут продолжать выполнять самые главные свои обязанности в случае невозможности работы по информационной технологии.
Политика безопасности определяется как совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.
При разработке и проведении ее в жизнь целесообразно руководствоваться следующими принципами:
Невозможность миновать защитные средства; усиление самого слабого звена;
Невозможность перехода в небезопасное состояние;
Минимизация привилегий; разделение обязанностей;
Эшелонированность обороны; разнообразие защитных средств;
Простота и управляемость информационной системы; обеспечение всеобщей поддержки мер безопасности.
Классификация мер по защите информации
В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно подразделить на:
· Нормативно-правовые
· Морально-этические
· Организационные
· Технические.
Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные отношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие соответствующих международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.
Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.
Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы тривиальных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом предприятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном предприятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:
· Применение научных принципов в обеспечении информационной безопасности, включающих в себя: законность, экономическую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь теории с практикой, специализацию и профессионализм, программно-целевое планирование, взаимодействие и координацию, доступность в сочетании с необходимой конфиденциальностью
· Принятие правовых обязательств со стороны сотрудников предприятия в отношении сохранности доверенных им сведений (информации)
· Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информации
Для надежной защиты конфиденциальной информации целесообразно применять следующие организационные мероприятия:
· Определение уровней (категорий) конфиденциальности защищаемой информации
· Выбор принципов (локальный, объектовый или смешанный) методов и средств защиты
· Установление порядка обработки защищаемой информации
· Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов между собой и относительно границ контролируемой зоны
· Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц
Технические средства - комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся у вас информации путем исключения несанкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппаратные, программные и аппаратно-программные.
Для блокирования возможных каналов утечки информации через технические средства обеспечения производственной и трудовой деятельности с помощью специальных технических средств и создания системы защиты объекта по ним необходимо осуществить ряд мероприятий:
· специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подведенные коммуникации
· Выделить те помещения, внутри которых циркулирует конфиденциальная информация и учесть используемые в них технические средства
Осуществить такие технические мероприятия:
· проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в помещениях
· перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.
Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что она одновременно должна удовлетворять двум группам прямо противоположных требований:
· Обеспечивать надежную защиту информации
· Не создавать заметных неудобств сотрудникам и особенно клиентам.
Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.
Защита компьютера
В персональном компьютере в качестве вычислительных ресурсов выступают оперативная память, процессор, встроенные накопители на жестких или гибких магнитных дисках, клавиатура, дисплей, принтер, периферийные устройства. Защита оперативной памяти и процессора предусматривает контроль за появлением в оперативной памяти так называемых резидентных программ, защиту системных данных, очистку остатков секретной информации в неиспользуемых областях памяти. Для этого достаточно иметь в своем распоряжении программу просмотра оперативной памяти для контроля за составом резидентных программ и их расположением.
Гораздо важнее защита встроенных накопителей. Существуют несколько типов программных средств, способных решать эту задачу:
Защита диска от записи и чтения
Контроль за обращениями к диску
Средства удаления остатков секретной информации.
Но самый надежный метод защиты, безусловно, шифрование, так как в этом случае охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи дискеты). Однако в ряде случаев использование шифрования затруднительно либо невозможно, поэтому необходимо использовать оба метода в совокупности. Большинство средств защиты реализуются в виде программ или пакетов программ, расширяющих возможности стандартных операционных систем, а также систем управления базами данных. Более подробно о защите компьютерной информации рассказано в следующих главах.
Методы и средства защиты информации в каналах связи
Безопасность связи при передаче речевых сообщений основывается на использовании большого количества различных методов закрытия сообщений, меняющих характеристики речи таким образом, что она становится неразборчивой и неузнаваемой для подслушивающего лица, перехватившего закрытое сообщение. При этом оно занимает ту же полосу частот, что и открытый сигнал. Выбор методов закрытия зависит от вида конкретного применения и технических характеристик канала передачи.
В зависимости от спектра передачи речевых сигналов методы защиты речевых сигналов в узкополосных каналах разделяют на следующие виды:
· Аналоговое скремблирование
· Маскирование сигнала специальной заградительной помехой
· Дискретизация речи с последующим шифрованием.
При аналоговом скремблировании изменяется характеристика речевого сигнала, в результате чего образуется модулированный сигнал, обладающий свойствами неразборчивости и неузнаваемости. Полоса частот спектра преобразованного сигнала остается такой же, как и исходного. Аналоговое скремблирование осуществляется на базе временной и/или частотной перестановок отрезков речи.
За счет временных перестановок преобразованное сообщение кодируется, при этом расширяется спектр. Искажения спектра в узкополосном канале определяют потери в восстановленном сообщении. Аналогично, перестановки отрезков спектра при частотном скремблировании приводят к интермодуляционным искажениям восстанавливаемого сообщения.
Маскирование речевого сигнала основано на формировании аддитивной заградительной помехи с последующим ее выделением и компенсацией на приемной стороне. Как правило, этот метод используется в сочетании с простейшим скремблированием (наложением мультипликативной помехи на сигнал).
Метод дискретизации речи с последующим шифрованием предполагает передачу основных компонентов речевого сигнала путем преобразования их в цифровой поток данных, который смешивается с псевдослучайной последовательностью. Полученное таким образом закрытое сообщение с помощью модема передается в канал связи.
В цифровых системах компоненты речи преобразуются в цифровой поток. Дальнейшие операции преобразования включают перестановку, скремблирование псевдослучайной последовательностью, временное запаздывание.
Цифровая подпись
Для решения задачи аутентификации информации Диффи и Хеллманом в 1976 г. предложена концепция аутентификации на основе «цифровой подписи». Она заключается в том, что каждый пользователь сети имеет свой секретный ключ, необходимый для формирования подписи, соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. В предложенной схеме цифровая подпись вычисляется на основе защищаемого сообщения и секретного ключа конкретного пользователя, являющегося отправителем этого сообщения. Каждый пользователь, имеющий соответствующий открытый ключ, может аутентифицировать сообщение по подписи. Кроме того, знание открытого ключа не позволяет подделать подпись. Такие схемы аутентификации называются асимметричными.
Вне зависимости от используемого алгоритма схема цифровой подписи включает две процедуры: процедуру формирования подписи и процедуру проверки, существенной особенностью которых является следующее. При выполнении процедуры формирования подписи используется секретный ключ, известный только лицу, осуществляющему эту процедуру. При выполнении процедуры проверки используется открытый ключ. Только в этом случае арбитр, разрешая возникший спор, может убедиться, что именно тот, кто владеет соответствующим ключом, произвел данную подпись.
Основная область применения цифровой подписи - это информационные системы, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров, например договора о контроле за ядерными испытаниями и т.д.). Возможно применение схем цифровой подписи для создания «электронного нотариуса» с целью обеспечения охраны авторских прав на программные изделия. Что же касается цифровой подписи, то:
1. Каждый человек использует для подписи документов свой секретный уникальный ключ.
2. Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха.
3. Цифровая подпись документа есть функция содержания этого документа и секретного ключа. Цифровая подпись может передаваться отдельно от документа.
4. Копия подписанного цифровым способом документа не отличается от его оригинала (нет проблемы подписи каждой копии).
Методы построения цифровой подписи
Наиболее часто для построения схемы цифровой подписи используется алгоритм RSA. Схема цифровой подписи, основанная на алгоритме RSA, заключается в следующем. Допустим, пользователь А желает передать несекретное сообщение Х пользователю В, предварительно его подписав. Для этого он, используя секретный ключ d, вычисляет подпись у
И посылает (Х.у). Получатель В имеющий соответствующий открытый ключе, получив (Х.у) проверяет равенство
И сравнивает результат этого вычисления с X. В случае совпадения полученное сообщение считается подлинным. Длина подписи в этом случае равна длине сообщения, что не всегда удобно.
Другие методы основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических криптоалгоритмов или так называемых «односторонних функций сжатия».
Примером таких методов являются:
1. Метод MAC (Message Authentication Codes). В нем формируется контрольная комбинация от документа (сообщения или файла) в виде свертки данного документа с секретным ключом на основе классического алгоритма типа DES.
2. Метод MDS (Manipulation Detection Codes). Метод основан на использовании кодов, обнаруживающих обман. Производится вычисление контрольной комбинации от документа на основе использования односторонней (полислучайной) функции сжатия.
Какой метод считать лучшим, определяется из конкретных условий работы. Для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное лучше использовать алгоритм RSA. Для контроля целостности больших объемов информации предпочтительней методы аутентификации на основе блочных алгоритмов.
Сравним цифровую подпись с обычной подписью. С помощью обычной подписи всегда можно доказать авторство, потому, что:
1. У каждого человека свой только ему присущий почерк, который характеризуется определенным написанием букв, давлением на ручку и т.д.
2. Попытка подделки подписи обнаруживается с помощью графологического анализа
3. Подпись и подписываемый документ передаются только вместе на одном листе бумаги. Ситуаций, когда подпись передается отдельно от документа, не существует. При этом подпись не зависит от содержания документа, на котором она поставлена.
4. Копии подписанного документа недействительны, если они не имеют своей настоящей (а не скопированной) подписи.
Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.
Используемые пароли можно подразделить на семь основных групп:
Пароли, устанавливаемые пользователем
Пароли, генерируемые системой
Случайные коды доступа, генерируемые системой
Полуслова
Ключевые фразы
Интерактивные последовательности типа «вопрос - ответ» ;
«Строгие» пароли.
Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и определяют, насколько они секретны. Неподходящие пароли заменяются.
Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и актуальных для всех тем - особенно если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экране монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные предположения и первые умозаключения в определенных группах людей оказываются одинаковыми. И пользователи выдают первое, что приходит им в голову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.
Случайные пароли и коды, устанавливаемые системой, могут быть нескольких разновидностей. Системное программное обеспечение может использовать полностью случайную последовательность символов - вплоть до случайного выбора регистров, цифр, пунктуации длины; или же использовать в генерирующих процедурах ограничения. Создаваемые компьютером пароли могут также случайным образом извлекаться из списка обычных или ничего не значащих слов, созданных авторами программы, которые образуют пароли вроде onah.foopn, или ocar-back-treen.
Полуслова частично создаются пользователем, а частично - каким-либо случайным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его какой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».
Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла - «ловящий рыбу нос». Следует заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции ключевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.
Интерактивные последовательности «вопрос - ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного плана: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «правильными». Системы с использованием «вопросов - ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.
«Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обычно с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды - это пароли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным клиентам возможности системы. Они также порой применяются при первом вхождении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.
Итак, для того, чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:
Быть определенной длины
Включать в себя как прописные, так и строчные буквы
Включать в себя одну и более цифр,
Включать в себя один нецифровой и один неалфавитный символ.
Электронные ключи
Для борьбы с компьютерным пиратством наряду со специальными программными средствами используются и аппаратно-программные средства. Они базируются на применении электронных устройств, подключаемых либо к внутренней шине компьютера, либо к его наружным разъемам. Если оценивать степень надежности защиты объемом трудозатрат, необходимых для ее «взлома», то аппаратно-программные средства «прочнее» чисто программных.
Действительно, для вскрытия такой защиты недостаточно распутать ухищрения в программе. Необходимо восстановить протоколы и содержание обмена программ с дополнительной аппаратурой. Решение этих задач требует, как правило, применения специальных аппаратных средств типа логических анализаторов.
Электронный ключ - это компактный прибор, который подсоединяется к параллельному или последовательному портам компьютера и не влияет на взаимодействие компьютера с внешними устройствами. Идея защиты с использованием электронного ключа состоит в применении в защищаемой программе специального алгоритма взаимодействия с ключом, который не позволяет исполнять программу без него. В этом случае каждый экземпляр программы поставляется вместе с электронным ключом. Критерии оценки качества электронного ключа: ключ должен представлять собой некоторый генератор функций, а не просто память для констант; ключ должен быть выполнен на базе заказной интегральной схемы, что исключает возможность его законного воспроизведения.
Электронные ключи могут использоваться для решения следующих задач:
- защита программ от несанкционированного распространения;
- защита данных от раскрытия содержащейся в них информации;
- защита компьютеров от доступа к ним посторонних лиц
1. Защита программ осуществляется двумя способами. Первый способ (назовем его ручным) состоит во встраивании самим разработчиком в свою программу фрагментов, взаимодействующих с электронным ключом. Второй способ основан на автоматическом включении в защищаемый файл обменов с ключом. В этом случае поставляемая вместе с ключом специальная программа автоматически обрабатывает исполняемые файлы таким образом, что без ключа они оказываются неработоспособными. Преимуществом автоматической защиты перед ручной является практически нулевая трудоемкость этой процедуры. Кроме того, программа автоматической защиты создается высококвалифицированными специалистами, что обеспечивает ее большую надежность.
2. Защита данных от раскрытия содержащейся в них информации достигается путем шифрования. Существуют достаточно эффективные методы шифрования, например алгоритм DES. Однако надежность шифрования не может быть выше надежного хранения и передачи шифровального ключа. В этом случае шифровальный ключ не надо запоминать или записывать и, что очень важно, вводить в компьютер с клавиатуры. Хранящиеся в компьютере данные могут быть дешифрованы только при наличии ключа. Кроме того, для повышения надежности сама программа шифрования - дешифрования может быть защищена с помощью того же самого ключа.
3. Защита компьютера от посторонних лиц предполагает загрузку операционной системы только для санкционированных пользователей, а также обеспечение доступа каждого пользователя только к выделенным ресурсам, среди которых могут быть логические диски, каталоги и отдельные файлы. Реализация такой защиты связана с идентификацией пользователей. Для этого могут быть использованы электронные ключи. При этом возможны два подхода.
Первый подход предполагает, что каждый санкционированный пользователь имеет в своем распоряжении уникальный электронный ключ. Распознавание пользователя осуществляется без ввода каких-либо паролей после подсоединения ключа к разъему. В этом случае можно утверждать, что ключ к тайнам пользователя хранится у них в кармане. Но, если компьютер эксплуатируется в организации, то администрация, как правило, желает иметь доступ ко всем файлам и контролировать работу всех пользователей. Для этого необходимо иметь хотя бы по два одинаковых набора ключей, причем один набор хранится у руководителя организации.
Второй подход обеспечивает снижение стоимости защиты за счет того, что используется только один ключ для всех пользователей. Ключом распоряжается администратор системы, назначаемый руководством организации. Загрузка операционной системы возможна только при подсоединенном ключе. Идентификация пользователей осуществляется путем ввода паролей.
Под целостностью данных понимается система правил Microsoft Access, позволяющих при изменении одних объектов автоматически изменять все связанные с ними объекты и обеспечивать защиту от случайного удаления или изменения связанных данных.
Список значений может быть задан либо фиксированным набором значений, которые вводятся пользователем при создании поля, либо списком значений из ссылочной таблицы или запроса.
Индекс - средство Microsoft Access, ускоряющее поиск и сортировку в таблице. Ключевое поле таблицы индексируется автоматически. Не допускается создание индексов для полей типа MEMO и «Гиперссылка» или полей объектов OLE.
Уникальный индекс - индекс, определенный для свойства Индексированное поле значением «Да (Совпадения не допускаются)». При этом ввод в индексированное поле повторяющихся значений становится невозможным. Для ключевых полей уникальный индекс создается автоматически.
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Размещено на http://www.allbest.ru/
Введение
«Кто владеет информацией - тот владеет миром» - наверно, одно из самых правдивых выражений на сегодняшний день, которое выражает всю суть самой острой проблемы в мире. За всю историю человечества можно привести тысячи примеров кражи информации, которые приводили к самым неприятным и сложным последствиям. Именно поэтому, всю информацию, представляющую хоть какую-то ценность, необходимо защищать, потому что разведывательная деятельность не спит и только совершенствуется.
Несмотря на запреты, действующие в соответствии с Российским законодательством, вероятность утечки конфиденциальной информации, реализованной с помощью современных технических средств, является вполне высокой. Техника и технологии разведки совершенствуются, и это привело к тому, что некоторые способы добычи информации уже вполне обыденные, совсем недорогие и довольно продуктивные. Следовательно, возникает необходимость комплексного пресечения всех возможных каналов утечки информации, а не только наиболее простых и доступных.
Существует несколько каналов связи, по которым передается информация, и все они должны быть защищены надлежащим образом. Что бы избежать ситуаций с утечкой информации, используются различные технические средства, которые не позволяют информации распространяться дальше заданной зоны. Если информация распространилась за пределы контролируемой зоны, то такие каналы называются каналами утечки информации. Также, существует такое понятие, как несанкционированный доступ, к нему можно отнести случаи преднамеренных искажений, кражи, удаления информации со стороны злоумышленника.
В данной работе будут рассмотрены вопросы обеспечения информационной безопасности предприятия, а также возможные угрозы безопасности помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию (на примере кабинета руководителя предприятия).
Актуальностью данной работы является необходимость защиты конфиденциальных данных, информации и сведений, утеря, разглашение или искажение которых может повлечь за собой негативные последствия для организации, предприятия и государства, а также, необходимость соответствия информационной системы требованиям нормативно-правовых документов РФ.
Целью данной работы является разработка комплекса рекомендаций по обеспечению информационной безопасности на предприятии, исследование методов защиты информации от технических разведок и от ее утечки по техническим каналам, а также исследование и построение системы инженерно-технической защиты выделенного помещения, предназначенного для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию.
Задачи работы
Исследовать угрозы и каналы утечки информации. Рассмотреть реализацию технических мер защиты информации.
Исследовать основные мероприятия по защите информации на предприятии.
Исследовать систему защиты помещения для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну или конфиденциальную информацию (далее помещение). Провести анализ существующей системы инженерно-технической защиты помещения и предложить возможные варианты модернизации системы инженерно-технической защиты помещения;
Работа выполнена в интересах электронно-промышленного предприятия.
На основе общих положений работы предприятия рекомендована политика безопасности и средства ее обеспечения. В работе, на основе анализа каналов утечки информации, предложена система защиты помещения, с учетом многоканального перехвата.
Практическая значимость данной работы состоит в том, чтобы снизить риски утечки конфиденциальной информации и государственной тайны по различным каналам в рассматриваемом кабинете руководителя электронно-промышленного предприятия.
1. ОБЩИЕ ПОНЯТИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
информационный безопасность доступ вычислительный
1.1 Определение понятия «защита информации» и ее целей
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
Соблюдение конфиденциальности информации ограниченного доступа;
Реализацию права на доступ к информации.
На сегодняшний день можно выделить несколько видов защищаемой информации и каждый из них имеет свои особенности в области регламентации, организации и осуществления самой защиты. Стоит выделить несколько общих признаков защиты информации любого вида.
Например,
собственник информации сам организует и предпринимает меры по её защите;
защищая свою информацию, собственник ограничивает её от доступа третьих лиц, незаконного завладения или использования в ущерб своим интересам, а также сохраняет свои права на владение и распоряжение этой информацией;
для защиты информации необходимо осуществить комплекс мер по ограничению доступа к ней и создать условия, которые полностью исключат или затруднят несанкционированный доступ к засекреченной (конфиденциальной) информации и ее носителям.
Защита информации делится на решение двух основных групп задач:
a) Удовлетворение информационных потребностей, которые возникают в процессе какой-либо деятельности, то есть обеспечение специалистов организаций, фирм, предприятий секретной или конфиденциальной информацией.
Каждый специалист, в процессе работы может использовать информацию как открытого, так и закрытого типа. Информация открытого типа редко несет что-то стоящее, поэтому тут никаких ограничений нет. При снабжении специалиста засекреченной информацией действуют некоторые ограничения: наличие у этого человека соответствующего допуска (степень секретности информации, к которой он допущен) и разрешения на доступ к конкретной информации. В решении проблемы доступа специалиста к информации закрытого типа всегда существуют противоречия, с одной стороны -- необходимо максимально ограничить его доступ к засекреченной информации и тем самым снизить вероятность утечки этой информации, с другой стороны -- наиболее полно удовлетворить его потребности в информации, в том числе и засекреченной для обоснованного решения им служебных задач. В таком случае необходимо руководствоваться двумя факторами: его служебным положением и решаемой специалистом в настоящее время проблемой.
b) Ограждение засекреченной информации от несанкционированного доступа к ней в злонамеренных целях.
Эта группа, включает такие условия, как:
Создание условий эффективного использования информационных ресурсов;
Обеспечение безопасности защищаемой информации;
Сохранение секретности или конфиденциальности засекреченной информации в соответствии с установленными правилами ее защиты;
Обеспечение конституционных прав граждан на сохранение личной тайны и конфиденциальной персональной информации;
Недопущение безнаказанного растаскивания и незаконного использования интеллектуальной собственности;
Защита информационного суверенитета страны и расширение возможности государства по укреплению своего могущества за счет формирования и управления развитием своего информационного потенциала;
Виды защищаемой информации представлены на рисунке 1.
Рисунок 1. Виды защищаемой информации
1.2 Режим секретности или конфиденциальности
Понятие защита информации тесно переплетается с вопросом о режиме секретности или конфиденциальности. Режим секретности -- это осуществление системы защиты информации для определенного, конкретно заданного предприятия, фирмы, завода, лаборатории или конкретной программы, например, такой, как разработка новой продукции.
Вывод таков, что режим секретности или конфиденциальности это полный комплекс мер, выполняющий осуществление системы защиты информации, зависящий от всех факторов, которые имеют влияние на построение -- это системы защиты информации. Главная задача этого режима - обеспечение надлежащего уровня защиты информации. Всё зависит от степени её секретности, чем она выше, тем соответственно более высокий уровень защиты, и соответствующий режим секретности.
Режим секретности - реализация на конкретно заданном объекте действующих норм и правил защиты данных и сведений, включающих в себя тайну, охраняемую законом (государственную, коммерческую и т.д.), определенных и упорядоченных соответствующими законодательными нормативными актами. Группы мер, которые включает в себя режим секретности:
Разрешительную систему, а именно точное определение сотрудников, имеющих доступ к той или иной защищаемой информации и в конкретные помещения, где проводятся работы.
Осуществление пропускного режима необходимого для конкретного режима секретности, необходимой объекту.
Точно установленные правила и порядок работы с секретной документацией или иными носителям защищаемой информации.
Постоянный контроль и предупредительные работы с персоналом, имеющим доступ засекреченные информации, что помогает предотвратить её утечку.
1.3 Информационная безопасность и её цели
Под информационной безопасностью Российской Федерации понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Другими словами, информационная безопасность - это комплекс мер, направленный на обеспечение безопасности информационных активов предприятия. Стоит подчеркнуть, что информационную безопасность можно обеспечить только в случае комплексного подхода. Рассмотрение и решение отдельных вопросов (например, технических или организационных) не решит проблему информационной безопасности предприятия целиком и полностью.
Стратегия информационной безопасности предприятия - комбинация из хорошо продуманных, запланированных действий и быстрых решений по адаптации предприятия к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления её конкурентных позиций.
Главные цели информационной безопасности:
Конфиденциальность
Целостность
Пригодность
1.4 Политика информационной безопасности
Во многих российских предприятиях и компаниях дела с обеспечением информационной безопасности на низком уровне. Это подтверждают результаты статистических исследований и непосредственное общение со специалистами в данной области. Сегодня на предприятиях полноценной процедуры управления рисками информационной безопасности практически не существует. Большинство специалистов-практиков даже не берутся за эту задачу, они отдают предпочтение при решении проблем информационной безопасности руководствоваться только собственным опытом и интуицией. Убытки от нарушений информационной безопасности могут выражаться как в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак, так и материальными ценностями, например, мошенничество в финансовой сфере с применением компьютерных систем.
Политика информационной безопасности - совокупность документированных управленческих решений, нацеленных на защиту информации и ассоциированных с ней ресурсов.
Политику информационной безопасности можно разделить на три уровня.
К самому высокому уровню следует отнести решения, которые касаются организации в целом и исходят от руководства организации или предприятия. Такой список может включать в себя следующие элементы:
Формирование или пересмотр программы обеспечения информационной безопасности;
Постановка целей, которые должна преследовать организация в области информационной безопасности;
Обеспечение законодательной базы;
Формулировка управленческих решений по вопросам реализации программы информационной безопасности.
Политика верхнего уровня имеет дело с тремя аспектами законопослушности и исполнительской дисциплины:
соблюдение существующих законов.
контроль действия лиц, ответственных за выработку программы безопасности.
обеспечение подчинения персонала, соответственно ввести систему поощрений и наказаний.
К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности, но важные для различных систем, эксплуатируемых организацией. Например, отношение к недостаточно проверенным технологиям, использование домашних или чужих компьютеров, применение пользователями неофициального программного обеспечения и т.д.
Политика обеспечения информационной безопасности на среднем уровне должна освещать следующие темы:
Область применения;
Позиция предприятия;
Роли и обязанности;
Законопослушность;
Точки контакта;
Политика безопасности нижнего уровня можно отнести к конкретным сервисам. В нее входят цели и правила их достижения. Если сравнивать нижний уровень с двумя верхними, то он должен быть гораздо детальнее. Этот уровень очень важен для обеспечения режима информационной безопасности. Решения на этом уровне должны приниматься на управленческом, а не техническом уровне.
Политика нижнего уровня при формулировке целей может исходить из трех соображений: целостность, доступность и конфиденциальность.
Из этих целей должны быть выведены правила безопасности, которые описывают, кто, что и при каких условиях может делать. Чем детальнее правила, чем более формально они изложены, тем проще поддержать их выполнение программно-техническими мерами. Но и слишком жесткие правила будут мешать работе, придется тратить время на то, чтобы их пересмотреть. Руководителю в такой ситуации необходимо найти рациональное решение, компромисс, когда за приемлемую цену будет обеспечен достойный уровень безопасности, а работники не будут сильно перегружены или скованны.
2. УГРОЗЫ И КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ, МЕРЫ ЗАЩИТЫ
2.1 Классификация угроз информации
Любые данные, представляющие хоть какую-то ценность всегда находятся под угрозой несанкционированного доступа к ним, случайного или преднамеренного разрушения, или их модификации.
Существует два вида угроз данным - это естественные угрозы и искусственные угрозы.
К естественным угрозам можно отнести угрозы, вызванные воздействиями на информационную систему и ее элементы объективных физических процессов или стихийных природных явлений, которые не зависят от человеческого фактора.
К искусственным угрозам можно отнести угрозы информационной системы и ее элементам, вызванные деятельностью человека. Исходя из мотивации действий, среди искусственных угроз стоит выделить:
преднамеренные (умышленные) преследуют цель нанесения ущерба управляемой системе или пользователям. Это делается нередко злоумышленниками ради получения личной выгоды.
непреднамеренные (неумышленные, случайные). Источником таких угроз может быть выход из строя аппаратных средств, неправильные действия работников или ее пользователей, ошибки в программном обеспечении и т.д. Такие угрозы тоже следует держать во внимании, так как ущерб от них может быть значительным;
По отношению к информационной системе стоит выделить два варианта источника угроз: внешние и внутренние. Классификация угроз сохранности информации приведена на рисунке 2.
Размещено на http://www.allbest.ru/
Рисунок 2. Классификация угроз сохранности информации
2.2 Модель угроз безопасности информации, обрабатываемой на объекте вычислительной техники
Угроза безопасности информации - совокупность условий и факторов, создающих опасность нарушения информационной безопасности. Другими словами, это потенциальная возможность воздействия на объект защиты (преднамеренная или случайная), из-за которой может произойти потеря или утечка информации, следовательно, будет нанесен ущерб владельцу информации.
Модель угроз безопасности информации представлена на рисунке 3.
Рисунок 3. Модель угроз безопасности информации
2.3 Классификация каналов утечки информации
Каналы утечки информации -- пути и методы утечки информации из информационной системы.
a) Электромагнитный канал. Причиной его возникновения является электромагнитное поле. Электрический ток, протекая в технических средствах обработки информации создает электромагнитное поле. Электромагнитное поле может индуцировать токи в близко расположенных проводных линиях (наводки).
Электромагнитный канал в свою очередь делится на:
Радиоканал (высокочастотные излучения).
Низкочастотный канал.
Сетевой канал (наводки на провода заземления).
Канал заземления (наводки на провода заземления).
Линейный канал (наводки на линии связи между компьютерами).
b) Акустический канал. Он связан с распространением звуковых волн в воздухе или упругих колебаний в других средах, возникающих при работе устройств отображения информации.
c) Канал несанкционированного копирования.
d) Канал несанкционированного доступа.
Основные каналы утечки представлены на рисунке 4.
Рисунок 4. Основные каналы утечки информации
2.4 Каналы утечки информации на объекте вычислительной техники
2.4.1 Угроза безопасности информации через акустический канал утечки
Несанкционированный доступ к конфиденциальной информации по акустическому каналу утечки (рисунок 5) может осуществляться:
путем непосредственного прослушивания;
с помощью технических средств.
Непосредственное прослушивание переговоров (разговоров) злоумышленником может быть осуществлено:
через дверь;
через открытое окно (форточку);
через стены, перегородки;
через вентиляционные каналы.
Прослушивание переговоров через дверь возможно при условии, если вход в комнату для переговоров выполнен с нарушением требований по звукоизоляции. Не следует также вести переговоры при открытых окнах либо форточках. В этих условиях может быть непосредственный доступ к содержанию переговоров.
Стены, перегородки, потолки, да и пол комнат для ведения переговоров не являются гарантированной защитой от прослушивания, если они не проверены на звукоизоляцию и нет уверенности в том, что они отвечают требованиям по звукоизоляции.
Очень опасными с точки зрения несанкционированного доступа к содержанию переговоров являются вентиляционные каналы. Они позволяют прослушивать разговор в комнате на значительном удалении. Поэтому к оборудованию вентиляционных каналов предъявляются высокие требования.
Использование для прослушивания разговоров направленных микрофонов в настоящее время имеет широкое распространение. При этом дистанция прослушивания в зависимости от реальной помеховой обстановки может достигать сотен метров.
В качестве направленных микрофонов злоумышленники могут использовать:
микрофоны с параболическим отражателем;
резонансные микрофоны;
щелевые микрофоны;
лазерные микрофоны.
Для прослушивания злоумышленники применяют и так называемые проводные микрофоны. Чаще всего используются микрофоны со специально проложенными проводами для передачи информации, а также микрофоны с передачей информации по линии сети 220 в.
Не исключено использование для передачи прослушиваемой информации и других видов коммуникаций (провода сигнализации, радиотрансляции, часофикации и т.д.).
Поэтому при проведении всевозможных ремонтов и реконструкций на это необходимо уделять особое внимание, ибо в противном случае не исключена возможность внедрения таких подслушивающих устройств. Широкое применение у злоумышленников для прослушивания переговоров (разговоров) находят радиомикрофоны. В настоящее-время их насчитывается более 200 различных типов. Обобщенные характеристики радиомикрофонов следующие:
Диапазон частот: 27 - 1500 мГц;
Вес: единицы грамм - сотни грамм;
Дальность действия: 10 - 1600м;
Время непрерывной работы: от нескольких часов-до нескольких лет (в зависимости от способа питания).
Данные устройства представляют собой большую угрозу безопасности ведения переговоров (разговоров). Поэтому необходимо делать все возможное для исключения их наличия в комнатах для переговоров.
В последнее десятилетие злоумышленники стали применять устройства, позволяющие прослушивать разговоры в помещениях на значительном удалении от них (из других районов, городов и т.д.), используя телефонные линии.
Размещено на http://www.allbest.ru/
Рисунок 5. Модель угроз информации через акустический канал утечки
2.4.2 Угроза безопасности информации за счет высокочастотного Навязывания
Сущность прослушивания переговоров с помощью высокочастотного навязывания состоит в подключении к телефонной линии генератора частоты и последующего приема «отраженного» от телефонного аппарата промодулированного ведущимся в комнате разговором сигнала.
Таким образом, анализ угроз конфиденциальной информации, которые содержатся при ведении переговоров (разговоров) показывает, что если не принять мер защиты, то возможен доступ злоумышленников к ее содержанию.
Размещено на http://www.allbest.ru/
Рисунок 6. Модель угроз информации за счет высокочастотного навязывания
2.4.3 Угроза безопасности информации по оптическому каналу утечки
Если переговоры ведутся в комнате, где окна не оборудованы шторами, жалюзями, то в этом случае у злоумышленника появляется возможность с помощью оптических приборов с большим усилением (бинокли, подзорные трубы) просматривать помещение. Видеть, кто в нем находится и что делает.
Лазерный
Рисунок 7. Модель угроз информации по оптическому каналу
2.4.4 Угроза безопасности информации через виброакустический канал утечки
Несанкционированный доступ к содержанию переговоров (разговоров) злоумышленниками может быть также осуществлен (рисунок 8) с помощью стетоскопов и гидроакустических датчиков.
Размещено на http://www.allbest.ru/
Рисунок 8. Модель угроз информации через виброакустический канал утечки
С помощью стетоскопов возможно прослушивание переговоров (разговоров) через стены толщиной до 1 м 20 см (в зависимости от материала).
В зависимости от вида канала передачи информации от самого вибродатчика стетоскопы подразделяются на:
Проводные (проводной канал передачи);
Радио (канал передачи по радио);
Инфракрасные (инфракрасный канал передачи).
Не исключена возможность использования злоумышленниками и гидроакустических датчиков, позволяющих прослушивать разговоры в помещениях, используя трубы водообеспечения и отопления.
2.4.5 Угрозы безопасности информации, вызванные умышленными факторами
Угрозы, вызванные умышленными факторами, могут исходить как со стороны недобросовестных сотрудников организации (лиц, имеющих доступ на объект вычислительной техники (ВТ), пользователей), так и со стороны посторонних лиц (злоумышленников). Некоторые виды умышленных угроз могут быть отнесены к обоим признакам, однако, рассматривать их целесообразно отдельно.
Угрозы, исходящие со стороны пользователей.
К этому виду угроз относятся:
использование штатного способа доступа к системе с целью навязывания запрещенных действий (нештатное изменение атрибутов доступа);
использование служебного положения для получения привилегированного доступа к информации (на объект ВТ) или отмены ограничений, обусловленных требованиями по защите информации;
физическое разрушение системы или вывод из строя ее компонентов;
отключение или вывод из строя подсистем обеспечения безопасности информации;
хищение носителей информации и несанкционированное их копирование;
чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств (просмотр «мусора»);
внедрение аппаратных и программных “закладок”, “вирусов” и “троянских” программ, позволяющих скрытно и незаконно получать информацию с объекта ВТ или получать доступ к модификации (уничтожению) информации обрабатываемой на объекте ВТ.
Угрозы, исходящие со стороны посторонних лиц (злоумышленников).
маскировка под истинного пользователя путем навязывания характеристик его авторизации (использование подобранных или подсмотренных паролей, ключей шифрования, похищенных идентификационных карточек, пропусков и т. п.);
маскировка под истинного пользователя после получения им доступа;
подкуп или шантаж персонала, имеющего определенные полномочия;
хищение носителей информации;
внедрение аппаратных и программных “закладок”, “вирусов” и “троянских” программ, позволяющих скрытно и незаконно получать информацию с объекта ВТ или получать доступ к модификации (уничтожению) информации обрабатываемой на объекте ВТ;
незаконное подключение к линиям связи;
перехват данных, передаваемых по каналам связи;
перехват информации за счет закладных устройств;
2.5 Реализация технических мер защиты информации на объекте ВТ
Для реализации первичных технических мер защиты требуется обеспечить:
* блокирование каналов утечки информации и несанкционированного доступа к ее носителям;
* проверку исправности и работоспособность технических средств объекта ВТ;
* установить средства выявления и индикации угроз, проверить их работоспособность;
* установить защищенные средства обработки информации, средства защиты информации и проверить их работоспособность;
* применить программные средства защиты в средствах вычислительной техники, автоматизированных системах, осуществить их функциональное тестирование и тестирование на соответствие требованиям защищенности;
* использовать специальные инженерно-технические сооружения и средства (системы).
Выбор средств обеспечения защиты информации обусловлен фрагментарным или комплексным способом защиты информации.
Фрагментарная защита обеспечивает противодействие определенной угрозе.
Комплексная защита обеспечивает одновременное противодействие множеству угроз.
Блокирование каналов утечки информации может осуществляться:
* демонтажем технических средств, линий связи, сигнализации и управления, энергетических сетей, использование которых не связано с жизнеобеспечением предприятия и обработкой информации;
* удалением отдельных элементов технических средств, представляющих собой среду распространения полей и сигналов, из помещений, где циркулирует информация;
* временным отключением технических средств, не участвующих в обработке информации, от линий связи, сигнализации, управления и энергетических сетей;
* применением способов и схемных решений по защите информации, не нарушающих основные технические характеристики средств обеспечения информационных данных.
Блокирование несанкционированного доступа к информации или ее носителям может осуществляться:
* созданием условий работы в пределах установленного регламента;
* исключением возможности использования не прошедших проверку (испытания) программных, программно-аппаратных средств.
Средства выявления и индикации угроз применяются для сигнализации и оповещения владельца (пользователя, распорядителя) информации об утечке информации или нарушении ее целостности. Средства защиты информации применяются для пассивного или активного скрытия информации.
Для пассивного скрытия применяются фильтры-ограничители, линейные фильтры, специальные абонентские устройства защиты и электромагнитные экраны.
Для активного скрытия применяются узкополосные и широкополосные генераторы линейного и пространственного зашумления.
Программные средства применяются для обеспечения:
* идентификации и аутентификации пользователей, персонала и ресурсов системы обработки информации;
* разграничения доступа пользователей к информации, средствам вычислительной техники и техническим средствам автоматизированных систем;
* целостности информации и конфигурации автоматизированных систем;
* регистрации и учета действий пользователей;
* маскирования обрабатываемой информации;
* реагирования (сигнализации, отключения, приостановки работ, отказа в запросе) на попытки несанкционированных действий.
По результатам выполнения рекомендаций акта обследования и реализации мер защиты информации следует составить в произвольной форме акт приемки работ по защите информации, который должен быть подписан исполнителем работ, лицом, ответственным за защиту информации, и утвержден руководителем предприятия.
Для определения полноты и качества работ по защите информации следует провести аттестацию. Аттестация выполняется организациями, имеющими лицензии на право деятельности в области защиты информации. Объектами аттестации являются компоненты информационной системы и их отдельные элементы, в которых циркулирует информация, подлежащая технической защите. В ходе аттестации требуется:
Установить соответствие аттестуемого объекта требованиям защиты информации;
Оценить качество и надежность мер защиты информации;
Оценить полноту и достаточность технической документации для объекта аттестации;
Определить необходимость внесения изменений и дополнений в организационно-распорядительные документы.
Технические меры по защите информации на объекте ВТ должны предусматривать:
Ограничение доступа внутрь корпуса компьютера путем установления механических запорных устройств.
Уничтожение всей информации на винчестере компьютера при ее отправке в ремонт с использованием средств низкоуровневого форматирования.
Организацию питания компьютера от отдельного источника питания или от общей (городской) электросети через стабилизатор напряжения (сетевой фильтр) или мотор-генератор.
Использование для отображения информации жидкокристаллических или плазменных дисплеев, а для печати - струйных или лазерных принтеров.
Размещение дисплея, системного блока, клавиатуры и принтера на расстоянии не менее 2,5-3,0 метров от устройств освещения, кондиционирования воздуха, связи (телефона), металлических труб, телевизионной и радиоаппаратуры, а также других компьютеров, не использующихся для обработки конфиденциальной информации.
Отключение компьютера от локальной сети или сети удаленного доступа при обработке на ней конфиденциальной информации, кроме случая передачи этой информации по сети.
Установка принтера и клавиатуры на мягкие прокладки с целью снижения утечки информации по акустическому каналу.
Во время обработки ценной информации на компьютере рекомендуется включать устройства, создающие дополнительный шумовой фон (кондиционеры, вентиляторы), а также обрабатывать другую информацию на рядом стоящих компьютерах. Эти устройства должны быть расположены на расстоянии не менее 2,5-3,0 метров.
Уничтожение информации непосредственно после ее использования.
3. ОСНОВНЫЕ МЕРОПРИЯТИЯ ПО ЗАЩИТЕ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ
3.1 Задачи и принципы организации службы информационной безопасности
На многих предприятиях организуют отделы службы безопасности. В обязанности такой службы входит организация защиты сведений, непосредственно связанных с государственной и коммерческой тайной, обучение сотрудников хранить секреты своей фирмы, разъяснение правил соблюдения защиты информации и политики конфиденциальности фирмы, создание методических документов. Служба безопасности собирает всё необходимое о наличии секретной информации, сроках её хранения, коммерческой тайне данного предприятия, определяет круг лиц, имеющих к ней доступ и контролирует его, чтобы доступ был обеспечен только тем сотрудникам, которым она нужна непосредственно по службе. Так же на службу безопасности обычно возложены такие обязанности, как отслеживание информации о состоянии рынка, конкурентах, анализировать и контролировать попытки конкурирующих фирм получить доступ к защищаемой информации, а также уметь четко и быстро устранять недостатки в области защиты коммерческой тайны.
Организуется специальная система доступа к конфиденциальной информации - целый комплекс административно-правовых норм, организующий доступ информации исполнителями или руководителем секретных работ. Целью этой системы является обезопасить работу от несанкционированного получения секретной информации. Подразделяется эта система на:
разрешительную систему доступа к секретной документации;
систему шифров и пропусков для доступа в помещения, где ведутся секретные работы.
Обеспечивает физическую сохранность носителей секретной информации и предотвращение доступа посторонних на территорию секретных работ система охраны. Система охраны - комплекс мероприятий, средств, сил и мероприятий, преграждающих доступ посторонних к защищаемой информации.
Комплекс мер, направленных на защиту конфиденциальной информации, осуществляемый руководством, администрацией и системой безопасности, это:
ежедневный контроль над соблюдением сотрудниками правил защиты информации;
соблюдение всеми сотрудниками правил внутреннего распорядка, пожарной безопасности, инструкций по защите сведений и т.д.;
контроль над прохождением на территорию посторонних лиц и отслеживание их передвижений;
выявления каналов утечки информации и меры по их перекрытию;
предотвращение разглашения защищаемой информации в открытых публикациях;
работа с клиентами, ведение переговоров с партнерами и т.д., важно заключение взаимовыгодных соглашений, а не получение информации о защищаемой информации.
Правовая защита информации.
Правовые меры, регулирующие вопросы защиты секретной и конфиденциальной информации, делят на две группы:
нормативные акты, регламентирующие правила и процедуры защиты информации;
нормативные акты, устанавливающие ответственность за покушение на сведения.
Уголовно-правовые нормы по своему содержанию являются, с одной стороны, запрещающими, то есть они под страхом применения мер уголовного наказания запрещают гражданам нарушать свои обязанности и совершать преступления, а с другой стороны, они обязывают соответствующие органы государства (ФСБ, МВД, прокуратуру) привлечь лиц, виновных в совершении преступления, к уголовной ответственности.
Кроме того, нарушения режима секретности, правил сохранения государственной и коммерческой тайны, не являющиеся преступлением, могут повлечь материальное, дисциплинарное или административное взыскание в соответствии с действующими нормативными актами: отстранение от работы, связанной с секретами или перевод на другую работу, менее оплачиваемую и тоже не связанную с засекреченной информацией.
Организационная защита информации.
Эта группа мер преследует цель организации работы по выполнению правил, процедур и требований защиты государственной и коммерческой тайны на основе правил, установленных законами и подзаконными правовыми актами (инструкциями, положениями и т.п.).
Организационные меры по защите информации подразумевают, прежде всего, работу с кадрами, которые будут осуществлять мероприятия по защите информации, обучение сотрудников правилам защиты засекреченной информации. Нормативно-правовые организационные режимные меры-это основа для решения вопрос защиты информации о соблюдение принципа максимального ограничения числа лиц, которые имеют к секретным работам и документам. Организационные меры защиты информации требуют детального соблюдения правил секретного делопроизводства, чтобы исключить или свести к минимуму утрату секретных документов. Основное назначение организационных мер защиты информации -- предупредить несанкционированный доступ к государственным или коммерческим секретам и утечку защищаемой информации.
Инженерно-техническая защита информации.
Это отдельное направление защиты информации. Развитие технических средств разведки (ТСР) потребовало от государства создания целой системы мер противодействия сбору разведывательной информации с помощью ТСР.
Инженерно-технические меры защиты информации -- это комплекс организационных и инженерно-технических мероприятий, направленных на исключение или существенное затруднение добыванию с помощью ТСР защищаемой информации. Главное здесь, что каждое действие требует противодействие. Противостоять ТСР с помощью только организационных режимных мер явно недостаточно, так как ТСР не знают границ и на их деятельность не влияют погодные условия.
Инженерно-технические меры защиты информации делятся на три группы:
Обще предупредительные меры, включающие правовое регулирование использования технических средств в процессе осуществления международных связей; установление и поддержание режимов, направленных на предотвращение утечки защищаемой информации по каналам, доступным ТСР и др.;
организационные меры включают в себя такие мероприятия, как анализ и обобщение информации о ТСР и выработка путей защиты этих параметров;
технические меры включают комплекс инженерно-технических средств и мероприятий, используемых для скрытия от ТСР защищаемых сведений об объектах защиты и технической дезинформации соперника.
3.2 Охраняемые сведения и объекты защиты информации предприятия
Целью мероприятий по защите информации, проводимых на объектах предприятия, является снижение риска получения ущерба в условиях действия преднамеренных и непреднамеренных угроз информационной безопасности. Достижение требуемого уровня информационной безопасности должно быть обеспечено системным применением организационных, организационно-технических, технических и программно-технических мер на всех этапах эксплуатации объектов предприятия.
Указанная цель достигается путем рационального и взаимосвязанного решения на объектах предприятия следующих задач, увязанных единым замыслом:
a. определения сведений, информационных ресурсов и процессов, которые необходимо защитить;
b. анализа демаскирующих признаков, раскрывающих охраняемые сведения об объектах защиты, каналов утечки, хищения, несанкционированного доступа и воздействия на защищаемую информацию;
c. оценки возможностей технических разведок и криминальных структур по получению защищаемой информации, несанкционированному доступу и воздействию на информационные ресурсы и процессы, оценки реальной опасности утечки информации, искажения, модификации, уничтожения или блокирования информационных ресурсов и процессов;
d. разработки и внедрения технически и экономически обоснованных мероприятий по защите информации с учетом выявленных возможных каналов ее утечки, воздействий и доступа;
e. организации и проведения контроля эффективности защиты информации на объектах информатизации предприятия.
К охраняемым сведениям, защищаемым информационным ресурсам и процессам на всех этапах жизненного цикла объектов предприятия относятся:
a) Речевая информация, содержащая сведения, отнесенные к государственной тайне.
b) Информационные ресурсы, содержащие сведения, отнесенные к государственной тайне, представленные в виде носителей на магнитной и оптической основе, информативных электрических сигналов, электромагнитных полей, информационных массивов и баз данных.
При анализе безопасности охраняемых сведений и информационных ресурсов, должны рассматриваться все возможные виды угроз.
Подлежащие защите объекты информатизации предприятия по требованиям обеспечения информационной безопасности относятся к одной из трех групп:
a. Первая группа - основные технические средства и системы, а также их комплектующие с помещениями, в которых они размещены.
b. Вторая группа - выделенные помещения, специально предназначенные для проведения закрытых мероприятий на которых обсуждается информация, составляющая государственную тайну, а также оборудованные средствами правительственной связи и иных видов специальной связи
c. Третья группа - вспомогательные технические средства и системы, установленные в выделенных помещениях.
К основным техническим средствам относятся:
a) Отдельные автоматизированные рабочие места структурных подразделений предприятия, предназначенные для обработки информации, содержащей сведения, составляющие государственную тайну.
b) Средства обработки речевой, графической, видео информации, используемой для обработки секретной информации.
c) Средства для изготовления и размножения секретных документов.
d) Средства и системы связи, в которых циркулирует секретная информация.
К выделенным помещениям III категории относятся служебные кабинеты и рабочие комнаты подразделений предприятия, в которых проводятся обсуждения и переговоры по вопросам со степенью секретности не выше «секретно», а также актовые залы, предназначенные для закрытых мероприятий.
К выделенным помещениям II категории относятся помещения, специально выделенные для проведения совещаний по совершенно секретным вопросам, а также служебные кабинеты руководящего состава предприятия и основных его подразделений в которых могут вестись обсуждения и переговоры по совершенно секретным вопросам.
К вспомогательным относятся технические средства и системы, не предназначенные для обработки, передачи и хранения секретной информации, размещенные в выделенных помещениях, а также совместно с основными техническими средствами и системами.
3.3 Организационные и технические мероприятия по защите информации
Защита информации на объектах предприятия должна осуществляться посредством выполнения комплекса мероприятий, направленных на: скрытие или существенное затруднение добывания с помощью технических средств разведки охраняемых сведений об объектах защиты; предотвращение утечки информации или воздействия на информационные ресурсы и процессы по техническим каналам и за счет несанкционированного доступа к ним; предупреждение преднамеренных программно-технических воздействий с целью нарушения целостности (уничтожения, искажения) информации (информационных технологий) в процессе ее обработки, передачи и хранения или нарушения работоспособности технических средств.
Исходя из перечня основных угроз информационной безопасности, в комплексе мероприятий по защите информации на объектах предприятия можно выделить несколько направлений:
Защита от утечки по техническим каналам секретной речевой (акустической) информации, обсуждаемой в помещениях объектов предприятия.
Защита основных технических средств и систем от утечки информации, составляющей государственную тайну, по каналам побочных электромагнитных излучений и наводок
Защита информации от несанкционированного доступа, в том числе от компьютерных вирусов и других программно-технических воздействий, от хищения технических средств с находящейся в них информацией или отдельных носителей информации.
Защита информации от воздействия источников дестабилизирующих (разрушающих) электромагнитных излучений, а также от уничтожения и искажения информации через специально внедренные электронные и программные средства (закладки).
Организация защиты от утечки по техническим каналам секретной речевой (акустической) информации предполагает проведение комплекса организационно-технических мероприятий, направленных на устранение акустического и виброакустического каналов утечки информации, а также технических каналов, возникающих при эксплуатации вспомогательных технических средств и за счет внедрения электронных устройств перехвата информации.
Проведение специальной проверки выделенных помещений, а также размещенных в них технических средств иностранного производства с целью выявления возможно внедренных в них электронных устройств перехвата информации (закладок).
Выполнение организационно-режимных мероприятий по допуску и охране выделенных помещений.
Установка в выделенных помещениях технических средств (оконечных устройств телефонной связи, радиотрансляции, сигнализации, электрочасофикации и т.д.), сертифицированных по требованиям безопасности информации либо защищенных по результатам специальных исследований сертифицированными средствами защиты.
Исключение использования в выделенных помещениях радиотелефонов, оконечных устройств сотовой связи.
Выполнение требований по звукоизоляции и виброакустической защите ограждающих конструкций выделенных помещений, их систем вентиляции и кондиционирования. Повышение звукоизоляции ограждающих конструкций помещений или установка активных средств защиты проводятся по результатам проведенных измерений отношения информативный сигнал/шум в местах возможного перехвата информации.
Оформление технических паспортов по вопросам защиты информации на выделенные помещения осуществляет главный специалист по информационной безопасности предприятия с привлечением подразделений, эксплуатирующих здания, системы электроснабжения, коммуникации и технические средства, а также подразделений, располагающихся в выделенных помещениях.
Организация и проведение аттестации выделенных помещений по требованиям безопасности информации с оформлением "Аттестата соответствия". Аттестация проводится организацией, имеющей соответствующую лицензию ФСТЭК России.
В целях защиты информации, обрабатываемой всеми видами основных технических средств и систем, организуется и проводится комплекс организационно-технических мероприятий, направленный на исключение или существенное снижения уровня побочных электромагнитных излучений и наводок в линиях связи и коммуникациях, имеющих выход за пределы контролируемой зоны объектов предприятия.
К таким мероприятиям относятся:
Проведение специальной проверки основных технических средств иностранного производства с целью выявления возможно внедренных в них электронных устройств перехвата информации (закладок).
Проведение специальных исследований основных технических средств и систем и выдача предписания на эксплуатацию.
Выполнение требований предписаний на эксплуатацию по размещению основных технических средств и систем относительно границ контролируемой зоны.
Выполнение требований предписаний на эксплуатацию по размещению основных технических средств и систем относительно вспомогательных технических средств и систем, имеющих выход за пределы контролируемой зоны.
Выполнение требований предписаний на эксплуатацию по защите системы электропитания основных технических средств и систем.
Выполнение требований предписаний на эксплуатацию по защите системы заземления основных технических средств и систем.
Оформление технических паспортов по вопросам защиты информации на основные технические средства и системы осуществляет главный специалист по информационной безопасности предприятия совместно с подразделением, эксплуатирующим данные средства.
В целях защиты информации и информационных процессов (технологий) в системах информатизации (автоматизированных системах) проводятся мероприятия по их защите от несанкционированного доступа и программно-технических воздействий, в том числе от компьютерных вирусов. Защите подлежат автоматизированные системы, предназначенные для обработки информации, составляющей государственную тайну.
Мероприятия по защите автоматизированных систем, предназначенных для обработки информации, составляющей государственную тайну, от несанкционированного доступа к информации направлены на достижение трех основных свойств защищаемой информации: конфиденциальность, целостность, доступность.
Мероприятия по защите информации при нахождении на объектах предприятия иностранных представителей, порядок их реализации и ответственность должностных лиц за их выполнение определяются отдельной инструкцией о приеме иностранных граждан.
Мероприятия по обеспечению информационной безопасности выполняются на всех этапах жизненного цикла объектов предприятия и являются неотъемлемой частью работ по их созданию и эксплуатации.
На стадии эксплуатации объекта предприятия, системы информатизации и средств защиты информации в ее составе осуществляются:
Администрирование систем информатизации и связи с целью обеспечения информационной безопасности при их эксплуатации, в том числе:
управление доступом в систему и к ее элементам;
формирование и распределение реквизитов полномочий пользователей в соответствии с установленными правилами разграничения доступа;
формирование и распределение ключевой и парольной информации;
регистрация и учет действий в системе;
учет носителей информации;
обеспечение сигнализации о попытках нарушения защиты;
поддержание функционирования криптографической подсистемы защиты информации;
поддержание функционирования технических и программных средств и систем защиты информации в установленных эксплуатационной документацией режимах;
контроль целостности эксплуатируемого на средствах вычислительной техники программного обеспечения с целью выявления несанкционированных изменений в нем, а также выполнения мероприятий по антивирусной защите носителей информации и сообщений, получаемых по каналам связи;
инструктаж персонала и пользователей технических средств передачи, обработки и хранения информации по правилам работы со средствами защиты информации;
участие в проведении служебных расследований фактов нарушения или угрозы нарушения безопасности защищаемой информации.
Организация и контроль эксплуатации средств физической защиты, исключающих несанкционированный доступ к объектам защиты и техническим средствам, их хищение и нарушение работоспособности.
Периодическая проверка помещений на отсутствие возможно внедренных радиоэлектронных средств перехвата информации.
Периодическое обследование выделенных помещений, средств и систем информатизации.
Периодическая проверка автоматизированных рабочих мест на выполнение требований по антивирусной защите.
Периодическая аттестация объектов защиты.
Контроль проведения ремонтных и сервисных работ в выделенных помещениях, а также на технических средствах и их коммуникациях
3.4 Программно-технические методы и средства защиты информации от несанкционированного доступа на объекте ВТ
Технической основой системы защиты информации от несанкционированного доступа являются программно-технические методы и средства.
Для того чтобы сформировать оптимальный комплекс программно-технических методов и средств защиты информации, необходимо пройти следующие этапы:
Определение информационных и технических ресурсов, подлежащих защите;
Выявление полного множества потенциально возможных угроз и каналов утечки;
Проведение оценки уязвимости информации для выявленных угроз и каналов утечки;
Определение требований к системе защиты информации;
Осуществление выбора средств защиты информации и их характеристик;
Внедрение и организация использования выбранных мер, способов и средств защиты;
Осуществление контроля целостности и управление системой защиты.
Совокупность защитных методов и средств включает в себя:
Программные средства и методы;
Аппаратные средства;
Защитные (криптографические) преобразования;
Организационные мероприятия.
Программные методы защиты - это совокупность алгоритмов и программ, обеспечивающих разграничение доступа и исключение несанкционированного использования информации.
Сущность аппаратной или схемной защиты состоит в том, что в устройствах и технических средствах обработки информации предусматривается наличие специальных технических решений, обеспечивающих защиту и контроль информации, например, экранирующие устройства, локализующие электромагнитные излучения или схемы проверки информации на четность, осуществляющей контроль правильности передачи информации между различными устройствами информационной системы.
Подобные документы
Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа , добавлен 09.04.2011
Наиболее распространённые пути несанкционированного доступа к информации, каналы ее утечки. Методы защиты информации от угроз природного (аварийного) характера, от случайных угроз. Криптография как средство защиты информации. Промышленный шпионаж.
реферат , добавлен 04.06.2013
Главные каналы утечки информации. Основные источники конфиденциальной информации. Основные объекты защиты информации. Основные работы по развитию и совершенствованию системы защиты информации. Модель защиты информационной безопасности ОАО "РЖД".
курсовая работа , добавлен 05.09.2013
Варианты управления компьютером при автономном режиме. Классификация угроз безопасности, каналов утечки информации. Программно-аппаратные комплексы и криптографические методы защиты информации на ПЭВМ. Программная система "Кобра", утилиты наблюдения.
контрольная работа , добавлен 20.11.2011
Пути несанкционированного доступа, классификация угроз и объектов защиты. Методы защиты информации в системах управления производством. Основные каналы утечки информации при обработке ее на компьютере. Информационные потоки организации ООО "ТД Искра".
курсовая работа , добавлен 15.03.2016
Пути несанкционированного доступа, классификация способов и средств защиты информации. Каналы утечки информации. Основные направления защиты информации в СУП. Меры непосредственной защиты ПЭВМ. Анализ защищенности узлов локальной сети "Стройпроект".
дипломная работа , добавлен 05.06.2011
Понятие и типы мобильной системы связи. Особенности построения и функционирования. Система обеспечения защиты информации. Понятие и классификация угроз. Виды представления информации и возможные каналы ее утечки. Сценарии несанкционированного доступа.
курсовая работа , добавлен 23.11.2013
Моделирование объектов защиты информации. Структурирование защищаемой информации. Моделирование угроз безопасности: способы физического проникновения, технические каналы утечки информации, угрозы от стихийных источников. Инженерно-техническое мероприятия.
курсовая работа , добавлен 13.07.2012
Анализ информации, обрабатываемой на объекте, и программно-аппаратных средств обработки информации. Организационные методы контроля доступа. Программно-аппаратные и технические устройства защиты, датчикового контроля, видеонаблюдения и сигнализации.
реферат , добавлен 22.11.2014
Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.