Методологические подходы к защите информации. Их сущность и обоснование

Федеральное агентство по образованию

Федеральное государственное бюджетное образовательное  учреждение

высшего профессионального образования

Иркутский Государственный Технический Университет

Кафедра квантовой физики и нанотехнологий 
 
 
 
 
 
 

РЕФЕРАТ

на тему: 
 
 

Методологические  подходы к защите информации.

Их  сущность и обоснование. 
 
 
 
 
 
 

Выполнил:

Студент группы ИБб 11-1

Молоток Данил Николаевич

____________

Рецензент:

Преподаватель кафедры

 квантовой  физики и нанотехнологий

Глухов  Николай Иванович

____________ 
 
 
 
 

Иркутск 2012г.

Содержание

1.Методологические  подходы к защите  информации……………………..….3                     

        -принципами обеспечения  информационной безопасности……………3

        -модель системы  ИБ………………………………………………………….3 

2.Классификация  методов и средств  защиты информации……………….…5

         -формальные средства защиты информации……………........................6

         -неформальные средства защиты информации…………………………8

3.Принципы, силы, средства и  условия организационной  защиты информации………………………………………………………………………...10

         -основные принципы организационной защиты информации……….11

         -основных условий организационной защиты информации………….11

         -классификация средств защиты информации…….……………………13

Список  использованной литературы………………...…………………………14

Методологические  подходы к защите информации

Подход к обеспечению  информационной безопасности может  быть только один – комплексный, иначе  информация может быть недостаточно защищена в той или иной сфере. В зависимости от стратегии, принятой на предприятии выбирается уровень  защиты, которому должна соответствовать  информационная безопасность по каждому  из направлений защиты (правовая, инженерно-техническая, компьютерная, организационная и  т.д.)

С позиции комплексного подхода к ЗИ предъявляются определенные требования, которые по сути и являются принципами обеспечения информационной безопасности. 

1.Комплексность. Для ЗИ во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых имеет множество различных взаимно обуславливающих друг друга сторон, свойств, тенденций.  

2.Непрерывность. Принцип непрерывности защиты обеспечивает постоянную защиту, т.к. в момент ее нарушения злоумышленник может совершить несанкционированное копирование, изменение, уничтожение и т.п. информации. 

3. Планирование. Осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации)  

4.Многорубежность системы защиты; 

5. Принцип равнопрочности рубежей контролируемой зоны; 

6.Целенаправленность. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд  

7.Принцип надежности. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены  

Обобщенная  модель системы ИБ  включает:

•   Объекты угроз. Объектом угроз выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
•   Угрозы. Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
•   Источники угроз.
•   Цели угроз со стороны злоумышленников. Неправомерное овладение КИ возможно за счет ее разглашения источникам сведений, за счет утечки информации через технические средства и за счет НСД к охраняемым сведениям.
•   Источники информации. Источниками КИ являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
•   Способы неправомерного овладения конфиденциальной информацией (способы доступа)
•   Направления защиты информации. Основными направлениями ЗИ являются правовая, организационная и инженерно -техническая защиты информации как выразители комплексного подхода к обеспечению ИБ.
•   Способы защиты информации. В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие НСД
•   Средства защиты информации. Ср-ми ЗИ являются физические средства, аппаратные средства, программные средства и криптографические методы.

Последние могут  быть реализованы как аппаратно, программно, так и смешанно –программно -аппаратными ср-ми. 

Обобщенная модель представляет собой совокупность частных  моделей отдельных компонентов, входящих в систему информационной безопасности. Данная модель позволяет  обосновывать стратегические решения (стратегии) по защите информации на основе перспективных планов развития предприятия. 
 

Классификация методов и средств  защиты информации.

  Метод — в самом общем значении это способ достижения цели, определенным образом упорядоченная деятельность.

Основными организационными и техническими методами, используемыми  в защите информации, являются: скрытие, ранжирование, дробление, учет, дезинформация, морально-нравственные меры, кодирование и шифрование. 

  Скрытие как метод защиты информации является в основе своей реализации на практике одним из основных организационных принципов защиты информации – максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

• засекречивания информации, т.е. отнесения ее к секретной или конфиденциальной информации различной степени секретности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;

• устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

Скрытие – один из наиболее общих и широко применяемых  методов защиты информации. 

   Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций. Разграничение доступа к информации может осуществляться по тематическому признаку или по признаку секретности информации и определяется матрицей доступа.

Ранжирование  как метод защиты информации является частным случаем метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем  самым эта информация скрывается от него и всех остальных (посторонних) лиц. 

   Дезинформация – один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности.

Дезинформация обычно проводится путем распространения  ложной информации по различным каналам, имитацией или искажением признаков  и свойств отдельных элементов  объектов защиты, создания ложных объектов, по внешнему виду или проявлениям  похожих на интересующие соперника  объекты, и др. 

   Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств: вооружения и военной техники, а также  при производстве товаров народного  потребления. 

   Учет (аудит) также является одним из важнейших методов защиты информации, обеспечивающих возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превышает какой-то минимальный объем.

Принципы учета  засекреченной информации:

• обязательность регистрации всех носителей защищаемой информации;

• однократность регистрации конкретного носителя такой информации;

• указание в учетах адреса, где находится в данное время данный носитель засекреченной информации;

• единоличная ответственность за сохранность каждого носителя защищаемой информации и отражение в учетах пользователя данной информации в настоящее время, а также всех предыдущих пользователей данной информации. 

   Кодирование – метод защиты информации, преследующий цель скрыть от нарушителя содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в чужие руки, а также при обработке и хранении информации в средствах вычислительной техники (СВТ).

Для кодирования  используются обычно совокупность знаков (символов, цифр и др.) и система  определенных правил, при помощи которых  информация может быть преобразована (закодирована) таким образом, что  прочесть ее можно будет, только если пользователь располагает соответствующим  ключом (кодом) для ее раскодирования. Кодирование информации может производиться  с использованием технических средств  или вручную. 

   Шифрование – метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Шифрование может  быть предварительное (шифруется текст  документа) и линейное (шифруется  разговор). Для шифрования информации может использоваться специальная  аппаратура.

 В соответствии  с определением, изложенным в  Законе Российской Федерации  «О государственной тайне», к  средствам защиты информации  относятся «технические, криптографические,  программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну,  средства, в которых они реализованы,  а также средства контроля  эффективности защиты, информации». 

Все средства защиты можно разделить на две группы – формальные и неформальные.  

Формальные  средства защиты информации.

К формальным относятся  такие средства, которые выполняют  свои функции по защите информации формально, то есть преимущественно  без участия человека. К неформальным относятся средства, основу которых  составляет целенаправленная деятельность людей. Формальные средства делятся  на технические (физические,аппаратные) и программные. 

 1.Технические средства защиты – это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой).

   К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.

   Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.

   Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:

1) функциональное  назначение, то есть основные  задачи защиты объекта, которые  могут быть решены с их применением;

2) сопряженность  средств защиты с другими средствами  объекта обработки информации (ООИ);

3) сложность  средства защиты и практического  его использования;

4) тип средства  защиты, указывающий на принципы  работы их элементов;

5) стоимость  приобретения, установки и эксплуатации.

  В зависимости от цели и места применения, выполняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные: 

А)Физические средства – механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

• внешняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);

• внутренняя защита – защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);

• опознавание – специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения). 

Б)Аппаратные средства – различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

• нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;

• поиск закладных устройств – защита от использования злоумышленником закладных устройств съема информации;

• маскировка сигнала, содержащего конфиденциальную информацию, – защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).

   Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы). 

2.Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

• идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,

• определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,

• контроль работы технических средств и пользователей,

• регистрация работы технических средств и пользователей при обработке информации ограниченного использования,

• уничтожения информации в ЗУ после использования,

• сигнализации при несанкционированных действиях,

• вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах. 

Неформальные  средства защиты информации.

Неформальные  средства делятся на организационные, законодательные и морально-этические. 

   Организационные средства – специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

   Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных.

Основными мероприятиями  являются следующие:

Обязательные

•   Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.
•   Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).
•   Организация надежного пропускного режима.
•   Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
•   Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.
•   Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

•   Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.
•   Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.
•   Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения.
•   Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации.  
•   Продумать ответные меры защиты.
•   Приобрести сертифицированные средства защиты информации.
•   Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.

Дополнительные

• Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.
• Провести «испытание» имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.

Одно из важнейших  организационных мероприятий –  содержание в вычислительном центре специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование. 

   Законодательные средства – существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации. 

   Морально-этические нормы – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

   Морально-этические способы защиты информации можно отнести к группе тех методов, которые, исходя из расхожего выражения, что «тайну хранят не замки, а люди», играют очень важную роль в защите информации. Именно человек, сотрудник предприятия или учреждения, допущенный к секретам накапливающий в своей памяти колоссальные объемы информации, в том числе секретной, нередко становится источником утечки этой информации, или по его вине соперник получает возможность несанкционированного

доступа к носителям защищаемой информации. 
Принципы, силы, средства и условия организационной защиты информации.

  Организационная защита информации — составная часть системы защиты информации, определяющая и вырабатывающая порядок и правила функционирования объектов защиты и деятельности должностных лиц в целях обеспечения защиты информации.

   Организационная защита информации на предприятии — регламентация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба данному предприятию. 

Организационная защита информации:

• Организация работы с персоналом;
• Организация внутриобъектового и пропускного режимов и охраны;
• Организация работы с носителями сведений;
• Комплексное планирование мероприятий по защите информации;
• Организация аналитической работы и контроля.

Основные  принципы организационной  защиты информации:

• принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складывающейся ситуации и наличия факторов, ослабляющих или усиливающих угрозу защищаемой информации;
• принцип оперативности принятия управленческих решений (существенно влияет на эффективность функционирования и гибкость системы защиты информации и отражает нацеленность руководства и персонала предприятия на решение задач защиты информации);
• принцип персональной ответственности — наиболее эффективное распределение задач по защите информации между руководством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Среди основных условий  организационной  защиты информации можно  выделить следующие:

•   непрерывность всестороннего анализа функционирования системы защиты информации в целях принятия своевременных мер по повышению ее эффективности;
•    неукоснительное соблюдение руководством и персоналом предприятия установленных норм и правил защиты конфиденциальной информации.

При соблюдении перечисленных условий обеспечивается наиболее полное и качественное решение  задач по защите конфиденциальной информации на предприятии. 

Основные  методы, силы и средства, используемые для  организации защиты информации.

Один из важнейших  факторов, влияющих на эффективность  системы защиты конфиденциальной информации, — совокупность сил и средств  предприятия, используемых для организации  защиты информации.

Силы  и средства различных предприятий отличаются по структуре, характеру и порядку использования. Предприятия, работающие с конфиденциальной информацией и решающие задачи по ее защите в рамках повседневной деятельности на постоянной основе, вынуждены с этой целью создавать самостоятельные структурные подразделения и использовать высокоэффективные средства защиты информации. Если предприятия лишь эпизодически работают с конфиденциальной информацией в силу ее небольших объемов, вместо создания подразделений они могут включать в свои штаты отдельные должности специалистов по защите информации. Данные подразделения и должности являются органами защиты информации.