Типы защиты данных

 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     ОГЛАВЛЕНИЕ 
 

ВВЕДЕНИЕ……………………………………………………………. стр. 4 

ВОПРОС 1. ОСНОВНЫЕ ПОНЯТИЯ И ТЕРМИНЫ, ИСПОЛЬЗУЕМЫЕ В ОБЕСПЕЧЕНИИ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ ...…    стр. 5 

ВОПРОС 2. ОСНОВНЫЕ ПОЛОЖЕНИЯ СИСТЕМЫ ЗАЩИТЫ ИНФОРМАЦИИ ……………………………………………………..   стр. 8 

ВОПРОС 3.  СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ ……………    стр. 11 

ЗАКЛЮЧЕНИЕ   …………………………………………………… …  стр.15          

СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ  ……………………… стр.17 

ПРИЛОЖЕНИЯ………………………………………………………….стр.18 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

     Введение

     Современное общество активно и всесторонне  внедряет в свою жизнедеятельность  различные формы и элементы программного обеспечения. Соответственно, информация, используемая для обеспечения функционирования таковых программных средств становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности.     

     Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный  оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.

     Особое  место отводится информационным ресурсам в условиях рыночной экономики. Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее производит и продает. В сущности - это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.

     В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.

     В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место.

     Вопрос 1.  Правовая основа обеспечения информационной безопасности. Основные понятия и термины, используемые в обеспечении информационной безопасности.

     Правовые  или законодательные основы обеспечения  безопасности информационных систем составляют: Конституция РФ, законы РФ, кодексы, указы и другие нормативные акты, регулирующие отношения в области информации.

     Правовое  обеспечение - совокупность законодательных актов, нормативно-правовых документов, положений, инструкций, руководств, требования которых являются обязательными в рамках сферы их деятельности в системе защиты информации.

     Как известно, важнейшим гарантом прав и свобод граждан является Конституция Российской Федерации. В ней есть несколько статей, имеющих отношение к данному вопросу (ст. ст. 2, 23, 24). Положения Конституции нашли подкрепление и в других законодательных актах. Так, в Законе “Об информации, информатизации и защите информации”  отмечается, что одной из приоритетных целей государственной политики в сфере информатизации является обеспечение как национальной безопасности, так и реализации прав граждан, а также развитие законодательства в сфере защиты информации.

     Очевидно, что в законах должна содержаться норма, предусматривающая юридическую ответственность за ее нарушение. В этом смысле актуальными являются ст. ст. 137 - 139 Уголовного кодекса РФ, которые предусматривают уголовную ответственность за нарушение неприкосновенности частной жизни, жилища, а также тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений.

     Правовой  основой лицензирования деятельности организаций в области защиты информации можно считать Указ Президента РФ №9-92 г. “О создании Государственной технической комиссии при Президенте Российской Федерации” и последовавшее за ним Распоряжение № 829, утверждающее Положение о Гостехкомиссии России. Распоряжением было определено, что работы по защите информации от ИТР и от ее утечки по техническим каналам могут осуществляться только на основании лицензии (п. 4). Право выдавать предприятиям и организациям такие лицензии предоставлено Гостехкомиссии России.

     Закон Российской Федерации № 4524-1 - 93 г. “О федеральных органах правительственной связи и информации” требует лицензирования производства и эксплуатации шифровальных средств, предоставления услуг в этой области и возлагает на органы ФАПСИ ответственность за ведение лицензионной деятельности в пределах своей компетенции и сертификацию продукции (ст. 11.К).

     Совместным  решением Гостехкомиссии России и ФАПСИ  № 10 от 27 апреля 1994 года введено в  действие “Положение о государственном лицензировании деятельности в области защиты информации”, которое определяет границы компетенции этих органов в вопросах выдачи лицензий на определенные виды деятельности и собственно порядок их получения.

     Статья 27 Закона РФ “О Государственной тайне” предписывает осуществлять допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации и оказанием услуг по защите государственной тайны, путем получения ими лицензий на проведение этих работ. Сами же средства защиты должны иметь сертификат, удостоверяющий, что они соответствуют предъявляемым требованиям (ст. 28).

     В законодательстве Росси существует понятие – компьютерное преступление. Под компьютерным преступлением следует понимать предусмотренное уголовным законом общественно опасное деяние (действие или воздействие), направленное против информации, представленной в особом (машинном) виде, принадлежащей государству, юридическому или  физическому лицу, а также против установленного ее собственником или государством порядка создания (приобретения), использования и уничтожения, если оно причинило или представляло реальную угрозу причинения ущерба владельцу информации или автоматизированной системы, в которой эта информация генерируется (создается), обрабатывается, передается или уничтожается, или повлекло иные тяжкие последствия.

     В Уголовном кодексе, принятом Государственной Думой, содержится специальная глава 28 “Преступления в сфере компьютерной информации”, содержащая три статьи, предусматривающие уголовную ответственность за следующие преступления:

     - неправомерный доступ к компьютерной  информации (ст. 272);

     -создание, использование и распространение  вредоносных программ для ЭВМ  (ст. 273);

     - нарушение правил эксплуатации  ЭВМ, системы ЭВМ или их сети (ст. 274).

     Целями защиты информации являются:

  • предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям;
  • предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы;
  • обеспечение правового режима документированной информации как объекта собственности;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".

     Как видно из этого  определения целей  защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.

     Люди  осознают и отдают себе отчет в  сложности проблемы защиты информации вообще, и с помощью технических  средств в частности. Важность и насущная необходимость этого обусловлена широким проникновением компьютеров и программного обеспечения в повседневную жизнь.  Соответственно, должен существовать системный подход к проблеме.

     Так появилась концепция информационной безопасности, которая содержит:

  • Основные концептуальные положения системы защиты информации
  • Концептуальная модель информационной безопасности
  • Угрозы конфиденциальной информации
  • Действия, приводящие к неправомерному овладению конфиденциальной информацией

     Информационная  безопасность - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств.

     Информация  сохраняет значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации - ПАМЯТЬ.

     Понятие "информация" сегодня употребляется  весьма широко и разносторонне. Трудно найти такую область знаний, где  бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМАЦИИ - информационным веком.

     Правомерно  задать вопрос: что же такое информация? В литературе дается такое определение: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.

     Как и всякий продукт, информация имеет  потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.

     С точки зрения потребителя качество используемой информации позволяет  получать дополнительный экономический  или моральный эффект.

     С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.

     Далее - безопасность информации. Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.

  Вопрос 2. Основные положения системы защиты информации.  

     Анализ  состояния дел в сфере защиты информации показывает, что уже сложилась  вполне сформировавшаяся концепция и структура защиты информации, основу которой составляют:

  • весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
  • значительное число фирм, специализирующихся на решении вопросов защиты информации;
  • достаточно четко очерченная система взглядов на эту проблему;
  • наличие значительного практического опыта и др.

     Как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту.

     Опыт  показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.

     Опыт  также показывает, что:

  • обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
  • безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
  • никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.

     С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

     С позиций системного подхода к  защите информации предъявляются определенные требования. Защита информации должна быть:

  • непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
  • плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
  • целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
  • конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
  • активной. Защищать информацию необходимо с достаточной степенью настойчивости;
  • надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выраже-ния и вида физического носителя, на котором они закреплены;
  • универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
  • комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.

     Зарубежный  и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:

  • охватывать весь технологический комплекс информационной деятельности;
  • быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
  • быть открытой для изменения и дополнения мер обеспечения безопасности информации;
  • быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
  • быть простой для технического обслуживания и удобной для эксплуатации пользователями;
  • быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
  • быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.

     Система защиты информации как  любая система  должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:

  • правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
  • организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
  • аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
  • информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
  • программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
  • математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
  • лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
  • нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
 

     Вопрос 3. Средства защиты информации.

Средствами  защиты информации являются:

  • физические средства,
  • аппаратные средства,
  • программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно - программно аппаратными средствами.

       По  убеждению экспертов «Лаборатории Касперского», задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т.д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны «знать» о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

       На  сегодняшний день существует большой  арсенал методов обеспечения информационной безопасности:

    • средства идентификации и аутентификации пользователей (так называемый комплекс 3А);
    • средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;
    • межсетевые экраны;
    • виртуальные частные сети;
    • средства контентной фильтрации;
    • инструменты проверки целостности содержимого дисков;
    • средства антивирусной защиты;
    • системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

       Каждое  из перечисленных средств может  быть использовано как самостоятельно, так и в интеграции с другими. Это делает возможным создание систем информационной защиты для сетей  любой сложности и конфигурации, не зависящих от используемых платформ.

       «Комплекс 3А» включает аутентификацию (или идентификацию), авторизацию и администрирование. Идентификация и авторизация  - это ключевые элементы информационной безопасности. При попытке доступа к информационным активам функция идентификации дает ответ на вопрос: «Кто вы?» и «Где вы?» - являетесь ли вы авторизованным пользователем сети. Функция авторизации отвечает за то, к каким ресурсам конкретный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя определенными идентификационными особенностями в рамках данной сети и определении объема допустимых для него действий.

       Системы шифрования позволяют минимизировать потери в случае несанкционированного доступа к данным, хранящимся на жестком диске или ином носителе, а также перехвата информации при ее пересылке по электронной почте или передаче по сетевым протоколам. Задача данного средства защиты - обеспечение конфиденциальности. Основные требования, предъявляемые к системам шифрования - высокий уровень криптостойкости и легальность использования на территории России (или других государств).

       Межсетевой  экран представляет собой систему  или комбинацию систем, образующую между двумя или более сетями защитный барьер, предохраняющий от несанкционированного попадания в сеть или выхода из нее пакетов данных.

       Основной  принцип действия межсетевых экранов  - проверка каждого пакета данных на соответствие входящего и исходящего IP адреса базе разрешенных адресов. Таким образом, межсетевые экраны значительно расширяют возможности сегментирования информационных сетей и контроля за циркулированием данных.

       Говоря  о криптографии и межсетевых экранах, следует упомянуть о защищенных виртуальных частных сетях (Virtual Private Network - VPN). Их использование позволяет решить проблемы конфиденциальности и целостности данных при их передаче по открытым коммуникационным каналам. Использование VPN можно свести к решению трех основных задач:

1. защита  информационных потоков между  различными офисами компании (шифрование информации производится только на выходе во внешнюю сеть);

2. защищенный  доступ удаленных пользователей  сети к информационным ресурсам  компании, как правило, осуществляемый  через интернет;

3. защита  информационных потоков между  отдельными приложениями внутри корпоративных сетей (этот аспект также очень важен, поскольку большинство атак осуществляется из внутренних сетей).

       Эффективное средство защиты от потери конфиденциальной информации - фильтрация содержимого входящей и исходящей электронной почты. Проверка самих почтовых сообщений и вложений в них на основе правил, установленных в организации, позволяет также обезопасить компании от ответственности по судебным искам и защитить их сотрудников от спама. Средства контентной фильтрации позволяют проверять файлы всех распространенных форматов, в том числе сжатые и графические. При этом пропускная способность сети практически не меняется.

       Все изменения на рабочей станции  или на сервере могут быть отслежены  администратором сети или другим авторизованным пользователем благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это позволяет обнаруживать любые действия с файлами (изменение, удаление или же просто открытие) и идентифицировать активность вирусов, несанкционированный доступ или кражу данных авторизованными пользователями. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).

       Современные антивирусные технологии позволяют  выявить практически все уже  известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.

Типы защиты данных