Содержание
Введение
Глава1. Виды защиты информации
1.1 Инженерно-техническая защитаинформации
1.2 Правовая защита информации
1.3 Организационная защита информации
Глава2. Методы защиты информации
Глава3. Средства защиты информации
Глава4. Криптографические средства защиты
Глава5. Программные средства защиты
Заключение
Списокиспользованной литературы
Введение
Не проходящий и неснижающийся интерес к проблеме защиты информации, объясняется тем, чтопроисходящие в стране процессы существенно затронули проблему организации системызащиты информации во всех ее сферах -разработки, производства, реализации,эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционныеподходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасностигосударственно значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационныхсистемах страны. Существенным фактором, до настоящего времени оказывающимзначительное влияние на положение дел в области защиты информации, является то,что до начала 90-х годов нормативное регулирование в данной области оставляложелать лучшего. Система защиты информации в нашей стране в то времяопределялась существовавшей политической обстановкой и действовала в основном винтересах Специальных служб государства, Министерства обороны иВоенно-промышленного комплекса. Цели защиты информации достигались главнымобразом за счет реализации принципа «максимальной секретности», в соответствии,с которым доступ ко многим видам информации был просто ограничен. Никакихзаконодательных и иных государственных нормативных актов, определяющих защиту информационныхправ негосударственных организаций и отдельных граждан, не существовало. Средствакриптографической защиты информации использовались только в интересахгосударственных органов, а их разработка была прерогативой исключительноспециальных служб и немногих специализированных государственных предприятий.Указанные предприятия строго отбирались и категорировались по уровню допуска кразработке и производству этих средств. Сами изделия тщательно проверялись компетентнымигосударственными органами и допускались к эксплуатации исключительно на основанииспециальных заключений этих органов. Любые работы в области криптографическойзащиты информации проводилась на основании утвержденных Правительством странысекретных специальных нормативных актов, полностью регламентировавших порядокзаказа, разработки, производства и эксплуатации шифровальных средств. Сведенияоб этих средствах, их разработке, производстве, и использовании, как в стране,так и за рубежом были строго засекречены, а их распространение предельноограничено. Даже простое упоминание о криптографических средствах в открытыхпубликациях было запрещено. В настоящее время можно отметить, что правовое полев области защиты информации получило весомое заполнение. Конечно, нельзясказать, что процесс построения цивилизованных правовых отношений успешнозавершен и задача правового обеспечения деятельности в этой области уже решена.Важно другое –на мой взгляд, можно констатировать, что уже имеется неплохаязаконодательная база, вполне позволяющая, с одной стороны, предприятиямосуществлять свою деятельность по защите информации в соответствии требованиямидействующих нормативных актов, а с другой – уполномоченным государственныморганам на законной основе регулировать рынок соответствующих товаров и услуг,обеспечивая необходимый баланс интересов отдельных граждан, общества в целом игосударства.
В последнее время вразличных публикациях муссируется вопрос о том, что созданный механизмгосударственного регулирования в области защиты информации используетсягосударственными органами, уполномоченными на ведение лицензионнойдеятельности, для зажима конкуренции и не соответствует ни мировому опыту, низаконодательству страны.
Кроме того, чтобыостудить бушующие вокруг данной проблемы страсти, считаю полезным подробнееознакомиться с имеющимся опытом зарубежного законодательства и требованиямироссийских нормативных актов в области защиты информации.
Глава 1. Виды защитыинформации
1.1 Инженерно-техническаязащита информации
1. Инженерно-техническаязащита информации является одним из основных направлений обеспеченияинформационной безопасности. Технический прогресс способствует повышению роли инженерно-техническойзащиты. Она охватывает большое количество областей знаний и сфер практическойдеятельности, при ее обеспечении необходимо учитывать большое число факторов,информация о которых недостаточная и часто недостоверная. Определяющую роль приинженерно-технической защите играет человек, действия которого пока неподдаются формализации.
Задачиинженерно-технической защиты информации относятся к так называемымслабоформализуемым задачам, не имеющим формальных (строго математических)методов решения. Получение рациональных (удовлетворяющих поставленнымтребованиям) результатов при решении слабоформализуемых задач достигается наоснове системного подхода.
Основной цельюинженерно-технической защиты информации является обеспечение ее безопасности,при которой риск изменения, уничтожения или хищения информации не превышаетдопустимого значения. Риск характеризуется вероятностью реализации угроз изависит от ресурса — прямых расходов на защиту информации. Сумма прямыхрасходов на защиту информации и косвенных расходов, соответствующих ущербу отреализации угроз, определяет расходы на информацию. Значения прямых расходов,при которых суммарные расходы на информацию минимизируются, образуют областьрациональной защиты информации. Для оценки риска необходимо определитьисточники информации и цену содержащейся в них информации, угрозы еебезопасности и возможность (вероятность) их реализации.
2. Задачиинженерно-технической защиты информации определяют то, что надо выполнить сучетом данного ресурса для предотвращения (нейтрализации) конкретных угроз винтересах поставленных целей.
3. Меры по обеспечениюинженерно-технической защиты.
Мерыинженерно-технической защиты информации представляют собой совокупностьтехнических средств и способов их использования, которые обеспечивают требуемыйуровень безопасности информации при минимуме ресурса. Каждому набору угрозсоответствует рациональный набор мер защиты. Определение такого набора являетсяосновной задачей инженерно-технической защиты информации. При отсутствииформальных методов определение набора средств задача решается путем выбора этихмер специалистами по локальным и глобальным показателям эффективности.
Основными принципамиинженерно-технической защиты информации являются:
• надежность, предусматривающая обеспечение требуемогоуровня безопасности защищаемой информации;
• непрерывность защиты во времени и пространстве,характеризующая постоянную (в любое время) готовность системы защиты кпредотвращению (нейтрализации) угроз информации;
• активность, предусматривающая упреждающеепредотвращение (нейтрализация) угроз;
• скрытность, исключающая возможность ознакомления лиц синформацией о конкретных способах и средствах защиты в рассматриваемойструктуре в объеме, превышающем служебную необходимость;
• целеустремленность, предполагающая расходованиересурса на предотвращение угроз с максимальным потенциальным ущербом;
• рациональность, требующая минимизации расходованияресурса на обеспечение необходимого уровня безопасности информации;
• комплексное использование различных способов и средствза щиты информации, позволяющее компенсировать недостатки одних способов исредств достоинствами других;
• экономичность защиты, предусматривающая, что расходына защиту не превысят ущерба от реализации угроз.
1.2 Правовая защита информации
защита информация криптографический
В последнее время информация приобретаетдва важных практических значения. С одной стороны, она рассматривается какэкономический ресурс, значение которого постоянно возрастает. Использованиеинформационных ресурсов, грамотная организация информационных процессов могутсущественно увеличить рентабельность многих процессов в индустриальномпроизводстве, способствовать в решении социальных проблем.
Таким образом, «в современныхусловиях информация становится стратегическим ресурсом, от эффективногоиспользования которого зависят перспективы развития экономики, формированиеинформационного гражданского общества, обеспечение безопасности государства играждан».
С другой стороны, информация становитсяэкономическим товаром, что стимулирует во всем мире рост нового сегментанациональной экономики — информационных услуг.
Наконец, информация является мощным иэффективным оружием.
Все это привело к возникновению новыхправоотношений, объектом которых является информация. В связи с этим необходимовыделить те свойства информации, которые определяют специфику правовогорегулирования информационных правоотношений.
Среди основных признаков информации,принципиальных для правового регулирования отношений по поводу информации,ученые различают следующие:
1. Как уже отмечалось, любая информацияобладает свойством идеальности. Право начинает опосредовать информацию лишьтогда, когда она может быть однозначно зафиксирована на материальном носителе.Юридическое свойство, вытекающее из этой особенности, заключается в двуединствеинформации и материального носителя, на котором эта информация закрепляется.Необходимо сразу отметить: несмотря на то, что носитель информации является вещью,информация в правовом смысле не может рассматриваться как вещь. Это связано стем, что когда мы передаем вещь, мы передаем при этом зачастую весь объем прав(владения, пользования и распоряжения). Но когда мы передаем зафиксированную наматериальном носителе информацию, мы в правовом смысле передаем сам носитель исумму каких-то прав по распоряжению содержащейся на нем информацией (например,право ее дальнейшего распространения). Саму же информацию мы лишь сообщаем и,таким образом, можем передать лишь право пользования и право распоряжения.Право владения (господства над вещью) может быть передано лишь на носитель, ноне на информацию, которая на нем зафиксирована, ибо она осталась в памятиавтора документа и останется в памяти всех, кто прочитает эти сведения.
2. Рассмотренные общие свойстваидеальности и неисчерпаемости информации порождают такое юридическое свойствоинформации, как бесконечный неисчерпаемый ресурс.
Информация не подвержена (в отличие отбольшинства вещей) физическому старению и обладает такой особенностью, каквозможность неограниченного тиражирования.
Это великое свойство информациипредопределяет прогресс человечества, ибо благодаря ему осуществляютсяпостепенное наращивание знаний и передача их от поколения к поколению. Однакооно дает и побочный эффект: возможность произвольного распространения сведений,одновременного нахождения их в полном объеме в нескольких местах иодновременного использования любым количеством субъектов (в том числе иконфликтующими сторонами). Свойство информации как бесконечного ресурсапредопределяет конструирование в праве систем ограничения на доступ ираспространение информации, именуемые институтами тайн. С ним также связанобольшое количество проблем установления авторства.
3. Следующим факультативным свойствоминформации, основанным на идеальности, является ее самостоятельность какобъекта, независимость от среды, в которой она находится, от носителя, накотором сведения зафиксированы. Ценность сведений также никоим образом не можетбыть поставлена в зависимость от стоимости их носителя.
4. Для правового регулирования отношений,связанных с информацией, представляет определенный интерес такое ее свойство,как нелинейность — отсутствие зависимости между объемом информации ипроцессами, которые начинают протекать благодаря ее воздействию. Иными словами,количество информации и ее ценность не тождественны.
5. Следующей качественной характеристикойинформации, имеющей принципиальное значение для включения ее в качестве объектав какие-либо правовые отношения, является ее субъективная ценность, то естьзначимость для конкретного субъекта. Причем для различных субъектов информациябудет иметь различную ценность.
В праве ценность информации выражаетсяпрежде всего в стоимостных характеристиках тех действий, которые следуют заполучением информации. В качестве примера здесь можно привести, скажем, фактразглашения сведений, составляющих государственную тайну. В данном случаевеличина уголовно-правовой санкции ставится в зависимость от материальногоэквивалента ущерба, нанесенного противоправным распространением указанныхсведений.
6. При правовом регулировании важную рольиграет увязывание информации с целью, для которой она была получена. Например,факт противоправного доступа к сведениям, составляющим коммерческую тайну, изпраздного любопытства может иметь одни правовые последствия, а то же действие сцелью их последующей продажи конкурентам — существенно иные последствия.
Таким образом, информация обладает рядом вдостаточной мере уникальных свойств, выделяющих ее среди других объектов права.Этим также обусловлена и сложность в обеспечении эффективного правовогорегулирования тех отношений, в которых она фигурирует.
Исходя из сказанного выше, правовуюинформацию можно определить как массив нормативных правовых актов и тесносвязанных с ними справочных, нормативно-технических и научных материалов,охватывающих все сферы правовой деятельности.
Кроме того, правовую информацию взависимости от того, от кого она исходит и на что направлена, можно разделитьна три большие группы: официальная правовая информация, информацияиндивидуально-правового характера и неофициальная правовая информация.
Официальная правовая информация — этоинформация, исходящая от полномочных государственных органов, имеющаяюридическое значение и направленная на регулирование общественных отношений. Кофициальной правовой информации относятся сведения и данные о праве или озаконодательстве в широком смысле слова, то есть обо всех действующих и ужепрекративших действие нормативных актах.
Официальная правовая информация, в своюочередь, подразделяется на нормативную правовую информацию и иную официальнуюправовую информацию.
Нормативная правовая информация составляетядро всей правовой информации и представляет собой совокупность нормативныхправовых актов.
Информация индивидуально-правовогохарактера, имеющая юридическое значение, — это информация, исходящая отразличных субъектов права, не имеющих властных полномочий, и направленная насоздание (изменение, прекращение) конкретных правоотношений.
Правовую информациюиндивидуально-правового характера, имеющую юридическое значение, можноподразделить на:
договоры (сделки); жалобы, заявления,порождающие юридические последствия.
Общие черты этих актов: носятиндивидуально-правовой характер, направлены на создание (изменение,прекращение) конкретных правоотношений.
Конкретный договор поставки заключаетсямежду двумя конкретными организациями, влечет определенные юридическиепоследствия — устанавливает права и обязанности сторон договора, прекращаетсяпосле исполнения условий договора. Иск, предъявленный конкретным гражданином кконкретной организации по определенному поводу, также порождает определенныеюридические последствия.
Нормативный правовой акт — это письменныйофициальный документ, принятый (изданный) в определенной форме правотворческиморганом в пределах его компетенции и направленный на установление, изменение иотмену правовых норм.
1.3 Организационная защита информации
Более чем 25-летний опыт теоретическихисследований и практических мероприятий по решению проблемы показывает, чтовозможности злоупотреблений с информацией, находящейся в ИС, развивались исовершенствовались, по крайней мере, не менее интенсивно, чем средства ихпредупреждения и пресечения. Проблема приняла ярко выраженный характер игровойситуации, и притом в антагонистической ее постановке. Из теории игр известно,что решение игровых задач заключается не просто в определении некоторогорешения, а в формировании стратегии поведения игроков. Применительно к проблемезащиты информации это означает, что ее решение не может быть сведено просто ксозданию механизмов защиты — требуется организация регулярной защиты в широкойинтерпритации этого понятия. В данном обзоре и делается попытка системногоанализа взглядов зарубежных специалистов на вопросы организации и защитыинформации.
1. Процесс создания механизмов защиты. Ужев первом из опубликованных в нашей печати обзоров со ссылкой на ряд зарубежныхпубликаций отмечалось, что зарубежные специалисты представляют себе процесссоздания механизмов защиты информации как реализацию целой программы различныхмероприятий. Перечень и содержание этих мероприятий выглядели следующимобразом:
-Установление необходимой степени защитыинформации.
-Назначение лица, ответственного завыполнение мероприятий по защите информации.
-Определение возможных причин (каналов)утечки информации.
-Выделение необходимых средств на защитуинформации.
-Выделение лиц (подразделений), которымпоручается разработка механизмов защиты.
-Установление мер контроля иответственности за соблюдение всех правил защиты информации.
Нетрудно видеть, что приведенные программыесть не что иное как простая интерпретация общепринятой программыпроектирования различных компонентов сложных систем. Такой подход полностью вытекаетиз господствовавших в то время взглядов на решение проблем защиты информациикак на разовое мероприятие, осуществляемое на этапе создания или модернизацииИС. Однако по мере того, как становилось все более ясным, что проблема защитыне может быть эффективно решена чисто формальными средствами и в порядкереализации разового мероприятия, стали существенно меняться и подходы корганизации механизмов защиты. Для повышения эффективности функционированиямеханизмов защиты был предложен целый ряд мер организационного характера,направленных как на обеспечение физической целостности информации, так и напредотвращение несанкционированного получения и доступа к ней. Постепенно, помере того как росло число зарегистрированных преступлений, связанных с информациейв ИС, увеличилось число и разнообразие мероприятий, которые рекомендовались дляповышения эффективности защиты. Анализ большого числа зарубежных публикацийпозволяет создать следующую классификацию основных организационных мероприятийпо защите информации на этапах создания и функционирования ИС.
2. Законодательный аспекты защитыинформации. Для организации надежной защиты информации в ИС большое значениеимеет наличие в стране законов, регламентирующих правила автоматизированнойобработки информации, включая и правила ее защиты, а также устанавливающие меруответственности за нарушение этих правил. В США, например, этот вопросинтенсивно исследуется вот уже более 20 лет /21/. Исследования законодательныхаспектов защиты информации можно разделить на три фазы, различающиеся по ихцелевой направленности. Основным содержанием первой фазы 1966-1970 гг. былидискуссии о возможности и целесообразности создания больших автоматизированныхбанков данных. В частности, интенсивно обсуждался вопрос о необходимости созданиянационального банка данных для использования его в статистике. Эта фазаполучила название фазы раннего предупреждения. Последовавшая за тем втораяфаза, которую назвали фазой изучения 1971-1973 гг., характерна тем, что былисозданы правительственные и неправительственные комиссии, которые изучаливозможности разработки законодательных мер для предотвращения нарушенийбезопасности информации. Работы, проводимые после 1973 г., получили название фазы регулирования. Наиболее характерной чертой этой фазы явился переводрезультатов исследований в законодательную форму. В США действует целая системазаконов по обеспечению безопасности информации в ИС. Кроме того, считается, чтодля законодательного обеспечения защиты информации в ИС могут использоватьсяобычные положения об охране авторских прав, о выдаче лицензий, о выдачеразрешений на снятие копий или сдачу в аренду и т.п. Такие материалы посуществующим в США законам, сопровождаются соответствующим законодательнымпримечанием, например: «Исключительная частная собственность фирмыStyrofoam Security Systems». Она не может быть раскрыта и с нее нельзяснимать копии без письменного разрешения. Важное значение придается такжеморально-этическим нормам, в том числе и с точки зрения обеспечениябезопасности информации. Многие организации разрабатывают и вывешивают навидных местах в тех зонах, где проводится обработка информации, специальныеэтические кодексы. Например, такой кодекс, разработанный американскойАссоциацией производителей ЭВМ АПЭВМ, названный Кодексом профессиональногоповедения членов АПЭВМ включен самостоятельным разделом в устав организации. Вкодексе используются глаголы «должны» /императивный/ и«следует» высказывающий пожелание. Правила и этические соображения неявляются обязательными, однако каждое дисциплинарное правило обязательно длякаждого члена АПЭВМ. В случае несоблюдения дисциплинарных правил на членаобщества налагается взыскание: предупреждение, временное или полное исключениеиз Ассоциации.
Глава 2. Методызащиты информации
Для защиты информации используют следующиеосновные методы: ранжирование, дезинформация, скрытие, морально-нравственныемеры, учет, кодирование и шифрование, дробление.
1.Ранжирование защищаемой информацииосуществляется путем деления ее по степени секретности, разграничения доступа кней в соответствии с имеющимся у пользователя допуском, предоставленияотдельным пользователям индивидуальных прав на пользование секретнымидокументами и выполнение секретных работ. Разграничение доступа к информацииможет осуществляться по тематическому признаку или по признаку секретностиинформации. Этот метод является частным случаем метода скрытия, так какинформация скрывается от тех пользователей, которые не имеют к ней допуска.
2.Дезинформация заключается враспространении заведомо ложных сведений относительно истинного назначения каких-либо объектовили содержания защищаемых сведений. Она обычно проводится путем распространенияложной информации по различным каналам, имитацией или искажением признаков исвойств отдельных элементов объектов защиты, осуществлением ложных действий, посвоим признакам похожих на интересующие соперника действия и др.
Частным случаем дезинформации являетсялегендирование – снабжение противника искаженными сведениями о характере ипредназначении защищаемой информации или объекта, когда их наличие полностью нескрывается, а маскируются действительное предназначение и характер действий. Напрактике, учитывая очень высокую степень развития современных средств веденияразведки, является чрезвычайно сложным полное скрытие информации об объектах.Так, современные средства фоторазведки позволяют делать из космоса снимков сразрешающей способностью в несколько десятков сантиметров. Дробление(расчленение) информации на части осуществляется для того, чтобы знаниекакой-то одной ее части не позволило восстановить всю картину. Этот методшироко применяется при производстве средств вооружения, но может использоватьсяи для защиты технологических секретов, составляющих коммерческую тайну.
3.Скрытие защищаемой информации являетсяодним из наиболее широко применяемых методов. Его сущность заключается впроведении следующих мероприятий:
-засекречивание информации, установлениена носителях соответствующего ей грифа секретности и разграничение в связи сэтим доступа к ней пользователей в соответствии с имеющимся у них допуском;
— устранение или ослабление техническихдемаскирующих признаков объектов защиты и технических каналов утечкиинформации.
4.Морально-нравственные методы защиты информациипредполагают воспитательную работу с сотрудником, допущенным к секретнымработам и документам, направленную на формирование у него определенныхморальных принципов, взглядов и убеждений, таких как патриотизм, пониманиеважности защиты информации для него лично, его работы, организации, ведомства игосударства в целом. При этом воспитательная работа может дополняться методамипрофилактики и контроля, иными способа ми привития положительных качеств усотрудников.
5.Учет один из важнейших методов защиты информации,позволяющий контролировать наличие и местонахождение носителей защищаемойинформации, а также данные о лицах, которые ими пользовались. Основнымипринципами учета являются:
-обязательность регистрации всех носителейзащищаемой информации;
-однократность регистрации конкретногоносителя такой информации;
-указание в учетах адреса, куда отправленили где находится в настоящее время данный носитель засекреченной информации;
-единоличная ответственность засохранность каждого носителя защищаемой информации.
6.Криптографическое закрытие информации заключаетсяв преобразовании ее составных частей (слов, букв, слогов, цифр) с помощьюспециальных алгоритмов либо аппаратных решений и кодов ключей, т.е. вприведении к неявному виду. Для ознакомления с шифрованной информациейприменяется обратный процесс – декодирование (дешифрование).
Под кодированием понимается такой видкриптографического закрытия, когда некоторые элементы защищаемых данныхзаменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровымисочетаниями и т.п.). Кодирование информации может производиться сиспользованием технических средств или вручную. Этот метод имеет дверазновидности:
-смысловое, когда кодируемые элементыимеют вполне определенный смысл (слова, предложения, группы предложений);
-символьное, когда кодируется каждыйсимвол защищаемого сообщения.
Под шифрованием понимается такой видкриптографического закрытия, при котором преобразованию подвергается каждыйсимвол защищаемого сообщения. Все известные способы шифрования можно разбить напять групп: подстановка (замена), перестановка, аналитическое преобразование,гаммирование и комбинированной шифрование. Шифрование информации обычноиспользуется при передаче сообщений по техническим каналам связи (радио, проводным,компьютерным сетям). Шифрование может быть предварительным, когда текстдокумента шифруется заблаговременно перед его передачей по телетайпу,электронной почте и иным средствам связи, или линейным, когда шифрованиеинформации (разговора, текста, графического изображения, компьютерного файла)производится непосредственно в процессе передачи. Для шифрования обычноиспользуется специальная засекречивающая аппаратура (шифрмашины), аналоговые ицифровые скремблеры.
О важности и эффективности такой меры защитыинформации свидетельствует то, что государственным шифрам, кодам исоответствующей засекречивающей аппаратуре обычно присваивается наиболеевысокий гриф секретности, так как они дают ключ к рассекречиванию перехваченныхрадиограмм.
7.Дробление (расчленение) информации на частиосуществляется для того, чтобы знание какой-то одной ее части не позволило восстановитьвсю картину. Этот метод широко применяется при производстве средств вооружения,но может использоваться и для защиты технологических секретов, составляющих коммерческуютайну.
Глава 3. Средства защиты информации
1.Аппаратные средства — устройства, встраиваемые непосредственно ввычислительную технику, или устройства, которые сопрягаются с ней постандартному интерфейсу.
2.Программные средства — это специальные программы и программные комплексы,предназначенные для защиты информации в ИС. Из средств ПО системы защитынеобходимо выделить еще программные средства, реализующие механизмы шифрования(криптографии), Криптография — это наука об обеспечении секретности и/илиаутентичности (подлинности) передаваемых сообщений.
3.Противодействие атакам вредоносныхпрограмм — предполагает комплекс разнообразных мер организационного характера ииспользование антивирусных программ.
4.Управление доступом — методы защитыинформации регулированием использования всех ресурсов ИС и ИТ. Эти методыдолжны противостоять всем возможным путям несанкционированного доступа кинформации. Управление доступом включает следующие функции защиты:
-идентификацию пользователей, персонала иресурсов системы (присвоение каждому объекту персонального идентификатора);
-опознание (установление подлинности)объекта или субъекта по предъявленному им идентификатору;
-разрешение и создание условий работы впределах установленного регламента;
-регистрацию (протоколирование) обращенийк защищаемым ресурсам;
-реагирование (сигнализация, отключение,задержка работ, отказ в запросе и т.п.) при попытках несанкционированныхдействий.
5.Механизмы шифрования — криптографическоезакрытие информации. Эти методы защиты все шире применяются как при обработке,так и при хранении информации на магнитных носителях. При передаче информациипо каналам связи большой протяженности этот метод является единственнонадежным.
Вся совокупность технических средствподразделяется на аппаратные и физические.
6.Физические средства включают различные инженерные устройства и сооружения,препятствующие физическому проникновению злоумышленников на объекты защиты иосуществляющие защиту персонала (личные средства безопасности), материальныхсредств и финансов, информации от противоправных действий. Примеры физическихсредств: замки на дверях, решетки на окнах, средства электронной охраннойсигнализации и т.п.
7.Законодательные средства защиты определяются законодательными актами страны,которыми регламентируются правила пользования, обработки и передачи информацииограниченного доступа и устанавливаются меры ответственности за нарушение этихправил.
8.Организационные средства осуществляют своим комплексом регламентацию производственнойдеятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основетаким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальнойинформации становится невозможным или существенно затрудняется за счет проведенияорганизационных мероприятий.
9.Морально-этическиесредства защиты включают всевозможныенормы поведения, которые традиционно сложились ранее, складываются по мерераспространения ИС и ИТ в стране и в мире или специально разрабатываются.Морально-этические нормы могут быть неписаные (например, честность) либооформленные в некий свод (устав) правил или предписаний. Эти нормы, какправило, не являются законодательно утвержденными, но поскольку их несоблюдениеприводит к падению престижа организации, они считаются обязательными дляисполнения.
Глава 4. Криптографические средства защиты
Готовое к передаче информационноесообщение, первоначально открытое и незащищенное, зашифровывается и тем самымпреобразуется в шифрограмму, т. е. в закрытые текст или графическое изображениедокумента. В таком виде сообщение передается по каналу связи, даже и незащищенному. Санкционированный пользователь после получения сообщения дешифруетего (т. е. раскрывает) посредством обратного преобразования криптограммы,вследствие чего получается исходный, открытый вид сообщения, доступный длявосприятия санкционированным пользователям.
Методу преобразования в криптографическойсистеме соответствует использование специального алгоритма. Действие такогоалгоритма запускается уникальным числом (последовательностью бит), обычноназываемым шифрующим ключом.
Для большинства систем схема генератораключа может представлять собой набор инструкций и команд либо узел аппаратуры,либо компьютерную программу, либо все это вместе, но в любом случае процессшифрования (дешифрования) реализуется только этим специальным ключом. Чтобыобмен зашифрованными данными проходил успешно, как отправителю, так иполучателю, необходимо знать правильную ключевую установку и хранить ее втайне.
Стойкость любой системы закрытой связиопределяется степенью секретности используемого в ней ключа. Тем не менее, этотключ должен быть известен другим пользователям сети, чтобы они могли свободнообмениваться зашифрованными сообщениями. В этом смысле криптографическиесистемы также помогают решить проблему аутентификации (установленияподлинности) принятой информации. Взломщик в случае перехвата сообщения будетиметь дело только с зашифрованным текстом, а истинный получатель, принимаясообщения, закрытые известным ему и отправителю ключом, будет надежно защищенот возможной дезинформации.
Современная криптография знает два типакриптографических алгоритмов: классические алгоритмы, основанные наиспользовании закрытых, секретных ключей, и новые алгоритмы с открытым ключом,в которых используются один открытый и один закрытый ключ (эти алгоритмыназываются также асимметричными). Кроме того, существует возможность шифрованияинформации и более простым способом — с использованием генераторапсевдослучайных чисел.
Использование генератора псевдослучайныхчисел заключается в генерации гаммы шифра с помощью генератора псевдослучайныхчисел при определенном ключе и наложении полученной гаммы на открытые данныеобратимым способом.
Надежность шифрования с помощью генераторапсевдослучайных чисел зависит как от характеристик генератора, так и, причем вбольшей степени, от алгоритма получения гаммы.
Этот метод криптографической защитыреализуется достаточно легко и обеспечивает довольно высокую скоростьшифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим длятаких серьезных информационных систем, каковыми являются, например, банковскиесистемы.
Для классической криптографии характерноиспользование одной секретной единицы — ключа, который позволяет отправителюзашифровать сообщение, а получателю расшифровать его. В случае шифрованияданных, хранимых на магнитных или иных носителях информации, ключ позволяетзашифровать информацию при записи на носитель и расшифровать при чтении с него.
Наиболее перспективными системамикриптографической защиты данных сегодня считаются асимметричные криптосистемы,называемые также системами с открытым ключом. Их суть состоит в том, что ключ,используемый для зашифровывания, отличен от ключа расшифровывания. При этомключ зашифровывания не секретен и может быть известен всем пользователямсистемы. Однако расшифровывание с помощью известного ключа зашифровыванияневозможно. Для расшифровывания используется специальный, секретный ключ.Знание открытого ключа не позволяет определить ключ секретный. Таким образом,расшифровать сообщение может только его получатель, владеющий этим секретнымключом.
Известно несколько криптосистем с открытымключом. Наиболее разработана на сегодня система RSA. RSA— это системаколлективного пользования, в которой каждый из пользователей имеет свои ключизашифровывания и расшифровывания данных, причем секретен только ключрасшифровывания.
Специалисты считают, что системы соткрытым ключом больше подходят для шифрования передаваемых данных, чем длязащиты данных, хранимых на носителях информации. Существует еще одна областьприменения этого алгоритма — цифровые подписи, подтверждающие подлинностьпередаваемых документов и сообщений.
Из изложенного следует, что надежнаякриптографическая система должна удовлетворять ряду определенных требований.
-Процедуры зашифровывания ирасшифровывания должны быть «прозрачны» для пользователя.
-Дешифрование закрытой информации должнобыть максимально затруднено.
-Содержаниепередаваемой информации не должно сказываться на эффективностикриптографического алгоритма.
Процессы защиты информации, шифрования идешифрования связаны с кодируемыми объектами и процессами, их свойствами,особенностями перемещения. Такими объектами и процессами могут бытьматериальные объекты, ресурсы, товары, сообщения, блоки информации, транзакции(минимальные взаимодействия с базой данных по сети). Кодирование кроме целейзащиты, повышая скорость доступа к данным, позволяет быстро определять ивыходить на любой вид товара и продукции, страну-производителя и т.д. В единуюлогическую цепочку связываются операции, относящиеся к одной сделке, ногеографически разбросанные по сети.
Например, штриховое кодированиеиспользуется как разновидность автоматической идентификации элементовматериальных потоков, например товаров, и применяется для контроля за ихдвижением в реальном времени. Достигается оперативность управления потокамиматериалов и продукции, повышается эффективность управления предприятием.Штриховое кодирование позволяет не только защитить информацию, но иобеспечивает высокую скорость чтения и записи кодов. Наряду со штриховымикодами в целях защиты информации используют голографические методы.
Методы защиты информации с использованиемголографии являются актуальным и развивающимся направлением. Голографияпредставляет собой раздел науки и техники, занимающийся изучением и созданиемспособов, устройств для записи и обработки волн различной природы. Оптическаяголография основана на явлении интерференции волн. Интерференция волн наблюдаетсяпри распределении в пространстве волн и медленном пространственномраспределении результирующей волны. Возникающая при интерференции волн картинасодержит информацию об объекте. Если эту картину фиксировать насветочувствительной поверхности, то образуется голограмма. При облученииголограммы или ее участка опорной волной можно увидеть объемное трехмерноеизображение объекта. Голография применима к волнам любой природы и в настоящеевремя находит все большее практическое применение для идентификации продукцииразличного назначения.
Технология применения кодов в современныхусловиях преследует цели защиты информации, сокращения трудозатрат иобеспечение быстроты ее обработки, экономии компьютерной памяти,формализованного описания данных на основе их систематизации и классификации.
В совокупности кодирование, шифрование изащита данных предотвращают искажения информационного отображения реальныхпроизводственно-хозяйственных процессов, движения материальных, финансовых идругих потоков, а тем самым способствуют обоснованности формирования и принятияуправленческих решений.
Глава 5. Программные средства защиты
Программные средства –специальные пакеты программ или отдельные программы, включаемые в составпрограммного обеспечения автоматизированных систем с целью решения задач защитыинформации.
К программным средствамзащиты относятся:
Средства собственнойзащиты, предусмотренные общим программным обеспечением – элементы защитыприсущие самому программному обеспечению или препятствующие незаконным действиям.
Средства защиты в составевычислительных систем – средства защиты аппаратуры, дисков и штатных устройств,при использовании которых операционная система постоянно изменяется.
Средства защиты сзапросом информации – средства, которые требуют для своей работы вводадополнительной информации с целью идентификации полномочий пользователя.
Средства активной защиты– инициируют при возникновении особых обстоятельств.
Средства пассивной защиты– направлены на контроль, поиск улик с целью создания обстановки для раскрытияпреступления.
Защита средствамиоперационной системы
MS-DOS, как наиболее распространенная операционная система,не представляет каких-либо методов защиты. Это наиболее открытая операционнаясистема, и на ее базе разработано много различных аппаратных и программныхсредств, в частности – виртуальные кодируемые или шифруемые диски, блокираторызагрузки. Однако имеющиеся средства дисассемблирования, отладчики, а такжебольшое количество квалифицированных программистов сводят на нет все программныеметоды. DR-DOS, как одна из разновидностей MS-DOS,хоть и поддерживает блокировку файлов, но загрузка с дискеты или с другогонакопителя делает бесполезной использование встроенных систем защиты. Windows95/98 основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная система Windows95/98/ME/XP не выдерживает никакой критики, и даже установкадополнительных модулей системной политики не решает данную задачу. Windows NT и Novell, хотя и решают задачу защиты, но… вот простейшийпример – у Вас похитили, или изъяли в установленном порядке, компьютер. Дискустановили вторым – и все ваше администрирование, на которое потрачены тысячи(если не миллионы) часов, уже никому не помеха.
Для установки пароля BIOS,максимум что надо, это – открыть компьютер, установить перемычку и снять ее(самое большее – две минуты). Есть два исключения – системы с часами на баземикросхем DALLAS и переносные компьютеры. Здесь задачка не так просторешается. Помогает снятие накопителя и установка его в другой компьютер (опять жедве минуты).
Заключение
Информационная эрапривела к драматическим изменениям в способе выполнения своих обязанностей длябольшого числа профессий. Теперь нетехнический специалист среднего уровня можетвыполнять работу, которую раньше делал высококвалифицированный программист.Служащий имеет в своем распоряжении столько точной и оперативной информации,сколько никогда не имел.
Ноиспользование компьютеров и автоматизированных технологий приводит к появлениюряда проблем для руководства организацией. Компьютеры, часто объединенные всети, могут предоставлять доступ к колоссальному количеству самых разнообразныхданных. Поэтому люди беспокоятся о безопасности информации и наличии рисков,связанных с автоматизацией и предоставлением гораздо большего доступа кконфиденциальным, персональным или другим критическим данным. Все увеличиваетсячисло компьютерных преступлений, что может привести, в конечном счете, кподрыву экономики. И поэтому должно быть ясно, что информация – это ресурс,который надо защищать. Ответственность за защиту информации лежит на низшемзвене руководства. Но также кто-то должен осуществлять общее руководство этойдеятельностью, поэтому в организации должно иметься лицо в верхнем звенеруководства, отвечающее за поддержание работоспособности информационных систем.И так как автоматизация привела к тому, что теперь операции с вычислительнойтехникой выполняются простыми служащими организации, а не специальноподготовленным техническим персоналом, нужно, чтобы конечные пользователи зналио своей ответственности за защиту информации.
Единогорецепта, обеспечивающего 100% гарантии сохранности данных и надёжной работысети, не существует. Однако создание комплексной, продуманной концепциибезопасности, учитывающей специфику задач конкретной организации, поможетсвести риск потери ценнейшей информации к минимуму.
Практическилюбую информацию можно защитить, если пользователь пожелает это сделать,сохранив ее таким образом. В скором будущем компьютеры заменятмногие привычные сейчас вещи, следовательно, нам придется доверить компьютерусамое сокровенное, которое человек никогда в жизни не доверит другому человеку,поэтому потребуется более надежная защита информации, такая, что тайны человекасмогут лишь узнать, в крайнем случае, после его смерти. Человечество надеется,что компьютер станет другом, которому можно будет сказать все, зная, что онникогда сам не раскроет их тайны.
Список использованной литературы
1. Титоренко Г.А. Информационныетехнологии управления. М., Юнити: 2002г.
2. Мельников В. Защита информации вкомпьютерных системах. М.: Финансы и статистика, Электронинформ, 1997
3. Семкин С.Н., Беляков Э.В.,Гребенев С.В., Козачок В.И. «Основы организационного обеспечения информационнойбезопасности объектов информатизации» 2005 г.
4. Алексеенко В.Н.,Сокольский Б.В. Технические средства защиты 1992 г.
5. Интернет: www., www.bankreferatov.ru
6. Электронная библиотека кафедры«Организация технологий защиты информации» \ Теория и методология защитыинформации \ Лекционные материалы
7. Вихорев С.В. Классификация угрозинформационной безопасности 2001г.