• Информационная безопасность. Курс лекций. Лекция: Информационная безопасность и ее составляющие

    Защита информации должна быть основана на системном подходе. Системный подход заключается в том, что все средства, используемые для обеспечения информационной безопасности должны рассматриваться как единый комплекс взаимосвязанных мер. Одним из принципов защиты информации является принцип «разумной достаточности», который заключается в следующем: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты информации, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

    Защиту информации можно условно разделить на защиту:

      от потери и разрушения;

      от несанкционированного доступа.

    2. Защита информации от потери и разрушения

    Потеря информации может произойти по следующим причинам:

      нарушение работы компьютера;

      отключение или сбои питания;

      повреждение носителей информации;

      ошибочные действия пользователей;

      действие компьютерных вирусов;

      несанкционированные умышленные действия других лиц.

    Предотвратить указанные причины можно резервированием данных , т.е. созданием их резервных копий. К средствам резервирования относятся:

      программные средства для создания резервных копий, входящие в состав большинства операционных систем. Например, MS Backup, Norton Backup;

      создание архивов на внешних носителях информации.

    В случае потери информация может быть восстановлена. Но это возможно только в том случае, если:

      после удаления файла на освободившееся место не была записана новая информация;

      если файл не был фрагментирован, т.е. (поэтому надо регулярно выполнять операцию дефрагментации с помощью, например, служебной программы «Дефрагментация диска», входящей в состав операционной системы Windows).

    Восстановление производится следующими программными средствами:

    Если данные представляют особую ценность для пользователя, то можно применять защиту от уничтожения :

      присвоить файлам свойство Read Only (только для чтения);

      использовать специальные программные средства для сохранения файлов после удаления, имитирующие удаление. Например, Norton Protected Recycle Bin (защищенная корзина). .

    Большую угрозу для сохранности данных представляют нарушения в системе подачи электропитания - отключение напряжения, всплески и падения напряжения и т.п. Практически полностью избежать потерь информации в таких случаях можно, применяя источники бесперебойного питания. Они обеспечивают нормальное функционирование компьютера даже при отключении напряжения за счет перехода на питание от аккумуляторных батарей.

      Защита информации от несанкционированного доступа

    Несанкционированный доступ - это чтение, изменение или разрушение информации при отсутствии на это соответствующих полномочий.

    Основные типовые пути несанкционированного получения информации:

      хищение носителей информации;

      копирование носителей информации с преодолением мер защиты;

      маскировка под зарегистрированного пользователя;

      мистификация (маскировка под запросы системы);

      использование недостатков операционных систем и языков программирования;

      перехват электронных излучений;

      перехват акустических излучений;

      дистанционное фотографирование;

      применение подслушивающих устройств;

      злоумышленный вывод из строя механизмов защиты.

    Для защиты информации от несанкционированного доступа применяются:

      Организационные мероприятия.

      Технические средства.

      Программные средства.

      Криптография.

    1. Организационные мероприятия включают в себя:

      пропускной режим;

      хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура);

      ограничение доступа лиц в компьютерные помещения.

    2. Технические средства включают в себя различные аппаратные способы защиты информации:

      фильтры, экраны на аппаратуру;

      ключ для блокировки клавиатуры;

      устройства аутентификации - для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.п.

    3. Программные средства защиты информации заключаются в разработке специального программного обеспечения, которое бы не позволяло постороннему человеку получать информацию из системы. Программные средства включают в себя:

      парольный доступ;

      блокировка экрана и клавиатуры с помощью комбинации клавиш;

      использование средств парольной защиты BIOS (basic input-output system - базовая система ввода-вывода).

    4. Под криптографическим способом защиты информации подразумевается ее шифрование при вводе в компьютерную систему. Суть данной защиты заключается в том, что к документу применяется некий метод шифрования (ключ), после чего документ становится недоступен для чтения обычными средствами. Чтение документа возможно при наличии ключа или при применении адекватного метода чтения. Если в процессе обмена информацией для шифрования и чтения используется один ключ, то криптографический процесс является симметричным. Недостаток – передача ключа вместе с документом. Поэтому в INTERNET используют несимметричные криптографические системы, где используется не один, а два ключа. Для работы применяют 2 ключа: один – открытый (публичный – public), а другой - закрытый (личный - private). Ключи построены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой. Создав пару ключей, компания широко распространяет публичный ключ, а закрытый ключ сохраняет надежно.

    Оба ключа представляют собой некую кодовую последовательность. Публичный ключ публикуется на сервере компании. Любой желающий может закодировать с помощью публичного ключа любое сообщение, а прочесть после кодирования может только владелец закрытого ключа.

    Принцип достаточности защиты . Многие пользователи, получая чужой публичный ключ, желают получить и использовать их, изучая, алгоритм работы механизма шифрования и пытаются установить метод расшифровки сообщения, чтобы реконструировать закрытый ключ. Принцип достаточности заключается в проверке количества комбинаций закрытого ключа.

    Понятие об электронной подписи . С помощью электронной подписи клиент может общаться с банком, отдавая распоряжения о перечислении своих средств на счета других лиц или организаций. Если необходимо создать электронную подпись, следует с помощью специальной программы (полученной от банка) создать те же 2 ключа: закрытый (остается у клиента) и публичный (передается банку).

    Защита от чтения осуществляется:

      на уровне DOS введением для файла атрибутов Hidden (скрытый);

      шифрованием.

    Защита то записи осуществляется:

      установкой для файлов свойства Read Only (только для чтения);

      запрещением записи на дискету путем передвижения или выламывания рычажка;

      запрещением записи через установку BIOS - «дисковод не установлен»

    При защите информации часто возникает проблема надежного уничтожения данных, которая обусловлена следующими причинами:

      при удалении информация не стирается полностью;

      даже после форматирования дискеты или диска данные можно восстановить с помощью специальных средств по остаточному магнитному полю.

    Для надежного удаления используют специальные служебные программы, которые стирают данные путем многократной записи на место удаляемых данных случайной последовательности нулей и единиц.

      Защита информации в сети INTERNET

    При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы могут быть при определенных условиях открыты всем, кто обладает необходимыми средствами. Для частного пользователя этот факт не играет особой роли, но знать о нем необходимо, чтобы не допускать действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов). Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация, как о законных, так и о незаконных действиях обязательно где-то накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.

    Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете. Сегодня Интернет является не только средством общения и универсальной справочной системой - в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации, очевидна. Начиная с 1999 года INTERNET становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств.

    Принципы защиты информации в Интернете опираются на определение информации, сформулированное нами в первой главе этого пособия. Информация - это продукт взаимодействия данных и адекватных им методов . Если в ходе коммуникационной процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невозможно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте информации - на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию.


    Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ.Предназначено для преподавателей и студентов вузов по специальности «Информационная безопасность», специалистов по безопасности, менеджеров и руководителей компаний.


    А. В. Артемов - Информационная безопасность. Курс лекций читать онлайн

    Рецензент:

    кандидат экономических наук, доцент кафедры «Предпринимательство и маркетинг» ФГБОУ ВПО «Госуниверситет – УНПК» Н.А. Лебедева

    А. В. Артемов, кандидат технических наук, доцент кафедры «Электроника, вычислительная техника и информационная безопасность» ФГБОУ ВПО «Госуниверситет – УНПК»

    Информационная безопасность как определяющий компонент национальной безопасности россии

    Учебные вопросы:

    1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание.

    2. Основные руководящие документы, регламентирующие вопросы информационной безопасности.

    3. Современные угрозы информационной безопасности в России

    Вопрос 1. Место информационной безопасности в системе национальной безопасности России: понятие, структура и содержание

    Информатизация социально-политической, экономической и военной деятельности страны и, как следствие, бурное развитие информационных систем сопровождаются существенным ростом посягательств на информацию как со стороны иностранных государств, так и со стороны преступных элементов и граждан, не имеющих доступа к ней. Несомненно, в создавшейся обстановке одной из первоочередных задач, стоящих перед правовым государством, является разрешение глубокого противоречия между реально существующим и необходимым уровнем защищенности информационных потребностей личности, общества и самого государства, обеспечение их ИБ. При этом под информационной безопасностью (ИБ) личности, общества, государства и современных автоматизированных и телекоммуникационных систем понимается состояние защищенности информационной среды, соответствующей интересам (потребностям) личности, общества и государства в информационной сфере, при котором обеспечиваются их формирование, использование и возможности развития независимо от наличия внутренних и внешних угроз .

    Информационная безопасность определяется способностью государства (общества, личности):

    – обеспечить с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнедеятельности и жизнеспособности, устойчивого функционирования и развития;

    – противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;

    – вырабатывать личностные и групповые навыки и умения безопасного поведения;

    – поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

    Ни одна сфера жизни современного общества не может функционировать без развитой информационной структуры. Национальный информационный ресурс является сегодня одним из главных источников экономической и военной мощи государства. Проникая во все сферы деятельности государства, информация приобретает конкретное политическое, материальное и стоимостное выражение. На этом фоне все более актуальный характер приобретают вопросы обеспечения ИБ Российской Федерации как неотъемлемого элемента национальной безопасности, а защита информации превращается в одну из приоритетных государственных задач.

    В любой стране ИБ придается особое значение. В своем развитии эта задача проходит множество этапов в зависимости от потребностей государства, возможностей, методов и средств добывания сведений (в частности, разведки), правового режима государства и реальных его усилий по обеспечению защиты информации.

    Важным этапом становления и совершенствования такой системы в нашей стране явился период 70–80-х гг. С началом 70-х гг. в разведывательной деятельности ведущих стран мира началось широкомасштабное применение технических средств разведки. 80-е гг., ознаменовавшись бурным научно-техническим прогрессом, особенно в военной области, дали новые импульсы в дальнейшем наращивании возможностей технических средств иностранных разведок: до 70 % разведывательной информации добывалось в то время с помощью технических средств.

    Сложившаяся обстановка потребовала совершенствования системы мер противоборства иностранным разведкам. Задачей государственной важности и одной из составных частей в общей системе мер по сохранению государственной и служебной тайны стало противодействие техническим разведкам.

    К началу 90-х гг. произошли качественные изменения в военно-политической и научно-технической сфере, заставившие во многом пересмотреть государственную политику в области защиты информации в целом.

    Во-первых, информационные технологии принципиально изменили объем и важность информации, обращающейся в технических средствах ее передачи и обработки. Во-вторых, в России отошла в прошлое фактическая государственная монополия на информационные ресурсы, в частности получило конституционное закрепление право гражданина искать, получать и распространять информацию. В-третьих, прежний административный механизм управления защитой информации стал неэффективен, в то же время необходимость межведомственной координации в этой сфере объективно возросла. В-четвертых, в связи с усиливающимся включением России в международное разделение труда, укреплением экономических, культурных, гуманитарных контактов с другими государствами многие режимно-ограничительные меры, облегчающие защиту информации, например система регионов, закрытых для посещения иностранными гражданами, стали неприемлемы.

    В сложившихся условиях с учетом рассмотренных угроз ИБ личности, общества и государства важным является рассмотрение проблем и задач обеспечения ИБ являющейся неотъемлемой составной частью обеспечения национальной безопасности любого государства мирового сообщества на новом этапе своего развития – этапе формирования информационного общества. Известными характерными признаками такого общества является явная обусловленность экономического, социального, научного и всего развития страны широким внедрением новых информационных технологий, обеспечивающих эффективную информатизацию общества, которая, в свою очередь, обеспечивает информационную безопасность общества, в том числе обеспечивает его качественной информацией, информационными продуктами, услугами и знаниями, являющимися сегодня важнейшим стратегическим ресурсом страны. Информатизация личности, общества – это важнейшее, стратегическое направление деятельности государства, определяющее стабильное и безопасное социально-экономическое и политическое развитие и приоритеты во всех сферах, в том числе в информационной и видах деятельности в мировом сообществе. Подтверждением этому являются практические шаги ведущих стран мира и России, что подтверждается принятием ими ряда нормативных правовых актов и иных документов:

    – 2000 г. – «Окинавская хартия глобального информационного общества» (от имени России подписана Президентом);

    – 2000 г. Концепцией национальной безопасности Российской Федерации (утверждена Указом Президента, в ред. от 10.01.2000);

    – 2000 г. – Федеральные целевые программы «Развитие единой образовательной информационной среды (2001–2005 годы)», «Электронная Россия»;

    – 25 июля 2007 г. – программа «Стратегия развития информационного общества в России» (принята Советом Безопасности Российской Федерации);

    – 2002 г. – Федеральная целевая программа «Электронная Россия на 2002–2010 годы» (утверждена Постановлением Правительства России от 28 января 2002 года № 65);

    – 2007 г. «Стратегия развития информационного общества в России» (утверждена 25 июля 2007 года Советом Безопасности Российской Федерации) и другие.

    Вопрос 2. Основные руководящие документы, регламентирующие вопросы информационной безопасности

    Рассматривая Концепцию национальной безопасности России, утвержденную Указом Президента РФ от 17.12.97 № 1300 (в ред. от 10.01.2000), которая отражает названную «Окинавскую хартию глобального информационного общества», можно утверждать, что в ней система национальных интересов России определяется совокупностью следующих основных интересов:

    личности – состоят в реальном обеспечении конституционных прав и свобод, личной безопасности, в повышении качества и уровня жизни, в физическом, духовном и интеллектуальном развитии;

    – общества – включают в себя упрочение демократии, достижение и поддержание общественного согласия, повышение созидательной активности населения и духовное возрождение России;

    – государства – состоят в защите конституционного строя, суверенитета и территориальной целостности России, в установлении политической, экономической и социальной стабильности, в безусловном исполнении законов и поддержании правопорядка, в развитии международного сотрудничества на основе партнерства.

    Концепция определяет национальные интересы России в информационной сфере.

    Национальные интересы России обусловливают необходимость сосредоточения усилий общества и государства на решении определенных задач. Такими являются:

    – соблюдение конституционных прав и свобод граждан в области получения информации и обмена ею;

    – защита национальных духовных ценностей; – пропаганда национального, культурного наследия, норм морали и общественной нравственности;

    – обеспечение права граждан на получение достоверной информации;

    – развитие современных телекоммуникационных технологий. Планомерная деятельность государства по реализации этих задач позволит Российской Федерации стать одним из центров мирового развития в XXI в. В то же время недопустимо использование информации для манипулирования массовым сознанием. Необходима защита государственного информационного ресурса от утечки важной политической, экономической, научно-технической и военной информации.

    В соответствии с данной Концепцией важнейшими задачами обеспечения ИБ являются:

    – установление необходимого баланса между потребностью в свободном обмене информацией и допустимыми ограничениями ее распространения;

    – совершенствование информационной структуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

    – разработка соответствующей нормативной правовой базы и координация, при ведущей роли Федерального агентства правительственной связи и информации при Президенте РФ, деятельности федеральных органов государственной власти и других органов, решающих задачи обеспечения ИБ;

    – развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

    – защита государственного информационного ресурса, прежде всего в федеральных органах государственной власти и на предприятиях оборонного комплекса.

    Доктрина информационной безопасности Российской Федерации от 09.09.2001 № Пр-1895 представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ Российской Федерации . Она служит основой:

    – для формирования государственной политики в области обеспечения ИБ Российской Федерации;

    – подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения ИБ;

    – разработки целевых программ обеспечения ИБ Российской Федерации.

    По структуре Доктрина состоит из 4 разделов и 11 глав. В первом разделе «Информационная безопасность Российской Федерации» дается понятие ИБ, выделяются национальные интересы личности, общества и государства в информационной сфере . В Доктрине они уточнены более подробно, чем в Концепции национальной безопасности.

    Стратегические и текущие задачи внутренней и внешней политики государства по обеспечению ИБ формируются на основе нижеперечисленных интересов в информационной:

    – личности – заключаются в реализации конституционных прав человека и гражданина на доступ к информации, использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность;

    – общества – заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России;

    – государства – заключаются в создании условий для гармоничного развития российской информационной инфраструктуры, реализации конституционных прав и свобод человека и гражданина в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности России, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

    Определяются виды угроз ИБ и их источники. Они также, в отличие от Концепции национальной безопасности, подробно уточнены.

    Во втором разделе «Методы обеспечения информационной безопасности» :

    – определяются общие методы обеспечения ИБ Российской Федерации;

    – раскрываются особенности обеспечения ИБ Российской Федерации в различных сферах общественной жизни;

    – определяется международное сотрудничество в сфере обеспечения ИБ.

    В третьем разделе «Основные положения государственной политики обеспечения информационной безопасности Российской Федерации» содержатся:

    – принципы обеспечения государственной политики;

    – первоочередные мероприятия по реализации государственной политики обеспечения ИБ Российской Федерации.

    Четвертый раздел «Организационная основа системы обеспечения информационной безопасности Российской Федерации» закрепляет основные функции системы обеспечения ИБ и ее организационную основу.

    Процесс информатизации современного общества приводит к резкому увеличению ценности определенной информации и убытков, которые могут иметь место в случае ее утечки, моди­фикации или уничтожения. В связи с этим особенно актуаль­ной становится проблема обеспечения информационной без­опасности.

    Понятие безопасности в информационной сфере является весьма широким. В общем смысле под информационной безопас­ностью понимают защищенность информации от попыток не­санкционированного ее получения, модификации, разрушения и задержек доступа. Информационная безопасность должна обес­печивать достижение следующих целей:

    Целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных;

    Конфиденциальность информации;

    К числу причин, приводящих к потере или нежелательному изменению информации можно отнести следующие:

    1) Несанкционированный доступ к данным (случайный или умышленный):

    Копирование, искажение, уничтожение или подделка ин­формации;

    Ознакомление посторонних лиц с конфиденциальной ин­формацией.

    2) Некорректная работа программного обеспечения, приводя­щая к потере или порче данных:

    Ошибки в прикладном или сетевом ПО;

    Заражение систем компьютерными вирусами.

    3) Технические сбои оборудования, вызванные:

    Отключением электропитания;

    Отказом дисковых систем и систем архивации данных;

    Нарушением работы серверов, рабочих станций, сетевых карт, модемов;

    Сбоями кабельной системы.

    4) Ошибки обслуживающего персонала или пользователей.

    5) Неправильное хранение информации.

    В вычислительной технике понятие безопасности является весьма широким. Оно подразумевает и надежность работы компьютера, и сохранность ценных данных, и защиту информации от внесения в нее изменений неуполномоченными лицами, и сохранение тайны переписки при электронной связи. Разумеется, во всех цивилизованных странах на страже безопасности граждан стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий. Поэтому надежность работы компьютерных систем во многом опирается на меры самозащиты.

    Безопасность информационной системы - это система организационных и технических мероприятий, нацеленных на предотвращение угроз, то есть событий или действий, нарушающих нормальное функционирование компьютерной системы или права граждан, предприятий и государства на обладание информацией.

    Мероприятия, обеспечивающие безопасность компьютерной системы, должны предусматривать все возможные угрозы и обычно включают в себя физическую защиту сервера, средства восстановления систем и данных после отказов и средства защиты от несанкционированного доступа.

    Конечно, универсального решения проблемы информацион­ной безопасности, исключающего все перечисленные причины: физическую защиту данных и системных программ, защиту от несанкционированного доступа к данным, передаваемым по ли­ниям связи и находящимся на накопителях, - нет.

    В настоящее время разработаны и успешно применяются различные методы и средства, позволяющие свести к минимуму риск потери или нежелательной модификации данных. Однако единого подхода к их классификации не существует.

    Так, например, выделяют юридические, технические и орга­низационные аспекты обеспечения безопасности информации .

    К юридическим мерам относятся: разработка нормативных актов, подразумевающих административную и уголовную ответ­ственность за хищение информации, нарушение авторских прав программистов и все те виды компьютерных преступлений, ко­торые были оговорены ранее.

    К техническим мерам относятся: защита от несанкциониро­ванного доступа к системе; программные средства борьбы с ви­русами; резервное копирование и архивирование особо важных документов; организация локальных вычислительных сетей с возможностью перераспределения ресурсов, в случае выхода из строя отдельных звеньев; установка систем защиты от сбоев в сети электропитания; а также оснащение помещений системой охранной сигнализации.

    Под организационными мерами понимается в первую очередь подбор сотрудников компании, а также обеспечение того, чтобы непроверенные лица не допускались к охраняемой информации. Сюда относится, например, оборудование помещений системой кодовых замков, чтобы в данную комнату мог войти только че­ловек, который знает код, открывающий дверь.

    Существуют и другие подходы к классификации средств за­щиты информации:

    - средства физической защиты: средства защиты кабельной системы, систем электропитания, средства архивации, дис­ковые массивы и т. д.

    Физическая защита, в частности, включает в себя:

    а) обеспечение безопасности помещений, где установлены серверы с учетом требований к надежности зданий, температуре и влажности, наличию средств пожаротушения;

    б) мероприятия по ограничению физического доступа к компьютерным системам и сетевой инфраструктуре посторонних лиц, которые могут остановить, перезагрузить и даже переустановить сервер, украсть жесткие диски, установить разведывательную аппаратуру и программное обеспечение.

    в) средства защиты от сбоев в электропитании – от источников бесперебойного питания до мероприятий по эффективному заземлению и защите от ударов молний.

    - программные средства защиты: антивирусные программы, системы разграничения полномочий, программные средст­ва контроля доступа;

    Программные средства и методы защиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции за­щиты, как разграничение и контроль доступа к ресурсам; регист­рация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий на ре­сурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.

    В настоящее время наибольший удельный вес в этой группе мер в системах обработки экономической информации составля­ют специальные пакеты программ или отдельные программы , включаемые в состав программного обеспечения с целью реали­зации задач по защите информации.

    - технологические средства защиты информации - это комплекс мероприятий, органично встраиваемых в технологические про­цессы преобразования данных. Среди них:

    Создание архивных копий носителей;

    Ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера;

    Регистрация пользователей компьютерных средств в жур­налах;

    Автоматическая регистрация доступа пользователей к тем или иным ресурсам;

    Разработка специальных инструкций по выполнению всех технологических процедур и др.

    - к правовым и морально-этическим мерам и средствам защиты относятся действующие в стране законы, нормативные акты, рег­ламентирующие правила обращения с информацией и ответствен­ность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

    - административные меры защиты: контроль доступа в поме­щения, разработку стратегии безопасности фирмы, планов действий в чрезвычайных ситуациях и т. д.

    Организационно-административные средства защитысводят­ся к регламентации доступа к информационным и вычислитель­ным ресурсам, функциональным процессам систем обработки дан­ных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность ре­ализации угроз безопасности. Наиболее типичные организацион­но-административные средства:

    Создание контрольно-пропускного режима на территории, где располагаются средства обработки информации;

    Изготовление и выдача специальных пропусков;

    Мероприятия по подбору персонала, связанного с обработ­кой данных;

    Допуск к обработке и передаче конфиденциальной инфор­мации только проверенных должностных лиц;

    Хранение магнитных и иных носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, недоступных для посторонних лиц;

    Организация защиты от установки прослушивающей аппа­ратуры в помещениях, связанных с обработкой информации;

    Организация учета использования и уничтожения докумен­тов (носителей) с конфиденциальной информацией;

    Разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами;

    Разграничение доступа к информационным и вычислитель­ным ресурсам должностных лиц в соответствии с их функциональ­ными обязанностями.

    Любая из рассмотренных классификаций достаточно услов­на. Современные технологии развиваются в направлении синте­за различных средств защиты, и достижение требуемого уровня безопасности возможно лишь при оптимальном сочетании орга­низационных, программных, аппаратных, физических и других методов защиты, т. е. в случае реализации системного подхода к решению проблемы информационной безопасности.


    ИБ(Информационная Безопасность)

    Лекция №1

    Безопасность информации – способность системы обработки обеспечивать заданный промежуток времени выполнения некоторых требований по обработке по величине вероятности наступления событий , выражающийся в утечке утраченной или не законной модификации данных, представляющих ту или иную ценность для их владельцев. При этом считается, что источником этих действий могут быть как случайные воздействия, так и воздействия человека разрушителя.

    Автоматизированная система обработки информации(АС) – организационно-техническая система, представляющая собой совокупность взаимосвязанных компонентов:


    1. Средства вычислительной техники и связи.

    2. Методы и алгоритмы обработки данных(программное обеспечение(ПО)).

    3. Массивы и БД, представленные на каких либо носителях.

    4. Персонал и пользователи вычислительной техники.
    Все эти компоненты объединены с целью совместной обработки информации.

    1. Субъекты информационных отношений:

    2. Государство и государственные органы.

    3. Государственные коммерческие организации(юридические лица).

    4. Граждане(физические лица).
    Все они взаимодействуют с целью совместной обработки информации. По отношению к информации, обрабатываемой в АС каждый из этих субъектов может выполнять одну или несколько из следующих ролей:

    1. Источники информации.

    2. Пользователи(потребители) информации.

    3. Собственники(владельцы) информации.

    4. Физические или юридические лица, у которых собирают информацию.

    5. Владельцы АС и участники процесса обработки информации.
    Три базовых свойства, защищаемой информации:

    1. Конфиденциальность. Свойство, указывающее на то, что доступ к информации могут иметь только имеющие на это право пользователи и обеспечиваемые системой обработки информации.

    2. Целостность. Свойство информации, заключающееся во первых, что информация может быть изменена только имеющими на это право пользователями и во вторых, то что информация не противоречива и отражает реальное положение вещей.

    3. Доступность. Свойство системы, в которой циркулирует информация, характеризующаяся способностью обеспечивать своевременный, беспрепятственный доступ к информации для пользователей, имеющих соответствующие полномочия для доступа к ней.
    Уязвимость информации – подверженность информации к воздействию различных дестабилизирующих факторов, которые могут привести к нарушению ее конфиденциальности, целостность и доступности.

    Доступ к информации:


    1. Ознакомление с информацией, включая копирование.

    2. Модификация информации.

    3. Уничтожение информации.
    Правила разграничения доступа – правила, разграничивающие доступ субъектов к объектам в некоторой системе.

    Субъект системы – активный компонент системы(пользователь или процесс), действия которого по отношению к объектам регламентируются правилами разграничения доступа.

    Объект системы – пассивный компонент системы(устройство, диск, каталог, файл), доступ к которому регламентируется правилами разграничения доступа.

    Несанкционированный доступ(НСД) – доступ субъекта к объекту в обход установленной в системе правил разграничения доступа.

    Нарушитель – субъект, который предпринял или пытался предпринять попытку несанкционированного доступа к объектам системы по ошибке, незнанию или со злым умыслом.

    Аутентификация – проверка подлинности субъекта или объекта.

    Идентификация – присвоение имени субъекту или объекту системы.

    Верификация – проверка целостности некоторой информации.

    Прочность защиты – вероятность не преодоления защиты злоумышленником за определенный промежуток времени.

    Лекция №2

    Основные методы обеспечения ИБ

    В “сервисе сетевой безопасности” представляют собой механизм защиты информации, обрабатываемой в распределенных вычислительных системах и сетях.

    “Инжерено-технические” методы ставят своей целью обеспечение защиты информации по техническим каналам, например защиты от перехвата электромагнитного излучения или речевой информации.

    “Правовые” и “организационные” методы защиты информации создают нормативную базу для организации различного рода деятельности , связанные с обеспечением информационной безопасности.

    “Теоретические методы” обеспечения ИБ ставят перед собой 2 задачи:


    1. Формализация различного рода процессов, связанных с ИБ, например формальной моделью управления доступом в АС, позволяют описать все потоки информации, проходящие от субъектов к объектам и наоборот и тем самым эффективно защищать эту информацию.

    2. Строгое обоснование корректности и адекватности систем обеспечения ИБ. Такая задача, возникает, например при сертификации какой-либо системы по уровню ИБ.
    Угрозы ИБ

    Под угрозой принято понимать потенциально возможные события или действия, которые могут нанести вред чем-либо интересам.

    Угроза ИБ – потенциально возможные действия, которые могут нарушить конфиденциальность, целостность или доступность информации, а так же возможность воздействия на компоненты АС, приводящие к их поломке, утрате или сбою функций.

    Классификация угроз ИБ может быть произведена по следующим признакам:


    1. По степени преднамеренности :

      1. Случайные. Халатность персонала или случайные действия.

      2. Преднамеренные. Действия злоумышленника.

    2. В зависимости от источника угрозы :

      1. Угрозы природной среды.

      2. Угрозы, исходящие от человека.

      3. Угрозы, исходящие от санкционированных программ или аппаратных средств. Не правильное обращение.

      4. Угрозы, исходящие от не санкционированных программ или аппаратных средств. Вирусы, подслушивающие устройства, скрытые камеры и т.д.

    3. По положению источника угрозы :

      1. Угрозы, источник которых расположен вне контролируемой зоны. Дистанционная аудио или видео сьемка.

      2. Угрозы, источник которых расположен внутри контролируемой зоны.

    4. По степени воздействия на АС :

      1. Пассивные.

      2. Активные.
    Пассивные в отличие от активных угроз при своей реализации не изменяют структуру и состав в АС, поэтому их сложнее обнаружить.

    1. По нарушению трех базовых свойств защищаемой информации :

      1. Конфиденциальность.

      2. Целостность.

      3. Доступность.
    Построение систем защиты от угроз нарушения конфиденциальности информации

    Модель системы защиты:


    1. Организационные меры и меры обеспечения физической безопасности.

    2. .

    3. Разграничение доступа.

    4. 4.1. Криптографические методы.

      1. Методы защиты периметра.

      2. Протоколирование и аудит.
    Первичная защита достигается с помощью организационных методов, а последующие уровни с помощью методов сетевой безопасности. Параллельно должен быть развернут комплекс инженерно-технических средств, для защиты информации от утечки по техническим каналам.

    В общем случае данные методы, применяемые на предприятии, включают в себя следующее:


    1. Развертывание системы контроля и разграничение физического доступа к элементам АС.

    2. Создание службы охраны и физической безопасности.

    3. Создание механизмов контроля над перемещением сотрудников и посетителей, например с помощью видеонаблюдения или карты доступа.

    4. Разработка и внедрение регламентов, должностных инструкций и других регламентирующих документов.

    5. Регламентация работы с носителями, содержащими конфиденциальную информацию.
    Идентификация и аутентификация

    Классификация методов аутентификации:


    1. Методы, основанные на знание субъектом некоторой секретной информации. Классический пример: Парольная аутентификация . Данные методы являются наиболее распространенными.

    2. Методы, основанные на обладании субъектом некоторого уникального предмета. Например: электронный ключ, карта доступа и т.д.

    3. Методы, основанные на сканировании биометрических характеристик человека. Например: сканирование отпечатка пальцев, радужной оболочки глаза, лица человека, простой и клавиатурный подчерк.
    Так же существует комбинированные(многофакторные) методы аутентификации. Они сочетают в себе 2 или более видов простой аутентификации(например: подтверждение после смс или электронной почтой).

    Парольная аутентификация

    Общая схема парольной аутентификации:


    1. Ввод идентификатора пользователя.

    2. Проверка существует ли такой идентификатор в системе.

      1. Если существует, то производится процедура аутентификации.

      2. Если успешно проведена процедура, то происходит авторизация.

      3. В случае не успеха процедуры аутентификации, дается несколько попыток на повторный ввод.
    Часто процедуры идентификации и аутентификации совмещают для того, чтобы потенциальный злоумышленник не знал, где совершил ошибку.

    Преимущества и недостатки парольной системы


    1. Относительная простота реализации. Как правило, парольные системы, не требуют привлечения дополнительного аппаратного обеспечения.

    2. Традиционность. Механизмы парольной защиты являются привычными для большинства пользователей.

    3. Стойкие ко взлому пароли, как правило, оказываются малопригодными для использования.
    Угрозы безопасности парольной системы

    Существует 3 типа угроз:

    Рекомендации по практической реализации парольных систем


    1. Установка минимальной длинны пароля. Данная рекомендация усложняет полный перебор пароля.

    2. Увеличение мощности алфавита пароля. Данная рекомендация усложняет полный перебор.

    3. Проверка и отсеивание паролей по различным условиям. Данная рекомендация затрудняет подбор пароля по словарю.

    4. Установка максимального срока действия пароля(например каждые 2 недели сменять пароль). Срок действия пароля ограничивает промежуток времени, которое злоумышленник может потратить на подбор пароля.

    5. Отсеивание по журналу историй паролей. Данный механизм предотвращает повторное использование паролей, возможно ранее скомпрометированных.

    6. Ограничение числа попыток ввода пароля. Данная рекомендация затрудняет интерактивный подбор пароля.

    7. Тайм-аут при вводе не правильного пароля. Данный механизм так же затрудняет интерактивный подбор.

    8. Запрет на выбор пароля пользователем и автоматическая генерация пароля. Данная рекомендация гарантирует стойкость сгенерированных паролей, однако у пользователей могут возникнуть проблемы с их запоминанием.
    Лекция №3

    Оценка стойкости парольных систем

    A – мощность алфавита параметров. Количество букв, из которых можно составить пароль.

    L – длинна пароля.

    S=A^L – количество паролей длинной L, которые можно составить зи алфавита A.

    V – средняя скорость подбора паролей.

    T – максимальный срок действия пароля.

    P – вероятность подбора пароля за определенный промежуток времени.

    P = (V*T)/S = (V*T)/(A^L)

    Обычно средняя скорость подбора пароля V и время его действия в системе T считается известными величинами. В этом случае, задав максимальную вероятность подбора V, за время его действия, можно вычислить требуемую мощность пространства паролей.

    S = A^L = (V*T)/P

    Уменьшение скорости подбора паролей V уменьшает вероятность подбора пароля. Из этого в частности следует, что если подбор паролей осуществляется путем вычисления ХЭШ функций, то большую стойкость парольной системы обеспечит применение медленной для вычисления ХЭШ функции.

    Методы хранения и передачи паролей


    1. В открытом виде. Не рекомендуемые вид хранения и передачи, даже с учетом наличия других механизмов защиты.

    2. В виде соответствующих ХЭШ значений. Данный механизм удобен для проверки паролей, так как ХЭШ значения практически однозначно связанны с паролем, но представляет малый интерес для злоумышленника.

    3. В зашифрованном виде. Пароли могут быть зашифрованы с использованием некоторого криптографического алгоритма, при этом ключ шифрования может храниться как на одном из постоянных элементов системы, так и на съемном носителе.
    Наиболее удобным и часто используемым является хранение паролей в виде ХЭШ значений. Алгоритм проверки паролей следующий:

    1. При регистрации нового пользователя в системе или смене пароля у уже существующего пользователя от этого пароля вычисляется значение однонаправленной ХЭШ функции, которая затем заносится в базу(H = h(M)-> в базу).

    2. При попытке входа пользователя в систему рассчитывается ХЭШ значение от пароля , который он ввел(H’ = h(M’)), затем полученное значение сравнивается с тем, которое находится в базе. Если эти два значения равны, то пароль введен верно и пользователь авторизуется в системе(H = H’ – пароль верный).
    Разграничение доступа

    Под разграничением доступа принято понимать установление полномочий субъектов для последующего контроля санкционированного использования ресурсов(объектов), доступных в системе. Существует два основных вида разграничения доступа:


    1. Дискреционная . Д – разграничение доступа между именованными объектами и именованными субъектами в системе. На практике такое разграничение чаще всего реализовывается с помощью матрицы прав доступа.

    2. Мандатная . М – обычно реализуется, как разграничение доступа по уровням секретности. Полномочия каждого пользователя задаются в соответствии с максимальным уровнем секретности, к которому он допущен, при этом все ресурсы АС должны быть классифицированы в соответствии с этими же уровнями секретности.
    В данной модели выполняются следующие правила:

    1. Простое правило безопасности(Simple Security). Субъект с уровнем секретности X(s) может читать информацию с объекта с уровнем секретности X(0) только в том случае, если X(0) не превосходит X(s). Называется: No Read Up.

    2. Дополнительное свойство(*-property). Субъект с уровнем секретности X(s) может записывать данные в объект с уровнем секретности X(0) только в том случае, когда X(s) не превосходит X(0).Называется: No Write Down.
    Принципиальное различие между дискреционным и мандатным разграничением доступа состоит в следующем:

    Если в случае дискреционного разграничения доступа права на доступ к ресурсу для пользователей определяет владелец этого ресурса, то в случае мандатного разграничения уровень секретности задаются извне системы. Мандатное разграничение понимают, как принудительное, оно является более строгим.

    Лекция №4

    Криптографическое преобразование информации

    Основные определения:

    Криптология – наука, изучающая математические методы защиты информации путем ее преобразования. Криптология разделяется на 2 направления:


    1. Криптография . Изучает методы преобразования информации, обеспечивающие ее конфиденциальность и аутентичность. Аутентичность информации состоит в подлинности ее авторства и целостности.

    2. Криптоанализ . Объединяет математические методы нарушения конфиденциальности и аутентичности без знаний секретных ключей.
    Основные направления использования криптографических методов:

    1. Передачи конфиденциальной информации по не защищенным каналам связи.

    2. Установление подлинности передаваемых сообщений.

    3. Хранение информации на носителях в зашифрованном виде.
    В качестве информации, подлежащей шифрованию и расшифрованию, а так же электронных подписи будут рассматриваться тексты(сообщения), построенные на некотором алфавите.

    Алфавит – конечное множество используемых для кодирования информации символов.

    Текст – упорядоченное множество символов из алфавитного набора.

    Криптографическая система(шифр) представляет собой семейство T обратимых преобразований открытого текста в зашифрованный. Элементом этого семейства можно взаимно однозначно сопоставить некоторое числоk , называемое ключом шифрования. Преобразования Tk полностью определяется соответствующим алгоритмом(T ) и ключом k .

    Ключ – некоторое, конкретное секретное состояние параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного варианта , из совокупности возможных состояний для данного алгоритма. Секретность ключа должна обеспечивать невозможность преобразования зашифрованного текста в открытый, при этом сам алгоритм может быть опубликован и широко известен.

    Пространство ключей K – набор возможных значений ключа(K = A^L).

    Ключ и пароль – некоторая секретная информация, различие заключается в использовании этих терминов. Пароль используется при аутентификации, а ключ для шифрования информации.

    Различие понятий кодирование и шифрование :

    Термин кодирование более общий, он подразумевает преобразование информации из одной формы в другую, например из аналоговой в цифровую. Шифрование частный случай кодирования, использующийся в первую очередь для обеспечения конфиденциальности информации.

    Зашифрованием данных называется процесс преобразования открытых данных в закрытые(зашифрованные), а расшифрованием – обратный процесс.

    Дешифрование – преобразование закрытых данных в открытые без знания секретного ключа.

    Криптостойскость – характеристика шифра, определяющая его стойкость к дешифрованию. Обычно, это характеристика определяется периодом времени, необходимым для шифрования.

    Процесс криптографического закрытия данных может осуществляться, как аппаратно, так и программно. Аппаратная реализация обладает большей скоростью вычисления, но, как правило, большей стоимостью. Преимущества программной реализации заключается в гибкости настроек алгоритмов. Не зависимо от способа реализации, для современных криптографических систем защиты информации, существуют следующие требования:

    Лекция №6

    Три критических свойства шифра Вернама(шифр блокнотом):


    1. Ключ должен быть истинно случайным.

    2. Совпадать по размеру с заданным открытым текстом.

    3. Применяться только 1 раз, а после применения уничтожаться.
    В 1949 году Клод Шенон показал, что при строгом соблюдении все 3 условий, применяемых к гамме(ключ шифрования) данный шифр является единственным шифром с абсолютной криптографической стойкостью, т.к. зашифрованный текст не дает абсолютно никакой информации об открытом тексте.

    На практике можно 1 раз физически передать носитель информации с длинным истинно случайным ключом, а потом по мере необходимости пересылать сообщения, на этом основана идея шифр блокнотов. Шифровальщик при личной встрече снабжается блокнотом, каждая страница которого содержит ключ, точно такой же блокнот есть и у принимающей стороны. Использованные страницы уничтожаются, если есть два независимых канала, в которых вероятность перехвата информации низка, но отлична от нуля, такой шифр так же полезен. По одному каналу может передаваться зашифрованное предложение, а по-другому ключ, чтобы расшифровать сообщение необходимо прослушивать оба канала одновременно.

    Шифра Вернама является самой безопасной криптосистемой из всех возможных, при этом ограничения, которые должны удовлетворять ключ, настолько сильны, что практическое использование этого шифра становится трудно осуществимым, поэтому он используется только для передачи сообщений наивысшей секретности.

    DES ( Data Encryption Standard )

    В 1972 году Национальное Бюро Стандартов США выступила инициатором в программе защиты линии связи и компьютерных данных. Одной из целей программы была разработка единого криптографического стандарта. В 1973 году Бюро опубликовало требования к криптографическому алгоритму:


    1. Алгоритм должен обеспечить высокий уровень безопасности.

    2. Алгоритм должен быть полностью определен и легко понятен.

    3. Безопасность алгоритма должна основываться только на секретности ключа и не должна зависеть от сохранения в тайне деталей самого алгоритма.

    4. Алгоритм должен быть доступен всем пользователям.

    5. Алгоритм должен позволять адаптацию к различным применениям.

    6. Алгоритм должен позволять экономичную реализацию в виде электронных приборов.

    7. Алгоритм должен предоставлять возможность проверки.

    8. Алгоритм должен быть разрешен для экспорта.
    Данный стандарт был заменен в 2001 году: Advanced Encryption Standard(AES).

    DES представляет собой комбинированный блочный шифр и шифрует данные 64 битовыми блоками(по 8 байт). С одной стороны алгоритма вводится 64 бита открытого текста, с другой выходит 64 бита зашифрованного текста , DES – является симметричным алгоритмом. Длина ключа составляет 56 бит. На простейшем уровне алгоритм представляет собой только комбинацию 2 основных методов шифрования:


    1. Перестановки.

    2. Подстановки.
    Фундаментальным блоком DES является применение к тексту единичной комбинации этих методов, зависящих от секретного ключа, такой блок называется Round(Этап), DES состоит из 16 этапов, т.е. такая комбинация применяется к тексту 16 раз.

    Многократное применение одного этапа обуславливается достижением определенного уровня лавинного эффекта(примерно 50%).

    Примеры: Трехкратный DES, DES с независимыми под ключами, DES X, GDES(обобщенный DES).

    Лекция №7

    Алгоритмы с открытыми ключами

    Концепция криптографии с открытыми ключами была выдвинута Диффе и Хэлменом и независимо от них Мерклом в 1976 году. Их вкладом в криптографию было убеждение, что ключи можно использовать парами(ключ зашифрования и ключ расшифрования), и что может быть не возможно получить один ключ из другого.

    С 1976 года было предложено множество крипто алгоритмов с открытыми ключами, многие из них не безопасны и многие не годятся для практической реализации, либо они используют слишком длинный ключ, либо длина шифр-текста намного превышает длину открытого текста.

    ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ ПРОФЕССИОНАЛЬНОЙ ДЕЯТЕЛЬНОСТИ

    Пожиткова Татьяна Александровна

    студент 5 курса, кафедра «Товароведение и организация управления торговыми предприятиями» ТГУ, г. Тольятти

    Е- mail : Kykyha 1@ yandex . ru

    Харламова Валентина Владимировна

    ст. преподаватель кафедры «Товароведение и организация управления торговыми предприятиями» ТГУ, г. Тольятти

    Информация (от латинского informatio - разъяснение, изложение) - с середины ХХ века общенаучное понятие, включающее обмен сведениями между людьми, человеком и автоматом, автоматом и автоматом, обмен сигналами в животном и растительном мире, передачу признаков от клетки к клетке, от организма к организму; одно из основных понятий кибернетики .

    Защита информации - это комплекс мероприятий, направленных на обеспечение информационной безопасности.

    Согласно стандартам по обеспечению информационной безопасности главное в любой компании является:

    ·Определить цель для обеспечения защиты информации компьютерных систем;

    ·Получить максимально эффективную систему управления информационной безопасностью;

    ·Произвести вычисления совокупности как количественных, так и качественных показателей, насколько они подходят под поставленные цели;

    ·Применение всех мер для обеспечения информационной безопасности, постоянное наблюдение за текущим состоянием системы;

    ·Применять инструкции по управлению безопасностью, которые позволяют правдиво оценить имеющуюся защиту информации.

    Для субъектов, использующих информационные системы, важны следующие признаки информационных ресурсов: конфиденциальность, доступность и целостность.

    Конфиденциальность - это защита информации от несанкционированного доступа. Иначе говоря, есть полномочия на доступ - есть информация . Примером может служить неразглашение организацией информации о зарплате рабочих.

    Доступность - критерий, характеризующийся быстрым нахождением нужной информации.

    Целостность - это правдивость и актуальность информации, её защита от недозволенного доступа и разрушения (изменения). Целостность является самым важным аспектом информационной безопасности, когда речь идет о, например, рецептуре лекарств, предписанных медицинских процедур, ходе технологического процесса –– если нарушить целостность информации всех перечисленных примеров, это может привести к непоправимым последствиям.

    Проанализировав основные признаки информационных ресурсов, самым важным для пользователей ИС является доступность.

    На полшага позади по важности стоит целостность - потому как нет смысла в информации, если она не правдива или искажена .

    Помимо трех основных признаков моделей безопасности выделяют также другие, не всегда обязательные:

    · апеллируемость - невозможность отказа от авторства;

    · подотчётность - распознование субъекта доступа и регистрации его действий;

    · аутентичность или подлинность - свойство, гарантирующее, что субъект или ресурс идентичны заявленным. Признак, гарантирующий, что информация идентична заявленной.

    Информационной безопасности в разной степени могут наносить ущерб действия, называемые угрозами. Делят их на следующие категории:

    2.Действия, осуществляемые хакерами. Имеются в виду, люди, профессионально занимающиеся компьютерными преступлениями. Хакеры используют метод DOS_атаки. Эта угроза несанкционированного проникновения может быть инструментом для уничтожения данных, использования конфиденциальной информации в незаконных целях, а также для кражи со счетов денежных средств и др. Атака типа DOS (сокр. от Denial of Service - «отказ в обслуживании») - атака извне на сетевые узлы организации, которые отвечают за её эффективную работу (почтовые сервера). Хакеры массово посылают пакеты данных на эти узлы, что влечет за собой их перегрузку, тем самым выводит на некоторое время из рабочего состояния. Что, в последствие, ведет за собой нарушения в бизнес-процессах, потере клиентов, репутации и др.

    3.Компьютерные вирусы, вредоносные программы. Широко используются для проникновения на электронную почту, узлы корпоративной сети, на сам носитель и хранитель информации, что может повлечь за собой утрату данных, кражу информации. Из-за вирусов приостанавливается рабочий процесс, теряется рабочее время. Важно указать, что вирус может дать возможность злоумышленникам частичный или полный контроль над деятельностью организации.

    4.Спам. Еще недавно спам можно было отнести к незначительным раздражающим факторам, но сейчас он превратился в одну из главных угроз для информации: спам вызывает у работников чувство психологического дискомфорта, отнимает массу времени на удаление его с электронных почтовых ящиков, что может повлечь за собой и удаление важной корреспонденции. А это, в свою очередь, потеря информации, потеря клиентов.

    5.«Естественные угрозы». Помимо внутренних факторов, на безопасность информации могут влиять и внешние: неправильное хранение информации, кража носителей, форс-мажорные обстоятельства и др.

    Можно подвести своеобразный итог: в современном мире наличие хорошо развитой системы по защите информации является одним из главных условий конкурентоспособности и даже жизнеспособности любой компании.

    Чтобы обеспечить максимально полную информационную безопасность, различные средства защиты должны работать в системе, т. е. применяться одновременно и под централизованным управлением.

    На настоящее время существуют множество методов для обеспечения информационной безопасности:

    · средства шифрования информации, хранящейся на компьютерах и передаваемой по сетям;

    · средства зашифровки важной информации, хранящейся на ПК;

    · межсетевые экраны;

    · средства контентной фильтрации;

    · средства антивирусной защиты;

    · системы обнаружения уязвимостей сетей и анализаторы сетевых атак.

    Любое из перечисленных средств может применяться как индивидуально, так и в соединении с другими. Это делает спектр защиты информации более обширным, что, несомненно, является положительным фактором.

    «Комплекс 3А». Идентификация и авторизация - это ведущие элементы информационной безопасности. При попытке доступа к любой защищенной информации идентификация устанавливает: являетесь ли вы авторизованным пользователем сети. Цель авторизации, выявить к каким информационным ресурсам данный пользователь имеет доступ. Функция администрирования заключается в наделении пользователя отдельными расширенными возможностями, определения объема возможных для него действий в рамках данной сети.

    Системы зашифровки информации позволяют снизить к минимуму потери в случае попытки несанкционированного доступа к данным, а также перехвата информации при пересылке или передачи по сетевым протоколам. Главная цель данного метода защиты - это обеспечение сохранение конфиденциальности. К системам шифрования применяются требования, такие как высокий уровень секретности замка (т. е. криптостойкость) и легальность использования.

    Межсетевой экран действует как защитный барьер между сетями, контролирует и защищает от несанкционированного попадания в сеть или, наоборот, выведения из неё пакетов данных. Межсетевые экраны подвергают проверке каждый пакет данных на соответствие входящего и исходящего IP_адреса базе адресов, которые разрешены.

    Важно контролировать и фильтровать поступающую и исходящую электронную почту, для сохранения и защиты конфиденциальной информации. Проверка вложений и самих почтовых сообщений на основе установленных в организации правил, позволяет защитить работников от спама, а организацию от ответственности по судебным искам.

    Администратор, как и другой авторизованный пользователь, может иметь право на слежение за всеми изменениями информации на сервере благодаря технологии проверки целостности содержимого жесткого диска (integrity checking). Это даёт возможность обнаружить несанкционированный доступ, проконтролировать любые действия над информацией (изменение, удаление и др.), а также идентифицировать активность вирусов. Контроль осуществляется на основе анализа контрольных сумм файлов (CRC_сумм).

    В настоящее время антивирусные технологии позволяют выявить почти все вирусные и вредоносные программы с помощью метода сравнения кода образца в антивирусной базе с кодом подозрительного файла. Подозрительные файлы могут помещаться в карантин, подвергаться лечению либо удаляться. Антивирусные программы могут быть установлены на файловые и почтовые сервера, межсетевые экраны, на рабочие станции, функционирующие под распространенными операционными системами (Windows, Unix- и Linux_системы, Novell) на процессорах различных типов.

    Фильтры спама основательно снижают непроизводительные трудозатраты, связанные с отчисткой файлов от спама, снижают нагрузку серверов, способствуют улучшению психологического фона в коллективе. К тому же фильтры спама снижают риск заражения новыми вирусами, потому как они часто схожи по признакам со спамом и удаляются.

    Для защиты от естественных угроз в организации должен быть создан и реализован план по предупреждению и устранению чрезвычайных ситуаций (пожар, потоп). Основным методом защиты данных является резервное копирование.

    Существует множество средств технической защиты информации от несанкционированного доступа (НСД): замки разового пользования, пластиковые идентификационные карты, пломбы, оптические и инфракрасные системы, лазерные системы, замки (механические, электромеханические, электронные), видео системы охраны и контроля .

    Политика информационной безопасности представляет собой набор правил, законов, рекомендаций и практического опыта, определяющих управленческие и проектные решения в области защиты информации. ПИБ является инструментом, с помощью которого происходит управление, защита, распределение информации в системе. Политика должна определять поведение системы в различных ситуациях.

    Программа политики безопасности содержит в себе следующие этапы создания средств защиты информации:

    1. Нахождение информационных и технических ресурсов, которые необходимо защитить;

    2. Раскрытие полного множества потенциально возможных угроз и каналов утечки информации;

    3. Оценивание уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;

    4. Диагностирование требований к системе защиты;

    5. Подборка средств защиты информации и их характеристик;

    6. Внедрение и организация использования выбранных мер, способов и средств защиты;

    7. Осуществление контроля целостности и управление системой защиты.

    Оценка текущей ситуации подразделяется на две системы: это «исследование снизу вверх» и «исследование сверху вниз». Первая построена на том, что служба информационной безопасности, основываясь на всех известных видах атак, применяет их на практике, чтобы проверить, возможна ли данная атака со стороны реального правонарушителя.

    Метод «сверху вниз» представляет собой подробное изучение всех существующих схем хранения и обработки информации. Первой ступенью метода является определение, какие информационные потоки следует защитить. Затем анализируется настоящее состояние системы информационной безопасности, для определения реализованных методик защиты, в каком объеме, и на каком уровне они реализованы. На третьей ступени осуществляется классификация всех информационных объектов на группы в соответствии с ее конфиденциальностью.

    После этого необходимо выяснить насколько серьезный ущерб может быть нанесен, если информационный объект атакуют. Эта ступень именуется как «вычисление рисков». Рассчитывают возможный ущерб от атаки, вероятность такой атаки и их произведение. Полученный ответ и есть возможный риск.

    На самом главном и ответственном этапе происходит сама разработка политики безопасности предприятия, которая обеспечит максимально полную защиту от возможных рисков. Но необходимо учитывать проблемы, которые могут возникнуть на пути инициации политики безопасности. К подобным проблемам можно отнести законы страны и международного сообщества, этические нормы, внутренние требования организации .

    После создания как таковой политики информационной безопасности производится расчет её экономической стоимости.

    В финале разработки программа утверждается у руководства фирмы и детально документируется. После этого должна следовать активная реализация всех компонентов, указанных в плане. Перерасчет рисков, и впоследствии модификация политики безопасности компании чаще всего проводится раз в два года .

    Сама ПИБ оформляется в виде документированных требований на информационную систему. Существует три уровня таких документов (еще это называют детализация):

    Документы верхнего уровня политики информационной безопасности показывают позицию организации к деятельности в области защиты информации, её готовность соответствовать государственным и международным требованиям в этой области. Например, они могут быть названы: «Концепция ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Документы верхнего уровня могут выпускаться в двух формах - для внешнего и внутреннего пользования.

    Документы среднего уровня касаются отдельных сторон информационной безопасности. Здесь описаны требования на создание и эксплуатацию средств защиты информации по конкретной стороне защиты информации.

    Документы нижнего уровня содержат правила и нормы работ, руководства по администрированию, инструкции по эксплуатации частных сервисов информационной безопасности .

    Этапы жизненного цикла информационной системы делятся на: стратегическое планирование, анализ, проектирование, реализацию, внедрение (инициацию) и эксплуатацию. Рассмотрим каждый этап детально:

    1. Начальная стадия (стратегическое планирование).

    На первой стадии определяется область применения системы, и ставят граничные условия. Для этого необходимо опознать все внешние объекты, с которыми будет взаимодействовать разрабатываемая система, определить характер этого взаимодействия. На стадии стратегического планирования определяются все функциональные возможности, а также приводятся описания наиболее важных из них.

    2. Стадия уточнения.

    На стадии уточнения анализируется прикладная область, происходит разработка архитектурной основы информационной системы. Необходимо описать большую часть функциональных возможностей системы и учесть связь между отдельными составляющими. В конце стадии уточнения анализируются архитектурные решения и способы устранения ведущих рисков в программе.

    3. Стадия конструирования.

    На данной стадии создаётся законченное изделие, готовое к передаче пользователю. По окончании конструирования определяется работоспособность полученного программного обеспечения.

    4. Стадия передачи в эксплуатацию (инициация).

    Стадия представляет собой непосредственную передачу программного обеспечения пользователю. При использовании разработанной системы часто выявляются различного плана проблемы, которые требуют дополнительных работ и внесения корректировок в продукт. В конце данной стадии выясняют: достигнуты ли цели, поставленные перед разработчиками или нет.

    5. Выведение из эксплуатации и утилизация. В результате этого этапа данные переносятся в новую ИС.

    Любая информационная система может оставаться максимально полезной в течение 3-7 лет. Далее требуется её модернизация. Следовательно, можно прийти к выводу, что с проблемой модернизации устаревших информационных систем сталкивается практически каждый создатель .

    Для решения проблемы обеспечения информационной безопасности важно применение законодательных, организационных и программно-технических мер. Невнимательность хотя бы к одному из аспектов этой проблемы может привести к утрате или утечке информации, стоимость и роль которой в жизни современного общества приобретает все более важное значение.

    Список литературы:

    1.В.А. Игнатьев, Информационная безопасность современного коммерческого предприятия / В.А. Игнатьев - М: Старый Оскол: ТНТ, 2005. - 448 с.

    2.Домарев В.В., Безопасность информационных технологий. Методология создания систем защиты (гл. 8) / ТИД Диа Софт / - 2002. [Электронный ресурс]. - Режим доступа. - URL: http://www.kpnemo.ws/ebook/2010/08/10/domarev_vv_bezopasnost_informatsionnyih_tehnologiy_metodologiya_sozdaniya_sistem_zaschityi (дата обращения 15.11.2012)

    3.Жук Е.И., Концептуальные основы информационной безопасности [Электронный ресурс] // Электронное научно-техническое издание «Наука и образование», 2010. - № 4. - Режим доступа. - URL:http://techno-new.developer.stack.net/doc/143237.html (дата обращения 20.11.2012)

    4.Медведев Н.В., Стандарты и политика информационной безопасности автоматизированных систем // Вестник МГТУ им. Н.Э. Баумана. Сер. Приборостроение. - 2010. - № 1. - С. 103-111.

    5.Основы информационной безопасности: Учебное пособие / О.А. Акулов, Д.Н. Баданин, Е.И. Жук и др. - М.: Изд-во МГТУ им. Н.Э. Баумана, 2008. - 161 с.

    6.Филин С.А., Информационная безопасность / С.А. Филин. - Альфа-Пресс, 2006. - 412 с.

    7.Ярочкин В.И. Информационная безопасность: Учебник для студентов вузов. - 3-е изд. - М.: Академический Проект: Трикста, 2005 - 544 с.

    Читать еще: