Методы и средства обеспечения информационной безопасности

К методам и средствам защиты информации относят правовые, организационно-технические и экономические мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

К правовым методам обеспечения информационной безопасности относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности Российской Федерации.

Наиболее важными направлениями этой деятельности являются:

• внесение изменений и дополнений в законодательство Российской Федерации, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности Российской Федерации, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизация правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности Российской Федерации;
• законодательное разграничение полномочий в области обеспечения информационной безопасности Российской Федерации между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов Российской Федерации, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, СМИ и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги
  глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности являются:

• создание и совершенствование системы обеспечения информационной безопасности РФ;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль над выполнением специальных требований по защите информации;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль над действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации;
• формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают в себя:

• разработку программ обеспечения информационной безопасности Российской Федерации и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

В современных информационных технологиях для эффективного использования этих методов широко применяются организационные, физические, программно-технические средства.

Организационные  мероприятия   предполагают   объединение всех составляющих (компонент) безопасности. Во всем мире основную угрозу информации организации представляют ее сотрудники, оказывающиеся психически неуравновешенными, обиженными или неудовлетворенными характером их работы, заработной платой, взаимоотношениями с коллегами и руководителями.

Американские специалисты утверждают, что до 85% случаев промышленного шпионажа ведется силами сотрудников компании, в которой это происходит. Они отмечают, что более трети финансовых потерь и потерь данных в организациях происходит по вине их собственных сотрудников. Даже сотрудники – авторизованные пользователи – случайно или намерено нарушают политику безопасности. Существует даже некоторая их классификация. Например, «неграмотный» - сотрудник, открывающий любые письма, вложения и ссылки; «инсайдер» - сотрудник, стремящийся, как правило в корыстных целях, поручить и вынести конфиденциальную информацию; «нецелевик» - сотрудник, использующий ресурсы организации в личных целях (веб-серфинг, почта, чаты, мгновенные сообщения, игры, обучение, хранилища и др.). При этом специалисты отмечают, что преднамеренные утечки информации (злой умысел) обычно составляют 1-2% всех инцидентов.

Решение этих проблем относится к компетенции администрации и службы безопасности организации.

Физические мероприятия примыкают к организационным. Они заключаются в применении человеческих ресурсов, специальных технических средств и устройств, обеспечивающих защиту от проникновения злоумышленников на объект, несанкционированного использования, порчи или уничтожения ими материальных и людских ресурсов. Такими человеческими ресурсами являются лица ведомственной или вневедомственной охраны и вахтеры, отдельные, назначаемые руководством организации, сотрудники. Они ограничивают, в том числе с помощью соответствующих технических устройств, доступ на объекты нежелательных лиц.

Программные средства защиты являются самым распространённым методом защиты информации в компьютерах и информационных сетях. Они обычно применяются при затруднении использования некоторых других методов и средств и делятся на основные и вспомогательные.

Основные программные средства защиты информации способствуют противодействию съема, изменения и уничтожения информации по основным возможным каналам воздействия на нее. Для этого они помогают осуществлять: аутентификацию объектов (работников и посетителей организаций), контроль и регулирование работы людей и техники, самоконтроль и защиту, разграничение доступа, уничтожение информации, сигнализацию о несанкционированном доступе и несанкционированной информации.

Вспомогательные программы защиты информации обеспечивают: уничтожение остаточной информации на магнитных и иных перезаписываемых носителях данных, формирование грифа секретности и категорирование грифованной информации, имитацию работы с несанкционированным пользователем для накопления сведений о его методах, ведение регистрационных журналов, общий контроль функционирования подсистемы защиты, проверку системных и программных сбоев и др.

Программные средства защиты информации представляют собой комплекс алгоритмов и программ специального назначения и общего обеспечения функционирования компьютеров и информационных сетей, нацеленных на: контроль и разграничение доступа к информации; исключение несанкционированных действий с ней; управление охранными устройствами и т.п. Они обладают универсальностью, простотой реализации, гибкостью, адаптивностью, возможностью настройки системы и др. и применяются для борьбы с компьютерными вирусами Для защиты машин от компьютерных вирусов, профилактики и «лечения» используются программы-антивирусы, а также средства диагностики и профилактики, позволяющие не допустить попадания вируса в компьютерную систему, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные действия Антивирусные программы оцениваются по точности обнаружении и эффективному устранению вирусов, простоте использовании, стоимости, возможности работать в сети. Наибольшей популярностью   пользуются   отечественные   антивирусные   программы DrWeb (Doctor Web) И. Данилова и AVP (Antiviral Toolkit Pro) E. Касперского. Они обладают удобным интерфейсом, средствами сканирования программ, проверки системы при загрузке и т.д.

Однако абсолютно надежных программ, гарантирующих обнаружение и уничтожение любого вируса, не существует. Только многоуровневая оборона способна обеспечить наиболее полную защиту от вирусов. Важный элемент защиты от компьютерных вирусов - профилактика. Антивирусные программы применяют одновременно с регулярным резервированием данных и профилактическими мероприятиями. Вместе эти меры позволяют значительно снизить вероятность заражения вирусом.

Основными мерами профилактики вирусов являются:

• применение лицензионного программного обеспечения;
• регулярное использование нескольких постоянно обновляемых антивирусных программ для проверки не только собственных носителей информации при переносе на них сторонних файлов, но и любых «чужих» дискет и дисков с любой информацией на них, в том числе и переформатированных;
• применение различных защитных средств при работе на компьютере в любой информационной среде (например, в Интернете), проверка на наличие вирусов файлов, полученных по сети;
• периодическое резервное копирование наиболее ценных данных и программ.

Чаще всего источниками заражения являются компьютерные игры, приобретенные «неофициальным» путем, и нелицензионное программное обеспечение. Надежной гарантией от вирусов является аккуратность пользователей при выборе программ и установке их на компьютере, а также во время сеансов в Интернете.

Информационные ресурсы в электронной форме размещаются стационарно на жестких дисках серверов и компьютеров пользователей и т.п., хранятся на переносимых носителях информации.

Они могут представлять отдельные файлы с различной информацией, коллекции файлов, программы и базы данных. В зависимости от этого к ним применяются различные меры, способствующие обеспечению безопасности информационных ресурсов. К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относят: аутентификацию пользователя и установление его идентичности; управление доступом к базе данных; поддержание целостности данных; протоколирование и аудит; защиту коммуникаций между клиентом и сервером; отражение угроз, специфичных для СУБД и др.

В целях защиты информации в базах данных важнейшими являются следующие аспекты информационной безопасности:

• доступность - возможность получить некоторую требуемую информационную услугу;
• целостность - непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения;
• конфиденциальность - защита от несанкционированного прочтения.

Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях.

Контроль доступа представляет собой процесс защиты данных и программ от их использования объектами, не имеющими на это права.

Одним из наиболее известных способов защиты информации является ее кодирование (шифрование, криптография).

Криптография - это система изменения информации (кодирования, шифрования) с целью ее защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

Код характеризуется: длиной - числом знаков, используемых при кодировании, и структурой - порядком расположения символов, обозначающих классификационный признак.

Средством кодирования служит таблица соответствия. Примером такой таблицы для перевода алфавитно-цифровой информации в компьютерные коды является кодовая таблица ASCII.

Для шифрования информации все чаще используют криптографические методы ее защиты.

Криптографические методы защиты информации содержат комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации, используемых для преобразования смыслового содержания передаваемых в информационных сетях данных. Они подразумевают создание и применение специальных секретных ключей пользователей.

Общие методы криптографии существуют давно. Она считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. И хотя криптография не спасает от физических воздействий, в остальных случаях она служит надежным средством защиты данных.

Стойкость криптоалгоритма зависит от сложности методов преобразования. Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равняется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей. Если использовать 256- и более разрядные ключи, то уровень надежности защиты данных составит десятки и сотни лет работы суперкомпьютера. При этом для коммерческого применения достаточно 40-, 44-разрядных ключей.

Для кодирования ЭИР, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись для сообщения представляет последовательность символов, зависящих от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа.

Она должна легко проверяться и позволять решать три следующие задачи:

• осуществлять аутентификацию источника сообщения,
• устанавливать целостность сообщения,
• обеспечивать невозможность отказа от факта подписи конкретного сообщения.

Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федеральное агентство по информационным технологиям (ФАИТ).

Существующий в мире опыт свидетельствует, что строить системы безопасности из отдельных продуктов неэффективно. Поэтому отмечается общая потребность в комплексных решениях информационной безопасности и их сопровождения. При этом специалисты отмечают, что наиболее эффективные меры защиты кроются не в технических средствах, а в применении различных организационных и административных мер, регламентов, инструкций и в обучении персонала.

Технические мероприятия базируются на применении следующих средств и систем: охранной и пожарной сигнализации; контроля и управления доступом; видеонаблюдения и защиты периметров объектов; защиты информации; контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов; учета рабочего времени персонала и времени присутствия на объектах различных посетителей.

Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.

Биометрические методы защиты информации. Понятие «биометрия» определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики.

Биометрия представляет собой совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристик. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальца, роговице глаза,  генетическому коду, запаху и др.) и динамическими (голосу,  почерку, поведению и др.) характеристиками.

Биометрическая идентификация считается одним из наиболее надежных способов. Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют биологическим кодом человека.

Первые биометрические системы использовали рисунок (отпечаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вавилоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали применять в Англии с 1897 года, а в США - с 1903 года.

Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Считыватели бывают контактные и бесконтактные. Они могут фиксировать время прохода или открывания дверей и др. К ним относят устройства: дактилоскопии (по отпечаткам пальцев); идентификация глаз человека (идентификация рисунка радужной оболочки глаза или сканирование глазного дна); фотоидентификация (сравнение создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера); идентификация по форме руки, генетическому коду, запаху, голосу, почерку, поведению и др.

В различных странах (в том числе в России) включают биометрические признаки в загранпаспорта и другие идентифицирующие личности документы. Преимущество биологических систем идентификации, по сравнению с традиционными (например, PI№-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления.

С помощью биометрических систем осуществляются:

• ограничение доступа к информации и обеспечение персональной ответственности за ее сохранность;
• обеспечение допуска сертифицированных специалистов;
• предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
• организация учета доступа и посещаемости сотрудников, а также решается ряд других проблем.

Самой популярной считается аутентификация по отпечаткам пальцев, которые, в отличие от пароля, нельзя забыть, потерять, и заменить. Однако в целях повышения надежности аутентификации и защиты ценной информации лучше использовать комбинацию биометрических признаков. Удачным считается одновременное использование двухфакторной аутентификации пользователя, включающее оптический сканер отпечатков пальцев и картридер для смарт-карты, в которой в защищенном виде хранятся те же отпечатки пальцев.

К новым биометрическим технологиям следует отнести трехмерную идентификацию личности, использующую трехмерные сканеры идентификации личности с параллаксным методом регистрации образов объектов и телевизионные системы регистрации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут применяться для идентификации личностей, трехмерные образы которых войдут в состав удостоверений личности и других документов. Сканирование с помощью миллиметровых волн - быстрый метод, позволяющий за две-четыре секунды сформировать трехмерное топографическое изображение, которое можно поворачивать на экране монитора для досмотра предметов, находящихся в одежде и на теле человека. С этой же целью используют и рентгеновские аппараты. Дополнительным преимуществом миллиметровых волн в сравнении с рентгеном является отсутствие радиации - этот вид просвечивания безвреден, а создаваемое им изображение генерируется энергией, отраженной от тела человека. Энергия, излучаемая миллиметровыми волнами, в 10 000 раз слабее излучения от сотового телефона.

Защита информации в информационных компьютерных сетях осуществляется с помощью специальных программных, технических и программно-технических средств.

С целью защиты сетей и контроля доступа в них используют:

• фильтры пакетов, запрещающие установление соединений,
  пересекающих границы защищаемой сети;
• фильтрующие маршрутизаторы, реализующие алгоритмы
  анализа адресов отправления и назначения пакетов в сети;
• шлюзы прикладных программ, проверяющие права доступа к
  программам.

В качестве устройства, препятствующего получению злоумышленником доступа к информации, используют Firewalls (рус. «огненная стена» или «защитный барьер» - брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получении избыточной информации и так называемого «мусора» (спама).

Считается, что спам появился в 1978 г., а значительный его рост наблюдается в 2003 г. Сложно сказать, какой почты приходит больше: полезной или бестолковой. Выпускается много ПО, предназначенного для борьбы с ним, но единого эффективного средства пока нет.

Техническим устройством, способным эффективно осуществлять защиту в компьютерных сетях, является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осуществлять детальный контроль адресов отправителей и получателей. Также можно ограничить доступ всем или определенным категориям пользователей к различным серверам, например ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.

Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Метки: Гражданское право