Исследование проблем защиты информации

Содержание:

Введение

Проблема защиты информации является далеко не новой. Решать её люди пытались с древних времен.

На заре цивилизации ценные сведения сохранялись в материальной форме: вырезались на каменных табличках, позже записывались на бумагу. Для их защиты использовались такие же материальные объекты: стены, рвы.

Информация часто передавалась с посыльным и в сопровождении охраны. И эти меры себя оправдывали, поскольку единственным способом получения чужой информации было ее похищение. К сожалению, физическая защита имела крупный недостаток. При захвате сообщения враги узнавали все, что было написано в нем. Еще Юлий Цезарь принял решение защищать ценные сведения в процессе передачи. Он изобрел шифр Цезаря. Этот шифр позволял посылать сообщения, которые никто не мог прочитать в случае перехвата.

Данная концепция получила свое развитие во время Второй мировой войны. Германия использовала машину под названием Enigma для шифрования сообщений, посылаемых воинским частям.

Конечно, способы защиты информации постоянно меняются, как меняется наше общество и технологии. Появление и широкое распространение компьютеров привело к тому, что большинство людей и организаций стали хранить информацию в электронном виде. Возникла потребность в защите такой информации.

В начале 70-х гг. XX века Дэвид Белл и Леонард Ла Падула разработали модель безопасности для операций, производимых на компьютере. Эта модель базировалась на правительственной концепции уровней классификации информации (несекретная, конфиденциальная, секретная, совершенно секретная) и уровней допуска. Если человек (субъект) имел уровень допуска выше, чем уровень файла (объекта) по классификации, то он получал доступ к файлу, в противном случае доступ отклонялся. Эта концепция нашла свою реализацию в стандарте 5200.28 «Trusted Computing System Evaluation Criteria» (TCSEC) («Критерий оценки безопасности компьютерных систем»), разработанном в 1983 г. Министерством обороны США. Из-за цвета обложки он получил название «Оранжевая книга».

Одна из проблем, связанных с критериями оценки безопасности систем, заключалась в недостаточном понимании механизмов работы в сети. При объединении компьютеров к старым проблемам безопасности добавляются новые. В «Оранжевой книге» не рассматривались проблемы, возникающие при объединении компьютеров в общую сеть, поэтому в 1987 г. появилась TNI (Trusted Network Interpretation), или «Красная книга». В «Красной книге» сохранены все требования к безопасности из «Оранжевой книги», сделана попытка адресации сетевого пространства и создания концепции безопасности сети. К сожалению, и «Красная книга» связывала функциональность с гарантированностью. Лишь некоторые системы прошли оценку по TNI, и ни одна из них не имела коммерческого успеха.

В наши дни проблемы стали еще серьезнее. Организации стали использовать беспроводные сети, появления которых «Красная книга» не могла предвидеть. Для беспроводных сетей сертификат «Красной книги» считается устаревшим.

Технологии компьютерных систем и сетей развиваются слишком быстро. Соответственно, также быстро появляются новые способы защиты информации. Поэтому тема работы является весьма актуальной.

Объектом исследования является информация, передаваемая по телекоммуникационным сетям.

Предметом исследования является информационная безопасность сетей.

Основной целью работы является изучение и анализ методов и средств защиты информации в сетях.

Для достижения указанной цели необходимо решить ряд задач:

Рассмотреть угрозы безопасности и их классификацию;

Охарактеризовать методы и средства защиты информации в сети, их классификацию и особенности применения;

Раскрыть возможности физических, аппаратных и программных средств защиты информации в КС, выявить их достоинства и недостатки;

Рассмотреть методы, способы и средства защиты информации в корпоративной сети (на примере предприятия Вестел).

Глава 1. Основные положения теории защиты информации

1.1 Классификация угроз безопасности информации

Угроза – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения конфиденциальности, доступности и (или) целостности информации.

Если говорить об угрозах информационно-технического характера, можно выделить такие элементы как кража информации, вредоносное ПО, хакерские атаки, СПАМ, халатность сотрудников, аппаратные и программные сбои, финансовое мошенничество, кража оборудования.

Согласно статистике применительно к этим угрозам, можно привести следующие данные (по результатам исследований, проведённых в России компанией InfoWath)^[1]:

Кража информации – 64%

Вредоносное ПО – 60%

Хакерские атаки – 48%

Спам – 45%

Халатность сотрудников – 43%

Аппаратные и программные сбои – 21%

Кража оборудования – 6%

Финансовое мошенничество – 5%

Как видно, из приведенных данных, наиболее распространены кража информации и вредоносное ПО. 

В настоящее время широкое развитие получили такие угрозы информационной безопасности, как хищение баз данных, рост инсайдерских угроз, применение информационного воздействия на различные информационные системы, возрос ущерб наносимый злоумышленником.

Среди внутренних угроз безопасности информации выделяют нарушение конфиденциальности информации, искажение, утрата информации, сбои в работе оборудования и информационных систем, кража оборудования. И опять же, опираясь на статистику, наибольшее распространение имеют нарушения конфиденциальности и искажение.

Так или иначе, утечка информации происходит по каналам утечки. Большую часть в данном аспекте представляет, так называемый «человеческий фактор». То есть сотрудники организации, что не удивительно, потому что кто, как не они имеют достаточно полномочий и возможностей для завладения информацией.

Но совсем не обязательно похищать информацию с целью, например, последующей продажи.

Если сотруднику захочется подпортить репутацию компании, или нанести какой либо ущерб в силу каких-то обстоятельств (понижение по должности, сокращение, разногласия с руководством и т.д.), в полнее достаточно исказить информацию представляющую ценность для организации, в следствии чего, данная информация может потерять свою актуальность и ценность, или же окажется просто недостоверной, не подлинной, что может обернуться, например, обманутыми клиентами, партнерами. К счастью, таких «ущемленных» сотрудников не так много.

Если же говорить о мотивах, побудивших человека, сотрудника организации к таким шагам, первое место занимает кража денег с электронных счетов (изменение программ по начислению заработной платы и зачислению её на индивидуальные счета, создание файлов с вымышленными вкладчиками, изъятие в хранилищах кредитно-финансовых учреждений банковских карт и PIN кодов к ним, фальсификацию в базе данных фирм информации о клиентах). Но и не обходится без фальсификации информации, или повреждения программного обеспечения, вывод из работы сайтов и прочее.

Наиболее опасным являются неумышленные действия персонала. Примером может являться, уже обыденная вещь для современного человека – «флешка», или USB накопитель на основе Flash-memory. Нередко, сотрудники организации используют «флешки» в работе. Или из самых лучших побуждений, человек, может взять некоторую информацию домой, для того чтобы поработать над ней (к примеру, подготовка какой либо отчетности или других документов). В данном случае велик процент утечки информации из-за потери самого носителя – «флешки», в силу ее габаритных характеристик.

По мимо всего выше перечисленного, стоит сказать о внешних и внутренних источниках угроз безопасности в более глобальном смысле.

Внешние источники:

Деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против интересов Российской Федерации в информационной сфере.

Стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационных рынков.

Обострение международной конкуренции за обладание информационными технологиями и ресурсами.

Деятельность международных террористических организаций.

Увеличение технологического отрыва ведущих держав мира и наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий.

Деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств.

Разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов ресурсов, получение несанкционированного доступа к ним.

Внутренние источники^[2]:

Закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам.

Противоправные сбор и использование информации.

Нарушения технологии обработки информации.

Внедрение в аппаратные и программные изделия компонентов, реализующих функции, не

предусмотренные документацией на эти изделия.

Разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации.

Уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем

обработки информации, телекоммуникации и связи.

Воздействие на ключевые системы защиты автоматизированных систем обработки и передачи информации.

Компрометация ключей и средств криптографической защиты информации.

Утечка информации по техническим каналам.

Внедрение электронных устройств для перехвата информации в ТСОИ по каналам связи, а также в служебные помещения;

Уничтожение, повреждение, разрушение или хищение машинных и других носителей информации.

Перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации.

Использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры.

Несанкционированный доступ к информации, находящейся в банках и базах данных.

Нарушение законных ограничений на распространение информации.

1.2 Основные направления защиты информации

Среди направлений по защите информации выделяют обеспечение защиты информации от НСД (хщения, утраты, искажения, подделки, блокирования и специальных воздействий) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Прежде всего защите подлежит та информация, в отношении которой угрозы реализуются без применения сложных технических средств перехвата информации. Так же защите подлежит речевая информация, циркулирующая в ЗП, информация обрабатываемая СВТ, выводимая на экраны видеомониторов, хранящаяся на физических носителях (в том числе носители АС), информация передающаяся по каналам связи (за пределы контролируемой зоны).

Защита информации представляет собой комплекс мероприятий по защите информации. Исходя из этого, для защиты информации применяют технические средства защиты информации (при необходимости) от утечки по техническим каналам, от НСД к защищаемой информации. Не менее значимым является своевременное предупреждение возможных угроз информационной безопасности.

В организации, обрабатывающей защищаемую информацию, необходимым является наличие структурного подразделения, в задачи которого входит обеспечение безопасности информации. Регламент данного подразделения, его функции, права и обязанности определены следующими нормативными документами:

«Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». (Одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32)

«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». (Утверждено постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912–51)

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282)

Квалификационный справочник должностей руководителей, специалистов и других служащих (Утвержден постановлением Минтруда России от 21 августа 1998 г. № 37 с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.)

В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам. Подразделение по защите информации является самостоятельным структурным подразделением. Штатная численность подразделения по защите информации и его структура определяются руководителем предприятия. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю.

Данное структурное подразделение занимается планированием работ и согласовании мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации, организует данные работы и выполняет. Определяет возможности несанкционированного доступа к информации, её уничтожения или искажения, определяет возможные технические каналы утечки конфиденциальной информации, разрабатывает соответствующие меры по защите информации. Так же участие в разработке модели «нарушителя». Разрабатывает (самостоятельно или совместно с режимными органами и др.) проекты распорядительных документов по вопросам организации защиты информации на предприятии, организует специальные проверки ТС и ЗП (при необходимости), разрабатывает предложения по совершенствованию системы защиты информации на предприятии. К функциям подразделения по защите информации можно отнести еще и разработку руководства по защите информации на предприятии, участие в разработке требований по защите информации, участие при создании системы защиты конфиденциальной информации на предприятии, участие в согласовании ТЗ (ТТЗ) на проведение работ связанных с конфиденциальной информацией, проведение периодического контроля, учет и анализ результатов контроля, участие в расследовании нарушений, разработка предложений по устранению недостатков системы защиты информации, подготовка отчетов о состоянии работ по защите информации, проведение занятий с руководством и специалистами по вопросам защиты информации^[3].

Права предоставляемые подразделению по защите информации:

Допуска к работам основных структурных подразделений предприятия, использующих в работе КИ

Готовить предложения о привлечении к проведению работ по ЗИ предприятий (учреждений, организаций), имеющих лицензии на соответствующие виды деятельности

Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по ЗИ

Участвовать в работе технических комиссий предприятий при рассмотрении вопросов ЗИ

Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения факта утечки (или предпосылки к утечке) конфиденциальной информации

Получать установленным порядком лицензии на выполнение работ по защите информации и при её получении оказывать услуги в этой области другим предприятиям

Рекомендуется закреплять за специалистами по защите информации конкретные направления деятельности в данной области.

Глава 2. Основные методы и средства защиты информации в сетях

2.1 Средства защиты информации

Средства защиты информации подразделяются на технические, программно-аппаратные и программные. На данный момент существует достаточно широкий выбор средств защиты информации как от несанкционированного доступа так и от утечки по техническим каналам.

Для предупреждения и предотвращения утечки информации по техническим каналам, должны быть выполнены следующие условая^[4]:

Использование сертифицированных серийно выпускаемых в защищенном исполнении технических средств обработки, передачи и хранения информации

Использование технических средств, удовлетворяющих требованиям стандартов по электромагнитной совместимости

Использование сертифицированных средств защиты информации.

Размещение объектов защиты на максимально возможном расстоянии от границ КЗ.

Размещение понижающих трансформаторных подстанций электропитания и контуров заземления объектов защиты в пределах КЗ.

Использование сертифицированных систем гарантированного электропитания (источников бесперебойного питания).

Развязка цепей электропитания объектов защиты с помощью сетевых помехоподавляющих фильтров, блокирующих (подавляющих) информативный сигнал

Электромагнитная развязка между информационными цепями, по которым циркулирует защищаемая информация и линиями связи, другими цепями ВТСС, выходящими за пределы КЗ.

Использование защищенных каналов связи

От утечки информации за счет НСД применяют следующее:

Реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала) к информации и связанным с ее использованием работам, документам

Ограничение доступа персонала и посторонних лиц в ЗП и помещения, где размещены средства информатизации и коммуникационное оборудование, а также хранятся носители информации

Разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки (передачи) и защиты информации

Регистрация действий пользователей АС и обслуживающего персонала, контроль несанкционированного доступа и действий пользователей, обслуживающего персонала и посторонних лиц

Учет и надежное хранение бумажных и машинных носителей конфиденциальной информации и их обращение, исключающее хищение, подмену и уничтожение

Использование сертифицированных по требованиям безопасности информации специальных защитных знаков, создаваемых на основе физико-химических технологий для контроля доступа к объектам защиты и для защиты документов от подделки

Резервирование технических средств, дублирование массивов и носителей информации

Предотвращение внедрения в АС программ-вирусов, программных закладок

Размещение дисплеев и других средств отображения информации, исключающее ее несанкционированный просмотр

Организация физической защиты помещений и собственно технических средств обработки информации с использованием технических средств охраны, предотвращающих или существенно затрудняющих проникновение в здания, помещения посторонних лиц, хищение документов и носителей информации, самих средств информатизации

2.2 Технические средства защиты информации в КС

Инженерно техническая защита сведений предприятия начинается с ограничения доступа посторонних лиц на территорию путем создания контролируемых зон: периметр здания и близлежащей территории, все здания предприятия, отдельные кабинеты и помещения^[5].

Руководитель компании должен создать специальную службу безопасности.

Инженерно-техническая группа будет проводить постоянный контроль и охрану всех зон.

Следующим этапом защиты информации станет закупка и установка технических средств, которые работают с конфиденциальными данными (телефония, разноуровневые системы связи, громкоговоритель, диспетчерская связь, звукозаписывающие и звуковоспроизводящие средства).

Обезопасить компанию от воздействия прослушивающих технических средств, найти во всех контролируемых зонах слабые места, в которых злоумышленник сможет добраться до информативных акустических, электрических или магнитных сигналов.

Выявить все возможные системы, к которым может быть совершен несанкционированный доступ (несекретная телефонная линия, пожарная или звуковая сигнализация, системы охранной сигнализации, средства наблюдения и другие). Выявленные слабые места по возможности устранить или уменьшить их количество. Определить и разграничить помещения по группам важности и секретности (залы, переговорные помещения, кабинеты)^[6].

На основе всех собранных данных комиссия, проводящая обследование компании, составляет протокол, по фактам которого формируется акт и утверждается руководителем компании. После проверки должен быть составлен план всего здания, его помещений, зон контроля. В кабинетах и других помещениях повышенного уровня безопасности производят ТЗИ (некриптографический способ защиты технических каналов от утечки информации).

В настоящее время информация стала одним из наиболее ценных ресурсов. Для оперативного получения интересующих сведений используют всевозможные технические средства. В связи с этим актуальным направлением стало обеспечение безопасности информации. Для этого изучаются способы съёма информации и разрабатываются современные многофункциональные средства защиты, способные предотвратить нелегальный доступ к информации.

Одной из отраслей, способствующих созданию уникальных по своим функциям и размерам технических средств, является нанотехнология — перспективное, активно развивающееся направление науки, представляющее собой методы по созданию материалов размерами от 1 до 100 нм, имеющих уникальные свойства. Техника, изготовленная с применением нанотехнологий широко применяется в сфере информационной безопасности для:

Съема информации;

Защиты информации. Наиболее распространёнными средствами съёма информации являются жучки и камеры.

Для защиты информации используются такие технические средства, как камеры, индикаторы и детекторы. Благодаря разнообразному дизайну современные микрокамеры, применяющиеся как для съёма, так и для защиты данных, облегчают осуществление несанкционированного доступа к информации. На современном рынке представлен большой ассортимент мини и микрокамер.

Современные технологии позволяют встраивать камеры в шариковые ручки, часы, плееры, брелки, пуговицы, зажигалки и другие предметы. Это существенно облегчает выполнение скрытой съёмки. Популярные сегодня камеры имеют схожие характеристики. Разрешение от 640х480 до 1920х1080 пикселей, возможность осуществления фото и видео съёмки, как в дневное, так и в ночное время, хороший угол обзора — до 185 градусов, запись информации ведётся на MicroSD объёмом до 64 Гб, размеры камер варьируются начиная от нескольких сантиметров, что позволяет найти максимально подходящую для выполнения поставленной задачи камеру. Большим недостатком всех камер является небольшое время автономной работы, чаще всего оно не превышает 1,5 часов.

С наступлением времени активного пользования банковскими картами камеры также стали использовать для получения пин-кодов карт. Для этого их устанавливают неподалёку от банкоматов. Однако существует множество других способов воровства с кредитных карт таких, как пластиковые конверты, которые закладываются в щель банкомата; различные насадки, устанавливаемые на терминале, способствующие получению информации о карте. Но не так давно появился новый способ взлома банковских карт. Он представляет собой Android приложение, которое способно переснять реквизиты банковской карты, работающей с помощью протокола NFC.

Данный протокол является расширением стандарта ISO 14443 для бесконтактных карт. Приложение позволяет завладеть номером пластиковой карты, номером банковского счета, а также сроком действия данной карты. Всё, что необходимо для съёма вышеперечисленной информации это поднести устройство, на котором установлено приложение на расстояние не более 10см от банковской карты. Далее программа под видом торгового терминала без ведома владельца считывает с карты информацию. Ещё одним популярным средством съёма информации являются жучки. Их функциональные возможности позволяют негласно получать акустическую информацию посредством прослушки любых разговоров.

Зачастую жучок практически невозможно обнаружить без использования специальных технических средств, в связи с очень маленькими размерами, а также использованием маскировки под различные объекты, такие как сетевой фильтр, компьютерная мышь, USB-флеш-накопитель, часы.

Большинство современных жучков имеют схожие основные характеристики. Все они имеют небольшие размеры и вес, постоянно работают при питании от USB или 220В, однако автономная работа устройства в среднем составляет не более 3 часов, радиус захвата микрофона-до 30 м2.

Недостатком некоторых моделей является отсутствие активации голосом, которая позволяет в случае начала разговора в области действия жучка совершить обратный звонок хозяину, а также предоставляет возможность работы устройства в режиме ожидания, тем самым увеличивая время работы до нескольких дней. Чтобы минимизировать возможность утечки данных с помощью рассмотренных технических средств необходимо использовать оборудование, способное предотвратить съём информации представленными ранее способами. Для выполнения таких задач применяются детекторы камер и жучков.

Уже существуют приборы, сочетающие в себе функции оптического обнаружения микрокамер и выявления наличия подслушивающих устройств. Для поиска скрытых видео камер используется явление отражения света от линзы объектива. Жучки обнаруживаются за счёт улавливания исходящего от них радиосигнала. Быстрое развитие технологий позволяет создавать всё более действенные способы съёма информации.

Это приводит к необходимости разработки новых технических средств защиты. Информация стала важной, ценной частью современной жизни, поэтому нельзя допускать несанкционированный доступ к информации, а также её утечку. В связи с этим, при появлении новых способов съёма информации, должны своевременно создаваться соответствующие средства защиты, способные предотвратить нелегальный доступ к информации.

Все средства защиты информации от несанкционированного доступа можно подразделять на следующие группы:

Технические (аппаратные) средства и системы независящие от объекта защиты, т.е. помещения, места расположения, рабочей станции и т.д.

Программно-аппаратные средства и системы, выполненные как отдельное устройство функционирующие совместно с объектом защиты в определенной последовательности в соответствии с выполнением программного алгоритма

Программные средства или системы (программы работы с BIOS, программные файерволы, антивирусные средства и т.д.) установленные на рабочей станции и функционирующие в соответствии с выполнением собственных алгоритмов

Системы защиты информации при администрировании можно разделить следующим образом:

Разграничение доступа к объекту защиты выполняется с применением идентификации (ввод имени пользователя, использования ключа доступа - дискеты, eToken-ключи, другие внешние аппаратных устройств)

Аутентификация пользователя при доступе к защищаемой информации

Аудит доступа, ведение списка пользователей, блокирование доступа

Контроль целостности как папок и файлов, так и секторов и дисков

Аудит контроля целостности

Запрет и аудит загрузки с внешних или съемных носителей

2.3 Обеспечение безопасности информационных систем

За последние годы в современном обществе произошло широкое внедрение информационных технологий, что, кроме явных положительных тенденций, породило и ряд проблем, связанных с их деятельностью. С ростом роли информационных систем увеличивается конкуренция, число пользователей, а также несанкционированный доступ к информации, хранящейся и передающейся в этих сетях. На наш взгляд за последние года информация стала гораздо уязвимей, так как произошел сильный толчок в развитии методов и способов получения каких-либо знаний путем автоматизации процессов хранения и обработки информации^[7].

К тому же происходит массовое применение персональных компьютеров, в которых циркулируют данные, применяемые либо со слабой степенью защиты, либо вовсе игнорирующее ее. Рассмотрим суть проблемы информационной безопасности и определим способы, повышающие защищенность этих систем. При защите информационных технологий особое внимание нужно уделять сохранности данных от злоумышленных разрушений, искажений и хищений программных средств и информации.

Для этих целей разработаны и активно развиваются методы и средства поддержки сохранности, такие как защита от несанкционированного доступа, вирусов и утечки информации. Все угрозы могут различаться в зависимости от способа и места воздействия, поэтому и подход к их устранению должен быть уникальным.

Выделяют несколько методов защиты информации: физические препятствия, законодательные, управление доступом и криптографическое закрытие, каждый из них помогает предотвратить разрушение, кражу и нелегальный доступ к информационным ресурсам. Рассмотрим их более подробно.

Способ физической защиты создает некое препятствие для нарушителя и ограничивает ему доступ к данным. Яркий минус данного метода состоит в том, что он защищает информацию только от «внешних» пользователей, не реагируя на тех, кто имеет доступ для входа. Второй же способ, законодательный, содержит в себе определенные законодательные акты, которые несут в себе меры наказания за нарушение правил использования данных. Третий метод, на наш взгляд, является наиболее действенным, с помощью управления доступом можно регулировать возможность входа в систему. Это осуществляется путем аутентификации пользователя, авторизации, регистрации и реагирования.

Суть криптографии заключается в шифровании данных с помощью определенных программ. Возможность дешифрования получает только санкционированный пользователь. С целью защиты данных были созданы основополагающие документы, в которых раскрываются основные понятия, требования, методы и средства обеспечения информационной безопасности^[8]:

 »Оранжевая книга»;

 »Гармонизированные критерии Европейских стран»;

  Рекомендации Х.800;

  Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Рассмотрим каждый из них подробней.

В 1983 году в Соединенных Штатах Америки Министерством обороны был опубликован документ под названием «Оранжевая книга», в котором раскрываются понятия и способы защиты информации. Документ четко разъясняет, какие системы считаются надежными и что нужно делать для обеспечения сохранности данных. Уровень доверия системы защиты осуществляется в выполнении двух принципов: концепция безопасности и гарантированность.

Первый принцип заключается в системе правил и норм, которые использует организация для обеспечения безопасности и защиты данных. Активным и действующим компонентом защиты является концепция безопасности системы, которая состоит из исследования угроз и возможности их устранения. Согласно «Оранжевой книге» концепция безопасности разрабатываемой системы должна состоять из отдельных компонентов.

Рассмотрим их более подробно. Ограничение доступа к данным базируется на учете личности группы или субъекта. Лично владелец информации по своему усмотрению может предоставлять и ограничивать доступ, в этом и заключается принцип произвольного управления доступом. У данного компонента есть как достоинства, например, гибкость, так и недостатки, например, разбросанная форма управления и сложность централизованного контроля.

Однако, наиболее яркий недостаток, это — оторванность прав доступа от данных, то есть появляется возможность копировать секретную информацию в средствах массовой информации (СМИ). Безопасность повторного использования объектов защищает от преднамеренного или случайного извлечения конфиденциальной информации. В первую очередь, данный тип безопасности должен быть по максимуму обеспечен для областей оперативной памяти. Метки безопасности бывают двух видов, относительно субъекта и относительно объекта информации для реализации принудительного управления доступом.

Метки субъекта содержат в себе данные о его благонадежности, а метки объекта- уровень конфиденциальности информации. Исходя из «Оранжевой книги», метки безопасности состоят из двух частей: уровень секретности и список категорий. При работе с метками необходимо заострять внимание на их целостности, то есть все субъекты и объекты должны быть помечены, чтобы не было разрыва данных, а также нужно обеспечивать и контролировать сохранность самой метки.

На сопоставление меток безопасности объектов и субъектов базируется принудительное управление доступом. Название обусловлено тем, что на него не влияют мнения субъектов. Система безопасности подразумевает правила и методы разграничения доступа, в которой дополнительно функционирует механизм подотчетности.

Его целью является контроль за деятельностью пользователей в системе в любой момент времени. Выделяют три вида средств подотчетности, это проверка подлинности, предоставление надежности пути, анализ регистрационной информации. Второй принцип, именуемый «Гарантированность», раскрывается в степени доверия, которая может быть предоставлена при использовании системы. Она может выявляться как из тестирования, так и из проверки использования системы в целом и отдельных ее частей, и показывает на сколько точно работают механизмы, ответственные за обеспечение безопасности. Относительно «Оранжевой книги» выделяют два вида гарантированности — операционная и технологическая. Первая рассматривает архитектурные и реализационные аспекты системы, а вторая способы построения и сопровождения.

Если придерживаться трактовки «Оранжевой книги», то надежное администрирование логически выделяет три роли: системного администратора, системного оператора и администратора безопасности. Отметим, что технологическая гарантированность должна включать весь жизненный цикл системы безопасности, то есть этапы ее проектирования, реализации, тестирования, внедрения и сопровождения. Все эти действия обязаны безоговорочно выполняться в соответствии с их стандартами для максимального обеспечения защиты от утечки данных и несанкционированного доступа. Как уже было сказано, за последнее время число информационных систем резко увеличилось, следовательно, увеличилось и число систем информационной защиты.

Для того, чтобы облегчить выбор между огромным перечнем систем обеспечения безопасности, специалисты ранжируют относительно данных из «Оранжевой книги» все эти системы по степени надежности. Выделяют четыре уровня надежности — D, C, B и A (с постепенным возрастанием надежности). Далее рассмотрим второй основополагающий документ, в котором отражаются правила, методы и оценки системы информационной безопасности для информационных систем, «Гармонизированные критерии Европейских стран» (ITSEC). Документ был опубликован в 1991 году четырьмя организациями Европейских стран: Франции, Германии, Великобритании и Нидерландов. Отличительная черта этих критериев состоит в отсутствии априорных требований к факторам, в которых функционирует информационная система. То есть организация при запросе сертификационной услуги четко формулирует цель оценки, в которую входят и условия, при которых будет работать система, и потенциальные угрозы, и ожидаемые функции системы безопасности. В свою очередь орган сертификации измеряет, насколько полноценно выполняются заданные цели, в какой степени корректны и эффектны механизмы защиты в описанных разработчиком условиях. Информационная безопасность в Европейских критериях базируется на следующих понятиях:                     конфиденциальность;                     целостность;                     доступность. В отличие от «Оранжевой книги», критерии функций обеспечения защиты более расширены. В состав разделов входят: идентификация и аутентификация, управление доступом, подотчетность, аудит, повторное использование объектов, точность, надежность обслуживания, обмен данными. Так как организации сами формулируют цель оценки, европейские критерии облегчают им эту задачу, предоставляя в качестве приложения описание классов функциональности. При этом выделяют три степени мощности обеспечения безопасности: высокая, средняя и базовая.

Рассмотрим третий вид документа для систем информационной безопасности, который называется «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (далее по тексту — Концепция защиты СВТ и АС от НСД к информации). В 1992 году были опубликованы пять руководящих документов, описывающие проблему несанкционированного доступа к данным. Идейной основой послужила «Концепция защиты СВТ и АС от НСД к информации». Выделяют ряд способов кражи, взлома и НСД к информации- радиотехнические, акустические, программные и т. п. Основные принципы защиты информации заключаются в обеспечении комплекса программно-технических средств на всех технологических стадиях обработки данных. Кроме этого, должен проводиться контроль эффективности средств защиты НСД и т. п. Функции системы, описанные в Концепции, по своей сущности близки с положениями «Оранжевой книги». В документе раскрываются десять классов защиты информационных систем от несанкционированного доступа. Каждый из них содержит в себе минимальные условия по защите. В свою очередь, эти классы делятся на группы: Первая группа предполагает, что системой пользуются много пользователей, но не все они имеют право доступа ко всем данным. Вторая группа предполагает, что несколько пользователей имеют равные права использования информацией.

Третья группа предполагает, что в системе работает один пользователь, имеющий доступ ко всем данным Четвертый документ «Рекомендации Х.800» рассматривает основные функции безопасности, относящиеся к распределенным системам и к роли, которую они могут играть. Так же здесь отображаются основные механизмы для реализации сервисов. Документ был создан по причине того, что за последнее время произошло совершенствование не только информационных систем, но и угроз, связанных с ними. С этими новыми проблемами не справлялись традиционные механизмы защиты, поэтому возникла острая необходимость в создании новых функций системы защиты.

По нашему мнению, выбор способов и методов защиты информации в автоматизированных системах представляет собой сложную задачу, так как необходимо учитывать различные угрозы, стоимость программных систем защиты и условия, в которых эти системы будут работать. На наш взгляд, при выборе способа обеспечения безопасности, лучше всего руководствоватьсядокументом «Гармонизированные критерии Европейских стран» (ITSEC).

Заключение

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

- переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

К самым распространенным угрозам относятся ошибки пользователей компьютерной сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные атаки и вредоносное программное обеспечение.

Меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные).

Организация надежной и эффективной системы архивации данных также является одной из важнейших задач по обеспечению сохранности информации в сети. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID.

Для выявления уязвимых мест с целью их оперативной ликвидации предназначен сервис анализа защищенности. Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Список использованных источников

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.
3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.
5. Запечников C.B. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Ушаков Д.B. - M.: Горячая линия - Телеком, 2015. - 686 c.
6. Малюк A.A. Введение в защиту информации в автоматизированны системах: Учебн. пособие для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. - M.: Горячая линия - Телеком, 2014. - 147 c.
7. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.
8. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 c.
9. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010. - 277 c.
10. Снытников A.A. Лицензирование и сертификация в области защиты информации. - M.: Гелиос АРВ, 2013. - 192 c.
11. Стрельцов A.A. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. - Минск, 2015.-304 c.
12. Хорев A.A. Защита информации от утечки по техническим каналам: Учебн. пособие. - M.: МО РФ, 2016.
13. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c.
14. Язов Ю.K. Основы методологии количественной оценки эффективности защиты информации в компьютерных сетях. - Ростов-на-Дону: Издательство СКНЦ ВШ, 2016.
15. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c.

1. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c. ↑

2. Запечников C.B. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Ушаков Д.B. - M.: Горячая линия - Телеком, 2015. - 686 c. ↑

3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c. ↑

4. Запечников C.B. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Ушаков Д.B. - M.: Горячая линия - Телеком, 2015. - 686 c. ↑

5. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c. ↑

6. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c. ↑

7. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c. ↑

8. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c. ↑