Исследование проблем защиты информации (Классификация угроз безопасности информации)

Содержание:

Введение

В настоящее время Россия и все мировое сообщество, находится на волне информационного бума. Как свидетельствует международная практика и современная ситуация в России, правовая неурегулированность процессов обмена информации приводит к тому, что общедоступными становятся сведения, которые имеют ограниченный доступ. Это наносит серьезный ущерб не только отдельным гражданам и организациям, но и безопасности всего государства. В этой связи Президентом Российской Федерации была утверждена "Доктрина информационной безопасности Российской Федерации"1, которая является, на сегодняшний день, правовым фундаментом для формирования государственной политики в информационной сфере, а ее реализация становится одной из важных задач в деле обеспечения национальной безопасности и правопорядка в стране.

Жизнь современного общества немыслима без повсеместного применения информационных технологий. Компьютеры обслуживают банковскую систему, контролируют работу атомных реакторов, распределяют энергию, следят за расписанием поездов, управляют самолетами и космическими кораблями. Сегодня компьютерные системы и телекоммуникации определяют надежность систем обороны и безопасности страны, реализуют современные информационные технологии, обеспечивая хранение информации, ее обработку, доставку и представление потребителям.

Однако именно высочайшая степень автоматизации, к которой стремится современное общество, ставит его в зависимость от уровня безопасности используемых информационных технологий. От них зависит благополучие и жизнь людей. Массовое применение компьютерных систем, позволившее решить задачу автоматизации процессов обработки постоянно нарастающих объемов информации, сделало эти процессы чрезвычайно уязвимыми по отношению к агрессивным воздействиям и поставило перед потребителями информационных технологий новую проблему, — проблему информационной безопасности.

Примеры, подтверждающие актуальность этой проблемы, можно во множестве найти на страницах многочисленных изданий и еще больше на «страницах» Internet. Приведем только некоторые факты, свидетельствующие об актуальности проблемы безопасности информационных систем и технологий. Каждые двадцать секунд в Соединенных Штатах происходит преступление с использованием программных средств. Более 90 % всего ПО в России, странах СНГ, Китае, Вьетнаме, Болгарии и некоторых других странах является «пиратским». От вируса CIH («Чернобыль»), который активировался 26 апреля 1999г., в день 13 годовщины катастрофы Чернобыльской АЭС, пострадало более 100 тыс. компьютеров только в России.

Последние оценки потерь от сетевых вирусов уже исчисляются сотнями миллионов долларов. И в заключении следует отметить другую причину убытков компаний, которая наравне с вирусами держит пальму первенства – это ошибки, сделанные по небрежности (сбои программ резервного копирования, случайное удаление файлов, заливка кофе в системный блок и т.п.).

Сложившаяся в сфере безопасности информационных технологий ситуация еще раз подтверждает давно известную неприятную особенность технического прогресса порождать в ходе решения одних проблем новые, иногда даже более сложные.

Все вышесказанное определяет актуальность проблемы построения защищенных систем обработки информации, решение которой следует начать с анализа причин сложившейся ситуации.

Объектом исследования является информация, передаваемая по телекоммуникационным сетям.

Предметом исследования является информационная безопасность сетей.

Основной целью работы является изучение и анализ методов и средств защиты информации в сетях.

Для достижения указанной цели необходимо решить ряд задач:

Рассмотреть угрозы безопасности и их классификацию;

Охарактеризовать методы и средства защиты информации в сети, их классификацию и особенности применения;

Раскрыть возможности физических, аппаратных и программных средств защиты информации в КС, выявить их достоинства и недостатки;

Рассмотреть методы, способы и средства защиты информации в корпоративной сети.

Работа состоит из введения, двух глав, заключения и списка использованных источников.

Глава 1. Основные положения теории защиты информации

1.1 Классификация угроз безопасности информации

Организация обеспечения безопасности информации должна носить комплексный характер и основываться на глубоком анализе возможных негативных последствий. При этом важно не упустить какие-либо существенные аспекты. Анализ негативных последствий предполагает обязательную идентификацию возможных источников угроз, факторов, способствующих их проявлению и, как следствие, определение актуальных угроз безопасности информации. 

В ходе такого анализа необходимо убедиться, что все возможные источники угроз идентифицированы, идентифицированы и сопоставлены с источниками угроз все возможные факторы (уязвимости), присущие объекту защиты, всем идентифицированным источникам и факторам сопоставлены угрозы безопасности информации^[1]. 

Исходя их данного принципа, моделирование и классификацию источников угроз и их проявлений, целесообразно проводить на основе анализа взаимодействия логической цепочки: 

источник угрозы - фактор (уязвимость) - угроза (действие) - последствия (атака).

Под этими терминами будем понимать: 

Источник угрозы - это потенциальные антропогенные, техногенные или стихийные носители угрозы безопасности. 

Угроза (действие) - это возможная опасность (потенциальная или реально существующая) совершения какого-либо деяния (действия или бездействия), направленного против объекта защиты (информационных ресурсов), наносящего ущерб собственнику, владельцу или пользователю, проявляющегося в опасности искажения и потери информации. 

Фактор (уязвимость) - это присущие объекту информатизации причины, приводящие к нарушению безопасности информации на конкретном объекте и обусловленные недостатками процесса функционирования объекта информатизации, свойствами архитектуры автоматизированной системы, протоколами обмена и интерфейсами, применяемыми программным обеспечением и аппаратной платформой, условиями эксплуатации. 

Последствия (атака) - это возможные последствия реализации угрозы (возможные действия) при взаимодействии источника угрозы через имеющиеся факторы (уязвимости). 

Как видно из определения, атака - это всегда пара «источник - фактор», реализующая угрозу и приводящая к ущербу. При этом, анализ последствий предполагает проведение анализа возможного ущерба и выбора методов парирования угроз безопасности информации

Угроз безопасности информации не так уж и много. Угроза, как следует из определения, это опасность причинения ущерба, то есть в этом определении проявляется жесткая связь технических проблем с юридической категорией, каковой является «ущерб».

Проявления возможного ущерба могут быть различны:

моральный и материальный ущерб деловой репутации организации;

моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

материальный (финансовый) ущерб от разглашения защищаемой (конфиденциальной) информации;

материальный (финансовый) ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

материальный ущерб (потери) от невозможности выполнения взятых на себя обязательств перед третьей стороной;

моральный и материальный ущерб от дезорганизации деятельности организации;

материальный и моральный ущерб от нарушения международных отношений.

Ущерб может быть причинен каким-либо субъектом и в этом случае имеется на лицо правонарушение, а также явиться следствием независящим от субъекта проявлений (например, стихийных случаев или иных воздействий, таких как проявления техногенных свойств цивилизации). В первом случае налицо вина субъекта, которая определяет причиненный вред как состав преступления, совершенное по злому умыслу (умышленно, то есть деяние совершенное с прямым или косвенным умыслом или по неосторожности (деяние, совершенное по легкомыслию, небрежности, в результате невиновного причинения вреда и причиненный ущерб должен квалифицироваться как состав преступления, оговоренный уголовным правом. 

Во втором случае ущерб носит вероятностный характер и должен быть сопоставлен, как минимум с тем риском, который оговаривается гражданским, административным или арбитражным правом, как предмет рассмотрения. 

В теории права под ущербом понимается невыгодные для собственника имущественные последствия, возникшие в результате правонарушения. Ущерб выражается в уменьшении имущества, либо в недополучении дохода, который был бы получен при отсутствии правонарушения (упущенная выгода). 

При рассмотрении в качестве субъекта, причинившего ущерб какую-либо личность, категория «ущерб» справедлива только в том случае, когда можно доказать, что он причинен, то есть деяния личности необходимо квалифицировать в терминах правовых актов, как состав преступления. Поэтому, при классификации угроз безопасности информации в этом случае целесообразно учитывать требования действующего уголовного права, определяющего состав преступления. 

Вот некоторые примеры составов преступления, определяемых Уголовным Кодексом Российской Федерации. 

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копиров ание компьютерной информ ации - повторение и устойчивое запеч атление информ ации н а м ашинном или ином носителе.

Уничтожение - внешнее воздействие н а имущество, в результ ате которого оно прекр ащ ает свое физическое существов ание либо приводятся в полную непригодность для использов ания по целевому н азн ачению. Уничтоженное имущество не может быть восст ановлено путем ремонт а или реставр ации и полностью выводится из хозяйственного оборот а.

Уничтожение компьютерной информ ации - стир ание ее в п амяти ЭВМ.

Повреждение - изменение свойств имуществ а при котором существенно ухудш ается его состояние, утр ачив ается зн ачительн ая ч асть его полезных свойств и оно ст ановится полностью или ч астично непригодным для целевого использов ания.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Несанкционированное уничтожение, блокирование модификация, копирование информации - любые не разрешенные законом, собственником или компетентным пользователем указанные действия с информацией.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

Однако, говорить о злом умысле личности в уничтожении информации в результате стихийных бедствий не приходится, как и тот факт, что вряд ли стихия сможет воспользоваться конфиденциальной информацией для извлечения собственной выгоды. Хотя и в том и в другом случае собственнику информации причинен ущерб. Здесь правомочно применение категории «причинение вреда имуществу». При этом, речь пойдет не об уголовной ответственности за уничтожение или повреждение чужого имущества, а о случаях подпадающих под гражданское право в части возмещения причиненного ущерба (риск случайной гибели имущества - то есть риск возможного нанесения убытков в связи с гибелью или порчей имущества по причинам, не зависящим от субъектов.

По общему правилу в этом случае убытки в связи с гибелью или порчей имущества несет собственник, однако, гражданское право предусматривает и другие варианты компенсации причиненного ущерба. 

При рассмотрении в качестве субъекта, причинившего ущерб какое-либо природное или техногенное явление, под ущербом можно понимать невыгодные для собственника имущественные последствия, вызванные этими явлениями и которые могут быть компенсированы за счет средств третьей стороны (страхование рисков наступления события) или за счет собственных средств собственника информации. 

Например, страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов15. Объектами страхования могут быть не противоречащие законодательству Российской Федерации имущественные интересы связанные с возмещением страхователем причиненного им вреда личности или имуществу физического лица, а также вреда, причиненного юридическому лицу.

Обобщая изложенное, можно утверждать, что угрозами безопасности информации являются:

хищение (копирование) информации;

уничтожение информации;

модификация (искажение) информации;

нарушение доступности (блокирование) информации;

отрицание подлинности информации;

навязывание ложной информации^[2].

Носителями угроз безоп асности информ ации являются источники угроз. В к ачестве источников угроз могут выступ ать к ак субъекты (личность) так и объективные проявления. Причем, источники угроз могут н аходиться как внутри з ащищаемой организ ации - внутренние источники, т ак и вне ее - внешние источники. Деление источников н а субъективные и объективные опр авд ано исходя из предыдущих р ассуждений по поводу вины или риск а ущерб а информ ации. А деление н а внутренние и внешние источники опр авдано потому, что для одной и той же угрозы методы п ариров ания для внешних и внутренних источников могу быть р азными. 

Все источники угроз безопасности информации можно разделить на три основные группы:

Обусловленные действиями субъекта (антропогенные источники угроз).

Обусловленные техническими средствами (техногенные источники угрозы).

Обусловленные стихийными источниками.

1.2 Основные направления защиты информации

Среди направлений по защите информации выделяют обеспечение защиты информации от НСД (хищения, утраты, искажения, подделки, блокирования и специальных воздействий) и от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи.

Прежде всего защите подлежит та информация, в отношении которой угрозы реализуются без применения сложных технических средств перехвата информации. Так же защите подлежит речевая информация, циркулирующая в ЗП, информация обрабатываемая СВТ, выводимая на экраны видеомониторов, хранящаяся на физических носителях (в том числе носители АС), информация передающаяся по каналам связи (за пределы контролируемой зоны).

Защита информации представляет собой комплекс мероприятий по защите информации. Исходя из этого, для защиты информации применяют технические средства защиты информации (при необходимости) от утечки по техническим каналам, от НСД к защищаемой информации. Не менее значимым является своевременное предупреждение возможных угроз информационной безопасности.

В организации, обрабатывающей защищаемую информацию, необходимым является наличие структурного подразделения, в задачи которого входит обеспечение безопасности информации. Регламент данного подразделения, его функции, права и обязанности определены следующими нормативными документами:

«Типовое положение о подразделении по защите информации от иностранных технических разведок и от ее утечки по техническим каналам на предприятии (в учреждении, организации)». (Одобрено решением Гостехкомиссии России от 14 марта 1995 г. № 32)

«Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам». (Утверждено постановлением Совета Министров - Правительства Российской Федерации от 15 сентября 1993 г. № 912–51)

«Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К)». (Утверждены приказом Гостехкомиссии России от 30 августа 2002 г. № 282)

Квалификационный справочник должностей руководителей, специалистов и других служащих (Утвержден постановлением Минтруда России от 21 августа 1998 г. № 37 с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.)

В зависимости от объема работ по защите информации руководителем предприятия создается структурное подразделение по защите информации, либо назначаются штатные специалисты по этим вопросам. Подразделение по защите информации является самостоятельным структурным подразделением. Штатная численность подразделения по защите информации и его структура определяются руководителем предприятия. Указанные подразделения (штатные специалисты) подчиняются непосредственно руководителю предприятия или его заместителю^[3].

Данное структурное подразделение занимается планированием работ и согласовании мероприятий по защите информации непосредственно на объектах информатизации, на которых проводятся работы с использованием конфиденциальной информации, организует данные работы и выполняет. Определяет возможности несанкционированного доступа к информации, её уничтожения или искажения, определяет возможные технические каналы утечки конфиденциальной информации, разрабатывает соответствующие меры по защите информации. Так же участие в разработке модели «нарушителя». Разрабатывает (самостоятельно или совместно с режимными органами и др.) проекты распорядительных документов по вопросам организации защиты информации на предприятии, организует специальные проверки ТС и ЗП (при необходимости), разрабатывает предложения по совершенствованию системы защиты информации на предприятии. К функциям подразделения по защите информации можно отнести еще и разработку руководства по защите информации на предприятии, участие в разработке требований по защите информации, участие при создании системы защиты конфиденциальной информации на предприятии, участие в согласовании ТЗ (ТТЗ) на проведение работ связанных с конфиденциальной информацией, проведение периодического контроля, учет и анализ результатов контроля, участие в расследовании нарушений, разработка предложений по устранению недостатков системы защиты информации, подготовка отчетов о состоянии работ по защите информации, проведение занятий с руководством и специалистами по вопросам защиты информации^[4].

Права предоставляемые подразделению по защите информации:

Допуска к работам основных структурных подразделений предприятия, использующих в работе КИ

Готовить предложения о привлечении к проведению работ по ЗИ предприятий (учреждений, организаций), имеющих лицензии на соответствующие виды деятельности

Контролировать деятельность любого структурного подразделения предприятия по выполнению требований по ЗИ

Участвовать в работе технических комиссий предприятий при рассмотрении вопросов ЗИ

Вносить предложения руководителю предприятия о приостановке работ в случае обнаружения факта утечки (или предпосылки к утечке) конфиденциальной информации

Получать установленным порядком лицензии на выполнение работ по защите информации и при её получении оказывать услуги в этой области другим предприятиям

Рекомендуется закреплять за специалистами по защите информации конкретные направления деятельности в данной области.

Глава 2. Основные методы и средства защиты информации в сетях

2.1 Организационно – правовые методы и средства защиты

К методам и средствам организационной защиты информации относятся организационно–технические и организационно–правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

Основные свойств а методов и средств орг аниз ационной з ащиты: обеспечение полного или ч астичного перекрытия зн ачительной ч асти к ан алов утечки информ ации (н апример, хищения или копиров ания носителей информации); объединение всех используемых в КС средств в целостный мех анизм з ащиты информ ации.

Методы и средств а орг аниз ационной з ащиты информ ации включ ают в себя:

огр аничение физического доступ а к объект ам КС и ре ализ ация режимных мер;

огр аничение возможности перехв ат а ПЭМИН;

р азгр аничение доступ а к информ ационным ресурс ам и процесс ам КС (уст ановк а пр авил р азгр аничения доступ а, шифров ание информ ации при ее хр анении и перед аче, обн аружение и уничтожение апп ар атных и прогр аммных з акл адок);

резервное копирование наиболее важных с точки зрения утраты массивов документов;

профилактику заражения компьютерными вирусами.

Основой проведения организационных мероприятий является использование и подготовка законодательных и нормативных документов в области информационной безопасности, которые на правовом уровне должны регулировать доступ к информации со стороны потребителей.

В российском законодательстве позже, чем в законодательстве других развитых стран, появились необходимые правовые акты, при этом далеко не все. Можно выделить четыре уровня правового обеспечения информационной безопасности.

Международные договоры, к которым присоединилась Российская Федерация, и федеральные законы России.

Подзаконные акты, к которым относятся указы Президента РФ и постановления Правительства РФ, а также письма Высшего Арбитражного Суда РФ и постановления пленумов Верховного Суда РФ.

Государственные стандарты (ГОСТы) в области защиты информации, руководящие документы, нормы, методики и классификаторы, разработанные соответствующими государственными органами.

Локальные нормативные акты, положения, инструкции, методические рекомендации и другие документы по комплексной защите информации в КС конкретной организации^[5]. 

2.2 Технические средства защиты информации в КС

Под инженерно-техническими средств ами з ащиты информ ации понимают физические объекты, мех анические, электрические и электронные устройств а, элементы конструкции зд аний, средств а пож аротушения и другие средств а, которые обеспечив ают:

з ащиту территории и помещений КС от проникновения н арушителей;

з ащиту апп ар атных средств КС и носителей информ ации от хищения;

предотвр ащение возможности уд аленного (из–з а пределов охр аняемой территории) видеонаблюдения (подслушивания) за работой персонала и функциониров анием технических средств КС;

предотвращение возможности перехв ат а ПЭМИН, вызв анных р аботающими техническими средств ами КС и линиями перед ачи д анных;

орг аниз ацию доступ а в помещения КС сотрудников;

контроль н ад режимом р аботы персон ал а КС;

контроль н ад перемещением сотрудников КС в р азличных производственных зон ах;

противопож арную з ащиту помещений КС;

минимиз ацию м атери ального ущерб а от потерь информ ации, возникших в результ ате стихийных бедствий и техногенных ав арий.

В ажнейшей сост авной ч астью инженерно-технических средств з ащиты информ ации являются технические средств а охр аны, которые обр азуют первый рубеж з ащиты КС и являются необходимым, но недост аточным условием сохр анения конфиденци альности и целостности информ ации в КС.

К апп ар атным средств ам з ащиты информ ации относятся электронные и электронно-механические устройств а, включаемые в сост ав технических средств КС и выполняющие (самостоятельно или в едином комплексе с прогр аммными средств ами) некоторые функции обеспечения информ ационной безоп асности.

Критерием отнесения устройств а к апп ар атным, а не к инженерно-техническим средств ам защиты является обяз ательное включение в сост ав технических средств КС.

К основным апп ар атным средств ам з ащиты информ ации относятся: устройств а для ввод а идентифицирующей пользов ателя информ ации (м агнитных и пл астиковых к арт, отпеч атков п альцев и т.п.); устройств а для шифрования информ ации; устройств а для воспрепятствов ания нес анкционированному включению р абочих ст анций и серверов (электронные з амки и блокир аторы).

Примеры вспомог ательных апп ар атных средств з ащиты информ ации: устройств а уничтожения информ ации н а м агнитных носителях; устройств а сигн ализ ации о попытк ах нес анкциониров анных действий пользов ателей КС и др. Под прогр аммными средств ами з ащиты информ ации поним ают специальные прогр аммы, включ аемые в сост ав прогр аммного обеспечения КС исключительно для выполнения з ащитных функций. К основным прогр аммным средств ам з ащиты информ ации относятся: прогр аммы идентифик ации и аутентифик ации пользов ателей КС; прогр аммы р азгр аничения доступ а пользователей к ресурс ам КС; прогр аммы шифров ания информ ации; прогр аммы защиты информ ационных ресурсов (системного и прикл адного прогр аммного обеспечения, баз д анных, компьютерных средств обучения и т п.) от несанкциониров анного изменения, использов ания и копиров ания.

З аметим, что под идентифик ацией, применительно к обеспечению информ ационной безоп асности КС, поним ают однозн ачное р аспозн ав ание уникального имени субъект а КС. Аутентифик ация озн ач ает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъект а).

Примеры вспомог ательных прогр аммных средств защиты информ ации: прогр аммы уничтожения ост аточной информ ации (в блок ах опер ативной памяти, временных ф айл ах и т.п.); прогр аммы аудит а (ведения регистр ационных журн алов) событий, связ анных с безоп асностью КС, для обеспечения возможности восст ановления и док аз ательств а ф акт а происшествия этих событий; прогр аммы имит ации р аботы с н арушителем (отвлечения его н а получение якобы конфиденци альной информ ации); прогр аммы тестового контроля з ащищенности КС и др.

К преимуществ ам прогр аммных средств з ащиты информ ации относятся: простот а тир ажиров ания; гибкость (возможность н астройки н а р азличные условия применения, учитыв ающие специфику угроз информ ационной безопасности конкретных КС); простот а применения – одни программные средств а, н апример шифров ания, р абот ают в «прозр ачном» (нез аметном для пользов ателя) режиме, а другие не требуют от пользов ателя ник аких новых (по ср авнению с другими прогр амм ами) н авыков; пр актически неогр аниченные возможности их р азвития путем внесения изменений для учет а новых угроз безоп асности информ ации.

К недост атк ам прогр аммных средств з ащиты информ ации относятся: снижение эффективности КС з а счет потребления ее ресурсов, требуемых для функциониров ания прогр амм з ащиты; более низк ая производительность (по сравнению с выполняющими аналогичные функции аппаратными средствами защиты, например шифрования); пристыкованность многих программных средств защиты (а не их встроенность в программное обеспечение КС), что создает для нарушителя принципиальную возможность их обхода; возможность злоумышленного изменения программных средств защиты в процессе эксплуатации КС.

2.3 Обеспечение безопасности информационных систем

За последние годы в современном обществе произошло широкое внедрение информационных технологий, что, кроме явных положительных тенденций, породило и ряд проблем, связанных с их деятельностью. С ростом роли информационных систем увеличивается конкуренция, число пользователей, а также несанкционированный доступ к информации, хранящейся и передающейся в этих сетях. На наш взгляд за последние года информация стала гораздо уязвимей, так как произошел сильный толчок в развитии методов и способов получения каких-либо знаний путем автоматизации процессов хранения и обработки информации^[6].

К тому же происходит массовое применение персональных компьютеров, в которых циркулируют данные, применяемые либо со слабой степенью защиты, либо вовсе игнорирующее ее. Рассмотрим суть проблемы информационной безопасности и определим способы, повышающие защищенность этих систем. При защите информационных технологий особое внимание нужно уделять сохранности данных от злоумышленных разрушений, искажений и хищений программных средств и информации.

Для этих целей разработаны и активно развиваются методы и средства поддержки сохранности, такие как защита от несанкционированного доступа, вирусов и утечки информации. Все угрозы могут различаться в зависимости от способа и места воздействия, поэтому и подход к их устранению должен быть уникальным.

Выделяют несколько методов защиты информации: физические препятствия, законодательные, управление доступом и криптографическое закрытие, каждый из них помогает предотвратить разрушение, кражу и нелегальный доступ к информационным ресурсам. Рассмотрим их более подробно.

Способ физической защиты создает некое препятствие для нарушителя и ограничивает ему доступ к данным. Яркий минус данного метода состоит в том, что он защищает информацию только от «внешних» пользователей, не реагируя на тех, кто имеет доступ для входа. Второй же способ, законодательный, содержит в себе определенные законодательные акты, которые несут в себе меры наказания за нарушение правил использования данных. Третий метод, на наш взгляд, является наиболее действенным, с помощью управления доступом можно регулировать возможность входа в систему. Это осуществляется путем аутентификации пользователя, авторизации, регистрации и реагирования.

Суть криптографии заключается в шифровании данных с помощью определенных программ. Возможность дешифрования получает только санкционированный пользователь. С целью защиты данных были созданы основополагающие документы, в которых раскрываются основные понятия, требования, методы и средства обеспечения информационной безопасности^[7]:

 Оранжевая книга;

 Гармонизированные критерии Европейских стран;

  Рекомендации Х.800;

  Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации. Рассмотрим каждый из них подробней.

В 1983 году в Соединенных Штатах Америки Министерством обороны был опубликован документ под названием «Оранжевая книга», в котором раскрываются понятия и способы защиты информации. Документ четко разъясняет, какие системы считаются надежными и что нужно делать для обеспечения сохранности данных. Уровень доверия системы защиты осуществляется в выполнении двух принципов: концепция безопасности и гарантированность.

Первый принцип заключается в системе правил и норм, которые использует организация для обеспечения безопасности и защиты данных. Активным и действующим компонентом защиты является концепция безопасности системы, которая состоит из исследования угроз и возможности их устранения. Согласно «Оранжевой книге» концепция безопасности разрабатываемой системы должна состоять из отдельных компонентов.

Рассмотрим их более подробно. Ограничение доступа к данным базируется на учете личности группы или субъекта. Лично владелец информации по своему усмотрению может предоставлять и ограничивать доступ, в этом и заключается принцип произвольного управления доступом. У данного компонента есть как достоинства, например, гибкость, так и недостатки, например, разбросанная форма управления и сложность централизованного контроля.

Однако, наиболее яркий недостаток, это — оторванность прав доступа от данных, то есть появляется возможность копировать секретную информацию в средствах массовой информации (СМИ). Безопасность повторного использования объектов защищает от преднамеренного или случайного извлечения конфиденциальной информации. В первую очередь, данный тип безопасности должен быть по максимуму обеспечен для областей оперативной памяти. Метки безопасности бывают двух видов, относительно субъекта и относительно объекта информации для реализации принудительного управления доступом.

Метки субъекта содержат в себе данные о его благонадежности, а метки объекта- уровень конфиденциальности информации. Исходя из «Оранжевой книги», метки безопасности состоят из двух частей: уровень секретности и список категорий. При работе с метками необходимо заострять внимание на их целостности, то есть все субъекты и объекты должны быть помечены, чтобы не было разрыва данных, а также нужно обеспечивать и контролировать сохранность самой метки.

На сопоставление меток безопасности объектов и субъектов базируется принудительное управление доступом. Название обусловлено тем, что на него не влияют мнения субъектов. Система безопасности подразумевает правила и методы разграничения доступа, в которой дополнительно функционирует механизм подотчетности.

Его целью является контроль за деятельностью пользователей в системе в любой момент времени. Выделяют три вида средств подотчетности, это проверка подлинности, предоставление надежности пути, анализ регистрационной информации. Второй принцип, именуемый «Гарантированность», раскрывается в степени доверия, которая может быть предоставлена при использовании системы. Она может выявляться как из тестирования, так и из проверки использования системы в целом и отдельных ее частей, и показывает на сколько точно работают механизмы, ответственные за обеспечение безопасности. Относительно «Оранжевой книги» выделяют два вида гарантированности — операционная и технологическая. Первая рассматривает архитектурные и реализационные аспекты системы, а вторая способы построения и сопровождения.

Если придерживаться трактовки «Оранжевой книги», то надежное администрирование логически выделяет три роли: системного администратора, системного оператора и администратора безопасности. Отметим, что технологическая гарантированность должна включать весь жизненный цикл системы безопасности, то есть этапы ее проектирования, реализации, тестирования, внедрения и сопровождения. Все эти действия обязаны безоговорочно выполняться в соответствии с их стандартами для максимального обеспечения защиты от утечки данных и несанкционированного доступа. Как уже было сказано, за последнее время число информационных систем резко увеличилось, следовательно, увеличилось и число систем информационной защиты.

Для того, чтобы облегчить выбор между огромным перечнем систем обеспечения безопасности, специалисты ранжируют относительно данных из «Оранжевой книги» все эти системы по степени надежности. Выделяют четыре уровня надежности — D, C, B и A (с постепенным возрастанием надежности). Далее рассмотрим второй основополагающий документ, в котором отражаются правила, методы и оценки системы информационной безопасности для информационных систем, «Гармонизированные критерии Европейских стран» (ITSEC). Документ был опубликован в 1991 году четырьмя организациями Европейских стран: Франции, Германии, Великобритании и Нидерландов. Отличительная черта этих критериев состоит в отсутствии априорных требований к факторам, в которых функционирует информационная система. То есть организация при запросе сертификационной услуги четко формулирует цель оценки, в которую входят и условия, при которых будет работать система, и потенциальные угрозы, и ожидаемые функции системы безопасности. В свою очередь орган сертификации измеряет, насколько полноценно выполняются заданные цели, в какой степени корректны и эффектны механизмы защиты в описанных разработчиком условиях. Информационная безопасность в Европейских критериях базируется на следующих понятиях:  конфиденциальность; целостность; доступность.

В отличие от «Оранжевой книги», критерии функций обеспечения защиты более расширены. В состав разделов входят: идентификация и аутентификация, управление доступом, подотчетность, аудит, повторное использование объектов, точность, надежность обслуживания, обмен данными. Так как организации сами формулируют цель оценки, европейские критерии облегчают им эту задачу, предоставляя в качестве приложения описание классов функциональности. При этом выделяют три степени мощности обеспечения безопасности: высокая, средняя и базовая.

Рассмотрим третий вид документа для систем информационной безопасности, который называется «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (далее по тексту — Концепция защиты СВТ и АС от НСД к информации). В 1992 году были опубликованы пять руководящих документов, описывающие проблему несанкционированного доступа к данным. Идейной основой послужила «Концепция защиты СВТ и АС от НСД к информации».

Выделяют ряд способов кражи, взлома и НСД к информации- радиотехнические, акустические, программные и т. п. Основные принципы защиты информации заключаются в обеспечении комплекса программно-технических средств на всех технологических стадиях обработки данных. Кроме этого, должен проводиться контроль эффективности средств защиты НСД и т. п. Функции системы, описанные в Концепции, по своей сущности близки с положениями «Оранжевой книги». В документе раскрываются десять классов защиты информационных систем от несанкционированного доступа. Каждый из них содержит в себе минимальные условия по защите. В свою очередь, эти классы делятся на группы: Первая группа предполагает, что системой пользуются много пользователей, но не все они имеют право доступа ко всем данным. Вторая группа предполагает, что несколько пользователей имеют равные права использования информацией.

Третья группа предполагает, что в системе работает один пользователь, имеющий доступ ко всем данным Четвертый документ «Рекомендации Х.800» рассматривает основные функции безопасности, относящиеся к распределенным системам и к роли, которую они могут играть. Так же здесь отображаются основные механизмы для реализации сервисов. Документ был создан по причине того, что за последнее время произошло совершенствование не только информационных систем, но и угроз, связанных с ними. С этими новыми проблемами не справлялись традиционные механизмы защиты, поэтому возникла острая необходимость в создании новых функций системы защиты.

По нашему мнению, выбор способов и методов защиты информации в автоматизированных системах представляет собой сложную задачу, так как необходимо учитывать различные угрозы, стоимость программных систем защиты и условия, в которых эти системы будут работать. На наш взгляд, при выборе способа обеспечения безопасности, лучше всего руководствоваться документом «Гармонизированные критерии Европейских стран» (ITSEC).

Заключение

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

- переход от традиционной «бумажной» технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

- объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

- увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Компьютерные сети, в силу своей специфики, просто не смогут нормально функционировать и развиваться, игнорируя проблемы защиты информации.

К самым распространенным угрозам относятся ошибки пользователей компьютерной сети, внутренние отказы сети или поддерживающей ее инфраструктуры, программные атаки и вредоносное программное обеспечение.

Меры обеспечения безопасности компьютерных сетей подразделяются на: правовые (законодательные), морально-этические, организационные (административные), физические, технические (аппаратно-программные).

Организация надежной и эффективной системы архивации данных также является одной из важнейших задач по обеспечению сохранности информации в сети. Для обеспечения восстановления данных при сбоях магнитных дисков в последнее время чаще всего применяются системы дисковых массивов - группы дисков, работающих как единое устройство, соответствующих стандарту RAID.

Для выявления уязвимых мест с целью их оперативной ликвидации предназначен сервис анализа защищенности. Системы анализа защищенности (называемые также сканерами защищенности), как и рассмотренные выше средства активного аудита, основаны на накоплении и использовании знаний. В данном случае имеются в виду знания о пробелах в защите: о том, как их искать, насколько они серьезны и как их устранять.

Список использованных источников

1. Бабаш, А.В. Информационная безопасность. Лабораторный практикум: Учебное пособие / А.В. Бабаш, Е.К. Баранова, Ю.Н. Мельников. - М.: КноРус, 2013. - 136 c.
2. Гафнер, В.В. Информационная безопасность: Учебное пособие / В.В. Гафнер. - Рн/Д: Феникс, 2010. - 324 c.
3. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c.
4. Ефимова, Л.Л. Информационная безопасность детей. Российский и зарубежный опыт: Монография / Л.Л. Ефимова, С.А. Кочерга. - М.: ЮНИТИ-ДАНА, 2013. - 239 c.
5. Запечников C.B. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Ушаков Д.B. - M.: Горячая линия - Телеком, 2015. - 686 c.
6. Малюк A.A. Введение в защиту информации в автоматизированны системах: Учебн. пособие для вузов / Малюк A.A., Пaзизин C.B., Погожий H.C. - M.: Горячая линия - Телеком, 2014. - 147 c.
7. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c.
8. Петров, С.В. Информационная безопасность: Учебное пособие / С.В. Петров, И.П. Слинькова, В.В. Гафнер. - М.: АРТА, 2012. - 296 c.
9. Семененко, В.А. Информационная безопасность: Учебное пособие / В.А. Семененко. - М.: МГИУ, 2010. - 277 c.
10. Снытников A.A. Лицензирование и сертификация в области защиты информации. - M.: Гелиос АРВ, 2013. - 192 c.
11. Стрельцов A.A. Правовое обеспечение информационной безопасности России: теоретические и методологические основы. - Минск, 2015.-304 c.
12. Хорев A.A. Защита информации от утечки по техническим каналам: Учебн. пособие. - M.: МО РФ, 2016.
13. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c.
14. Язов Ю.K. Основы методологии количественной оценки эффективности защиты информации в компьютерных сетях. - Ростов-на-Дону: Издательство СКНЦ ВШ, 2016.
15. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c.

1. Партыка, Т.Л. Информационная безопасность: Учебное пособие / Т.Л. Партыка, И.И. Попов. - М.: Форум, 2012. - 432 c. ↑

2. Запечников C.B. Информационная безопасность открытых систем. Часть 1: Учебник для вузов / Запечников C.B., Милославская H.Г., Толстой A.И., Ушаков Д.B. - M.: Горячая линия - Телеком, 2015. - 686 c. ↑

3. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c. ↑

4. Громов, Ю.Ю. Информационная безопасность и защита информации: Учебное пособие / Ю.Ю. Громов, В.О. Драчев, О.Г. Иванова. - Ст. Оскол: ТНТ, 2010. - 384 c. ↑

5. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c. ↑

6. Ярочкин, В.И. Информационная безопасность: Учебник для вузов / В.И. Ярочкин. - М.: Акад. Проект, 2015. - 544 c. ↑

7. Шаньгин, В.Ф. Информационная безопасность компьютерных систем и сетей: Учебное пособие / В.Ф. Шаньгин. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 416 c. ↑