Анализ существующей системы защиты информации на предприятии

     - уничтожение, разрушение или хищение  машинных или других оригиналов носителей информации;

     - хищение аппаратных или программных  ключей и средств криптографической защиты информации;

     - воздействие на персонал;

     - поставку "зараженных" компонентов  информационных систем.

     Радиоэлектронными способами являются:

     - перехват информации в технических каналах ее утечки;

     - внедрение электронных устройств  перехвата информации в технические средства передачи информации и помещения;

     - перехват, дешифрование и внедрение  ложной информации в сетях передачи данных и линиях связи;

     - воздействие на парольно-ключевые системы;

     - радиоэлектронное подавление линий  связи и систем управления.

     Таким образом, надежная защита «ВолгаТелеком» от различного вида угроз возможна только на основе построения комплексной системы безопасности информации на всех этапах разработки, ввода в действие, модернизации аппаратно-программных средств телекоммуникаций, а также при обработке, хранении и передаче по каналам связи информации с широким применением современных средств криптографической защиты.

     1.3. Задачи обеспечения безопасности

 

     - защита информации криптографическими методами;

     - подтверждение подлинности объектов  данных и пользователей (аутентификация сторон, устанавливающих связь);

     - обнаружение нарушений целостности  объектов данных;

     - обеспечение защиты технических средств и помещений, в которых ведется обработка конфиденциальной информации, от утечки по побочным каналам и от возможно внедренных в них электронных устройств съема информации;

     - обеспечение защиты программных  продуктов и средств вычислительной техники от внедрения в них программных вирусов и закладок;

     - защита от несанкционированных  действий по каналу связи от  лиц, не допущенных к средствам  шифрования, но преследующих цели  компрометации секретной информации и дезорганизации работы абонентских пунктов;

     - организационно-технические мероприятия,  направленные на обеспечение сохранности конфиденциальных данных.  

     2. Политика безопасности

     2.1. Традиционные меры и методы защиты информации

 

     «ВолгаТелеком»  для обеспечения безопасности информации проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации – это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

     Традиционные  меры для противодействия утечкам информации подразделяются на технические и организационные.

     К техническим мерам можно отнести  защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

     К организационным мерам можно  отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

     Несанкционированный доступ к информации может происходить  во время профилактики или ремонта  компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ – прочтение информации с носителя во время его транспортировки без охраны внутри объекта.

     Современные компьютерные средства в «ВолгоТелекоме» построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств (условно назовем их "шпионскими") можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

     Несанкционированное ознакомление с информацией возможно также путем непосредственного  подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

     Традиционными методами защиты информации «ВолгаТелекома» от несанкционированного доступа являются идентификация и аутентификация, защита паролями.

     Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится  принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

     Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация – это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация – это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

     Конечная цель процедур идентификации и аутентификации объекта (субъекта) – допуск его к информации ограниченного пользования в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

     Объектами идентификации и аутентификации могут быть: люди (пользователи, операторы и др.); технические средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора и др.

     Установление  подлинности объекта может производиться аппаратным устройством, программой, человеком и т.д.

     Средства  защиты информации по методам реализации можно разделить на три группы:

• программные;
• программно-аппаратные;
• аппаратные.

     2.2. Криптография и Инфраструктура открытых ключей

 

     ОАО «ВолгаТелеком» активно использует Инфраструктуру открытых ключей. Термин Инфраструктура Открытых Ключей (Public Key Infrastructure) представляет всеобъемлющее понятие. Им описывается полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования технологии с открытыми ключами. Основным компонентом инфраструктуры является собственно система управления ключами и сертификатами.

     Идея  защиты информации, передаваемой через  глобальные сети, на основе инфраструктуры сертификатов открытых ключей (PKI), использующей отечественные криптографические стандарты, относительно нова, и существует весьма малое число примеров развертывания в России подобных инфраструктур. Данному факту есть целый ряд объяснений.

     Исторически сложилось так, что инфраструктура сертификатов открытых ключей (PKI) создавалась на базе зарубежных криптостандартов (RSA, DES) с учетом их специфических особенностей. Широкое развитие за рубежом данная технология получила за счет поддержки ее со стороны таких крупных американских производителей программного обеспечения, как Microsoft, Hewlett Packard, Intel и д.р.

     Для реализации инфраструктуры открытых ключей, использующей российские криптографические  стандарты, были объединены усилия двух компаний: ЗАО МО ПНИЭИ и ООО ВАЛИДАТА. Результатом совместной работы этих двух компаний в данном направлении стал программный продукт VCERT MV.

     В качестве криптографического ядра VCERT MV использует СКЗИ Верба-OW производства компании МО ПНИЭИ.

     Также создана система CCERT PKI, использующая криптопровайдер КриптоПро CSP производства компании КриптоПро в качестве криптографического ядра.

     Система управления сертификатами VCERT MV/CCERT PKI является многокомпонентной системой, использующей Инфраструктуру Открытых Ключей для обеспечения конфиденциальности информации, контроля целостности и подтверждения авторства электронных документов на основе использования криптографических процедур, реализованных в соответствии с российскими стандартами и международными рекомендациями.

     Система управления сертификатами VCERT MV/CCERT PKI обеспечивает управление ключами и сертификатами на всем жизненном цикле их существования.

     Продолжающееся  бурное развитие компьютерных технологий и сетей кардинально изменяет устоявшиеся способы ведения бизнеса. Системы корпоративной безопасности, обеспечивающие бизнес, тоже не могут оставаться в стороне.

     В настоящее время, например, средства электронной почты, используются не только для общения между людьми, а для передачи контрактов и конфиденциальной финансовой информации. Web сервера используются не только для рекламных целей, но и для распространения программного обеспечения и электронной коммерции. Электронная почта, доступ к Web серверу, электронная коммерция, VPN требуют применения дополнительных средств для обеспечения конфиденциальности, аутентификации, контроля доступа, целостности и идентификации. В настоящее время в качестве таких средств используется стойкая криптография.

     Система криптографической защиты ОАО «ВолгаТелеком» обеспечивает:

• Конфиденциальность - Информация должна быть защищена от несанкционированного прочтения как при хранении, так и при передаче. Если сравнивать с бумажной технологией, то  это аналогично запечатыванию информации в конверт. Содержание становится известно только после того, как будет открыт запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
• Контроль доступа - Информация должна быть доступна только для того, для кого она предназначена. Если сравнивать с бумажной технологией, то только разрешенный получатель может открыть запечатанный конверт. В системах криптографической защиты обеспечивается шифрованием.
• Аутентификацию - Возможность однозначно идентифицировать отправителя. Если сравнивать с бумажной технологией, то это аналогично подписи отправителя. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.
• Целостность  - Информация должна быть защищена от несанкционированной модификации как при хранении, так и при передаче. В системах криптографической защиты обеспечивается электронной цифровой подписью и имитозащитой.
• Неотрекаемость - Отправитель не может отказаться от совершенного действия. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты обеспечивается электронной цифровой подписью и сертификатом.

     Криптографическое преобразование (шифрование) - взаимно-однозначное  математическое преобразование, зависящее от ключа (секретный параметр преобразования), которое ставит в соответствие блоку открытой информации  (представленной в некоторой цифровой кодировке) блок шифрованной информации, также представленной в цифровой кодировке. Термин шифрование объединяет в себе два процесса: зашифрование и расшифрование информации.