Место системы защиты информации в информационных технологиях

 

Содержание

 

 

 

 

 

Особую роль и место в деятельности по защите информации занимают мероприятия по созданию комплексной защиты, учитывающие угрозы национальной и международной безопасности и стабильности, в том числе обществу, личности, государству, демократическим ценностям и общественным институтам, суверенитету, экономике, финансовым учреждениям, развитию государства.

Информационные технологии

Перед тем как определим место  системы защиты, необходимо узнать, что в себе несет термин «информационные технологии». Каждый автор по-своему трактует это определение, но более понятным и доступным, показалось это.

Информационная технология (ИТ) — совокупность методов и способов получения, обработки, представления информации, направленных на изменение ее состояния, свойств, формы, содержания и осуществляемых в интересах пользователей.

Из этого определения можно  сказать, что защита информации в информационных технологиях в современных условиях становится все более сложной проблемой, это обусловлено такими обстоятельствами: каждая отрасль требует контроля и учета; усложнение информационных технологий; необходимость защиты всех типов информации; расширяются возможности несанкционированных действий над информацией.

Операции, которые выполняются  с информацией:

• сбор и регистрация информации;
• передача информации;
• ввод информации;
• обработка информации;
• вывод информации;
• хранение информации;
• накопление информации;
• поиск информации;
• анализ информации.

Каждый из этих этапов подвергается опасности.

Информационная безопасность

Задачи информационной безопасности сводятся, к минимизации ущерба при  возможных действиях, а также  к прогнозу и предотвращении таким действиям.

Соответственно, составляющими информационной безопасности являются:

• определение объектов, на которые  могут быть направлены угрозы;

• выявление существующих и возможных  угроз;

• определение возможных источников угрозы;

• оценка рисков;

• методы и средства обнаружения  вражеской действия;

• методы и средства защиты от известных  угроз;

• методы и средства реагирования при инцидентах.

Информация как объект в информационных системах могут подвергаться угрозам  а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивная, для того, чтобы влиять на нее, нужно влиять на носитель или систему, в которой информация «живет».

Выявление угроз безопасности

Под угрозой информационной системе  понимают потенциально возможный действие, что делается злоумышленником, которое  может привести к прямого или  косвенного ущерба.

Атакой на информационную систему это действие или некоторая последовательность действий, предпринимаемых злоумышленником для достижения несанкционированного результата, в обход установленных политик безопасности.

Действующие стандарты  и рекомендации в области информационной безопасности

К основополагающим документам в области  информационной безопасности относятся:

• «Оранжевая книга» (TCSEC);

• «Радужная серия»;

• «Гармонизированные критерии Европейских стран» (ITSEC);

• «Концепция защиты от НСД» Гостехкомиссии при Президенте РФ;

• «Рекомендации X.800».

Каждая из этих стандартов имеет  основные критерии оценки надежных систем:

Политика безопасности

- произвольное управление доступом;

− безопасность повторного использования объектов;

− метки безопасности;

− принудительное управление доступом.

Гарантированность

Надежность

Правовые и организационные методы защиты информации

Комплексная защита информации создается  на объектах для блокирования всех возможных или наиболее вероятных  угроз безопасности информации. Для  определения той или иной угрозы используется совокупность средств и методов защиты, некоторые из них защищают от нескольких угроз одновременно.

Среди методов защиты имеются и  универсальные методы, являющиеся базовыми при построении любой системы  защиты.

Правовые методы защиты информации служат основой для построения и использования системы защиты.

Организационные методы защиты информации используются для определения нескольких угроз, кроме того, их использование в любой системе защиты обязательно.

В каждом государстве присутствует правовая политика, на основе которой защищают информацию. В России обеспечивают соблюдение следующих указов Президента, федеральных законов, постановлений Правительства Российской Федерации, руководящих документов Гостехкомиссии России и других нормативных документов, основные из них:

Федеральный закон о персональных данных принят государственной думой 8 июля 2006 года

Федеральный закон об информации, информационных технологиях и о  защите информации принят 8 июля 2006 года

Доктрина информационной безопасности Российской Федерации, утвержденная 9 сент. 2000 г.;

Способы защиты информации

Помимо естественных способов выявления  и своевременного устранения угроз  и атак, используют следующие специальные  способы защиты информации от нарушений  работоспособности компьютерных систем:

• внесение структурной, временной, информационной и функциональной избыточности компьютерных ресурсов - замена и исправление в аппаратных компонентах, периодическое или постоянное резервирование (архивирование) данных, копирование функций или установка дополнительных функций в программно-аппаратные ресурсы;
• защиту от некорректного использования ресурсов компьютерной системы - корректном функционировании программного обеспечения;
• выявление и своевременное устранение ошибок на этапах разработки программно-аппаратных средств - качественное выполнение базовых стадий разработки.

Опыт применения систем ЗИ (СЗИ) показывает, что эффективной может быть лишь комплексная система защиты информации (КСЗИ), сочетающая следующие меры.

1. Законодательные. Использование законодательных актов, регламентирующих права и обязанности физических и юридических лиц, а также государства в области ЗИ.

2. Морально-этические. Создание и поддержание такой моральной атмосферы, где нарушение регламентированных правил поведения оценивалось резким негативом.

3. Физические. Создание физических препятствий для доступа посторонних лиц к охраняемой информации.

4. Административные. Организация соответствующего режима секретности, пропускного и внутреннего режима.

5. Технические. Применение электронных и других устройств для ЗИ.

6. Криптографические. Применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа.

7. Программные. Применение программных средств ограничения доступа.

Классификация методов  и средств ЗИ

Методы защиты делятся на организационные, технические, криптографические и программные.

Средства защиты - на постоянно действующие и включаемые при обнаружении попытки нападения. По активности - на пассивные, полуактивные и активные. По уровню обеспечения ЗИ средства защиты подразделяются на 4 класса: системы слабой защиты (1 класс), системы сильной защиты, системы очень сильной защиты, системы особой защиты.

Общая схема проведения работ по ЗИ

Алгоритм проведения работ по ЗИ должен быть следующим.

1. Нахождение информации, которой требуется защита и определение объёма средств, для обеспечения этой защиты.

2. Выявить или спрогнозировать, все угрозы сохранности и возможные каналы утечки информации.

3. Анализ мероприятий по ЗИ объекта.

Средства защиты информации

Техническими называются такие  средства защиты информации, в которых  основная защитная функция реализуется техническим устройством (комплексом или системой).

Достоинствами технических средств защиты информации (ТСЗИ) является:

• достаточно высокая надежность;

• достаточно широкий круг задач;

• возможность создания комплексных систем ЗИ (КСЗИ);

• гибкое реагирование на попытки несанкционированного воздействия;

• традиционность используемых методов осуществления защитных функций.

В каждом объекте  есть свои достоинства и недостатки. Так основными недостатками ТСЗИ является: высокая стоимость, постоянный контроль, ложные тревоги.

Программными СЗИ называются специальные программы, входящие в состав программного обеспечения для решения в них задач защиты. Программные СЗИ являются непременной и важнейшей частью механизма защиты современных информационных технологий. Отличаются следующими достоинствами: универсальностью, гибкостью, простой реализацией, надежностью, возможностью модификации и развития.

Недостатками программных СЗИ являются: возможность реализации только при наличии процессора, необходимость использования времени работы процессора, уменьшение объёмов оперативной памяти и памяти на внешних запоминающих устройствах, возможность случайного или умышленного изменения, ограниченность из-за ориентации на архитектуру.

Из этого вытекают три принципиально важных требования к формированию программных СЗИ: функциональная полнота, гибкость и унифицированность использования.

Сложным методом является криптографический метод, так как многие из них находятся в стадии развития и становления.

Наиболее целесообразной представляется такая классификация: шифрование, кодирование, сжатие, рассечение.

Современная криптография изучает  и развивает 4 основные направления:  симметричные криптосистемы (с секретным  ключом);  несимметричные криптосистемы (с открытым ключом); системы электронной  подписи;  системы управления ключами.

Самые популярные из них это шифрование и кодирование. Существует много разных шифров и кодов, с помощью которых выполняются эти операции, например:

• DES (Data Encryption Standard);
• Blowfish;
• IDEA (International Decryption-Encryption Algorithm);
• ГОСТ 28147-89;
• RSA (авторы: Rivest, Shamir и Alderman);
• PGP.

В симметричных криптоалгоритмах (DES, ГОСТ, Blowfish, RC5, IDEA) для шифрования и расшифрования информации используется один и тот же секретный ключ.

Достоинствами являются: простота программной  и аппаратной реализации; высокая скорость работы в двухсторонних направлениях; обеспечение необходимого уровня защиты при использовании коротких ключей.

К основным недостаткам этих криптоалгоритмов относится: увеличение затрат по обеспечению  дополнительных мер секретности  при распространении ключей, условие полного доверия корреспондентов.

В несимметричных криптоалгоритмах (RSA, PGP, ECC) прямое и обратное преобразования выполняются с использованием открытого  и секретного ключей, которые не имеют взаимосвязи, позволяющей по одному ключу вычислить другой. С помощью открытого ключа практически любой пользователь может зашифровать свое сообщение или проверить электронно-цифровую подпись. Расшифровать такое сообщение или поставить подпись может только владелец секретного ключа.

Такие алгоритмы позволяют реализовать протоколы типа цифровой подписи, обеспечивают открытое распространение ключей и надежную аутентификацию в сети, устойчивую даже к полному перехвату трафика.

Существует также скремблирование  – шифрование речевых сигналов, который имеет два вида аналоговый и дискретизация с шифрованием. Каждый из этих методов имеет свои достоинства и недостатки.

Так, для аналоговых скремблеров  характерно присутствие при передаче в канале связи фрагментов исходного  открытого речевого сообщения, которое злоумышленники могут попытаться перехватить и проанализировать передаваемую информацию на уровне звуковых сигналов.

Технология создания широкополосных систем, предназначенных для закрытия речи, хорошо известна, а ее реализация не представляет особых трудностей. При этом используются такие методы кодирования речи, как АДИКМ (адаптивная дифференциальная и импульсно-кодовая модуляция), ДМ (дельта-модуляция) и т.п. Но представленная таким образом дискретизированная речь может передаваться лишь по специально выделенным широкополосным каналам связи с полосой пропускания 4,8–19,2 кГц. Это означает, что она не пригодна для передачи по линиям телефонной сети общего пользования. Посредством дискретного кодирования речи с последующим шифрованием всегда достигалась высокая степень закрытия. Ранее этот метод имел ограниченное применение в имеющихся узкополосных каналах из-за низкого качества восстановления передаваемой речи.