Защита информации в экономических информационных системах

     Этап  анализа возможных угроз АИС  необходим для фиксирования на

определенный  момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и  определения возможных воздействий  на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что  невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего  множества возможных воздействий  лишь те, которые могут реально  произойти и нанести серьезный  ущерб владельцам и пользователям  системы.

     На  этапе планирования формируется  система защиты как единая совокупность мер противодействия различной  природы.

     Сущность  этапа реализации системы защиты заключается в установке и  настройке средств защиты, необходимых  для реализации зафиксированных  в плане защиты правил обработки  информации. Содержание этого этапа  зависит от способа реализации механизмов защиты в средствах защиты.

     Этап  сопровождения заключается в  контроле работы системы, регистрации  происходящих в ней событий, их анализе  с целью обнаружить нарушения  безопасности. В том случае, когда  состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных  средств), требуется повторение описанной  выше последовательности действий.

     Стоит отметить тот немаловажный факт, что  обеспечение защиты АИС — это  итеративный процесс, завершающийся  только с завершением жизненного цикла всей системы.

     Можно выделить следующие 3 направления управления защиты информации в экономических информационных системах, которые представлены на рисунке 3.1.  
 
 
 
 
 
 
 
 
 

     

       
 
 

       
 
 
 

     Рис. 3.1. Управление защитой компьютерной безопасностью.⁶ 

     К правовому обеспечению  защиты информации относятся действующие в стране законы, указы и другие нормативно - правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

     Инженерно-техническая  защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

     Инженерно-техническая  защита использует следующие средства:

• физические средства;
• аппаратные средства;
• программные средства;
• криптографические средства.

     В свою очередь  организационные мероприятия  и процедуры, используемые для решения  проблемы безопасности информации, решаются на всех этапах проектирования и в  процессе эксплуатации АИТ.

     Среди организационных  мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.

     Следует отметить, что без надлежащей организационной  поддержки программно-технических  средств защиты информации от несанкционированного доступа и точного выполнения, предусмотренных проектной документацией  процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти  программно-технические средства не были.

     Создание базовой системы зашиты информации в АИТ основывается на следующих принципах: 
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты. 
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации. 
3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации. 
4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала. 
5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты. 
6. “Прозрачность” системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ. 
7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации. 
для того что бы осуществлять качественную защиту информации в экономических информационных системах, необходимо осуществлять управление защиты информации. (рис. 3.2.) 

 

 

   

 

 

 

 

   
 

 Рис.3.2. Управление защитой информации. 

     К основным методам защиты информации в ЭИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение. (рис 3.3.)

     Рис. 3.3. Методы и средства информационной безопасности экономического объекта. 

     Итак, рассмотрим каждый из этих методов  в отдельности.

     Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

     Управление  доступом - метод защиты информации путем регулирования использования всех ресурсов информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

     - идентификацию пользователей, персонала  и ресурсов системы;

     - опознание объекта или субъекта  по предъявленному им идентификатору;

     - проверку полномочий (проверка соответствия  дня недели, времени суток, запрашиваемых  ресурсов и процедур установленному  регламенту);

     - разрешение и создание условий  работы в пределах установленного  регламента;

     - регистрацию обращений к защищаемым  ресурсам;

     - реагирование (сигнализация, отключение, задержка работ, отказ в запросе)  при попытках несанкционированных  действий.

     Маскировка — метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

     Регламентация — метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

     Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

     Побуждение — такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). ⁷

     Рассмотренные методы обеспечения безопасности реализуются  на практике за счет применения различных  средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические как это представлено на рисунке 2.3.

     К основным средствам защиты, используемым для создания механизма защиты, относятся  следующие:

1. Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.
2. Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций зашиты информации.
3. Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).
4. Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.
5. Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

     Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография — это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

     Сущность  криптографических методов заключается  в том, что для предотвращения несанкционированного доступа к  какому-либо сообщению оно зашифровывается. Когда санкционированный пользователь получает это сообщение, он дешифрует  или раскрывает его посредством  обратного преобразования криптограммы.

     Криптографическая система основывается на использовании  специального алгоритма, который запускается  уникальным числом, называемым шифрующим  ключом. Для обмена зашифрованными сообщениями, как отправителю, так  и получателю необходимо знать правильную ключевую установку и хранить  ее в тайне.

     Наряду  с шифрованием используются и  другие механизмы безопасности:

     - цифровая (электронная) подпись;

     - контроль доступа;

     - обеспечение целостности данных;

     - обеспечение аутентификации;

     - управление маршрутизацией;

     - арбитраж или освидетельствование. 

       Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем.

     Механизмы контроля доступа осуществляют проверку полномочий объектов ИТ (программ и пользователей) на доступ к ресурсам сети.

     Механизмы обеспечения целостности  данных  реализуются выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке.

     Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по физически ненадежным каналам.

     Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами ИТ, третьей стороной (арбитром).