Методы защиты
Управление
Маскировка
Препятствия
Регламентация
Побуждение
Принуждение
Рисунок 3 – Классификация методов защиты по способам реализации
Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, ОС, программы, БД, элементы данных и т.п. Управление защитой данных реализует процесс целенаправленного воздействия подсистемы управления системой обеспечения безопасности данных (СОБД) на средства и механизмы защиты данных и компоненты ИС с целью обеспечения безопасности данных.
Препятствия – установка преград нарушителю на пут к защищаемым данным. Преграды могут быть физического характера (ограждения, двери, окна, турникеты и т.п.), организационного (вахта, пропускная система
Маскировка представляет собой метод защиты данных путем их криптографического закрытия.
Регламентация как метод защиты заключается в разработке и реализации в процессе функционирования ИС комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск НСД к данным. Регламентация охватывает как структурное построение ИС, так и технологию обработки данных, организацию работы пользователей и персонала сети.
Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными ноpмами.
Пpинуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными.
На основе перечисленных методов создаются средства защиты данных. Все средства защиты данных можно разделить на формальные и неформальные (рисунок 4).
СРЕДСТВА ЗАЩИТЫ
ФОРМАЛЬНЫЕ
НЕФОРМАЛЬНЫЕ
Технические
Организационные
Законодательные
Морально-этические
Физические
Аппаратные
Программные
Программно-аппаратные
Криптографические
Контроль доступа и полномочий
Антивирусная защита и брандмауэр
Рисунок 4 – Классификация средств защиты
Формальными называются такие средства защиты, которые выполняют свои функции по заранее установленным процедурам без вмешательства человека. К формальным средствам защиты относятся технические и программные средства.
К техническим средствам защиты относятся все устройства, которые предназначены для защиты данных. В свою очередь, технические средства защиты можно разделить на физические и аппаратные. При этом физическими называются средства защиты, которые создают физические препятствия на пути к защищаемым данным и не входят в состав аппаратуры ИС, а аппаратными средства защиты данных, непосредственно входящие в состав аппаратуры ИС: сверхвысокочастотные (СВЧ), ультразвуковые (УЗ) и инфракрасные (ИК) системы, лазерные и оптические системы, телевизионные (ТВ) системы, кабельные системы, системы защиты окон и дверей. Физические средства защиты выполняют следующие основные функции :
охрана территории и зданий ;
охрана внутренних помещений ();
охрана оборудования и наблюдение за ним;
контроль доступа в защищаемые зоны;
нейтрализация излучений и наводок;
создание препятствий визуальному наблюдению и подслушиванию;
противопожарная защита;
блокировка действий нарушителя;
зашумляющие генераторы излучений и т.п.
Под аппаратными средствами защиты понимаются специальные средства, непосредственно входящие в состав технического обеспечения ИС и выполняющие функции защиты как самостоятельно, так и в комплексе с другими средствами.
Аппаратные средства защиты данных можно условно разбить на группы согласно типам аппаратуры, в которых они используются. В качестве таких групп рассмотрим следующие:
средства защиты процессора;
средства защиты памяти;
средства защиты терминалов;
средства защиты устройств ввода-вывода;
средства защиты каналов связи;
устройства уничтожения информации на магнитных носителях;
устройства сигнализации о нарушении регистров границ памяти и т.п.
Программными называются средства защиты данных, функционирующие в составе программного обеспечения ИС.
Криптографические средства представляют, группу программных средств, обеспечивающих преобразование данных (прямое - шифрация и обратное - дешифрация) для полного или частичного скрытия сведений. Семантическое содержание данных после шифрации полностью скрыто. Обратное преобразование (дешифрация) позволяет восстановить исходное сообщение. Наиболее эффективна криптографическая защита при передаче данных по каналам связи, особенно по безпроводным. Среди алгоритмов криптографического преобразования известны:
Подстановка моно- и много-алфавитная;
Перемешивание символов и перестановка битов;
Частичная (выборочная) шифрация – принцип Кирхгофа;
Рандомизация;
Рассеивание;
Хэширование и другие.
Контроль доступа и полномочий представляет группу, в которую входят программные средства препятствующие несанкционированному входу в ИС, доступу к данным без требуемых полномочий, обеспечивающие своевременное обнаружение и устранение разрушения данных. Реализованы следующие процедуры:
Регистрация всех пользователей и администраторов ИС – присвоение регистрационного имени и определение вида процедуры проверки подлинности. Проверка подлинности может быть реализована с помощью паролей, биометрических параметров пользователя, электронных карт и магнитных ключей (Touch memory);
Аутентификация - процедура проверки подлинности данных и субъектов информационного взаимодействия исключительно на основе внутренней структура самих данных;
Контроль полномочий – проверка права пользователя технических средств или любого другого элемента ИС осуществлять те или иные процедуры над защищаемыми данными. Используются матрицы полномочий, в которых элемент Ai, j характеризует права i-го пользователя по отношению к j-му ресурсу (данные и/или технические средства).
Антивирусная защита – организация защиты компьютера от вирусов и других угроз безопасности с помощью установки и использования обновленного антивирусного программного обеспечения, настройки работы электронной почты и программного обеспечения Интернета таким образом, чтобы затруднить доступ зараженных файлов на компьютер. Кроме обновленного антивирусного программного обеспечения следует использовать возможность сканирования в режиме реального времени (в зависимости от марки оборудования этот параметр может иметь другое название). С помощью сканирования в режиме реального времени выполняется проверка файлов до момента их открытия и использования. Совместно с антивирусной защитой используется брандмауэр – специализированное программное обеспечение Windows встроен в Windows XP и включен автоматически для защиты компьютера от несанкционированного доступа через сеть или Интернет, блокируется любая потенциально вредоносная активность.
Нефоpмальными называются такие средства защиты, которые реализуются в результате деятельности людей, либо регламентируют эту деятельность. Неформальные средства включают организационные, законодательные и морально-этические меры и средства.
Под организационными средствами защиты понимаются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС для обеспечения безопасности данных:
учет требований защиты при подборе и подготовке кадров
организацию плановых и внезапных проверок функционирования механизмов защиты в СОБД;
планирование всех мероприятий по обеспечению безопасности данных: разработку документов по обеспечению безопасности данных т.д.
организация надёжного пропускного режима;
организация технологического цикла обработки и передачи данных (регламентация использования данных);
организация и контроль работы обслуживающего персонала;
организация интерфейса пользователей с сетью;
организация ведения протоколов обмена;
распределение реквизитов разграничения доступа между пользователями (паролей, профилей полномочий, списков доступа и т.п.).
Законодательные меры позволяют сдерживать потенциальных преступников, причем под законодательными мерами понимаются акты, которыми регламентируются правила использования данных ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. На Государственную техническую комиссия (ГТК) и её органы на местах возложено проведение единой технической политики и координации работ по защите информации от утечки по техническим каналам, от несанкционированного доступа к информации, обрабатываемой техническими средствами, и от специальных воздействий на информацию с целью ее разрушения, искажения и уничтожения. Основные задачи:
разработка общей технической политики и концепции защиты
информации;
разработка законодательно-правового обеспечения проблем
защиты информации и участие в подготовке законодательных актов в
смежных областях;
разработка нормативно-технических и организационно
распорядительных документов;
руководство работами по сертификации;
руководство работами по лицензированию;
контроль эффективности защиты информации;
руководство подготовкой кадров;
финансирование работ по защите информации.
К морально-этическим ноpмам защиты относятся всевозможные нормы, которые традиционно сложились или складываются по мере развития информатизации общества. Такие нормы не являются обязательными, однако , их несоблюдение ведет , как правило, к потере авторитета, престижа человека, группы лиц или целой организации. Считается, что этические нормы оказывают положительное воздействие на персонал и пользователей.
Морально-этические нормы могут быть неписанными (например, общепринятые нормы честности, патриотизма и т.п.) и оформленными в качестве свода правил и предписаний (кодексов). В качестве примера можно привести выдержку из кодекса, разработанного американской ассоциацией пользователей ЭВМ (АПЭВМ) [7]:
"Член АПЭВМ в каждом случае, когда он соприкасается с данными, касащимися отдельных лиц, должен всегда учитывать принципы сохранения тайны, принадлежащей отдельному лицу, и стремиться выполнять следующие положения:
минимизировать объем собираемых сведений;
ограничивать разрешенный доступ к данным;
обеспечивать соответствующую секретность данных;
определять необходимую длительность периода хранения данных;
обеспечивать соответствующую передачу данных".
В РФ создано несколько ассоциаций пользователей ЭВМ, но в их кодексах вопросы защиты информации не нашли достаточного отражения. Например, статья 4 Устава Ассоциации пользователей персональных ЭВМ гласит: "Ассоциация берет на себя контрольные общественные функции в рамках компетенции, в частности выработку и поддержку общественных ноpм в области защиты авторских прав разработчиков программных средств, систем и научно-методических материалов".
4.2 Инвентаризация методов и средств защиты информации в информационной системе
Целью инвентаризации является составление полного перечня средств защиты информационных элементов. Список элементов определяется после классификации объектов информационной системы (п.2 МУ). Этот список требуется для определения физических и технологических объектов ИС, которые защищены. Инвентаризация средств защиты может производиться по 3-м направлениям:
Изучение нормативных документов по организации защиты информации, действующих в ИС (в государстве, в отрасли, на предприятии, в подразделении и т.д.). Выявляются законодательные, морально-этические методы защиты. Из должностных инструкций выделяются действия, связанные с соблюдением регламента этапов решения задач: регистрация данных, формирование итогов, хранение результатов;
Анализ используемых на предприятии средств защиты данных, относящихся к формальным – технические и программные. Инвентаризация средств защиты перекрытия реально существующих и потенциально-возможных путей доступа к техническим средствам обработки, хранения и передачи данных;
Анализ используемых на предприятии средств защиты от чрезвычайных ситуаций, обеспечивающих сохранность объектов информационной обработки: противопожарная и охранная сигнализация, вневедомственная охрана и т.п.
Результаты инвентаризации могут быть занесены в матрицу анализа перекрытия каналов утечки информации. В таблице 7 приведены стандартный набор средств защиты (Сз), используемых на производственных предприятиях.
Таблица 7 – Стандартный набор средств защиты с классификационными признаками
Код Сз
|
Наименование
|
Метод защиты
|
Вид средства защиты
|
Сз01
|
Аутентификация при включении компьютера
|
Препятствие
|
Программные
|
Сз02
|
Аутентификация при входе в систему
|
Препятствие
|
Программные
|
Сз03
|
Контроль полномочий (доступа к таблицам)
|
Препятствие
|
Контроль доступа и полномочий
|
Сз04
|
Антивирусное программное обеспечение
|
Регламентация
|
Антивирусная защита
|
Сз05
|
Дверь с замком в офис
|
Препятствие
|
Технические - Физические
|
Сз06
|
Сигнализация на двери в офис
|
Регламентация
|
Технические - Аппаратные
|
Сз07
|
Датчики контроля передвижения
|
Регламентация
|
Технические – Аппаратные
|
Сз08
|
Дверь в административное здание
|
Препятствие
|
Технические – Физические
|
Сз09
|
Противопожарная сигнализация в здании
|
Регламентация
|
Технические – Аппаратные
|
Сз10
|
Пропускная система при входе на территорию завода (<�турникеты> и должностные инструкции охранника)
|
Препятствие
|
Организационные
|
Сз11
|
Видеонаблюдение в коридорах
|
Регламентация
|
Технические –Аппаратные
|
Сз12
|
Короб, защищающий кабель
|
Препятствие
|
Технические – Физические
|
Сз13
|
Инструкции пользователя ПС
|
Регламентация
|
Организационные
|
Сз14
|
Должностные инструкции системного администратора
|
Регламентация
|
Организационные
|
Сз15
|
Блоки бесперебойного питания.
|
Управление
|
Технические – Аппаратные
|
Сз16
|
Резервное копирование на съемные носители
|
Регламентация
|
Организационные
|
Сз17
|
Ведение журнала регистрации
|
Регламентация
|
Организационные
|
|