Методы и принципы защиты информации

     6. Страхование как метод защиты информации.

     Технические (программные) методы защиты информации в отличие от правовых и административных, призваны максимально избавиться от человеческого фактора. Действительно, соблюдение законодательных мер обуславливается только добропорядочностью и страхом перед наказанием. За соблюдением административных мер следят люди, которых можно обмануть, подкупить или запугать. Таким образом, можно избежать точного исполнения установленных правил. А в случае применения технических средств зашиты перед потенциальным противником ставится некоторая техническая (математическая, физическая) задача, которую ему необходимо решить для получения доступа к информации. В то же время легитимному пользователю должен быть доступен более простой путь, позволяющий работать с предоставленной в его распоряжение информацией без решения сложных задач [24, с. 182]. То есть техническими называются такие средства защиты информации, в которых основная защитная функция реализуется техническим устройством (комплексом или системой).

     Среди современных технических методов  защиты информации можно выделить следующие:

     · криптографическая защита различной степени конфиденциальности при передаче информации;

     · скремблирование;

     · стеганография;

     · управление информационными потоками, как в локальной сети, так и при передаче каналами связи на различные расстояния; 

     · применение механизмов учета попыток доступа извне, событий в информационной системе и печатаемых документов; 

     · обеспечение целостности программного обеспечения и информации;

     ·внедрение средств восстановления современной защиты информации;

     · осуществление физической охраны и учета техники и магнитных носителей;

     · создание специальных служб информационной безопасности.

     Криптографические методы защиты информации подразумевают применение шифрования и кодирования для сокрытия обрабатываемой и передаваемой информации от несанкционированного доступа [11, с. 16].

     Криптография (от древнегреческого «криптос» - скрытый и «графо» - пишу) – наука о методах обеспечения конфиденциальности(невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации [24, с. 58].

     Криптография  – одна из старейших наук, ее история насчитывает несколько тысяч лет. Изначально криптография изучала методы шифрования информации – обратимого преобразования открытого (исходного) текста на основе секретного алгоритма и (или) ключа в шифрованный текст (шифротекст). Традиционная криптография образует раздел симметричных криптосистем, в которых зашифрование и расшифрование проводится с использованием одного и того же секретного ключа. Помимо этого раздела современная криптография включает в себя асимметричные криптосистемы, системы электронной цифровой подписи, управление ключами, получение скрытой информации, квантовую криптографию [6, с. 91].

     Электронная цифровая подпись – последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности [18, п. 12 ст. 1].

     Скремблирование как метод защиты информации означает изменение характеристик речевого сигнала таким образом, что полученный модулированный сигнал, обладая свойствами неразборчивости, занимает ту же полосу частот, что и исходный сигнал [20, с. 118]. Скремблирование – это частный случай шифрования. Среди методик скремблирования выделяют аналоговое скремблирование (преобразование исходного речевого сигнала с целью минимизации признаков речевого сообщения, в результате которого этот сигнал становится неразборчивым и неузнаваемым) и дискретизация речи с последующим шифрованием (цифровое скремблирование) [20, с. 121].

     Стеганография в дословном прочтении означает тайнопись. Искусство криптографии, как стеганография, старо как мир, и возникло оно одновременно с возникновением письменности, продолжается по сей день, получив новое развитие с возникновением компьютеров и компьютерных сетей коммуникации. Если криптография (шифрование) подразумевает искажение сообщения для закрытия его от посторонних, то стеганография (тайнопись) предполагает сокрытие самого факта передачи сообщения с возможной одновременной зашифровкой.

     Стеганография – это совокупность методов, основывающихся на различных принципах, которые обеспечивают сокрытие самого факта существования секретной информации в той или иной среде, а также средств реализации этих методов [9, с. 309].

     В последнее время развивается метод компьютерной стеганографии – самостоятельного научного направления информационной безопасности, изучающего проблемы создания компонентов скрываемой информации в открытой информационной среде, которая может быть сформирована вычислительными системами и сетями [23, с. 211].

     Подводя итог, следует подчеркнуть, что в настоящее время средства и системы, предназначенные для защиты информации и подтверждения ее подлинности при передаче по каналам связи и, в первую очередь, криптографические устройства, производятся множеством фирм, оказывающих соответствующие услуги по защите информации. Для защиты конфиденциальной информации, передаваемой по каналам связи, могут использоваться скремблеры и шифраторы. Ряд фирм выпускает криптографические устройства, ориентированные на работу в сетях. Основой многих современных систем охраны помещений и защиты от несанкционированного доступа к информации служат электронные идентификационные устройства. Идентификатор может быть встроен в брелок, визитную карточку, пропуск. В зависимости от варианта применения автоматический идентификатор может использоваться с различными дополнительными устройствами: электронными замками, компьютерами.  
Наличие в идентификаторе изменяемой памяти позволяет использовать его для широкого класса приложений, например, для хранения личных, периодически изменяемых ключей шифрования пользователя; для хранения информации о состоянии личного счета пользователя для расчетных систем; для хранения информации о разрешенном времени прохода в пропускных системах. Использование идентификатора вместе с электронными замками дает широкие возможности по управлению доступом пользователей в режимные помещения: централизованное оперативное слежение за проходом в помещения, дистанционное управление допуском, гибкое установление правил допуска в помещения (например, по определенным дням и часам).

     Так же следует отметить, что одновременное  применение нескольких из перечисленных  мер и методов порождает комплексный  метод защиты информации. Комплексный  метод защиты информации подразумевает  использование нескольких методов  защиты одновременно и в совокупности. Это повышает эффективность проводимых мероприятий по обеспечению безопасности информации.

     ГЛАВА 3

     Принципы  защиты информации

     Под принципами защиты информации понимаются основные идеи и важнейшие рекомендации по вопросам организации и осуществлению работ для эффективной защиты конфиденциальной информации [9, с. 10].

     Данные  принципы вырабатывались на протяжении длительной практики в организации работ по защите информации. Использование данных принципов позволяет эффективно организовать работу системы безопасности, а пренебрежение ими негативно сказывается на сохранении защищаемой информации.

     Принципы  защиты информации можно условно  разделить на три следующих группы:

     ·  правовые принципы;

     ·  организационные принципы;

     · принципы, реализуемые при защите информации от технических средств.

     Правовые  принципы защиты данных.

     Правовое  регулирование защиты информации опирается  на принципы информационного права. Данные принципы, базирующиеся на положениях основных конституционных норм, закрепляют информационные права и свободы, а так же гарантируют их осуществление. Кроме того, основные правовые принципы защиты информации основываются на особенностях и юридических свойствах информации как полноценного объекта правоотношений [5, с. 305].

     Классификация правовых принципов защиты информации:

     · законность;

     Данный  принцип означает   обязанность всех субъектов общественных отношений правильно и беспрекословно придерживаться всех нормативных правовых актов, а также обеспечивать верховенство и единство закона, равенство всех перед законом и судом.

     · приоритет международного права над внутригосударственным;

     В соответствии с данным принципом в случае, если нормами международного права предусмотрены иные меры, чем предусмотренные национальным законодательством, применению будут подлежать нормы международного права.

     · собственность и экономическая целесообразность.

     Организационные принципы защиты данных.

     Роль  организационной защиты информации в системе мер безопасности определяется своевременностью и правильностью принимаемых руководством управленческих решений, при учете имеющихся в распоряжении средств, способов и методов защиты информации, также на основе действующих нормативно-методических документов.

     Организационные методы защиты предполагают проведение организационно-технических и организационно-правовых мероприятий, а так же включают в себя следующие принципы защиты информации:

     · научный подход к организации защиты информации;

     · системный и комплексный подход к организации защиты информации;

     · ограничение числа допускаемых лиц к защищаемой информации;

     · личная ответственность персонала за сохранность доверенной информации;

     · единство мнений в решении производственных, коммерческих и финансовых вопросов;

     · непрерывность процесса защиты информации.

     Принципы  защиты информации от технических средств:

     · активная защита информации;

       Данный принцип предусматривает целенаправленное навязывание ложных представлений об объекте и его устремлениях, соответственно замыслу защиты.

     · убедительная защита информации;

     Это принцип, состоящий в оправданности замысла и мер защиты условиям и обстановке. Соответствует характеру защищаемого объекта, а также свойствам окружающей среды, позволяющих применение технических средств защиты в подходящих климатических, сезонных и других условиях.

     · непрерывность процесса защиты информации;

     Данный  принцип предполагает организацию защиты объектов на всех стадиях жизненного цикла разработки и эксплуатации.

     · разнообразие средств защиты информации.

       В соответствии с данным принципом предусмотрено исключение шаблонов на этапе выбора объектов прикрытия и разнообразных путей реализации защиты, не исключая применение типовых решений [8, с. 168].

     Говоря  о принципах защиты информации, нельзя не отметить принципы правового регулирования информационных отношений в целом. К таким принципам относятся:

     · свобода поиска, получения, передачи, сбора, обработки, накопления, хранения, распространения и (или) предоставления информации, а также пользования информацией;         

     · установление ограничений распространения и (или) предоставления информации только законодательными актами Республики Беларусь; своевременности предоставления, объективности, полноты и достоверности информации;