Системный подход к защите информации

2. Системный подход  к защите информации

 
 
Применение методов системного анализа  к построению системы противодействия  угрозам безопасности позволяет  заложить комплекс мероприятий по защите информации на стадии проектирования системы, обеспечив оптимальное  сочетание организационных и  технических мер защиты информации.  
 
Важность реализации этого принципа обусловлена тем, что дополнение функционирующей незащищенной автоматизированной системы средствами защиты информации сложнее и дороже, чем изначальное проектирование и построение защищенной системы.  
 
Современные средства защиты информации можно классифицировать следующим образом:  
 
- активные и пассивные технические средства, обеспечивающие защиту от утечки информации по различным физическим полям;  
 
- программные и программно-технические средства, обеспечивающие разграничение доступа к информации на различных уровнях;  
 
- программные и программно-технические средства, обеспечивающие защиту информации и подтверждение ее подлинности при передаче по каналам связи;  
 
- программно-аппаратные средства, обеспечивающие целостность программного продукта и защиту от несанкционированного его копирования;  
 
- программные средства, обеспечивающие защиту от воздействия программ-вирусов.  
 
Принцип самозащиты и конфиденциальности системы защиты информации основан на декомпозиции механизма воздействия угроз безопасности информации. При реализации такого подхода появляется возможность контролировать целостность системы защиты информации, управлять ее безопасностью, восстанавливать эту систему при ее "взломе" и/или отказах оборудования.  
 
На этапе подготовки к обработке конфиденциальной информации также существует проблема выбора средств защиты, и в частности, систем защиты информации, обрабатываемой с использованием технических средств. Такие системы должны строиться по определенным принципам. Это связано с необходимостью противодействия целому ряду угроз безопасности информации.  
 
К принципам противодействия угрозам относится принцип достаточности мер защиты информации, позволяющий реализовать эффективную защиту без чрезмерного усложнения системы защиты информации. При этом следует учитывать совместимость создаваемой системы противодействия угрозам безопасности информации с используемой операционной и программно-аппаратной структурой автоматизированной системы.

Средства защиты информации

Эффективность защиты информации в автоматизированных системах достигается  применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное  средство или материал, предназначенные  или используемые для защиты информации.

В настоящее  время на рынке представлено большое  разнообразие средств защиты информации, которые условно можно разделить  на несколько групп:

• средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;
• средства, обеспечивающие защиту информации при передаче ее по каналам связи;
• средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;
• средства, обеспечивающие защиту от воздействия программ-вирусов;
• материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

• идентификацию и аутентификацию пользователей автоматизированных систем;
• разграничение доступа зарегистрированных пользователей к информационным ресурсам;
• регистрацию действий пользователей;
• защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;
• контроль целостности СЗИ и информационных ресурсов.

В качестве идентификаторов  пользователей применяются, как  правило, условные обозначения в  виде набора символов. Для аутентификации пользователей применяются пароли. Ввод значений идентификатора пользователя и его пароля осуществляется по запросу  СЗИ с клавиатуры. Многие современные  СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем. Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие. Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

Защита информации при  передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки). Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних. Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

• стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);
• относительно высокая стоимость эксплуатация таких средств.

В целом, при определении  необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

Принцип разумной достаточности

Создать абсолютно  непреодолимую системы защиты принципиально невозможно. Поэтому при проектировании системы безопасности имеет смысл вести речь о некотором ее приемлемом уровне. При этом необходимо понимать, что высокоэффективная система защиты дорого стоит, может существенно снижать производительность защищаемого объекта и создавать ощутимые неудобства для пользователя. Важно правильно выбрать тот уровень защиты, при котором затраты, риск взлома и размер возможного ущерба были бы приемлемыми.