Защита информации

Конечная цель процедур идентификации и аутентификации объекта (субъекта) – допуск его  к информации ограниченного пользования  в случае положительной проверки либо отказ в допуске в случае отрицательного исхода проверки.

Объектами идентификации  и аутентификации могут быть: люди (пользователи, операторы и др.); технические  средства (мониторы, рабочие станции, абонентские пункты); документы (ручные, распечатки и др.); магнитные носители информации; информация на экране монитора и др.

Установление подлинности  объекта может производиться  аппаратным устройством, программой, человеком  и т.д.

Защита паролями. Пароль – это совокупность символов, определяющая объект (субъекта). При выборе пароля возникают вопросы о его размере, стойкости к несанкционированному подбору, способам его применения. Естественно, чем больше длина пароля, тем большую безопасность будет обеспечивать система, ибо потребуются большие усилия для его отгадывания. При этом выбор длины пароля в значительной степени определяется развитием технических средств, их элементной базой и быстродействием.

В случае применения пароля необходимо периодически заменять его  на новый, чтобы снизить вероятность  его перехвата путем прямого  хищения носителя, снятия его копии и даже физического принуждения человека. Пароль вводится пользователем в начале взаимодействия с компьютерной системой, иногда и в конце сеанса (в особо ответственных случаях пароль нормального выхода может отличаться от входного). Для правомочности пользователя может предусматриваться ввод пароля через определенные промежутки времени.

Пароль может использоваться для идентификации и установления подлинности терминала, с которого входит в систему пользователь, а  также для обратного установления подлинности компьютера по отношению к пользователю.

Для идентификации пользователей  могут применяться сложные в  плане технической реализации системы, обеспечивающие установление подлинности  пользователя на основе анализа его  индивидуальных параметров: отпечатков пальцев, рисунка линий руки, радужной оболочки глаз, тембра голоса и др.

Широкое распространение  нашли физические методы идентификации  с использованием носителей кодов  паролей. Такими носителями являются пропуска в контрольно-пропускных системах; пластиковые карты с именем владельца, его кодом, подписью; пластиковые карточки с магнитной полосой; пластиковые карты с встроенной микросхемой (smart-card); карты оптической памяти и др.

Средства защиты информации по методам реализации можно разделить  на три группы:

• программные;
• программно-аппаратные;
• аппаратные.

Программными средствами защиты информации называются специально разработанные программы, которые  реализуют функции безопасности вычислительной системы, осуществляют функцию ограничения доступа  пользователей по паролям, ключам, многоуровневому доступу и т.д. Эти программы могут быть реализованы практически в любой операционной системе, удобной для пользователя. Как правило, эти программные средства обеспечивают достаточно высокую степень защиты системы и имеют умеренные цены. При подключении такой системы в глобальную сеть вероятность взлома защиты увеличивается. Следовательно, этот способ защиты приемлем для локальных замкнутых сетей, не имеющих внешний выход.

Программно-аппаратными  средствами называются устройства, реализованные на универсальных или специализированных микропроцессорах, не требующие модификаций в схемотехнике при изменении алгоритма функционирования. Эти устройства также адаптируются в любой операционной системе, имеют большую степень защиты. Они обойдутся несколько дороже (их цена зависит от типа операционной системы). При этом данный тип устройств является самым гибким инструментом, позволяющим вносить изменения в конфигурацию по требованию заказчика. Программно-аппаратные средства обеспечивают высокую степень защиты локальной сети, подключенной к глобальной.

Аппаратными средствами называются устройства, в которых  функциональные узлы реализуются на сверхбольших интегральных системах (СБИС) с неизменяемым алгоритмом функционирования. Этот тип устройств адаптируется в любой операционной системе, является самым дорогим в разработке, предъявляет высокие технологические требования при производстве. В то же время эти устройства обладают самой высокой степенью защиты, в них невозможно внедриться и внести конструктивные или программные изменения. Применение аппаратных средств затруднено из-за их высокой стоимости и статичности алгоритма.

Программно-аппаратные средства, уступая аппаратным по скорости, позволяют  в то же время легко модифицировать алгоритм функционирования и не обладают недостатками программных методов.

К отдельной группе мер  по обеспечению сохранности информации и выявлению несанкционированных  запросов относятся программы обнаружения  нарушений в режиме реального  времени.

 

1.3 Основные направления защиты документированной информации

 

В соответствии с указанными угрозами формируются задачи защиты информации в документопотоках, направленные на предотвращение или ослабление этих угроз.

Главным направлением защиты документированной  информации от возможных опасностей является формирование защищенного документооборота, то есть использование в обработке и хранении документов специализированной технологической системы, обеспечивающей безопасность информации на любом типе носителя.

Под защищенным документооборотом (документопотоком) понимается контролируемое движение конфиденциальной документированной информации по регламентированным пунктам приема, обработки, рассмотрения, исполнения, использования и хранения в жестких условиях организационного и технологического обеспечения безопасности, как носителя информации, так и самой информации.

Помимо общих для документооборота принципов защищенный документооборот  основывается на ряде дополнительных принципов:

-ограничение доступа персонала  к документам, делам и базам данных деловой, служебной или производственной необходимостью;

-персональная ответственность  должностных лиц за выдачу  разрешения на доступ сотрудников  к конфиденциальным сведениям  и документам;

-персональная ответственность  каждого сотрудника за сохранность доверенного ему носителя и конфиденциальность информации;

-жесткая регламентация порядка  работы с документами, делами  и базами данных для всех  категорий персонала, в том  числе первых руководителей.

Несколько иное содержание приобретает  в защищенном документообороте принцип избирательности в доставке и использовании конфиденциальной информации. Его основу составляет действующая в фирме разрешительная (разграничительная) система доступа персонала к конфиденциальной информации, документам и базам данных. Целью избирательности является не только оперативность доставки документированной информации потребителю, но и доставка ему только той информации, работа с которой ему разрешена в соответствии с его функциональными обязанностями. Избирательность распространяется не только на поступившие документы, но и на документы, которые составляются персоналом на рабочих местах или с которыми сотрудники только знакомятся.

Защищенность документопотоков достигается  за счет:

-одновременного использования  режимных (разрешительных, ограничительных)  мер и технологических приемов,  входящих в систему обработки  и хранения конфиденциальных  документов;

-нанесения отличительной  отметки (грифа) на чистый носитель  конфиденциальной информации или документ, в том числе сопроводительный, что позволяет выделить их в общем потоке документов;

-формирования самостоятельных,  изолированных потоков конфиденциальных  документов и (часто) дополнительного  их разделения на подпотоки  в соответствии с уровнем конфиденциальности перемещаемых документов;

-использования автономной  технологической системы обработки  и хранения конфиденциальных  документов, не соприкасающейся  с системой обработки открытых  документов.

Под исполнением конфиденциального  документа понимается процесс документирования управленческих решений и действий, результатов выполнения руководителями и сотрудниками фирмы поставленных задач и отдельных заданий, поручений, а также реализации функций, закрепленных за ними в должностных инструкциях. Факторами, инициирующими процесс исполнения, являются:

-получение руководителем,  сотрудником (исполнителем) поступившего  документа;

-письменное или устное  указание вышестоящего руководителя;

-устный запрос на  информацию или принятие решения  от других фирм, учреждений и отдельных лиц;

-задания и поручения,  включенные в рабочие планы,  графики работы, должностные инструкции  и другие организационные и  плановые документы;

-полезная информация, полученная из реферативных и  информационных сборников, рекламных  изданий.

В отличие от исполнения процесс использования документа  предполагает включение его в  информационно-документационную систему, обеспечивающую исполнение других документов, выполнение управленческих действий и  решений. Для использования в  работе обычно поступают законодательные акты, организационно-правовые, нормативные, распорядительные, справочно-информационные документы, разнообразные рекламные издания и научно-техническая информация. Процесс ознакомления с конфиденциальным документом – это информирование сотрудника фирмы или иного заинтересованного лица, осуществляемое в соответствии с резолюцией полномочного руководителя на конфиденциальном документе, о принятом этим руководителем решении или решении другой организационной структуры.

Защита документированной информации в документопотоках обеспечивается комплексом разнообразных мер режимного, технологического, аналитического и контрольного характера. Перемещение документа в процессе выполнения каждой стадии, процедуры обработки или исполнения обязательно сопровождается набором связанных учетных операций, закреплением документа за конкретным сотрудником и его персональной ответственностью за сохранность носителя и конфиденциальность информации.

Технологический процесс  учета конфиденциальных документов включает в себя ряд процедур, обязательных для любого вида учета и любого типа обработки и хранения этих документов. В процессе учета, распределения, рассмотрения, передачи поступивших документов исполнителям и возврата документов выполняется комплекс технологических и ограничительных операций, позволяющих обеспечить физическую сохранность документа и его частей, а также предотвратить разглашение и утечку информации, содержащейся в документе.

 

 

2. Построение эффективной  системы информационной безопасности

2.1 Обеспечение информационной безопасности

 

Сегодня многие российские компании решают задачи создания системы  информационной безопасности (системы  ИБ), которая соответствовала бы «лучшим практикам» и стандартам в области ИБ и отвечала современным  требованиям защиты информации по параметрам конфиденциальности, целостности и доступности. Причем, этот вопрос важен не только для «молодых» компаний, развивающих свой бизнес с использованием современных информационных технологий управления. Не менее, а скорее и более важной эта проблема является для предприятий и организаций, давно работающих на рынке, которые приходят к необходимости модернизировать существующую у них систему ИБ.

С одной стороны, необходимость  повышения эффективности системы  ИБ связана с обострением проблем защиты информации. Здесь можно упомянуть, во-первых, растущую потребность обеспечения конфиденциальности данных. Российские компании, вслед за своими западными коллегами, приходят к необходимости учитывать так называемые репутационные риски, ответственность по обеспечению конфиденциальности данных своих клиентов, субподрядчиков, партнеров. Вместе с тем, в большинстве российских компаний организационная составляющая системы ИБ проработана слабо. Например, данные как таковые зачастую не классифицированы, то есть компания не имеет четкого представления о том, какие у нее есть типы данных с позиций их конфиденциальности, критичности для бизнеса. А это влечет за собой целый ряд проблем, начиная от сложностей в обосновании адекватности мероприятий по защите информации и заканчивая невозможностью при возникновении инцидента использовать правовые методы их расследования.

Еще одна острая проблема в сфере защиты данных связана  с обеспечением непрерывности функционирования информационных систем. Для многих современных компаний, прежде всего, финансовых организаций, производственных холдингов, крупных дистрибьюторов бесперебойная работа информационных систем, поддерживающих основной бизнес, и доступность данных становятся критичным вопросом. Сбои в работе систем ведут к прерыванию бизнес-процессов и, соответственно, к недовольству клиентов, штрафам и другим потерям. А в обеспечении доступности данных немаловажную роль играют системы защиты, предотвращающие злонамеренные атаки на информационную систему (атаки типа «отказ в обслуживании» и др.).