Проблеми захисту інформації

Мета. Навчити студентів методам за засобам захисту інформації в ЕІС. Розглянути основні види загроз безпеки ЕІС

План

1. Захист інформації і прав суб'єктів в галузі інформаційних процесів та інформатизації.

2. Методи і засоби захисту інформації в економічних інформаційних системах.

3. Види загроз безпеки ЕІС.

4. Ресурси ЕІС. Планування в середовищі інформаційної системи

1. Захист інформації

1. Захисту підлягає будь-яка документована інформація, неправомірне поводження з якою може завдати шкоди її власнику, власнику, користувачеві й іншій особі. Режим захисту інформації встановлюється: щодо відомостей, віднесених до державної таємниці, - уповноваженими органами а підставі Закону Російської Федерації "Про державну таємницю"; щодо конфіденційної документованої інформації - власником інформаційних ресурсів або уповноваженою особою на ідставі цього Закону; у відношенні персональних даних - федеральним законом. 2. Органи державної влади та організації, відповідальні за формування та використання інформаційних ресурсів, що підлягають захисту, а також органи та організації, що розробляють і застосовують інформаційні системи та інформаційні технології для формування і використання інформаційних ресурсів з обмеженим доступом, керуються у своїй діяльності законодавством Російської Федерації.

3. Контроль за дотриманням вимог до захисту інформації та експлуатацією спеціальних програмно-технічних засобів захисту, а також забезпечення організаційних заходів захисту інформаційних систем, що обробляють інформацію з обмеженим доступом в недержавних структурах, здійснюються органами державної влади. Контроль здійснюється у порядку, затвердженому Кабінетом Міністрів України.

4. Організації, що обробляють інформацію з обмеженим доступом, яка є власністю держави, створюють спеціальні служби, що забезпечують захист інформації. 5. Власник інформаційних ресурсів або уповноважені ним особи мають право здійснювати контроль за виконанням вимог щодо захисту інформації та забороняти чи призупиняти обробку інформації у разі невиконання цих вимог.

6. Власник або власник документованої інформації має право звертатися до органів державної влади для оцінки правильності виконання норм і вимог щодо захисту його інформації в інформаційних системах. Відповідні органи визначає Уряд Російської Федерації. Ці органи дотримуються умови конфіденційності самої інформації та результатів перевірки. 1.1. Права та обов'язки суб'єктів у сфері захисту інформації

1. Власник документів, масиву документів, інформаційних систем або уповноважені ним особи відповідно до цього Закону встановлюють порядок надання користувачу інформації із зазначенням місця, часу, відповідальних посадових осіб, а також необхідних процедур та забезпечують умови доступу користувачів до інформації.

2. Власник документів, масиву документів, інформаційних систем забезпечує рівень захисту інформації відповідно до законодавства Російської Федерації.

3. Ризик, пов'язаний з використанням несертифікованих інформаційних систем та засобів їх забезпечення, лежить на власника (власника) цих систем та засобів. Ризик, пов'язаний з використанням інформації, отриманої з несертифікованої системи, лежить на споживачі інформації.

4. Власник документів, масиву документів, інформаційних систем може звертатися в організації, що здійснюють сертифікацію засобів захисту інформаційних систем та інформаційних ресурсів, для проведення аналізу достатності заходів захисту його ресурсів та систем і отримання консультацій. 5. Власник документів, масиву документів, інформаційних систем зобов'язаний сповіщати власника інформаційних ресурсів і (або) інформаційних систем про всі факти порушення режиму захисту інформації.

1.2 Захист прав суб'єктів у сфері інформаційних процесів та інформатизації

1. Захист прав суб'єктів у сфері формування інформаційних ресурсів, користування інформаційними ресурсами, розробки, виробництва та застосування інформаційних систем, технологій та засобів їх забезпечення здійснюється з метою попередження правопорушень, припинення неправомірних дій, відновлення порушених прав та відшкодування заподіяної шкоди. 2. Захист прав суб'єктів у зазначеній сфері здійснюється судом, арбітражним судом, третейським cудом з урахуванням специфіки правопорушень і нанесеного збитку.

3. За правопорушення при роботі з документованою інформацією органи державної влади, організації та їх посадові особи несуть відповідальність відповідно до законодавства Російської Федерації і суб'єктів Російської Федерації. Для розгляду конфліктних ситуацій і захисту прав учасників у сфері формування і використання інформаційних ресурсів, створення і використання інформаційних систем, технологій та засобів їх забезпечення можуть створюватися тимчасові і постійні третейські суди. Третейський суд розглядає конфлікти і суперечки сторін у порядку, встановленому законодавством про третейські суди.

4. Відповідальність за порушення міжнародних норм і правил у сфері формування і використання інформаційних ресурсів, створення і використання інформаційних систем, технологій та засобів їх забезпечення покладається на органи державної влади, організації і громадян відповідно до договорів, укладених ними з зарубіжними фірмами та іншими партнерами з урахуванням міжнародних договорів, ратифікованих Російською Федерацією.

1.3. Захист права на доступ до інформації

1. Відмова в доступі до відкритої інформації або надати їм завідомо недостовірної інформації можуть бути оскаржені в судовому порядку.

Невиконання або неналежне виконання зобов'язань за договором поставки, купівлі - продажу, за іншими формами обміну інформаційними ресурсами між організаціями розглядаються арбітражним судом. У всіх випадках особи, яким відмовлено в доступі до інформації, та особи, які отримали недостовірну інформацію, мають право на відшкодування понесеного ними збитку.

2. Суд розглядає спори про необгрунтоване віднесення інформації до категорії інформації з обмеженим доступом, позови про відшкодування шкоди у випадках необгрунтованої відмови в наданні інформації користувачам або в результаті інших порушень прав користувачів. 3. Керівники, інші службовці органів державної влади, організацій, винні в незаконному обмеженні доступу до інформації та порушенні режиму захисту інформації, несуть відповідальність згідно з кримінальним, цивільним законодавством та законодавством про адміністративні правопорушення.

2. Методи і засоби захисту інформації в економічних інформаційних системах При розробці АІТ виникає проблема щодо вирішення питання безпеки інформації, що становить комерційну таємницю, а також безпеки самих комп'ютерних інформаційних систем. Сучасні АІТ володіють наступними основними ознаками: Містять інформацію різного ступеня конфіденційності; • при передачі даних мають криптографічний захист інформації різного ступеня конфіденційності; • відображають ієрархічність повноважень суб'єктів, відкривають доступ до програм, до АРМ, файл-серверів, каналам зв'язку та інформації системи; необхідність оперативного зміни цих повноважень; • організовують обробку інформації в діалоговому режимі, в режимі поділу часу між користувачами і в режимі реального часу;

• забезпечують управління потоками інформації як в локальних мережах, так і при передачі по каналах зв'язку на далекі відстані;

• реєструють і враховують спроби несанкціонованого доступу, події в системі та документах, що виводяться на друк;

• забезпечують цілісність програмного продукту та інформації в АІТ; • встановлюють наявність засобів відновлення системи захисту інформації, а також обов'язковий облік магнітних носіїв;

• створюють умови для фізичної охорони засобів обчислювальної техніки і магнітних носіїв. Організаційні заходи та процедури, які використовуються для вирішення проблеми безпеки інформації, вирішуються на всіх етапах проектування і в процесі експлуатації АІТ. Істотне значення при проектуванні надається передпроектного обстеження об'єкту. На цій стадії проводяться наступні дії:

• встановлюється наявність конфіденційної інформації в розробляється АІТ, оцінюються рівень конфіденційності і обсяги такої інформації;

• визначаються режими обробки інформації (діалоговий, телеобробки і реального часу), складу комплексу технічних засобів, загальносистемні програмні засоби і т. д.;

• аналізується можливість використання наявних на ринку сертифікованих засобів захисту інформації; • визначається ступінь участі персоналу, функціональних служб, наукових та допоміжних працівників об'єкта автоматизації в обробці інформації, характер їх взаємодії між собою і зі службою безпеки;

• вводяться заходи щодо забезпечення режиму секретності на стадії розробки системи. Серед організаційних заходів щодо забезпечення безпеки інформації важливе місце належить охорони об'єкта, на якому розташована захищається АІТ (територія будівлі, приміщення, сховища інформаційних носіїв). При цьому встановлюються відповідні пости охорони, технічні засоби, що запобігають або істотно ускладнюють розкрадання коштів обчислювальної техніки, інформаційних носіїв, а також виключають несанкціонований доступ до АІТ та ліній зв'язку. Функціонування системи захисту інформації від несанкціонованого доступу як комплексу програмно-технічних засобів і організаційних (процедурних) рішень передбачає: • облік, зберігання і видачу користувачам інформаційних носіїв, паролів, ключів; • ведення службової інформації (генерація паролів, ключів, супровід правил розмежування доступу); • оперативний контроль за функціонуванням систем захисту секретної інформації; • контроль відповідності загальносистемного програмного середовища еталону; • приймання включаються до АІТ нових програмних засобів;

• контроль за ходом технологічного процесу обробки фінансово-кредитної інформації шляхом реєстрації аналізу дій користувачів;

• сигналізацію небезпечних подій і т. д. Слід зазначити, що без належної організаційної підтримки програмно-технічних засобів захисту інформації від несанкціонованого доступу і точного виконання передбачених проектною документацією процедур в належній мірі не вирішити проблему забезпечення безпеки інформації, якими б досконалими ці програмно-технічні засоби не були.

Створення базової системи захисту інформації в АІТ грунтується на наступних принципах: 1. Комплексний підхід до побудови системи захисту при провідній ролі організаційних заходів. Він означає оптимальне поєднання програмних апаратних засобів та організаційних заходів захисту, підтверджене практикою створення вітчизняних і зарубіжних систем захисту. 2. Поділ і мінімізація повноважень з доступу до оброблюваної інформації і процедурам обробки. Користувачам надається мінімум суворо визначених повноважень, достатніх для успішного виконання ними своїх службових обов'язків, з точки зору автоматизованої обробки доступної їм конфіденційної інформації.

3. Повнота контролю та реєстрації спроб несанкціонованого доступу, то є необхідність точного встановлення ідентичності кожного користувача і протоколювання його дій для проведення можливого розслідування, а також неможливість здійснення будь-якої операції обробки інформації в АІТ без її попередньої реєстрації. 4. Забезпечення надійності системи захисту, тобто неможливість зниження її рівня при виникненні в системі збоїв, відмов, навмисних дій порушника або ненавмисних помилок користувачів і обслуговуючого персоналу.

5. Забезпечення контролю за функціонуванням системи захисту, тобто створення засобів і методів контролю працездатності механізмів захисту.

6. Прозорість системи захисту інформації для загального, прикладного програмного забезпечення і користувачів АІТ.

7. Економічна доцільність використання системи захисту. Він виражається в тому, що вартість розробки та експлуатації систем захисту інформації повинна бути менше вартості можливого збитку, що наноситься об'єкту у разі розробки та експлуатації АІТ без системи захисту інформації. До основних засобів захисту, що використовуються для створення механізму захисту, відносяться наступні. Технічні засоби представляють електричні, електромеханічні та електронні пристрої. Вся сукупність зазначених коштів ділиться на апаратні і фізичні. Під апаратними технічними засобами прийнято розуміти пристрої, що вбудовуються безпосередньо в обчислювальну техніку, або пристрою, які сполучаються з подібною апаратурою за стандартним інтерфейсу. Фізичними засобами є автономні пристрої та системи (замки на дверях, де розміщена апаратура, грати на вікнах, електронно-механічне обладнання охоронної сигналізації та ін.) Програмні засоби - це програмне забезпечення, спеціально призначене для виконання функцій захисту інформації. Організаційні засоби захисту являють собою організаційно-технічні та організаційно-правові заходи, здійснювані в процесі створення і експлуатації обчислювальної техніки, апаратури телекомунікацій.

Організаційні заходи охоплюють всі структурні елементи апаратури на всіх етапах її життєвого циклу (проектування комп'ютерної інформаційної системи банківської діяльності, монтаж і налагодження обладнання, випробування, експлуатація). Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, які склалися традиційно або складаються в міру поширення обчислювальної техніки і засобів зв'язку в суспільстві. Подібні норми здебільшого не є обов'язковими як законодавчі заходи, однак недотримання їх веде зазвичай до втрати авторитету і престижу людини. Найбільш показовим прикладом таких норм є Кодекс професійної поведінки членів Асоціацій користувачів ЕОМ США.

Законодавчі засоби захисту визначаються законодавчими актами країни, що регламентують правила користування, обробки і передачі інформації обмеженого доступу і встановлюють міри відповідальності за порушення цих правил. Всі розглянуті засоби захисту розділені на формальні (виконують захисні функції строго по заздалегідь передбаченою процедурою без безпосередньої участі людини) «неформальні» (визначені цілеспрямованою діяльністю людини або регламентують цю діяльність). Для реалізації заходів безпеки використовуються різні механізми шифрування (криптографії). Криптографія - це наука про забезпечення секретності та / або автентичності (справжності) передаються.

Сутність криптографічних методів полягає в наступному. Готове до передачі повідомлення - будь то дані, мова або графічне зображення того чи іншого документа, зазвичай називається відкритим, або незахищеним, текстом (повідомленням). У процесі передачі такого повідомлення по незахищених каналах зв'язку, воно може бути легко перехоплено або відстежено підслуховим особою у вигляді навмисних або ненавмисних дій. Для запобігання несанкціонованого доступу до повідомлення воно зашифровується, перетворюючись в шифрограму, або закритий текст. Санкціонований користувач, отримавши повідомлення, дешифрує або розкриває його за допомогою зворотного перетворення криптограми, внаслідок чого виходить вихідний відкритий текст. Метод перетворення в криптографічного системі визначається використовуваним спеціальним алгоритмом, дія якого визначається унікальним числом або бітової послідовністю, зазвичай званим шифрувальним ключем. Шифрування може бути симетричним і асиметричним. Перше грунтується на використанні одного і того ж секретного ключа для шифрування і дешифрування. Друге характеризується тим, що для шифрування використовується один загальнодоступний ключ, а для дешифрування - інший, є секретним, при цьому знання загальнодоступного ключа не дозволяє визначити секретний ключ.

Поряд з шифруванням впроваджуються наступні механізми безпеки:

• цифрова (електронна) підпис;

• контроль доступу;

• забезпечення цілісності даних;

• забезпечення аутентифікації;

• постановка графіка;

• управління маршрутизацією;

• арбітраж або огляд.

Механізми цифрового підпису грунтуються на алгоритмах асиметричного шифрування і включають дві процедури: формування підпису відправником і її впізнання (верифікацію) одержувачем. Перша процедура забезпечує шифрування блоку даних або його доповнення криптографічного, контрольною сумою, причому в обох випадках використовується таємний ключ відправника. Друга процедура грунтується на використанні загальнодоступного ключа, знання якого досить для розпізнавання відправника.

Механізми контролю доступу здійснюють перевірку повноважень об'єктів АІТ (програм і користувачів) на доступ до ресурсів мережі. При доступі до ресурсу через з'єднання контроль виконується як у точці ініціації, так і в проміжних точках, а також в кінцевій точці. Механізми забезпечення цілісності даних застосовуються до окремого блоку і до потоку даних. Цілісність блоку є необхідним, але не достатньою умовою цілісності потоку і забезпечується виконанням взаємозалежних процедур шифрування і дешифрування відправником та одержувачем. Відправник доповнює передається блок криптографічного сумою, а одержувач порівнює її з криптографічним значенням, відповідним прийнятому блоку. Розбіжність свідчить про спотворення інформації в блоці. Однак описаний механізм не дозволяє розкрити підміну блоку в цілому. Тому необхідний контроль цілісності потоку, який реалізується за допомогою шифрування з використанням ключів, змінюваних в залежності від попередніх блоків. Механізми постановки графіка, звані також механізмами заповнення тексту, використовуються для засекречування погода даних. Вони грунтуються на генерації об'єктами АІТ фіктивних блоків, їх шифруванні та організації передачі по каналах мережі. Тим самим нейтралізується можливість отримання інформації за допомогою спостереження за зовнішніми характеристиками потоків, що циркулюють по каналах зв'язку.

Механізми управління маршрутизацією забезпечують вибір маршрутів руху інформації з комунікаційної мережі таким чином, щоб виключити передачу секретних відомостей по скомпрометованим (небезпечним) фізично ненадійним каналах. Механізми арбітражу забезпечують підтвердження характеристик даних, переданих між об'єктами АІТ, третьою стороною (арбітром). Для цього вся інформація, що відправляється або одержувана об'єктами, проходить і через арбітра, що дозволяє йому згодом підтверджувати згадані характеристики. У АІТ при організації безпеки даних використовується комбінація декількох механізмів.