Содержание
- Способы защиты информации
- Способы неправомерного доступа к информации
- Методы защиты
- Организационные средства защиты информации
- Технические средства защиты информации
- Аутентификация и идентификация
- Способы и средства защиты информации 1 страница
- Программные средства защиты информации
- Классификация методов защиты информации
- Виды информационных угроз
- Современные методы защиты информации
- Основы информационной безопасности. Часть 2. Информация и средства её защиты
Способы защиты информации
Данные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.
Способы неправомерного доступа к информации
Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.
Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.
ЧЕК-ЛИСТ ПРОВЕРКИ ИНФОРМАЦИОННЫХ КАНАЛОВ
Методы защиты
На практике используют несколько групп методов защиты, в том числе:
- препятствие на пути предполагаемого похитителя, которое создают физическими и программными средствами;
- управление, или оказание воздействия на элементы защищаемой системы;
- маскировка, или преобразование данных, обычно – криптографическими способами;
- регламентация, или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
- принуждение, или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
- побуждение, или создание условий, которые мотивируют пользователей к должному поведению.
Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства – организационные и технические.
Регламент по обеспечению информационной безопасности – внутренний документ организации, который учитывает особенности бизнес-процессов и информационной инфраструктуры, а также архитектуру системы.
Организационные средства защиты информации
Разработка комплекса организационных средств защиты информации должна входить в компетенцию службы безопасности.
Чаще всего специалисты по безопасности:
- разрабатывают внутреннюю документацию, которая устанавливает правила работы с компьютерной техникой и конфиденциальной информацией;
- проводят инструктаж и периодические проверки персонала; инициируют подписание дополнительных соглашений к трудовым договорам, где указана ответственность за разглашение или неправомерное использование сведений, ставших известных по работе;
- разграничивают зоны ответственности, чтобы исключить ситуации, когда массивы наиболее важных данных находятся в распоряжении одного из сотрудников; организуют работу в общих программах документооборота и следят, чтобы критически важные файлы не хранились вне сетевых дисков;
- внедряют программные продукты, которые защищают данные от копирования или уничтожения любым пользователем, в том числе топ-менеджментом организации;
- составляют планы восстановления системы на случай выхода из строя по любым причинам.
Если в компании нет выделенной ИБ-службы, выходом станет приглашение специалиста по безопасности на аутсорсинг. Удаленный сотрудник сможет провести аудит ИТ-инфраструктуры компании и дать рекомендации по ее защите от внешних и внутренних угроз. Также аутсорсинг в ИБ предполагает использование специальных программ для защиты корпоративной информации.
Что такое ИБ-аутсорсинг и как он работает? Читать.
Технические средства защиты информации
Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:
- резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе – на регулярной основе;
- дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
- создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
- обеспечение возможности использовать резервные системы электропитания;
- обеспечение безопасности от пожара или повреждения оборудования водой;
- установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.
В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.
Аутентификация и идентификация
Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.
Идентификация – это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией.
Аутентификация – это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.
Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты – пароль.
Способы и средства защиты информации 1 страница
Причины нарушения безопасности
К причинам нарушения безопасности относятся:
1. предопределенные на стадии разработки требований выбора модели безопасности, не соответствующей назначению или архитектуре вычислительной системы;
2. обусловленные принципами организации системы обеспечения безопасности:
a. неправильное внедрение модели безопасности;
b. отсутствие идентификации и/или аутентификации субъектов и объектов;
c. отсутствие контроля целостности средств обеспечения безопасности;
3. обусловленные реализацией:
a. ошибок, допущенных в ходе программной реализации средств обеспечения безопасности;
b. наличием средств отладки и тестирования в конечных продуктах
4. ошибки администрирования.
Под защитой информации в компьютерных системах будем понимать создание и поддержание организованной совокупности средств, способов, методов и мероприятий, предназначенных для предупреждения искажения, уничтожения и несанкционированного использования информации, хранимой и обрабатываемой в электронном виде (рис.2.9).
Рис. 2.9. Способы и средства защиты информации
Способы защиты:
Препятствия предусматривают создание преград, физически не допускающих к информации.
Управление доступом — способ защиты информации за счет регулирования использования всех ресурсов системы (технических, программных, временных и др.).
Маскировка информации осуществляется путем ее криптографического закрытия.
Регламентация заключается в реализации системы организационных мероприятий, определяющих все стороны обработки информации.
Принуждение заставляет соблюдать определенные правила работы с информацией под угрозой материальной, административной или уголовной ответственности.
Побуждение основано на использовании действенности морально-этических категорий (например, авторитета или коллективной ответственности).
Средства защиты:
Средства зашиты информации, хранимой и обрабатываемой в электронном виде, разделяют на три самостоятельные группы: технические, программные и социально-правовые.
Среди технических средств защиты выделяют физические и аппаратные.
К физическим средством защиты относятся:
— механические преграды, турникеты (заграждения), специальное остекление;
— сейфы, шкафы;
— механические и электромеханические замки, в том числе с дистанционным управлением;
— замки с кодовым набором;
— датчики различного типа;
— теле- и фотосистемы наблюдения и регистрации;
— СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и другие системы;
— устройства маркировки;
— устройства с идентификационными картами;
— устройства идентификации по физическим признакам;
— устройства пространственного заземления;
— системы физического контроля доступа;
— системы охранного телевидения и охранной сигнализации;
— системы пожаротушения и оповещения о пожаре и др.
Под аппаратными средствами защиты понимают технические устройства, встраиваемые непосредственно в системы (аппаратуру) обработки информации
Наиболее часто используют:
— регистры хранения реквизитов защиты (паролей, грифов секретности и т.п.);
— устройства для измерения индивидуальных характеристик человека (например, цвета и строения радужной оболочки глаз, овала лица и т.д.);
— схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;
— схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;
— экранирование ЭВМ;
— установка генераторов помех и др.
Программные средства защиты данных в настоящее время получили значительное развитие. По целевому назначению их можно разделить на несколько классов (групп):
— программы идентификации пользователей;
— программы определения прав (полномочий) пользователей (технических устройств);
— программы регистрации работы технических средств и пользователей (ведение так называемого системного журнала);
— программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;
— криптографические программы (программы шифрования данных).
Программные средства защиты информации часто делят на средства, реализуемые в стандартных операционных системах (ОС), и средства защиты в специализированных информационных системах. К программным средствам зашиты информации, реализуемым в стандартных операционных системах, следует отнести:
— динамическое распределение ресурсов и запрещение задачам пользователей работать с «чужими» ресурсами;
— разграничение доступа пользователей к ресурсам по паролям;
— разграничение доступа к информации по ключам защиты;
— защита таблицы паролей с помощью главного пароля и др. ;
Средства защиты в специализированных (экономических информационных системах, в том числе банковских) позволяют реализовать следующие функции защиты данных:
— опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;
— ведение многоразмерных таблиц профилей доступа пользователей к данным.
ТЕМА 3. Информационная технология
1.Понятие информационной технологии. Этапы развития ИТ. Классификация ИТ. Новые информационные технологии.
1. Понятие информационной технологии
2. Применение информационных технологий в управлении
3. Этапы развития и классификация информационной технологии
4. Автоматизированная информационная технология. Характеристика и функции. Классификация АИТ. Внедрение информационной технологии АИТ: выбор вариантов внедрения, методические принципы внедрения. Перспективы применения информационных технологий для управления организацией.
5. Специальные технологии обработки информации. Иформационные технологии поддржки бизнеса: задачи автоматизации процессов делопроизводства и документооборота; задачи управления бизнес-проектами; задачи реинжиниринга бизнес-процессов. Технологии обработки информации в системах управления базами данных. Компьютерная технология учета на предприятиях и в организациях на базе программного комплекса 1С:Предприятие.
1. Понятие информационной технологии.
Информационные системы предусматривают использование информационных технологий. Под технологией в широком смысле понимают науку о производстве материальных благ, которая имеет три аспекта: информационный, инструментальный и социальный. Информационный аспект охватывает описание принципов и методов производства, инструментальный — орудия труда, с помощью которых реализуется производство, социальный — кадры и их организацию.
Любая информационная система характеризуется наличием технологии преобразования исходных данных в результатную информацию. Термин «информационная технология» (технология обработки информации) тесно связан с понятием «информационный ресурс». Понятие информационной технологии возникло в процессе становления науки информатики. Информатика как наука о производстве информации возникла именно потому, что информация стала рассматриваться как реальный производственный ресурс наряду с другими материальными ресурсами.
Информационная технология не может существовать отдельно от технической и программной среды. Термин информационные технологии отображает огромное количество разнообразных технологий в разных компьютерных средах и предметных отраслях. В информационной технологии можно выделить две составляющие:
а) способность генерировать по запросу информационный продукт;
б) средства доставки этого информационного продукта в удобное время и в удобной для пользователя форме.
Информационная технология — это комплекс методов и процедур, с помощью которых реализуются функции сбора, передачи, обработки, хранения и доведения к пользователям информации в организационно-управленческих системах с использованием избранного комплекса технических средств.
2. Применение информационных технологий в управлении
Понятие информационной системы управления неразрывно связано с понятием экономической информации и ее материальным представлением. При этом стоит различать два аспекта : смысловой и технологический.
Смысловой определяет круг решаемых информационных заданий, отображает структуру объекта управления и направления деятельности каждого его подраздела.
Технологический аспект допускает ее рассмотрение как одного из управленческих процессов, связанных с осуществлением комплекса информационных процедур.
Информационная процедура – совокупность однородных операций, связанных с влиянием на информацию (сбор и регистрация, передача, обработка и сохранение, передача и потребление результатной информации). Совокупность всех информационных процедур образует информационный процесс – технологическую основу управленческой деятельности. И
Информационный процесс управления–совокупность управленческих операций, главным предметом которых является информация. Информационный процесс управления состоит из двух частей: информационного процесса и процесса принятия управленческих решений. Информационный процесс аналогичен производству продукции с процессом получения определенного целостного по содержанию набора данных для выработки и принятия управленческих решений. Принятие управленческих решений основывается на результатной информации и является продолжением информационного процесса на высшем логическом уровне (схема использования результатной информации на рис.3.1).
Целью информационной технологии управления является удовлетворение схожих информационных потребностей работников разных функциональных подсистем (подразделов) или уровней управления предприятия. Эта технология ориентирована на работу в среде информационной системы управления и используется при низкой степени структурированности разрешимых задач, если их сравнивать с задачами, решаемыми с помощью информационной технологии обработки данных. Информация содержит сведения о прошлом, настоящем и достоверном будущем объекта управления. Эта информация имеет вид регулярных или специальных управленческих отчетов.
Регулярные отчеты создаются в соответствии с установленным графиком, что определяет время их создания, например месячный анализ продаж компании.
Специальные отчеты создаются по запросам управленцев или когда в компании состоялось что-то незапланированное.
Рис.3.1. Схема использования результатной информации
И те, и другие виды отчетов могут иметь форму отчетов, что подытоживают, сравнительных и чрезвычайных.
В отчетах, что подытоживают, данные объединены в отдельные группы, отсортированы и представлены в виде промежуточных и окончательных итогов по отдельным полям. Сравнитильные отчеты содержат данные, полученные из разных источников или классифицированные по разным признакам и используемые для целей сравнения. Чрезвычайные отчеты содержат данные исключительного (чрезвычайного) характера.
Использование отчетов для поддержки управления оказывается особенно эффективным при реализации так называемого управления по отклонениям. Управление по отклонениям допускает, что главным содержанием получаемых менеджером данных должны быть отклонения состояния хозяйственной деятельности объекта управления от некоторых установленных стандартов (например, от ее запланированного состояния). Ксоздаваемым отчетам предъявляются следующие требования:
‑ отчет должен создаваться только тогда, когда отклонение состоялось;
‑ сведения в отчете должны быть отсортированы по значении критического для данного отклонения показателя;
‑ все отклонения желательно показать вместе, чтобы менеджер мог уловить существующую между ними связь;
‑ в отчете необходимо показать количественное отклонение от нормы.
Для принятия решений на уровне управленческого контроля информация должна быть представлена в агрегированном виде так, чтобы были видимым тенденции изменения данных, причины возникших отклонений и возможные решения. На этом этапе решаются следующие задачи обработки данных:
‑ оценка планируемого состояния объекта управления;
‑ оценка отклонений от планируемого состояния;
‑ выявление причин отклонений;
‑ анализ возможных решений и действий.
База данных, используемая для получения указанной информации, должна состоять из двух элементов:
1) данных, накапливаемых на основе оценки операций, которые проводятся предприятием;
2) планов, стандартов, бюджетов и других нормативных документов, которые определяют планируемое состояние объекта управления (подразделы фирмы).
3. Этапы развития и классификация информационной технологии
Информационные технологии возникли вместе с производством и в своем развитии прошли ряд этапов. Рассмотрим этапы развития информационных технологий в соответствии с определенными целевыми признаками:
1) вид задач и процессов обработки информации
1-й этап (60 — 70-е гг.) — обработка данных в вычислительных центрах в режиме коллективного пользования. Основным направлением развития информационной технологии была автоматизация операционных рутинных действий человека.
2-й этап (с 80-х гг.) — создание информационных технологий, направленных на решение стратегических задач.
2) проблемы, которые стоят на пути информатизации общества
1-й этап (до конца 60-х гг.) характеризуется проблемой обработки больших объемов данных в условиях ограниченных возможностей аппаратных средств.
2-й этап (до конца 70-х гг.) связывается с распространением ЭВМ серии 1ВМ/360. Проблема этого этапа — отставание программного обеспечения от уровня развития аппаратных средств.
3-й этап (с начала 80-х гг.) — компьютер становится инструментом непрофессионального пользователя, а информационные системы — средством поддержки принятия его решений. Проблемы — максимальное удовлетворение потребностей пользователя и создания соответствующего интерфейса работы в компьютерной среде.
4-й этап (с начала 90-х гг.) — создание современной технологии межорганизационных связей и информационных систем. Проблемы этого этапа весьма многочисленны.
3) преимущество, которое приносит компьютерная технология
Первый этап (1950—1960 годы), что характеризуется применением больших ЭВМ с ориентацией на централизованное коллективное использование ресурсов вычислительных центров. Концепция информационной технологии заключалась в том, что ЭВМ выполняли только ту часть работы по обработке информации, которую люди объективно не в состоянии были выполнить, например многочисленные расчеты. Главное задание информационных технологий на этом этапе ‑ повышение эффективности обработки данных благодаря использованию формализированных алгоритмов. Основным критерием оценки эффективности создаваемых информационных систем была разница между потраченными на разработку и сэкономленными в результате внедрения средствами. Основной проблемой на этом этапе была психологическая — плохое взаимодействие пользователей и разработчиков ИС.
Для второго этапа (1960—1970 годы) определяющим стало появление персональных компьютеров (ПЭВМ). В корне изменилась концептуальная ориентация: все, что можно запрограммировать, должны были выполнять ПЭВМ; люди должны были делать лишь то, что не может быть запрограммировано. Изменился подход к созданию информационных систем — ориентация смещается в сторону индивидуального пользователя для поддержки принимаемых им решений.
На этом этапе используется как централизованная обработка данных, характерная для первого этапа, так и децентрализована, базируется на решении локальных задач и работе с локальными базами данных на рабочем месте пользователя.
Третий этап развития информационных технологий (1970—1990 годы), который известен под названием новой (современной, безбумажной) информационной технологии, характеризуется массовым выпуском персональных электронно-вычислительных машин (ПЭВМ). Основу новой информационной технологии составляют распределенная компьютерная техника, «дружеское» программное обеспечение, развитые коммуникации. Концепция третьего этапа: автоматизировать можно все, что люди способны описать (программирование без программистов). Поэтому центральным заданием технологии программирования стала разработка инструментальных средств, которые облегчают профессионалам-программистам процесс самостоятельной формализации их индивидуальных знаний. НИТ связана с понятием анализа стратегических преимуществ в бизнесе и основана на достижениях телекоммуникационной технологии распределенной обработки информации и призвана помочь организации выстоять в конкурентной борьбе и получить преимущество.
4) виды инструментария технологии
‑ во второй половине XIX ст. имели место «ручные» информационные технологии. Весь процесс обработки информации выполнялся человеком с помощью пера, счет, бухгалтерских книг. Связь осуществлялась пересылкой почтой пакетов и листов. Основная цель технологии — представление информации в нужной форме.
‑ «механическая» информационная технология» связана с появлением печатных машинок, телефона, диктофону, модернизация почтовой связи дали возможность существенно усовершенствовать как отдельные операции, так и весь технологический процесс обработки информации, резко повысить производительность управленческого труда. Основная цель технологии — представление информации в нужной форме более удобными средствами.
‑ на смену «механической» информационной технологии в 40—50-х годах XX ст. пришла «электрическая» технология, основанная на широком использовании электрических печатных машинок, копировальных машин, портативных диктофонов. Резко повысились качество, производительность и скорость обработки документов. Акцент в информационной технологии начинает перемещаться с формы представления информации на формирование ее содержания.
‑ 4-й этап (с начала 70-х гг.) — «электронная» технология, основным инструментарием которой становятся большие ЭВМ и создаваемые на их базе автоматизированные системы управления (АСУ) и информационно-поисковые системы (ИПС), оснащенные широким спектром базовых и специализированных программных комплексов. Центр тяжести технологии еще более смещается на формирование содержательной стороны информации для управленческой среды разных сфер общественной жизни, особенно на организацию аналитической работы. Была подготовлена профессиональная, психологическая и социальная база для перехода на новый этап развития технологии.
5-й этап (с середины 80-х гг.) — «компьютерная» («новая») технология, основным инструментарием которой является персональный компьютер с широким спектром стандартных программных продуктов разного назначения. На этом этапе происходит процесс персонализации АСУ. ИС имеют встроенные элементы анализа и интеллекта для разных уровней управления, реализуются на персональном компьютере и используют телекоммуникации. Глобальные и локальные компьютерные сети начинают широко использоваться в разных областях. С появлением и широким развитием ЭВМ и периферийной техники наступила эра «компьютерных» информационных технологий.
Возможны и другие схемы классификации информационных технологий. В основу каждой из них положены определенные классификационные признаки.
Первый признак классификации – назначение.Например, принято различать обеспечительные и функциональные информационные технологии. Обеспечительные технологии могут использоваться как инструментарий в разных предметных отраслях для решения разных задач. Они могут быть классифицированы относительно классов задач, которые решаются. Под функциональными технологиями следует понимать совокупность обеспечительных технологий для автоматизации определенной задачи или функции.
Второй признак классификации — наличие или отсутствие автоматизации. Автоматизация — это замена деятельности человека работой машин и механизмов. Мера автоматизации может меняться и в широких границах — от систем, в которых процесс управления полностью осуществляется человеком, к таким, где он реализуется автоматически.
Автоматизация управления, а следовательно, и автоматизация информационной системы и автоматизация технологий, необходимы в таких случаях:
а) физиологичские и психологические возможности человека для управления данным процессом являются недостаточными;
б) система управления находится в среде, опасной для жизни и здоровья человека;
в) участие человека в управлении процессом требует от нее очень высокой квалификации;
г) процесс, которым нужно управлять, переживает критическую или аварийную ситуацию.
4. Автоматизированная информационная технология
4.1. Характеристика и функции АИТ. С позиции технологии и выполняемых функций АИС может состоять из нескольких элементов. С точки зрения технологии выделяются аппарат управления, технико-экономическая информация, методы и средства ее технологической обработки. Оставшиеся элементы образуют автоматизированную информационную технологию обработки данных (АИТ). АИТ – системно организованная для решения задач управления совокупность методов и средств реализации операций сбора, регистрации, передачи, накопления, поиска, обработки и защиты информации на базе применения развитого программного обеспечения, используемых средств вычислительной техники и связи, а также способов, с помощью которых информация предлагается пользователям. АИТ предусматривает существование комплекса соответствующих технических средств, которые обеспечивают реализацию информационного процесса, и системы управления этим комплексом технических средств (как правило, это ПС и ОМО, что связывает действия персонала и технических средств в единственный технологический процесс). Являясь человеко-машинной системой, в рамках которой реализуется информационная модель, формализующая процессы обработки данных в условиях новой технологии, АИТ замыкает через себя прямые и обратные информационные связи между объектом управления (ОУ) и аппаратом управления (АУ), а также вводит в систему потоки внешних информационных связей.
Функции АИТ определяют ее структуру, которая включает следующие процедуры: сбор и регистрацию данных; подготовку информационных массивов; обработку, накопление и хранение бранных; формирование результатной информации; передачу данных от источников возникновения кместу обработки, а результатов расчетов – к потребителям информации для принятия управленческих решений.
1) Сбор и регистрация информации происходят по-разному в различных экономических объектах. Наиболее сложна эта процедура в автоматизированных управленческих процессах промышленных предприятий, фирм и т.п., где производятся сбор и регистрация первичной учетной информации, отражающей производственно-хозяйственную деятельность объекта. Не менее сложна эта процедура и в финансовых органах, где происходит оформление движения денежных ресурсов. Особое значение при этом придается достоверности, полноте и своевременности первич-ной информации. На предприятии сбор и регистрация информации происходят при выполнении различных хозяйственных операций (прием готовой продукции, получение и отпуск материалов и т.п.), в банках – при совершении финансово-кредитных операций с юридическими и физическими лицами. Учетные данные могут возникать на рабочих местах в результате подсчета количества обработанных деталей, прошедших сборку узлов, изделий, выявления брака и т.д.
Сбор информации, как правило, регистрируется, т.е. информация фиксируется на материальном носителе (документе, машинном носителе) вводом в ПЭВМ. Запись в первичные документы в основном осуществляется вручную, поэтому процедуры сбора и регистрации остаются пока наиболее трудоемкими, а процесс автоматизации документооборота – по-прежнему актуальным. В условиях автоматизации управления предприятием особое внимание придается использованию технических средств сбора и регистрации информации, совмещающих операции количественного измерения, регистрации, накопления и передачи информации по каналам связи, ввод ее непосредственно в ЭВМ для формирования нужных документов или накопления полученных данных в системе.
2) Передача информации осуществляется различными способами: с помощью курьера, пересылки по почте, доставки транспортными средствами, дистанционной передачи по каналам связи, с использованием других средств коммуникаций. Предпочтительным является использование технических средств сбора и регистрации, которые, собирая автоматически информацию с установленных на рабочих местах датчиков, передают ее в ЭВМ для последующей обработки, что повышает ее достоверность и снижает трудоемкость. Дистанционно может передаваться как первичная информация с мест ее возникновения, так и результатная – в обратном направлении. Поступление информации по каналам связи в центр обработки в основном осуществляется двумя способами: на машинном носителе или непосредственно вводом в ЭВМ при помощи специальных программных и аппаратных средств.
3) Машинное кодирование – процедура машинного представления (записи) информации на машинных носителях с помощью кодов, принятых в ПЭВМ. Кодирование информации производится путем переноса данных первичных документов на магнитные диски, информация с которых затем вводится в ПЭВМ для обработки. Запись информации на машинные носители осуществляется на ПЭВМ как самостоятельная процедура или как результат обработки.
4) Хранение и накопление экономической информации вызвано многократным ее использованием, применением условно-постоянной, справочной и других видов информации, необходимостью комплектации первичных данных до их обработки. Информация хранится и накапливается в информационных базах, на машинных носителях в виде информационных массивов, где данные располагаются по установленному в процессе проектирования поименованному порядку. С хранением и накоплением непосредственно связан поиск данных, т.е. выборка нужных данных из хранимой информации, включая поиск информации, подлежащей корректировке либо замене. Процедура поиска выполняется автоматически на основе составленного пользователем или ПЭВМ запроса на нужную информацию.
5) Обработка экономической информации производится на ПЭВМ, как правило, децентрализованно. В местах возникновения первичной информации организуются автоматизированные рабочие места специалистов той или иной управленческой службы (отдела материально-технического снабжения и сбыта, отдела главного технолога, конструкторского отдела, бухгалтерии и т.п.). Обработка, однако, может проводиться не только автономно, но и в вычислительных сетях, с использованием набора ПЭВМ, программных средств и информационных массивов для решения функциональных задач. В ходе решения задач на ЭВМ в соответствии с машинной программой формируются результатные сводки, которые печатаются машиной или отображаются на экране. Печать сводок может сопровождаться процедурой тиражирования, если документ с результатной информацией необходимо предоставить нескольким пользователям.
6) Принятие решения в автоматизированной системе организационного управления, как правило, осуществляется специалистом с применением или без применения технических средств, но в последнем случае – на основе тщательного анализа результатной информации, полученной на ПЭВМ. Задача принятия решений осложняется тем, что специалисту приходится выбирать из множества допустимых решений наиболее приемлемое, сводящее кминимуму потери ресурсов (временных, трудовых, материальных и т.д.). Благодаря применению персональных ЭВМ и терминальных устройств повышается аналитичность обрабатываемых сведений, а также обеспечивается постепенный переход кавтоматизации выработки оптимальных решений в процессе диалога пользователя с вычислительной системой. Этому способствует использование новых технологий экспертных систем поддержки принятия решений.
4.2. Классификация АИТ. АИТ можно классифицировать по следующим признакам: по степени охвата АИТ задач управления ; по классам реализованных технологических операций АИТ ; по типу интерфейса пользователя; по способу реализацииАИТ в АИС.
1) по степени охвата АИТ задач управления выделяют электронную обработку данных, когда с использованием ЭВМ без пересмотра методологии и организации процессов управления ведется обработка данных с решением отдельных задач, и автоматизацию управленческой деятельности (функций управления, поддержка принятия решений, экспертная поддержка).
2) по типу интерфейса пользователя можно рассматривать АИТ с точки зрения возможностей доступа пользователя к информационным и вычислительным ресурсам.
Программные средства защиты информации
Программные средства защиты информации — это специальные программы и программные комплексы, предназначенные для защиты информации в информационной системе.
Программные средства включают программы для идентификации пользователей, контроля доступа, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и другие. Преимущества программных средств – универсальность, гибкость, надежность, простота установки, способность к модификации и развитию.
Недостатки – использование части ресурсов файл-сервера и рабочих станций, высокая чувствительность к случайным или преднамеренным изменениям, возможная зависимость от типов компьютеров (их аппаратных средств).
К программным средствам защиты программного обеспечения относятся:
· встроенные средства защиты информации – это средства, реализующие авторизацию и аутентификацию пользователей (вход в систему с использованием пароля), разграничение прав доступа, защиту ПО от копирования, корректность ввода данных в соответствии с заданным форматом и так далее.
Кроме того, к данной группе средств относятся встроенные средства операционной системы по защите от влияния работы одной программы на работу другой программы при работе компьютера в мультипрограммном режиме, когда в его памяти может одновременно находиться в стадии выполнения несколько программ, попеременно получающих управление в результате возникающих прерываний. В каждой из таких программ вероятны отказы (ошибки), которые могут повлиять на выполнение функций другими программами. Операционная система занимается обработкой прерываний и управлением мультипрограммным режимом. Поэтому операционная система должна обеспечить защиту себя и других программ от такого влияния, используя, например, механизм защиты памяти и распределение выполнения программ в привилегированном или пользовательском режиме;
· антивирусные программы – программы, предназначенные для обнаружения компьютерных вирусов, лечения или удаления инфицированных файлов, а также для профилактики – предотвращения заражения файлов или операционной системы вредоносным кодом. В качестве примера можно привести: ADINF, AIDSTEST, AVP, DrWeb;
· специализированные программные средства защиты информации от несанкционированного доступа – обладают в целом лучшими возможностями и характеристиками, чем встроенные средства. В настоящее время рынок программных средств предоставляет большой выбор специализированных программ, предназначенных для: защиты папок и файлов на компьютере; контроля за выполнением пользователями правил безопасности при работе с компьютером, а также выявления и пресечения попыток несанкционированного доступа к конфиденциальным данным, хранящимся на персональном компьютере; наблюдения за действиями, происходящими на контролируемом компьютере, работающем автономно или в локальной вычислительной сети;
· программные средства тестового контроля, предупреждающие и выявляющие дефекты, а также удостоверяющие надежность программ и оперативно защищающие функционирование программных средств при их проявлениях. Одним из основных путей повышения надежности программного обеспечения является использование современных инструментальных программных средств, позволяющих выполнять систематическое автоматизированное тестирование и испытание ПО для обнаружения и устранения ошибок проектирования, разработки и сопровождения;
· межсетевые экраны (также называемые брандмауэрами или файрволами). Между локальной и глобальной сетями создаются специальные промежуточные серверы, которые инспектируют и фильтруют весь проходящий через них трафик сетевого/транспортного уровней. Это позволяет резко снизить угрозу несанкционированного доступа извне в корпоративные сети, но не устраняет данную опасность полностью. Более защищенная разновидность метода – это способ маскарада (masquerading), когда весь исходящий из локальной сети трафик посылается от имени firewall-сервера, делая локальную сеть практически невидимой;
· proxy-servers. Весь трафик сетевого/транспортного уровней между локальной и глобальной сетями запрещается полностью – маршрутизация как таковая отсутствует, а обращения из локальной сети в глобальную происходят через специальные серверы-посредники. Очевидно, что при этом обращения из глобальной сети в локальную становятся невозможными в принципе. Примером могут служить: 3proxy (BSD, многоплатформенный), CoolProxy (проприетарный, Windows), Ideco ICS (проприетарный, Linux);
· VPN (виртуальная частная сеть) позволяет передавать секретную информацию через сети, в которых возможно прослушивание трафика посторонними людьми. Например: IPSec (IP security), PPTP (point-to-point tunneling protocol), L2TPv3 (Layer 2 Tunnelling Protocol version 3).
Программные средства защиты информации являются одним из наиболее распространенных методов защиты информации в компьютерах и информационных сетях, а так же их важнейшей и непременной частью.
Программно-технические средства защиты информации
Программно-технические средства, это средства, направленные на контроль компьютерных сущностей – оборудования, программ и/или данных – образуют последний и самый важный рубеж информационной безопасности.
Центральным для программно-технического уровня является понятие сервиса безопасности, к которому относятся следующие основные и вспомогательные сервисы: идентификация и аутентификация, протоколирование и аудит, шифрование, контроль целостности, экранирование, обеспечение отказоустойчивости, туннелирование и управление, RFID – технологии, штрих – технологии.
Совокупность перечисленных выше сервисов безопасности называют полным набором. Считается, что его, в принципе, достаточно для построения надежной защиты на программно-техническом уровне, правда, при соблюдении целого ряда дополнительных условий (отсутствие уязвимых мест, безопасное администрирование и так далее).
Идентификацию и аутентификацию можно считать основой программно-технических средств безопасности, поскольку остальные сервисы рассчитаны на обслуживание именованных субъектов. Идентификация и аутентификация – это первая линия обороны, «проходная» информационного пространства организации.
Идентификация — процесс, позволяющий установить имя пользователя. Примером идентификации может служить вручение визитной карточки, где указаны имя, должность и другая информация о конкретном лице. Аутентификация — процесс проверки подлинности введенного в систему имени пользователя. Например, проверка подлинности имени пользователя через сличение его внешнего вида с фотографией.
Сервер аутентификации Kerberos. Kerberos — это программный продукт, разработанный в середине 1980-х годов в Массачусетском технологическом институте и претерпевший с тех пор ряд принципиальных изменений. Клиентские компоненты Kerberos присутствуют в большинстве современных операционных систем.
Система Kerberos представляет собой доверенную третью сторону (то есть сторону, которой доверяют все), владеющую секретными ключами обслуживаемых субъектов и помогающую им в попарной проверке подлинности. В информационных технологиях способы идентификации и аутентификации являются средством обеспечения его доступа в информационное пространство организации в целом или отдельные разделы этого пространства.
Выделяют следующие способы идентификации и аутентификации:
· парольные методы;
· методы с применением специализированных аппаратных средств;
· методы, основанные на анализе биометрических характеристик пользователя.
Наиболее перспективным в настоящее время считается использование средств идентификации пользователя по биометрическим признакам: отпечатку пальца, рисунку радужной оболочки глаз, отпечатку ладони. Эти методы обладают достаточно высокой надежностью и не требуют от пользователя запоминания сложных паролей или заботы о сохранности аппаратного идентификатора.
В процессе обеспечения информационной безопасности особое внимание уделяется протоколированию и аудиту информации.
Протоколирование — это сбор и накопление информации о событиях, происходящих в информационно-вычислительной системе.
У каждой программы есть свой набор возможных событий, которые можно классифицировать на внешние (вызванные действиями других программ или оборудования), внутренние (вызванные действиями самой программы) и клиентские (вызванные действиями пользователей и администраторов). Аудит — это анализ накопленной информации, проводимый оперативно, почти в реальном времени, или периодически.
При осуществлении протоколирования и аудита преследуются следующие цели:
· обеспечить подотчетность пользователей и администраторов;
· обеспечить возможность реконструкции последовательности событий;
· обнаружить попытки нарушений информационной безопасности;
· предоставить информацию для выявления и анализа проблем.
Обеспечение подобной подотчетности считается одним из средств сдерживания попыток нарушения информационной безопасности, поскольку реконструкция событий позволяет выявить слабости в защите, найти виновника, определить способ устранения проблемы и вернуться к нормальной работе.
Криптография, или шифрование. Эта область информационной безопасности занимает центральное место среди программно — технических средств безопасности.
В современной криптографии используются два основных метода шифрования — симметричное и асимметричное.
В симметричном шифровании один и тот же ключ используется и для шифровки, и для расшифровки сообщений. Основным недостатком симметричного шифрования является то, что секретный ключ должен быть известен и отправителю, и получателю. С одной стороны, это ставит проблему безопасной пересылки ключей при обмене сообщениями. С другой — получатель, имеющий шифрованное и расшифрованное сообщение, не может доказать, что он получил его от конкретного отправителя, поскольку такое же сообщение он мог сгенерировать и сам.
В асимметричных методах применяются два ключа. Один из них, несекретный, используется для шифровки и может без всяких опасений передаваться по открытым каналам, другой — секретный — применяется для расшифровки и известен только получателю.
Асимметричные методы шифрования позволяют реализовать электронную подпись, или электронное заверение сообщения. Существенным недостатком асимметричных методов является их низкое быстродействие, поэтому их приходится сочетать с симметричными.
Контроль целостности. Механизм контроля целостности осуществляет слежение за неизменностью контролируемых объектов с целью защиты их от модификации. Контроль проводится в автоматическом режиме в соответствии с некоторым заданным расписанием.
Объектами контроля могут быть файлы, каталоги, элементы системного реестра и секторы дисков. Каждый тип объектов имеет свой набор контролируемых параметров. Так, файлы могут контролироваться на целостность содержимого, прав доступа, атрибутов, а также на их существование.
В системе предусмотрена возможность выбора времени контроля. В частности, контроль может быть выполнен при загрузке ОС, при входе пользователя в систему или после входа пользователя, по заранее составленному расписанию.
При обнаружении несоответствия могут применяться различные варианты реакции на возникающие ситуации нарушения целостности, например, регистрация события в журнале Secret Net, блокировка компьютера.
Вся информация об объектах, методах, расписаниях контроля сосредоточена в модели данных. Модель данных хранится в локальной базе данных системы Secret Net 6 и представляет собой иерархический список объектов и описание связей между ними. В модели используются 5 категорий объектов: ресурсы, группы ресурсов, задачи, задания и субъекты активности (компьютеры, пользователи и группы пользователей). Модель, включающая в себя объекты всех категорий, между которыми установлены связи, — это подробная инструкция системе Secret Net 6, определяющая, что и как должно контролироваться. Модель данных является общей для механизмов контроля целостности и замкнутой программной среды.
Каждая из централизованных моделей данных является общей для всех защищаемых компьютеров под управлением версий ОС Windows соответствующей разрядности (32- или 64-разрядные версии). При изменении параметров централизованной модели, которые должны применяться на защищаемом компьютере, выполняется локальная синхронизация этих изменений. Новые параметры из централизованного хранилища передаются на компьютер, помещаются в локальную модель данных и затем используются защитными механизмами.
Редактирование централизованных моделей данных осуществляется со следующими особенностями: для редактирования доступна та модель данных, которая соответствует разрядности ОС Windows на рабочем месте администратора. Модель данных другой разрядности доступна только для чтения (при этом можно экспортировать данные из этой модели в другую). Таким образом, если в системе имеются защищаемые компьютеры с версиями ОС различной разрядности, для централизованного управления моделями данных администратору следует организовать два рабочих места — на компьютере с 32-разрядной версией ОС Windows и на компьютере с 64-разрядной версией ОС.
Экранирование. С развитием сетевых технологий все большую актуальность приобретает защита от случайных или намеренных воздействий из внешних сетей (например, Интернет), с которыми взаимодействует сеть предприятия. Для этой цели используются различные разновидности межсетевых экранов, а сам процесс защиты получил название экранирования. Межсетевой экран — это специализированная программная система, ограничивающая возможность передачи информации как из внешней сети в сеть предприятия, так и из сети предприятия во внешнюю среду. Имеются следующие типы межсетевых экранов: Fortinet, Cisco, Juniper, Check Point и другие. Помимо функций разграничения доступа, экраны осуществляют также протоколирование информационных обменов.
Обеспечение отказоустойчивости. Меры по обеспечению отказоустойчивости можно разделить на локальные и распределенные. Локальные меры направлены на достижение «живучести» отдельных компьютерных систем или их аппаратных и программных компонентов (в первую очередь с целью нейтрализации внутренних отказов ИС). Типичные примеры подобных мер — использование кластерных конфигураций в качестве платформы критичных серверов или «горячее» резервирование активного сетевого оборудования с автоматическим переключением на резерв. Если в число рассматриваемых рисков входят серьезные аварии поддерживающей инфраструктуры, приводящие к выходу из строя производственной площадки организации, следует предусмотреть распределенные меры обеспечения живучести, такие как создание или аренда резервного вычислительного центра. При этом, помимо дублирования и/или тиражирования ресурсов, необходимо предусмотреть средства автоматического или быстрого ручного переконфигурирования компонентов ИС, чтобы обеспечить переключение с основной площадки на резервную.
Туннелирование и управление. Туннелирование — процесс, в ходе которого создается защищенное логическое соединение между двумя конечными точками посредством инкапсуляции различных протоколов. Туннелирование представляет собой метод построения сетей, при котором один сетевой протокол инкапсулируется в другой. Суть туннелирования состоит в том, чтобы «упаковать» передаваемую порцию данных, вместе со служебными полями, в новый «конверт» для обеспечения конфиденциальности и целостности всей передаваемой порции, включая служебные поля. Туннелирование может применяться на сетевом и на прикладном уровнях. Комбинация туннелирования и шифрования позволяет реализовать закрытые виртуальные частные сети (VPN). Туннелирование обычно применяется для согласования транспортных протоколов либо для создания защищённого соединения между узлами сети.
Управление можно отнести к числу инфраструктурных сервисов, обеспечивающих нормальную работу компонентов и средств безопасности. Управление подразделяется на: мониторинг компонентов, контроль, координацию работы компонентов системы.
Выделяется пять функциональных областей управления:
· управление конфигурацией (установка параметров для нормального функционирования, запуск и остановка компонентов, сбор информации о текущем состоянии системы, прием извещений о существенных изменениях в условиях функционирования, изменение конфигурации системы);
· управление отказами (выявление отказов, их изоляция и восстановление работоспособности системы);
· управление производительностью (сбор и анализ статистической информации, определение производительности системы в штатных и нештатных условиях, изменение режима работы системы);
· управление безопасностью (реализация политики безопасности путем создания, удаления и изменения сервисов и механизмов безопасности, распространения соответствующей информации и реагирования на инциденты);управление учетной информацией (т.е. взимание платы за пользование ресурсами).
RFID – технология. RFID (Radio Frequency IDentification, радиочастотная идентификация) — метод автоматической идентификации объектов, в котором посредством радиосигналов считываются или записываются данные, хранящиеся в так называемых транспондерах, или RFID-метках.
Любая RFID-система состоит из считывающего устройства (считыватель, ридер или интеррогатор) и транспондера (он же RFID-метка, иногда также применяется термин RFID-тег).
Существует несколько показателей классификации RFID-меток: по источнику питания, по типу памяти, по рабочей частоте.
По типу источника питания RFID-метки делятся на пассивные, полупассивные и активные.
· Пассивные RFID-метки не имеют встроенного источника энергии. Электрический ток, индуцированный в антенне электромагнитным сигналом от считывателя, обеспечивает достаточную мощность для функционирования кремниевого CMOS-чипа, размещённого в метке, и передачи ответного сигнала.
· Полупассивные RFID-метки, также называемые полуактивными, очень похожи на пассивные метки, но оснащены батарей, которая обеспечивает чип энергопитанием. При этом дальность действия этих меток зависит только от чувствительности приёмника считывателя и они могут функционировать на большем расстоянии и с лучшими характеристиками.
· Активные RFID-метки обладают собственным источником питания и не зависят от энергии считывателя, вследствие чего они читаются на дальнем расстоянии, имеют большие размеры и могут быть оснащены дополнительной электроникой. Однако, такие метки являются наиболее дорогими, а имеет ограниченное время работы батарей.
По типу используемой памяти RFID-метки классифицируют на следующие типы:
· RO (Read Only) — данные записываются только один раз, сразу при изготовлении. Такие метки пригодны только для идентификации. Никакую новую информацию в них записать нельзя, и их практически невозможно подделать.
· WORM (Write Once Read Many) — кроме уникального идентификатора такие метки содержат блок однократно записываемой памяти, которую в дальнейшем можно многократно читать.
· RW (Read and Write) — такие метки содержат идентификатор и блок памяти для чтения/записи информации. Данные в них могут быть перезаписаны многократно.
По рабочей частоте RFID-метки выделяют следующих диапазонов:
· Метки диапазона LF 125-134 кГц. Пассивные системы данного диапазона имеют низкую стоимость и по своим физическим характеристикам используются для вживления подкожных меток животным, людям и рыбам. Имеют существенные ограничения по радиусу действия и точности (коллизии при считывании).
· Метки диапазона HF 13.56 МГц. Системы 13МГц являются достаточно дешевыми, не имеют экологических проблем, хорошо стандартизованы и имеют широкую линейку решений. Применяются в платежных системах, логистике, идентификации личности.
· Метки диапазона UHF (860-960 МГц). Метки диапазона UHF обладают наибольшей дальностью действия. Многими стандартами меток данного диапазона разработаны антиколизионные механизмы.
В настоящее время частотный диапазон UHF (СВЧ) открыт для свободного использования в Российской Федерации в так называемом «европейском» диапазоне — 863—868 МГЦ.
Приборы для считывания данных с меток также бывают нескольких типов. По исполнению считыватели делятся на стационарные и переносные (мобильные).
· Стационарные считыватели. Стационарные считыватели крепятся неподвижно на стенах, порталах и в других подходящих местах. Они могут быть выполнены в виде ворот, вмонтированы в стол или закреплены рядом с конвейером на пути следования изделий.
Стационарные считыватели обычно напрямую подключены к компьютеру, на котором установлена программа контроля и учета. Задача таких считывателей — поэтапно фиксировать перемещение маркированных объектов в реальном времени.
· Мобильные считыватели. Обладают сравнительно меньшей дальностью действия и зачастую не имеют постоянной связи с программой контроля и учета. Мобильные считыватели имеют внутреннюю память, в которую записываются данные с прочитанных меток (потом эту информацию можно загрузить в компьютер) и, так же как и стационарные считыватели, способны записывать данные в метку.
Технология штрих – кодирования. Штриховой код — графическая информация, наносимая на поверхность изделий, представляющая возможность считывания её техническими средствами — последовательность чёрных и белых полос либо других геометрических фигур. Штриховой код состоит из прямоугольных штрихов и пробелов переменной ширины. Его назначение — уникальная связь с информацией, сохраненной внутри компьютерной системы, которая может быть автоматически быстро, легко и точно извлечена из базы данных.
Существует два способа кодирования информации:
· Двухмерные — были разработаны для кодирования большого объёма информации. Расшифровка такого кода проводится в двух измерениях (по горизонтали и по вертикали). Двухмерные коды подразделяются на многоуровневые (stacked) и матричные (matrix). Примерами таких штрих — кодов являются: PDF 417, MaxiCode, Data Matrix, Aztec Code.
На данный момент имеются три разновидности кода:
· EAN-8 (сокращённый) — кодируется 8 цифр.
· EAN-13 (полный) — кодируется 13 цифр.
· EAN-128 — кодируется любое количество букв и цифр, объединенных в регламентированные группы.
Коды EAN-8 и EAN-13 содержат только цифры и никаких букв или других символов, такие коды могут выглядеть следующим образом: 2400000032639. Кодом EAN-128 кодируется любое количество букв и цифр по алфавиту Code-128, и имеют следующий вид: (00)353912345678(01)053987(15)051230, где (15) группа обозначает срок годности 30 декабря 2005.
Программно-технические средства защиты являются технической основой системы защиты информации. Применение таких средств осуществляется структурными органами в соответствии с принятой политикой информационной безопасности, описанной в нормативно – методических документах.
Программно-технические средства используются в системе защиты информации по следующим направлениям:
· защита объектов корпоративных систем;
· защита процессов, процедур и программ обработки информации;
· защита каналов связи;
· подавление побочных электромагнитных излучений;
· управление системой защиты.
Для того чтобы сформировать оптимальный комплекс программно-технических средств защиты информации, необходимо пройти следующие этапы:
· определение информационных и технических ресурсов, подлежащих защите;
· выявление полного множества потенциально возможных угроз и каналов утечки информации;
· проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
· определение требований к системе защиты;
· осуществление выбора средств защиты информации и их характеристик;
· внедрение и организация использования выбранных мер, способов и средств защиты;
· осуществление контроля целостности и управление системой защиты.
Информация сегодня стоит дорого и её необходимо охранять. Информацией владеют и используют все люди без исключения. Каждый человек решает для себя, какую информацию ему необходимо получить, какая информация не должна быть доступна другим. Для предотвращения потери информации и разрабатываются различные способы ее технической защиты, которые используются на всех этапах работы с ней, защищая от повреждений и внешних воздействий.
Классификация методов защиты информации
Информация сегодня – важный ресурс, потеря которого чревата неприятными последствиями. Утрата конфиденциальных данных компании несет в себе угрозы финансовых потерь, поскольку полученной информацией могут воспользоваться конкуренты или злоумышленники. Для предотвращения столь нежелательных ситуаций все современные фирмы и учреждения используют методы защиты информации.
Безопасность информационных систем (ИС) – целый курс, который проходят все программисты и специалисты в области построения ИС. Однако знать виды информационных угроз и технологии защиты необходимо всем, кто работает с секретными данными.
Виды информационных угроз
Основным видом информационных угроз, для защиты от которых на каждом предприятии создается целая технология, является несанкционированный доступ злоумышленников к данным. Злоумышленники планируют заранее преступные действия, которые могут осуществляться путем прямого доступа к устройствам или путем удаленной атаки с использованием специально разработанных для кражи информации программ.
Кроме действий хакеров, фирмы нередко сталкиваются с ситуациями потери информации по причине нарушения работы программно-технических средств.
В данном случае секретные материалы не попадают в руки злоумышленников, однако утрачиваются и не подлежат восстановлению либо восстанавливаются слишком долго. Сбои в компьютерных системах могут возникать по следующим причинам:
- Потеря информации вследствие повреждения носителей – жестких дисков;
- Ошибки в работе программных средств;
- Нарушения в работе аппаратных средств из-за повреждения или износа.
Современные методы защиты информации
Технологии защиты данных основываются на применении современных методов, которые предотвращают утечку информации и ее потерю. Сегодня используется шесть основных способов защиты:
- Препятствие;
- Маскировка;
- Регламентация;
- Управление;
- Принуждение;
- Побуждение.
Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз. Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию.
Маскировка – способы защиты информации, предусматривающие преобразование данных в форму, не пригодную для восприятия посторонними лицами. Для расшифровки требуется знание принципа.
Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы.
Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.
Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Если используются способы воздействия на работников, при которых они выполняют инструкции по этическим и личностным соображениям, то речь идет о побуждении.
На видео – подробная лекция о защите информации:
Средства защиты информационных систем
Способы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:
- Физические;
- Программные и аппаратные;
- Организационные;
- Законодательные;
- Психологические.
Физические средства защиты информации предотвращают доступ посторонних лиц на охраняемую территорию. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна. Для усиления защиты информации используются пропускные пункты, на которых контроль доступа осуществляют люди (охранники) или специальные системы. С целью предотвращения потерь информации также целесообразна установка противопожарной системы. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.
Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем.
Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства – программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений. При помощи комплекса аппаратуры и программ обеспечивается резервное копирование информации – для предотвращения потерь.
Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.
Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.
Психологические средства – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.
Защита передаваемых электронных данных
Для обеспечения безопасности информационных систем сегодня активно используются методы шифрования и защиты электронных документов. Данные технологии позволяют осуществлять удаленную передачу данных и удаленное подтверждение подлинности.
Методы защиты информации путем шифрования (криптографические) основаны на изменении информации с помощью секретных ключей особого вида. В основе технологии криптографии электронных данных – алгоритмы преобразования, методы замены, алгебра матриц. Стойкость шифрования зависит от того, насколько сложным был алгоритм преобразования. Зашифрованные сведения надежно защищены от любых угроз, кроме физических.
Электронная цифровая подпись (ЭЦП) – параметр электронного документа, служащий для подтверждения его подлинности. Электронная цифровая подпись заменяет подпись должностного лица на бумажном документе и имеет ту же юридическую силу. ЭЦП служит для идентификации ее владельца и для подтверждения отсутствия несанкционированных преобразований. Использование ЭЦП обеспечивает не только защиту информации, но также способствует удешевлению технологии документооборота, снижает время движения документов при оформлении отчетов.
Классы безопасности информационных систем
Используемая технология защиты и степень ее эффективности определяют класс безопасности информационной системы. В международных стандартах выделяют 7 классов безопасности систем, которые объединены в 4 уровня:
- D – нулевой уровень безопасности;
- С – системы с произвольным доступом;
- В – системы с принудительным доступом;
- А – системы с верифицируемой безопасностью.
Уровню D соответствуют системы, в которых слабо развита технология защиты. При такой ситуации любое постороннее лицо имеет возможность получить доступ к сведениям.
Использование слаборазвитой технологии защиты чревато потерей или утратой сведений.
В уровне С есть следующие классы – С1 и С2. Класс безопасности С1 предполагает разделение данных и пользователей. Определенная группа пользователей имеет доступ только к определенным данным, для получения сведений необходима аутентификация – проверка подлинности пользователя путем запроса пароля. При классе безопасности С1 в системе имеются аппаратные и программные средства защиты. Системы с классом С2 дополнены мерами, гарантирующими ответственность пользователей: создается и поддерживается журнал регистрации доступа.
Уровень В включает технологии обеспечения безопасности, которые имеют классы уровня С, плюс несколько дополнительных. Класс В1 предполагает наличие политики безопасности, доверенной вычислительной базы для управления метками безопасности и принудительного управления доступом. При классе В1 специалисты осуществляют тщательный анализ и тестирование исходного кода и архитектуры.
Класс безопасности В2 характерен для многих современных систем и предполагает:
- Снабжение метками секретности всех ресурсов системы;
- Регистрацию событий, которые связаны с организацией тайных каналов обмена памятью;
- Структурирование доверенной вычислительной базы на хорошо определенные модули;
- Формальную политику безопасности;
- Высокую устойчивость систем к внешним атакам.
Класс В3 предполагает, в дополнение к классу В1, оповещение администратора о попытках нарушения политики безопасности, анализ появления тайных каналов, наличие механизмов для восстановления данных после сбоя в работе аппаратуры или программного обеспечения.
Уровень А включает один, наивысший класс безопасности – А. К данному классу относятся системы, прошедшие тестирование и получившие подтверждение соответствия формальным спецификациям верхнего уровня.
На видео – подробная лекция о безопасности информационных систем:
Основы информационной безопасности. Часть 2. Информация и средства её защиты
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Существует достаточно много определений и классификаций «Информации». Наиболее краткое и в тоже время емкое определение дано в федеральном законе от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 2: Информация – это сведения (сообщения, данные) независимо от формы их представления».
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
- Свободно распространяемую
- Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
- Которая в соответствии с федеральными законами подлежит предоставлению или распространению
- Распространение, которой в Российской Федерации ограничивается или запрещается
Информация по назначению бывает следующих видов:
- Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
- Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
- Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
- Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.
Средства защиты информации необходимо применять непосредственно к информации доступ к которой ограничен — это государственная тайна и конфиденциальные данные.
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
- Сведения в военной области.
- Сведения в области экономики, науки и техники.
- Сведения в области внешней политики и экономики.
- Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента от 6 марта 1997 г. №188 (ред. от 13 июля 2015 г.) «Об утверждении перечня сведений конфиденциального характера».
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
- Личные конфиденциальные данные: Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях. Исключением является только информация, которая распространяется в СМИ.
- Служебные конфиденциальные данные: Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
- Судебные конфиденциальные данные: О государственной защите судей, должностных лиц правоохранительных и контролирующих органов. О государственной защите потерпевших, свидетелей и иных участников уголовного судопроизводства. Сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов, актов других органов и должностных лиц, кроме сведений, которые являются общедоступными в соответствии с Федеральным законом от 2 октября 2007 г. N 229-ФЗ «Об исполнительном производстве».
- Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них предприятием (секретные разработки, технологии производства и т.д.).
- Профессиональные конфиденциальные данные: Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее)
Рисунок 1. Классификация видов информации.
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
- Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- Документы всех типов: личные, служебные, государственные;
- Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- Электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Определив, какая информация подлежит защите, носители информации и возможный ущерб при ее раскрытии, Вы можете подобрать необходимые средства защиты.
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- Соблюдение конфиденциальности информации ограниченного доступа;
- Реализацию права на доступ к информации.
4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:
- Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- Своевременное обнаружение фактов несанкционированного доступа к информации;
- Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- Постоянный контроль за обеспечением уровня защищенности информации;
- Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).
Исходя из закона № 149-ФЗ защиту информации можно разделить так же на несколько уровней:
- Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных. - Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы. - Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
- Статья 272 «Неправомерный доступ к компьютерной информации»;
- Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
- Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
Административные (организационные) мероприятия играют существенную роль в создании надежного механизма защиты информации. Так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями. Например нерадивостью, небрежностью и халатностью пользователей или персонала защиты.
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.