Защита информации

Вступление человечества в 21 век знаменуется бурным развитием информационных технологий во всех сферах общественной жизни. Информация все в большей мере становится стратегическим ресурсом государства, производительной силой и дорогим товаром. Это не может не вызывать стремления государств, организаций и отдельных граждан получить преимущества за счет овладения информацией, недоступной оппонентам, а также за счет нанесения ущерба информационным ресурсам противника (конкурента) и защиты своих информационных ресурсов.

Противоборство государств в области информационных технологий (ИТ), стремление криминальных структур противоправно использовать информационные ресурсы, необходимость обеспечения прав граждан в информационный сфере, наличие множества случайных угроз вызывают острую необходимость обеспечения защиты информации в компьютерных системах (КС), являющихся материальной основой информатизации общества.

Проблема обеспечения информационной безопасности на всех уровнях может быть решена успешно только в том случае, если создана и функционирует комплексная система защиты информации (КСЗИ), охватывающая весь жизненный цикл компьютерных систем от разработки до утилизации и всю технологическую цепочку сбора, хранения, обработки и выдачи информации.

1. Структура комплексной защиты информации

Систематический подход к вопросам защиты информации требует, прежде всего, обозначить задачи. Чтобы это возможно было сделать, необходимо ответить на следующие вопросы:

u Что именно нужно защищать?

u От чего необходимо защищать систему?

u От кого требуется защищать систему?

Первый вопрос принадлежит к информационным процессам, нормальное течение которых специалисты и намереваются обеспечить.

Следующий из предложенных вопросов в той или иной мере задевает существующие отклонения по отношению к правильному протеканию процессов информационных взаимодействий.

Последний же вопрос имеет прямое отношение к тем объектам, над которыми производятся различные манипуляции с целью отклонения процесса от оптимума.

Ответ на первый из предложенных вопросов вопрос является лучшим макетом любого информационного процесса. Развернутый ответ на следующий вопрос в обязательном порядке должен содержать критерий «обычности» процесса, а также список возможных отклонений от нее, что в криптографии называются угрозами, — а именно ситуаций, которые можно было бы сделать абсолютно невозможными. Субъект, который препятствует нормальному протеканию процесса информационного взаимодействия, в криптографии называется «злоумышленником, налетчиком». Кстати, в качестве которого может выступать и законный участник информационного обмена, который желает добиться различных преимуществ для себя.

3 стр., 1087 слов

Информационно — правовое обеспечение и доступность правовой информации

п. Аспекты информационно-правового обеспечения и доступа к правовой информации в России По концепции правовой информатизации России главными целями правовой информатизации являются: информационно-правовое обеспечение внутренней деятельности органов государства; информационно-правовое обеспечение внешних по отношению к государственным органам ...

Что касается полного ответа на последний вопрос, то он является в криптографии так называемой моделью злоумышленника. Злоумышленником подразумевается отнюдь не конкретное лицо, а некая персонифицированная сумма желаемых целей и имеемых возможностей, для которых в полной мере справедлив принцип Паули, относящийся к физике элементарных частиц: оба субъекта, которые имеют одинаковые цели и возможности для их достижения, в криптографии же рассматриваются как одно и то же лицо, то есть злоумышленник.

Получив ответы на все перечисленные выше вопросы, получаем постановку задачи комплексной защиты информации и информационного процесса.

Различают несколько видов защиты информации. Чтобы выстроить правильную логику защиты, необходимо иметь четкое представление о каждом из них.

1.1. Физическая защита Физический доступ к определенному информационному носителю, обыкновенно, дает некую возможность получить краткий либо полный доступ и к самой информации. И препятствовать в данном случае сможет только криптография, хотя и не всегда. К примеру, если какой-либо злоумышленник все же получил некий физический доступ к компьютеру, в котором хранятся секретные данные в зашифрованном виде, теоретически и практически он в полной мере может считать свою задачу выполненной (в любом из существующих вариантов).

Он устанавливает на этот компьютер специальную программу, задачи которой заключаются в перехвате информации в процессе ее зашифровки либо расшифровки.

Сначала следует проявить заботу о физической сохранности используемой компьютерной техники и соответствующих носителей. Все наиболее сложное заключается в осуществлении физической защиты линиями связи. Если используемые провода проходят за пределами охраняемого объекта, то передаваемые по ним данные должны с полной вероятностью считаться известными противнику.

1.2. Электромагнитная защита Известно, все электронные приборы излучают электромагнитные колебания и волны и воспринимают их извне. С помощью таких вот полей возможны и дистанционное изъятие информации с компьютеров, и необходимое действие на них. Электромагнитные колебания и волны могут быть защищены экраном из любого проводящего материала. Металлические корпуса, как и металлические сетки, вкупе с обёрткой из фольги являются хорошей защитой от воздействия электромагнитных волн.

Следует учитывать, что экранирование любого помещения процесс довольно дорогостоящий. Во время решения такого вопроса главным становится фактор экономической разумности защиты, о чем велась речь выше.

1.3. Криптографическая защита Целью криптографической системы считается зашифровка осмысленного исходного текста (иными словами открытого текста), где в результате получается абсолютно бессмысленный на первый взгляд зашифрованный текст — криптограмма. Лицо-получатель, которому предназначается полученная криптограмма, должен быть в состоянии провести дешифровку этого шифртекста, восстановив, таким образом, прежний соответствующий ей исходный текст. Следует учесть, что при этом противник (именуемый также как криптоаналитик) должен быть неспособен раскрыть открытый текст.

8 стр., 3894 слов

Защита информации от несанкционированного доступа

... несанкционированного доступа; классификация способов защиты информации в компьютерных системах от случайных и преднамеренных угроз; защита информации от несанкционированного доступа. Понятие и классификация видов и методов несанкционированного доступа. Определение и модель злоумышленника несанкционированный доступ компьютерный защита Несанкционированный доступ - доступ к информации ... системы с целью ...

1.4. Человеческий фактор Известно, что человек является в наименьшей степени надёжным звеном в цепи защиты информации. Из всех удачных, будучи на слуху, попыток совершения преступлений в сфере компьютерной информации большинство было произведено с помощью подельников-сообщников из самого учреждения, которое и подверглось атаке.

Возникает вопрос: как же тогда можно защититься от угроз со стороны сотрудников прицельного учреждения? Ответ на него, если возможен, лежит в совершенно другой области. Одно, что можно точно прокомментировать – так это попытаться свести к минимуму данный фактор в системах защиты информации.

1.5. Активная защита Данный вид защиты – есть самый эффективный тогда, когда наиболее точно ясен источник угрозы информации. Если оно так, то проводятся активные мероприятия в сторону против попыток получения доступа к хранимой информации. Они могут быть следующими:

  • u обнаружение и выведение из работы устройств по причине скрытого изъятия используемой информации;
  • u поиск, а также задержание лиц, фиксирующих подобные устройства или выполняющих другие нелегальные манипуляции с целью доступа к информации;
  • u поиск вероятностных каналов утечки или незаконного доступа к информации и отправление по соответствующим каналам ложной информации;
  • u монтирование обманных потоков информации с целью маскирования настоящих потоков, а также рассеяния сил злоумышленника для их расшифровки;
  • u показы противнику возможных способов имеющейся защиты (не исключается и ложных) с целью возникновения у последнего мнения невозможности с преодолением защиты;
  • u скрытые разведывательные акты для получения сведений о том, какими способами злоумышленник имеет доступ к защищаемой информации, а также соответствующего противодействия.

1.6. Прочие меры Само собой разумеется, что в комплексе мер по защите различной информации учитывается также и применение необходимого соответствующего оборудования, размещаемого по обыкновению в специально отведенных (как правило — специально выстроенных) для этого помещениях.

2. Содержание элемента программно-математической защиты информации 2.1. Основные механизмы защиты компьютерных систем Для защиты компьютерных систем от неправомерного вмешательства в процессе их функционирования и несанкционированного доступа (НСД) к информации используются следующие основные методы зашиты (защитные механизмы):

  • u идентификация (именование и опознавание), аутентификация (подтверждение подлинности) пользователей системы;
  • u разграничение доступа пользователей к ресурсам системы и авторизация (присвоение полномочий) пользователям;
  • u регистрация и оперативное оповещение о событиях, происходящих в системе (аудит);
  • u криптографическое закрытие хранимых и передаваемых по каналамсвязи данных;
  • u контроль целостности и аутентичности (подлинности и авторства)данных;
  • u выявление и нейтрализация действий компьютерных вирусов;
  • u затирание остаточной информации на носителях;
  • u выявление уязвимостей (слабых мест) системы;
  • u изоляция (защита периметра) компьютерных сетей (фильтрация трафика, скрытие внутренней структуры и адресации, противодействие атакам на внутренние ресурсы и т.д.);
  • u обнаружение атак и оперативное реагирование;
  • u резервное копирование;
  • u маскировка.

Перечисленные механизмы защиты могут применяться в конкретных технических средствах и системах защиты в различных комбинациях и вариациях. Наибольший эффект достигается при их системном использовании в комплексе с другими видами мер защиты.

9 стр., 4415 слов

Определение актуальных угроз безопасности персональных данных ...

... (речевой) информации) либо за счет несанкционированного доступа с использованием соответствующего программного обеспечения. Детальное описание угроз, связанных с утечкой ПДн по техническим каналам, приведено в «Базовой модели угроз безопасности персональных данных при ...

2.2. Защита средствами операционной системы MS-DOS, как наиболее распространенная операционная система, не представляет каких-либо методов защиты. Это наиболее открытая операционная система, и на ее базе разработано много различных аппаратных и программных средств, в частности — виртуальные кодируемые или шифруемые диски, блокираторы загрузки и т. д. Однако имеющиеся средства дисассемблирования, отладчики, а также большое количество квалифицированных программистов сводят на нет все программные методы.

DR-DOS, как одна из разновидностей MS-DOS, хоть и поддерживает блокировку файлов, но загрузка с дискеты или с другого накопителя делает бесполезной использование встроенных систем защиты.

Windows 95/98 основаны на базе MS-DOS, и им присущи все ее недостатки. Парольная система Windows 95/98 не выдерживает никакой критики, и даже установка дополнительных модулей системной политики не решает данную задачу.

Windows NT и Novell, хотя и решают задачу защиты, но… вот простейший пример — похитили, или изъяли в установленном порядке, компьютер. Диск установили вторым — и все ваше администрирование, на которое потрачены тысячи (если не миллионы) человеко-часов, — уже никому не помеха.

2.3. Защита информации установкой пароля BIOS Максимум что надо для блокировки, это — открыть компьютер, установить перемычку и снять ее (самое большее — две минуты).

Есть два (известных мне) исключения — системы с часами на базе микросхем DALLAS и переносные компьютеры.

Здесь имеющаяся задача отнюдь не так просто решается, как кажется на первый взгляд. В данном случае помогает снятие накопителя и установка его в другой компьютер (опять же две минуты).

2.4. Блокировка загрузки операционной системы По этому пути идут многие фирмы. У данного метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные платы перехватывают прерывание по загрузке, однако настройщик современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства.

2.5. Шифрование данных Это одно из мощнейших методов. Начну его рассмотрение с определения по ГОСТ-19781: Шифрование — это процесс преобразования открытых данных в зашифрованные при помощи шифра или зашифрованных данных в открытые при помощи шифра — совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей (конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования).

3 стр., 1418 слов

Правовые и организационные методы защиты информации в информационных системах

... разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К ним относятся: Политика Информационной безопасности; Положение о коммерческой тайне; Положение о защите персональных данных; Перечень сведений, составляющих конфиденциальную информацию; Инструкция о порядке ...

Стойкость современных шифровальных систем достаточно высока, и будем считать ее достаточной. Однако разработчик, продавец и установщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязан иметь лицензию. В России разрешено использование только одного алгоритма и принципиально невозможно получить, а, значит, и использовать, импортные разработки!

Заключение

Теперь настало время подведения итогов.

Известно множество случаев, когда фирмы (не только зарубежные!!!) ведут между собой настоящие «шпионские войны», вербуя сотрудников конкурента с целью получения через них доступа к информации, которая составляет, ни много ни мало, а целую коммерческую тайну.

Регулирование вопросов, связанных с коммерческой тайной, еще не получило в России достаточного развития. Принятый еще в 1971 году КЗоТ, несмотря на многочисленные изменения, безнадежно устарел и не обеспечивает соответствующего современным реалиям регулирования многих вопросов, в том числе и о коммерческой тайне. Наличие норм об ответственности, в том числе уголовной, может послужить работникам предостережением от нарушений в данной области, поэтому, я считаю, что было бы целесообразным подробно проинформировать всех сотрудников о последствиях нарушений. В то же время надо отдавать себе отчет, что ущерб, будучи причиненный разглашением коммерческой тайны, зачастую имеет весьма значительные размеры (если их вообще можно оценить).

Компенсировать убытки, потребовав их возмещения с виновного работника, скорее всего не удастся, отчасти из-за несовершенного порядка обращения имущественных взысканий на физических лиц, отчасти — просто из-за отсутствия у физического лица соответствующих средств. Хотелось бы надеяться, что создающиеся в стране система защиты информации и формирование комплекса мер по ее реализации не приведет к необратимым последствиям на пути зарождающегося в России информационно-интеллектуального объединения со всем миром.

Список использованной литературы:

[Электронный ресурс]//URL: https://pravsob.ru/referat/pravovaya-zaschita-informatsii/

1. Завгородний В.И. Комплексная защита информации в компьютерных системах: уч. пособие. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 488 с.

2. Халяпин Д.Б. Защита информации. – Баярд М, 2004.- 431 с: ил.

3. Берник В., Матвеев С., Харин Ю. Математические и компьютерные основы криптологии. – М.: Логос; ПБОЮЛ Н.А. Егоров, 2007. – 315 с.