 |
Классификация методов и средств защиты
|
|
|
|
Информации
Все мероприятия по защите информации в общем плане должны обеспечить достижение следующих целей:
· предупреждение появления угроз информации;
· выявление возможных направлений и степени нарастания опасности нарушения безопасности информации;
· обнаружение реальных фактов нарушения безопасности информации;
· пресечение разглашения, утечки и несанкционированного доступа к информации, нарушения ее целостности и потери;
· ликвидация или снижение уровня ущерба от нарушения безопасности информации и ее использования злоумышленниками.
Рассмотрим основные способы защиты информации (табл. 1.1). Препятствия физически преграждают злоумышленнику путь к защищаемой информации (т.е. на территорию и в помещения с аппаратурой, носителями информации и т.п.).
Управление доступом — способ защиты информации регулированием использования всех ресурсов систем (технических, программ средств, элементов баз данных). Предполагается, что в системе обработки данных установлены четкие и однозначные регламенты работы для пользователей, технического персонала программных средств, элементов баз данных и носителей информации.
В системе обработки данных должны быть регламентированы дни недели и время суток, в которые разрешена работа пользователям и персоналу системы.
В дни работы персонала должны быть определен перечень ресурсов системы, к которым разрешен доступны и порядок доступа к ним.
Необходимо иметь список лиц, которым предоставлено право на использование технических средств, программ и функциональных задач.
Для элементов баз данных указываются список пользователей, имеющих право доступа, и перечень процедур.
|
|
|
Для носителей информации строго определяются место постоянного хранения, список лиц, имеющих право получать их, перечень программ, имеющих право обращения к носителям.
Таблица 1.1. Способы защиты информации
| Способы защиты информации | |||||
| Препятствия | Управление доступом | Маскировка (кодирование) | Регламентация | Принуждение | Побуждение |
| Формальные | Неформальные | ||||
| Физические | Аппаратные | Программные | Организационные | Законодательные | Морально-этические |
| Средства защиты информации |
Собственно управление доступом включает следующие функции защиты:
· идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального идентификатора (имени, кода, пароля и т.п.) и опознание (установление подлинности) субъекта или объекта по предъявленному им идентификатору;
· проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;
· разрешение и создание условий работы в пределах (и только в пределах) установленного регламента;
· регистрацию (протоколирование) обращений к защищаемым ресурсам;
· реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.
Маскировка — способ защиты информации путем ее криптографического закрытия. Специалисты считают криптографическое закрытие весьма эффективным как с точки зрения собственно защиты, так и с точки зрения наглядности для пользователей. За рубежом этот вид защиты широко применяется при обработке и хранении информации. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
Регламентация как способ защиты заключается в разработке и реализации в процессе функционирования систем обработки данных комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
|
|
|
Специалисты утверждают [24, 49, 57], что для эффективной защиты необходимо строго регламентировать структурное построение (архитектура зданий, оборудование помещений, размещение аппаратуры и т.п.), технологические схемы автоматизированной обработки защищаемой информации, организацию и обеспечение работы всего персонала, занятого обработкой информации и т.п.
Принуждение — такой способ защиты, при котором пользователи и персонал систем обмена данными вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.
Рассмотренные способы защиты информации реализуются применением различных средств защиты. Различают технические, программные, организационные, законодательные и морально-этические средства (табл.1.1).
Техническими называются средства, которые реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на аппаратные и физические. Под аппаратными техническими средствами защиты понимаются устройства, встраиваемые непосредственно в аппаратуру систем обработки данных, или устройства, которые сопрягаются с аппаратурой по стандартному интерфейсу. Наиболее известные аппаратные средства, используемые на первом этапе, — это схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры (например, регистры границ поля запоминающих устройств) и т.п.
Физическими называются такие средства, которые реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах и т.п.).
Программные средства защиты образуют программы, специально предназначенные для выполнения функций, связанных с защитой информации.
Организационными средствами защиты называются организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
|
|
|
К законодательным средствам защиты относятся законодательные акты, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.
К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в стране или обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц (организаций).
Морально-этические нормы бывают как «неписаные» (например, общепринятые нормы честности, патриотизма и т.п.), так и регламентированные в законодательном порядке, т.е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США [84, 85].
Все рассмотренные средства защиты делятся на формальные и неформальные. К первым относятся средства, выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека. К неформальным средствам отнесены такие, которые либо определяются целенаправленной деятельностью людей, либо регламентируют (непосредственно или косвенно) эту деятельность.
На первом этапе развития концепций защиты информации преимущественное развитие имели программные средства, второй этап характеризовался интенсивным развитием всех основных классов средств, на третьем этапе все определенней вырисовываются следующие тенденции:
· аппаратная реализация основных функций защиты;
|
|
|
· создание комплексных средств защиты, выполняющих несколько различных функций защиты;
· унификация и стандартизация средств.
Лекция 2. Угрозы информационной
Безопасности
Угрозой интересам субъектов информационных отношений будем называть потенциально возможное событие, процесс или явление, которое посредством воздействия на информацию или другие компоненты АС может прямо или косвенно привести к нанесению ущерба интересам данных субъектов.
Нарушением безопасности (или просто нарушением) будем называть реализацию угрозы безопасности.
Основными видами угроз безопасности АС и информации (угроз интересам субъектов информационных отношений) являются:
· стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т.п.);
· сбои и отказы оборудования (технических средств) АС;
· последствия ошибок проектирования и разработки компонентов АС (аппаратных средств, технологии обработки информации, программ, структур данных и т.п.);
· ошибки эксплуатации (пользователей, операторов и другого персонала);
· преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
|
|
|
