Средства и методы защиты информации в экономической сфере

Первостепенной целью информационной безопасности является обеспечение конфиденциальности. Утечка информации может привести к необратимым последствиям. Все юридические лица обязаны использовать технические средства, предназначенные для защиты информации. Огромную помощь в этом оказывают средства шифрования информации. Люди, нарушившие закон, стоящие на учете в психоневрологическом или наркологическом диспансере, не могут быть допущены к работе с конфиденциальной информацией. Работники, допущенные к подобной информации, обязаны дать обязательство в письменном виде о её неразглашении. Причиной возникновения отклонений в соблюдении информационной безопасности является нарушение движения информационных потоков или ошибки в системе доступа.

Наиболее часто встречающиеся примеры нарушения доступа к информации:

• — ошибки администрирования;
• — неправильное формирование групп пользователей и определение прав их доступа;
• -отсутствие политики формирования паролей пользователей;
• -ошибки в формировании итоговых и агрегированных отчетов, доступа к ним;
• -наличие открытого канала доступа для сторонних лиц;
• — ошибки проектирования информационной системы;
• -использование слабозащищенной среды для разработки информационной системы, где доступ к информации можно получить не через интерфейс программы, который требует пароля, а напрямую, читая из таблиц баз данных;
• — ошибки алгоритмов доступа к данным;
• — небрежность в разработке системы защиты;
• — небрежность пользователей в вопросах информационной безопасности;
• — нарушение хранения паролей для доступа в информационную систему;
• — сохранение закрытого соединения после окончания работы, данное нарушение делает бессмысленным большинство других требований системы безопасности;
• — нерегламентированное обсуждение зарытой информации;
• — умышленный взлом системы.

При правильном построении системы информационной безопасности нерегламентированные изменения могут быть зарегистрированы и выявлены в процессе работы. Кроме того, существуют дополнительные механизмы защиты от них, такие как электронная подпись, благодаря чему общее количество данных нарушений меньше, чем нарушений доступа на просмотр информации, хотя их последствия более серьезны.

Причины, приводящие к нарушениям записи информации в системе, можно сгруппировать следующим образом:

ошибки программирования;

ошибки ввода;

технические сбои;

умышленные нарушения в системе.

Причины утраты работоспособности и производительности кроются в механизмах самой системы, в ее способности совершать различные действия. Ущерб от подобных нарушений зависит от степени частичного снижения или полной потери работоспособности.

Наиболее распространенной причиной нарушений в работе информационных систем являются ошибки их пользователей — непреднамеренные ошибки сотрудников организации. Как правило, данные нарушения не приводят к большому ущербу, хотя возможны и исключения. Современные механизмы контроля и мониторинга позволяют почти полностью исключить этот тип нарушений. Однако из-за большого количества разновидностей ошибок создание системы, полностью исключающей их появление, как правило, невозможно или связано с неоправданными затратами.

Другой случай — это преднамеренные действия сотрудников, нарушения, которые являются самыми сложными для предотвращения. Сотрудник организации, как правило, хорошо ориентируется во внутренних процессах и системах. Часто он знает о механизмах безопасности и, что более опасно, об их отсутствии в определенных модулях системы. У него есть время и возможность смоделировать и протестировать свои действия, оценить последствия.

Причинами, побудившими сотрудников к умышленному нарушению информационной безопасности, являются:

обида на действия менеджеров, как правило, связанная с конфликтами или увольнением сотрудника;

попытка дополнительного заработка;

попытка хищения денег из организации;

попытка создания зависимости организации от конкретного сотрудника;

карьерная борьба.

В качестве мер противостояния нарушениям данного типа наиболее эффективны социально-экономические меры, разграничение доступа и мониторинг действий пользователей. Еще одна группа причин нарушений в работе информационных систем — действия сторонних лиц криминального характера.

Система информационной безопасности тесно связана с техническими проблемами, решение которых может потребовать значительных сроков и ресурсов, что может привести к экономической нецелесообразности использования рассматриваемых механизмов.

Обеспечение информационной безопасности достигается системой мер, направленных[8]:

на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

на обнаружение угроз;

на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

на ликвидацию последствий угроз и преступных действий и восстановление системы.

Основной концепцией обеспечения ИБ объектов является комплексный подход, который основан на интеграции различных подсистем связи, подсистем обеспечения безопасности в единую систему с общими техническими средствами, каналами связи, программным обеспечением и базами данных [7]. Оценка эффективности может быть проведена по кривой роста относительного уровня обеспечения безопасности от наращивания средств контроля доступа (см. рис.1).

Рисунок1 — Кривая роста относительного уровня обеспечения безопасности Для гарантии того, чтобы только зарегистрированные в автоматизированной системе пользователи могли включить компьютер (загрузить операционную систему) и получить доступ к его ресурсам, каждый доступ к данным в защищенной АС осуществляется в три этапа: идентификация — аутентификация — авторизация [6,7]. Идентификация — присвоение субъектам и объектам доступа зарегистрированного имени, персонального идентификационного номера (PIN-кода), или идентификатора, а также сравнение (отождествление) предъявляемого идентификатора с перечнем присвоенных идентификаторов. Основываясь на идентификаторах, система защиты «понимает», кто из пользователей в данный момент работает на ПЭВМ или пытается включить компьютер (осуществить вход в систему). Аутентификация определяется как проверка принадлежности субъекту доступа предъявленного им идентификатора, либо как подтверждение подлинности субъекта. Авторизация — предоставление пользователю полномочий в соответствии с политикой безопасности, установленной в компьютерной системе. Процедуры идентификации и аутентификации в защищенной системе осуществляются посредством специальных программных средств. Процедура идентификации производится при включении компьютера и заключается в том, что сотрудник «представляется» компьютерной системе. Далее пользователь должен убедить систему в том, что он действительно тот, кем представился.

Современные программно-аппаратные средства идентификации и аутентификации по виду идентификационных признаков можно разделить на электронные, биометрические и комбинированные. В отдельную подгруппу в связи с их специфическим применением можно выделить системы одноразовых паролей, входящие в состав электронных (см. рис.2).

Рисунок 2 — Классификация программно-аппаратных систем идентификации и аутентификации В электронных системах идентификационные признаки представляются в виде кода, хранящегося в памяти идентификатора (носителя). Идентификаторы в этом случае бывают следующие: контактные смарт-карты;бесконтактные смарт-карты;USB-ключи (USB-token);iButton.

В комбинированных системах используется одновременно несколько признаков, причем они могу принадлежать как системам одного класса, так и разным. В состав электронных систем идентификации и аутентификации входят контактные и бесконтактные смарт-карты и USB-token [2]. Бесконтактные смарт-карты разделяются на идентификаторы Proximity и смарт-карты, базирующиеся на международных стандартах ISO/IEC 15 693 и ISO/IEC 14 443. В основе большинства устройств на базе бесконтактных смарт-карт лежит технология радиочастотной идентификации (см. табл. 1).

Таблица 1 — Радиочастотные идентификаторы.

В биометрических системах идентификационными являются индивидуальные особенности человека, которые в данном случае называются биометрическими признаками. Идентификация производится за счет сравнения полученных биометрических характеристик и хранящихся в базе шаблонов. В зависимости от характеристик, которые при этом используются, биометрические системы делятся на статические и динамические. Статическая биометрия основывается на данных, полученных из измерений анатомических особенностей человека. Динамическая основывается на анализе действий.

Основными компонентами бесконтактных устройств являются чип и антенна. Идентификаторы могут быть как активными (с батареями), так и пассивными (без источника питания). Идентификаторы имеют уникальные 32/64 разрядные серийные номера.

Системы идентификации на базе Proximity криптографически не защищены, за исключением специальных заказных систем.

USB-ключи работают с USB-портом компьютера. Изготавливаются в виде брелоков. Каждый ключ имеет прошиваемый 32/64 разрядный серийный номер.

Аутентификация в защищенных автоматизированных системах может осуществляться несколькими методами [2,3]:

• * парольная аутентификация;
• * на основе биометрических измерений;
• * с использованием физических носителей аутентифицирующей информации. информация защита аутентификация безопасность

Наиболее простым и дешевым способом аутентификации личности в АИС является ввод пароля (трудно представить себе компьютер без клавиатуры). Однако существование большого количества различных по механизму действия атак на систему парольной защиты делает ее уязвимой перед подготовленным злоумышленником.

В настоящее время для повышения надежности аутентификации пользователей в СЗИ применяют внешние носители ключевой информации. В технической литературе производители этих устройств и разработчики систем безопасности на их основе пользуются различной терминологией. Можно встретить подходящие по контексту термины: электронный идентификатор, электронный ключ, внешний носитель ключевой или кодовой (аутентифицирующей) последовательности. Следует понимать, что это устройства внешней энергонезависимой памяти с различным аппаратным интерфейсом, работающие в режимах чтение или чтение/запись и предназначенные для хранения ключевой либо аутентифицирующей информации. Наиболее распространенными устройствами являются электронные ключи «TouchMemory» на базе микросхем серии DS199Х фирмы DallasSemiconductors. Другое их название — «iButton» или «Далласские таблетки».

Выводы

С точки зрения применяемых технологий аутентификации, безусловно, самой надежной является взаимная строгая двухфакторная аутентификация. В ее основе лежит технология электронной цифровой подписи (ЭЦП) с применением USB-ключей или смарт-карт в качестве надежного хранилища закрытых ключей пользователей. Под взаимностью понимается возможность проверки валидности сертификата цифровой подписи как клиента сервером, так и наоборот. Однако эта технология требует развитой инфраструктуры открытых ключей, наличия доверенной среды, а также средств проверки ЭЦП на клиентской рабочей станции. При отсутствии возможностей для выполнения этих условий, в частности, для организации удаленного доступа из недоверенной среды, были разработаны достаточно надежные схемы с применением одноразовых паролей (технология OTP — OneTimePassword). Суть концепции одноразовых паролей состоит в использовании различных паролей при каждом новом запросе на предоставление доступа. Одноразовый пароль действителен только для одного входа в систему. Динамический механизм задания пароля является одним из лучших способов защитить процесс аутентификации от внешних угроз. Аутентификация с применением механизма ОТР является усиленной. Итак, лучшей практикой для подтверждения подлинности идентификатора является двусторонняя строгая аутентификация, основанная на технологии ЭЦП. В ситуациях, когда данную технологию использовать невозможно, необходимо применять ОТР, и только при минимальном уровне рисков проникновения злоумышленника к информационным ресурсам рекомендуется применение технологий аутентификации с помощью многоразовых паролей.

Параскевов А.В. IT диверсии в корпоративной сфере / А. В. Параскевов, И. М. Бабенков, О. Б. Шилович // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2016. — № 02(116). С. 1355 — 1366. — IDA [article ID]: 1 161 602 086. — Режим доступа: http://ej.kubagro.ru/2016/02/pdf/86.pdf, 0,75 у.п.л.

Основные детерминанты экономической и информационной безопасности на современном этапе развития экономики / Бабенков И. М., Параскевов А. В., Шилович О. Б. // в сборнике: Роль и место информационных технологий в современной науке — сборник статей Международной научно-практической конференции. Ответственный редактор: СукиасянАсатур Альбертович. Уфа, 2016. С. 71−74.

Параскевов А. В. Сравнительный анализ правового регулирования защиты персональных данных в России и за рубежом / Параскевов А. В., Левченко А. В., Кухоль Ю. А. // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2015. — № 06(110). — IDA [articleID]: 1 101 506 058. — Режим доступа: http://ej.kubagro.ru/2015/06/pdf/58.pdf, 1,750 у.п.л.

Развитие человеческого капитала и рост национального богатства / Н. Б. Читанава, А. Н. Мейтова, О. Б. Шилович, А. В. Параскевов // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2014. — № 01(095). С. 1192 — 1203. — IDA [article ID]: 951 401 069. — Режим доступа: http://ej.kubagro.ru/2014/01/pdf/69.pdf, 0,75 п.л.

Параскевов А. В. Совершенствование управления дорожным движением (обзор) / А. В. Параскевов // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2008. — № 03(037). С. 207 — 217. — Шифр Информрегистра: 420 800 012 034, IDA [article ID]: 370 803 014. — Режим доступа: http://ej.kubagro.ru/2008/03/pdf/14.pdf, 0,688 у.п.л.

Параскевов А. В. Современная робототехника в России: реалии и перспективы (обзор)/ А. В. Параскевов, А. В. Левченко // Политематический сетевой электронный научный журнал Кубанского государственного аграрного университета (Научный журнал КубГАУ) [Электронный ресурс]. — Краснодар: КубГАУ, 2014. — № 10(104). С. 1641 — 1662. — IDA [article ID]: 1 041 410 116. — Режим доступа: http://ej.kubagro.ru/2014/10/pdf/116.pdf, 1,375 п.л.

МельниковВ.П.Информационная безопасность и защита информации: учеб. пособие для студ. высш. учеб. заведений. — 3-е изд., стер. — М.: Издательский центр «Академия», 2008. — 336с.

КурилоА.П., ЗефировС.Л., ГоловановВ.Б. и др. Аудит информационной безопасности. — М.: Издательская группа «БДЦ-пресс», 2006. — 304с.

ГОСТ Р 51 275−99. Защита информации. Объект информатизации. Факторы, воздействующие на информацию [Текст]. — Введ. 2000;01−01 — М.: Изд-во стандартов, 1999. — 8с.

ГОСТ Р 15 408−02. Критерии оценки безопасности информационных технологий [Текст]. — Введ. 2004;01−01 — М.: Изд-во стандартов, 2002.