Методы и средства защиты информации

План Введение

1. Методы и средства защиты информации от несанкционированного доступа

1.1 Способы несанкционированного доступа к информации в компьютерных системах и защиты от него

1.2 Способы защиты от несанкционированного доступа к информации в компьютерных системах

2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов переработки информации

2.1 Международные правовые и нормативные акты обеспечения ИБ

2.2 Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ Заключение Список использованной литературы

Введение

Одним из основных факторов, обеспечивающих присутствие современного государства в рядах членов международного сообщества, оказывающих кардинальное влияние на процесс сохранения стратегической стабильности в мире, является поступательное развитие составляющих его жизнедеятельности, образующих понятие «информационное общество». Следует отметить, что в последнее время в России предпринят ряд мер на данном направлении, что в значительной степени способствовало позитивным изменениям в информационном обеспечении государственной политики.

В этой связи прежде всего следует обратить внимание на развитие инфраструктуры единого информационного пространства Российской Федерации. Российские информационные и телекоммуникационные системы и линии связи во всё возрастающей степени, используя интеграционные возможности, выходят на мировой уровень. При их формировании активно применяются последние достижения в области информационных технологий, широко представленные на отечественном рынке, в рамках которого созданы благоприятные условия для присутствия практически всех ведущих иностранных компаний, действующих в информационной сфере. Современные высокие технологии эффективно используются в деятельности подавляющего большинства организаций и учреждений, государственных органов и частных структур.

1. Методы и средства защиты информации от несанкционированного доступа

1.1 Способы несанкционированного доступа к информации в компьютерных системах и защиты от него В руководящих документах Гостехкомиссии России приведены следующие основные способы несанкционированного доступа к информации в компьютерных системах (КС):

— непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него);

— создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчиком этих средств, так называемых люков);

— модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);

— внедрение в технические средства средств вычислительной техники (СВТ) или автоматизированных систем (АС) программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).

Модель нарушителя в руководящих документах Гостехкомиссии России определяется исходя из следующих предположений:

— нарушитель имеет доступ к работе со штатными средствами КС;

— нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).

Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):

1) запуск программ из фиксированного набора (например, подготовка документов или получение почтовых сообщений);

2) создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);

3) управление функционированием КС — воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);

4) весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями.

С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:

— ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);

— подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;

— подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;

— выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации — «маскарад» ;

— создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), — «мистификация» ;

— создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;

— тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю.

В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.

К основным функциям СРД относятся:

— реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;

— изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;

— управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;

— реализация правил обмена информацией между субъектами в компьютерных сетях.

К функциям обеспечивающих средств для СРД относятся:

— идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;

— регистрация действий субъекта и активизированного им процесса;

— исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;

— реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);

— учет выходных печатных форм в КС;

— контроль целостности программной и информационной части СРД и обеспечивающих ее средств.

1.2 Способы защиты от несанкционированного доступа к информации в компьютерных системах несанкционированный доступ информация защита Итак, основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.

Под протоколом в общем случае понимают конечную последовательность однозначно и точно определенных действий, выполняемых двумя или более сторонами для достижения желаемого результата за конечное время.

Рассмотрим способы аутентификации пользователей в КС, которые можно подразделить на три группы. К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (парольная аутентификация и аутентификация на основе модели «рукопожатия»).

Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

К третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т. п.).

В соответствии с «Оранжевой книгой» (см. 2 пункт данной работы) в защищенных КС, начиная с класса С1, должен использоваться хотя бы один из способов аутентификации (например, пароль), а данные аутентификации должны быть защищены от доступа неавторизованного пользователя.

В руководящих документах Гостехкомиссии России (см. 2 пункт данной работы) в АС, отнесенных к классу защищенности 1Д, должна осуществляться идентификация и проверка подлинности субъектов при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Для классов защищенности 1 Г и 1 В дополнительно требуется использовать идентификатор (код, логическое имя) пользователя. Для отнесения АС к классу защищенности 1Б дополнительно необходимо использовать пароль временного действия длиной не менее восьми буквенно-цифровых символов. В требованиях к классу защищенности 1А определена необходимость применения пользователями при входе в АС биометрических характеристик или специальных устройств (жетонов, карт, электронных ключей) и пароля временного действия длиной не менее восьми буквенно-цифровых символов.

2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов переработки информации Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц — пользователей и обслуживающего технического персонала — за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер — предупреждение и сдерживание потенциальных нарушителей.

Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики.

Таким образом государственная информационная политика должна опираться на следующие базовые принципы:

— открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение);

— равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности);

— системность (реализация процессов обеспечения ИБ через государственную систему);

— приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);

— социальная ориентация (основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов граждан России);

— государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством);

— приоритетность права — законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);

— сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления;

— интеграция с международными системами обеспечения ИБ.

2.1 Международные правовые и нормативные акты обеспечения ИБ В международной практике обеспечения ИБ основными направлениями являются:

— нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных технологий;

— стандартизация процессов создания безопасных информационных систем.

Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC («Критерии оценки защищенности надежных систем»), или «Оранжевую книгу» (по цвету переплета), в которой были определены семь уровней безопасности (А1 — гарантированная защита; B1, В2, ВЗ — полное управление доступом; C1, C2 — избирательное управление доступом, D — минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как «Красная книга» (по цвету переплета). В свою очередь, Агентство информационной безопасности ФРГ подготовило GREEN BOOK («Зеленая книга»), в которой рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.

В 1990 г. «Зеленая книга» была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в Европейский Союз (ЕС), где на ее основе были подготовлены ITSEC («Критерии оценки защищенности информационных технологий»), или «Белая книга», как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем и имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачи данных).

В «Белой книге» названы основные компоненты безопасности по критериям ITSEC:

1) информационная безопасность;

2) безопасность системы;

3) безопасность продукта;

4) угроза безопасности;

5) набор функций безопасности;

6) гарантированность безопасности;

7) общая оценка безопасности;

8) классы безопасности.

Согласно европейским критериям ITSEC, ИБ включает в себя шесть основных элементов ее детализации:

1) цели безопасности и функции ИБ;

2) спецификация функций безопасности:

— идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе контроля целостности и функции для ограничения количества повторных попыток аутентификации);

— управление доступом (в том числе функции безопасности, которые обеспечивают временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);

— подотчетность (протоколирование);

— аудит (независимый контроль);

— повторное использование объектов;

— точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

— надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т. е. безопасности данных, передаваемых по каналам связи);

— обмен данными;

3) конфиденциальность информации (защита от несанкционированного получения информации);

4) целостность информации (защита от несанкционированного изменения информации);

5) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

6) описание механизмов безопасности.

Для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер KERBEROS, а для защиты компьютерных сетей — фильтрующие маршрутизаторы, сетевые анализаторы протоколов (экраны) типа FireWall/Plas, FireWall-1, пакеты фильтрующих программ и т. д.

Общая оценка безопасности системы по ITSEC состоит из двух компонентов: оценка уровня гарантированной эффективности механизмов (средств) безопасности и оценка уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности — их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие «эффективность» включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируется три степени мощности: базовая, средняя и высокая. При проверке корректности анализируется правильность и надежность реализации функций безопасности. По ITSEC декларируется семь уровней корректности — от Е0 до Е6.

В «Европейских критериях» установлено 10 классов безопасности

(F-C1, F-C2, F-Bl, F-B2, F-B3, F-1N, F-AV, F-D1, F-DC, F-DX). Первые пять классов безопасности аналогичны классам C1, C2, B1, B2, В3 американских критериев TCSEC. Класс F-1N предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами). Класс F-D1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс

F-DX предназначен для систем с повышенными требованиями одновременно по классам F-D1 и F-DC.

2.2 Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ К основным задачам в сфере обеспечения и регулирования ИБ РФ относятся следующие:

— формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан на информационную деятельность;

— совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;

— определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ;

— координация деятельности органов государственной власти по обеспечению ИБ;

— создание условий для успешного развития негосударственной компоненты в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

— совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

— развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение во всех видах таких систем;

— развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

— защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;

— духовное возрождение России, обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

— сохранение традиционных духовных ценностей при важнейшей роли Русской Православной церкви и церквей других конфессий;

— пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

— повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств — членов Содружества Независимых государств (СНГ);

— создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

— противодействие угрозе развязывания противоборства в информационной сфере;

— организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.

Установление стандартов и нормативов в сфере обеспечения ИБ РФ является наиболее важной регулирующей функцией.

Девять государственных стандартов Российской Федерации (ГОСТ 28 147−89, ГОСТ Р 34.10−94, ГОСТ Р 34.11−94, ГОСТ 29.339−92, ГОСТ Р 50 752−95, ГОСТ РВ 50 170−92, ГОСТ Р 50 600−93, ГОСТ Р 50 739−95, ГОСТ Р 50 922−96) относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации.

Комплексный характер защиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

— ГОСТ 28 147–89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования» ;

— ГОСТ Р 34.10−94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» ;

— ГОСТ Р 34.11−94 «Информационная технология. Криптографическая защита информации. Функция хэширования» ;

— ГОСТ Р 50 739−95 «Средства вычислительной техники. Защитa от несанкционированного доступа к информации. Общие технические требования» .

Немаловажное значения для формирования оптимальных схем государственного воздействия на информационные процессы имеет нормативно-правовое обеспечение данной сферы, включающее в себя в качестве одного из краеугольных камней систему лицензирования и сертификации информационных продуктов и услуг, информационных и телекоммуникационных систем, сетей связи и сопутствующих технологий. В этом направлении государством был предпринят целый ряд шагов, которые в своей совокупности привели к созданию законодательного блока, включающего в себя целый ряд нормативных актов, направленных на урегулирование отношений в информационной сфере, многие из которых имеют беспрецедентный для российской законодательной системы характер. К числу важнейших из них следует прежде всего отнести следующие законы: «О государственной тайне», «Об архивном фонде и архивах», «О правовой охране программ для ЭВМ и баз данных», «О правовой охране интегральных схем», «Об информации, информатизации и защите информации», «Об информационном обеспечении экономического развития и предпринимательской деятельности», «О коммерческой тайне», «О статистической информации», «О правовой информации», «О научно-технической информации», «Об участии в международном информационном обмене и контроле за экспортом информационной продукции», «О внесении изменений и дополнений в кодексы РФ об ответственности за правонарушения при работе с информацией», «Об электронно-цифровой подписи» .

Заключение

Проблема обеспечения безопасности носит комплексный характер. Для ее решения необходимо сочетание как правовых мер, так и организационных (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ, и выделить на эти цели соответствующих ресурсы), и программно-технических (идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование).

Следует также особо подчеркнуть, что обеспечение защиты информации не может носить характер одноразовой акции. Это непрерывный процесс, заключающийся в разработке и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле её состояния, выявлении узких и слабых мест, являющихся потенциальным каналом для осуществления противоправных действий. Надёжный заслон на пути несанкционированного доступа к информационным ресурсам информации может быть обеспечен лишь за счёт комплексного использования всего арсенала имеющихся средств защиты на всех этапах технологического цикла обработки информации. Наибольший эффект достигается лишь в том случае, когда все используемые средства, методы и меры объединяются в единый целостный механизм, представляющий собой интегрированную систему защиты информации. Функционирование системы должно контролироваться, модернизироваться и изменяться в зависимости от состояния внешних и внутренних условий. При этом не следует забывать, что никакая система не может обеспечить должный уровень защиты без соответствующей подготовки пользователей и соблюдения ими всех установленных правил использования информационных ресурсов. Иными словами, система обеспечения информационной безопасности должна представлять собой чётко структурированную совокупность административных органов, научных учреждений федерального подчинения и соответствующих подразделений частных и государственных предприятий, обеспечивающих распространение и внедрение передовых средств, технологий и методов защиты информации от внутренних и внешних угроз.

В завершение хотелось бы отметить, что непременным условием роста информационного потенциала страны является осуществление решительных действий государства на трёх основных направлениях: создание единого информационного ресурса страны путем объединения общественно значимых информационных ресурсов стратегически важных субъектов управления, хозяйствования, сферы науки и т. п. в единое целое на базе современных систем связи и телекоммуникаций; совершенствование и развитие национальной информационной инфраструктуры; осуществление государственного контроля и управления созданием общественно важных информационных ресурсов, систем связи и телекоммуникаций.

1. Малышенко Д. Г. Современное состояние и перспективы укрепления информационной безопасности. — М.: ВНИИ МВД России, 2004.

2. Мельников В. П. Информационная безопасность и защита информации. — М.: «Академия», 2007.

3. Хореев П. Б. Методы и средства защиты информации в компьютерных системах. — М.: «Академия», 2005.