Методы и средства защиты информации

Размещено на http://www.allbest.ru/

План

Введение

1. Методы и средства защиты информации от несанкционированного доступа

1.1 Способы несанкционированного доступа к информации в компьютерных системах и защиты от него

1.2 Способы защиты от несанкционированного доступа к информации в компьютерных системах

2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов переработки информации

2.1 Международные правовые и нормативные акты обеспечения ИБ

2.2 Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ

Заключение

Список использованной литературы

Введение

Одним из основных факторов, обеспечивающих присутствие современного государства в рядах членов международного сообщества, оказывающих кардинальное влияние на процесс сохранения стратегической стабильности в мире, является поступательное развитие составляющих его жизнедеятельности, образующих понятие "информационное общество". Следует отметить, что в последнее время в России предпринят ряд мер на данном направлении, что в значительной степени способствовало позитивным изменениям в информационном обеспечении государственной политики.

В этой связи прежде всего следует обратить внимание на развитие инфраструктуры единого информационного пространства Российской Федерации. Российские информационные и телекоммуникационные системы и линии связи во всё возрастающей степени, используя интеграционные возможности, выходят на мировой уровень. При их формировании активно применяются последние достижения в области информационных технологий, широко представленные на отечественном рынке, в рамках которого созданы благоприятные условия для присутствия практически всех ведущих иностранных компаний, действующих в информационной сфере. Современные высокие технологии эффективно используются в деятельности подавляющего большинства организаций и учреждений, государственных органов и частных структур.

1. Методы и средства защиты информации от несанкционированного доступа

1.1 Способы несанкционированного доступа к информации в компьютерных системах и защиты от него

В руководящих документах Гостехкомиссии России приведены следующие основные способы несанкционированного доступа к информации в компьютерных системах (КС):

- непосредственное обращение к объекту с конфиденциальной информацией (например, с помощью управляемой пользователем программы, читающей данные из файла или записывающей их в него);

- создание программных и технических средств, выполняющих обращение к объекту в обход средств защиты (например, с использованием случайно или намеренно оставленных разработчиком этих средств, так называемых люков);

- модификация средств защиты для осуществления несанкционированного доступа (например, внедрение программных закладок);

- внедрение в технические средства средств вычислительной техники (СВТ) или автоматизированных систем (АС) программных или технических механизмов, нарушающих структуру и функции этих средств для осуществления несанкционированного доступа (например, путем загрузки на компьютере иной, незащищенной операционной системы).

Модель нарушителя в руководящих документах Гостехкомиссии России определяется исходя из следующих предположений:

- нарушитель имеет доступ к работе со штатными средствами КС;

- нарушитель является специалистом высшей квалификации (знает все о КС и, в частности, о системе и средствах ее защиты).

Можно выделить следующие уровни возможностей нарушителя, предоставляемые ему штатными средствами КС (каждый следующий уровень включает в себя предыдущий):

1) запуск программ из фиксированного набора (например, подготовка документов или получение почтовых сообщений);

2) создание и запуск собственных программ (возможности опытного пользователя или пользователя с полномочиями отладки программ);

3) управление функционированием КС - воздействие на ее базовое программное обеспечение, состав и конфигурацию КС (например, внедрение программной закладки);

4) весь объем возможностей лиц, осуществляющих проектирование, реализацию и ремонт средств КС, вплоть до включения в состав КС собственных СВТ с новыми функциями.

С учетом различных уровней возможностей нарушителя выделяют следующие вспомогательные способы несанкционированного доступа к информации в КС, позволяющие нарушителю использовать перечисленные ранее основные способы:

- ручной или программный подбор паролей путем их полного перебора или при помощи специального словаря (взлом КС);

- подключение к КС в момент кратковременного прекращения работы легального пользователя, работающего в интерактивном режиме и не заблокировавшего свой терминал;

- подключение к линии связи и перехват доступа к КС после отправки пакета завершения сеанса легального пользователя, работающего в удаленном режиме;

- выдача себя за легального пользователя с применением похищенной у него или полученной обманным путем (с помощью так называемой социальной инженерии) идентифицирующей информации - "маскарад";

- создание условий для связи по компьютерной сети легального пользователя с терминалом нарушителя, выдающего себя за легального объекта КС (например, одного из ее серверов), - "мистификация";

- создание условий для возникновения в работе КС сбоев, которые могут повлечь за собой отключение средств защиты информации или нарушение правил политики безопасности;

- тщательное изучение подсистемы защиты КС и используемой в ней политики безопасности, выявление ошибочных участков в программных средствах защиты информации в КС, введение программных закладок, разрешающих доступ нарушителю.

В соответствии с руководящими документами Гостехкомиссии России основными направлениями обеспечения защиты СВТ и АС от несанкционированного доступа являются создание системы разграничения доступа (СРД) субъектов к объектам доступа и создание обеспечивающих средств для СРД.

К основным функциям СРД относятся:

- реализация правил разграничения доступа субъектов и их процессов к информации и устройствам создания ее твердых копий;

- изоляция процессов, выполняемых в интересах субъекта доступа, от других субъектов;

- управление потоками информации в целях предотвращения ее записи на носители несоответствующего уровня конфиденциальности;

- реализация правил обмена информацией между субъектами в компьютерных сетях.

К функциям обеспечивающих средств для СРД относятся:

- идентификация и аутентификация субъектов и поддержание привязки субъекта к процессу, выполняемому для него;

- регистрация действий субъекта и активизированного им процесса;

- исключение и включение новых субъектов и объектов доступа, изменение полномочий субъектов;

- реакция на попытки несанкционированного доступа (сигнализация, блокировка, восстановление объекта после несанкционированного доступа);

- учет выходных печатных форм в КС;

- контроль целостности программной и информационной части СРД и обеспечивающих ее средств.

1.2 Способы защиты от несанкционированного доступа к информации в компьютерных системах

несанкционированный доступ информация защита

Итак, основными способами защиты от несанкционированного доступа к информации в компьютерных системах являются аутентификация, авторизация (определение прав доступа субъекта к объекту с конфиденциальной информацией) и шифрование информации.

Под протоколом в общем случае понимают конечную последовательность однозначно и точно определенных действий, выполняемых двумя или более сторонами для достижения желаемого результата за конечное время.

Рассмотрим способы аутентификации пользователей в КС, которые можно подразделить на три группы. К первой группе относятся способы аутентификации, основанные на том, что пользователь знает некоторую подтверждающую его подлинность информацию (парольная аутентификация и аутентификация на основе модели "рукопожатия").

Ко второй группе относятся способы аутентификации, основанные на том, что пользователь имеет некоторый материальный объект, который может подтвердить его подлинность (например, пластиковую карту с идентифицирующей пользователя информацией).

К третьей группе относятся способы аутентификации, основанные на таких данных, которые позволяют однозначно считать, что пользователь и есть тот самый субъект, за которого себя выдает (биометрические данные, особенности клавиатурного почерка и росписи мышью и т.п.).

В соответствии с "Оранжевой книгой" (см. 2 пункт данной работы) в защищенных КС, начиная с класса С1, должен использоваться хотя бы один из способов аутентификации (например, пароль), а данные аутентификации должны быть защищены от доступа неавторизованного пользователя.

В руководящих документах Гостехкомиссии России (см. 2 пункт данной работы) в АС, отнесенных к классу защищенности 1Д, должна осуществляться идентификация и проверка подлинности субъектов при входе в систему по паролю условно-постоянного действия длиной не менее шести буквенно-цифровых символов. Для классов защищенности 1Г и 1В дополнительно требуется использовать идентификатор (код, логическое имя) пользователя. Для отнесения АС к классу защищенности 1Б дополнительно необходимо использовать пароль временного действия длиной не менее восьми буквенно-цифровых символов. В требованиях к классу защищенности 1А определена необходимость применения пользователями при входе в АС биометрических характеристик или специальных устройств (жетонов, карт, электронных ключей) и пароля временного действия длиной не менее восьми буквенно-цифровых символов.

2. Международные и отечественные правовые и нормативные акты обеспечения информационной безопасности (ИБ) процессов переработки информации

Законодательные меры по защите процессов переработки информации заключаются в исполнении существующих в стране или введении новых законов, положений, постановлений и инструкций, регулирующих юридическую ответственность должностных лиц - пользователей и обслуживающего технического персонала - за утечку, потерю или модификацию доверенной ему информации, подлежащей защите, в том числе за попытки выполнить аналогичные действия за пределами своих полномочий, а также в ответственности посторонних лиц за попытку преднамеренного несанкционированного доступа к аппаратуре и информации.

Цель законодательных мер - предупреждение и сдерживание потенциальных нарушителей.

Поскольку ИБ должна быть связующим звеном между политикой национальной безопасности и информационной политикой страны, то логично было бы проводить ее по единым принципам, выделяя их как общие и для информационной политики.

Таким образом государственная информационная политика должна опираться на следующие базовые принципы:

- открытость политики (все основные мероприятия информационной политики открыто обсуждаются обществом, государство учитывает общественное мнение);

- равенство интересов участников (политика в равной степени учитывает интересы всех участников информационной деятельности независимо от их положения в обществе, формы собственности и государственной принадлежности);

- системность (реализация процессов обеспечения ИБ через государственную систему);

- приоритетность отечественного производителя (при равных условиях приоритет отдается конкурентоспособному отечественному производителю информационно-коммуникационных средств, продуктов и услуг);

- социальная ориентация (основные мероприятия государственной информационной политики должны быть направлены на обеспечение социальных интересов граждан России);

- государственная поддержка (мероприятия информационной политики, направленные на информационное развитие социальной сферы, финансируются преимущественно государством);

- приоритетность права - законность (развитие и применение правовых и экономических методов имеет приоритет перед любыми формами административных решений проблем информационной сферы);

- сочетание централизованного управления силами и средствами обеспечения безопасности с передачей в соответствии с федеральным устройством России части полномочий в этой области органам государственной власти субъектов Российской Федерации и органам местного самоуправления;

- интеграция с международными системами обеспечения ИБ.

2.1 Международные правовые и нормативные акты обеспечения ИБ

В международной практике обеспечения ИБ основными направлениями являются:

- нормирование компьютерной безопасности по критериям оценки защищенности надежных систем и информационных технологий;

- стандартизация процессов создания безопасных информационных систем.

Так, уже в 1983 г. Агентство компьютерной безопасности Министерства обороны США опубликовало отчет, названный TCSEC ("Критерии оценки защищенности надежных систем"), или "Оранжевую книгу" (по цвету переплета), в которой были определены семь уровней безопасности (А1 - гарантированная защита; B1, В2, ВЗ - полное управление доступом; C1, C2 - избирательное управление доступом, D - минимальная безопасность) для оценки защиты грифованных данных в многопользовательских компьютерных системах. Для оценки компьютерных систем Министерства обороны США Национальный центр компьютерной безопасности МО США выпустил инструкции NCSC-TG-005 и NCSC-TG-011, известные как "Красная книга" (по цвету переплета). В свою очередь, Агентство информационной безопасности ФРГ подготовило GREEN BOOK ("Зеленая книга"), в которой рассмотрены в комплексе требования к доступности, целостности и конфиденциальности информации как в государственном, так и в частном секторе.

В 1990 г. "Зеленая книга" была одобрена ФРГ, Великобританией, Францией и Голландией и направлена в Европейский Союз (ЕС), где на ее основе были подготовлены ITSEC ("Критерии оценки защищенности информационных технологий"), или "Белая книга", как европейский стандарт, определяющий критерии, требования и процедуры для создания безопасных информационных систем и имеющий две схемы оценки: по эффективности (от Е1 до Е6) и по функциональности (доступность, целостность системы, целостность данных, конфиденциальность информации и передачи данных).

В "Белой книге" названы основные компоненты безопасности по критериям ITSEC:

1) информационная безопасность;

2) безопасность системы;

3) безопасность продукта;

4) угроза безопасности;

5) набор функций безопасности;

6) гарантированность безопасности;

7) общая оценка безопасности;

8) классы безопасности.

Согласно европейским критериям ITSEC, ИБ включает в себя шесть основных элементов ее детализации:

1) цели безопасности и функции ИБ;

2) спецификация функций безопасности:

- идентификация и аутентификация (понимается не только традиционная проверка подлинности пользователя, но и функции для регистрации новых пользователей и удаления старых, а также функции для изменения и проверки аутентификационной информации, в том числе контроля целостности и функции для ограничения количества повторных попыток аутентификации);

- управление доступом (в том числе функции безопасности, которые обеспечивают временное ограничение доступа к совместно используемым объектам с целью поддержания целостности этих объектов; управление распространением прав доступа; контроль за получением информации путем логического вывода и агрегирования данных);

- подотчетность (протоколирование);

- аудит (независимый контроль);

- повторное использование объектов;

- точность информации (поддержка определенного соответствия между разными частями данных (точность связей) и обеспечение неизменности данных при передаче между процессами (точность коммуникации));

- надежность обслуживания (функции обеспечения, когда действия, критичные по времени, будут выполнены именно тогда, когда нужно; некритичные действия нельзя перенести в разряд критичных; авторизованные пользователи за разумное время получат запрашиваемые ресурсы; функции обнаружения и нейтрализации ошибок; функции планирования для обеспечения коммуникационной безопасности, т.е. безопасности данных, передаваемых по каналам связи);

- обмен данными;

3) конфиденциальность информации (защита от несанкционированного получения информации);

4) целостность информации (защита от несанкционированного изменения информации);

5) доступность информации (защита от несанкционированного или случайного удержания информации и ресурсов системы);

6) описание механизмов безопасности.

Для реализации функций идентификации и аутентификации могут использоваться такие механизмы, как специальный сервер KERBEROS, а для защиты компьютерных сетей - фильтрующие маршрутизаторы, сетевые анализаторы протоколов (экраны) типа FireWall/Plas, FireWall-1, пакеты фильтрующих программ и т.д.

Общая оценка безопасности системы по ITSEC состоит из двух компонентов: оценка уровня гарантированной эффективности механизмов (средств) безопасности и оценка уровня их гарантированной корректности. Безопасность системы в целом оценивается отдельно для систем и продуктов. Защищенность их не может быть выше мощности самого слабого из критически важных механизмов безопасности (средств защиты).

При проверке эффективности анализируется соответствие между задачами безопасности по конфиденциальности, целостности, доступности информации и реализованным набором функций безопасности - их функциональной полнотой и согласованностью, простотой использования, а также возможными последствиями использования злоумышленниками слабых мест защиты. Кроме того, в понятие "эффективность" включается и способность механизмов защиты противостоять прямым атакам, которая называется мощностью механизмов защиты. По ITSEC декларируется три степени мощности: базовая, средняя и высокая. При проверке корректности анализируется правильность и надежность реализации функций безопасности. По ITSEC декларируется семь уровней корректности - от Е0 до Е6.

В "Европейских критериях" установлено 10 классов безопасности
(F-C1, F-C2, F-Bl, F-B2, F-B3, F-1N, F-AV, F-D1, F-DC, F-DX). Первые пять классов безопасности аналогичны классам C1, C2, B1, B2, В3 американских критериев TCSEC. Класс F-1N предназначен для систем с высокими потребностями к обеспечению целостности, что типично для СУБД, и различает следующие виды доступа: чтение, запись, добавление, удаление, создание, переименование и выделение объектов. Класс F-AV предназначен для систем с высокими требованиями к обеспечению их работоспособности за счет противодействия угрозам отказа в обслуживании (существенно для систем управления технологическими процессами). Класс F-D1 ориентирован на системы с повышенными требованиями к целостности данных, которые передаются по каналам связи. Класс F-DC характеризуется повышенными требованиями к конфиденциальности информации, а класс
F-DX предназначен для систем с повышенными требованиями одновременно по классам F-D1 и F-DC.

2.2 Отечественное организационное, правовое и нормативное обеспечение и регулирование в сфере ИБ

К основным задачам в сфере обеспечения и регулирования ИБ РФ относятся следующие:

- формирование и реализация единой государственной политики по обеспечению защиты национальных интересов от угроз в информационной сфере, реализация конституционных прав и свобод граждан на информационную деятельность;

- совершенствование законодательства Российской Федерации в сфере обеспечения ИБ;

- определение полномочий органов государственной власти Российской Федерации, субъектов Российской Федерации и органов местного самоуправления в сфере обеспечения ИБ;

- координация деятельности органов государственной власти по обеспечению ИБ;

- создание условий для успешного развития негосударственной компоненты в сфере обеспечения ИБ, осуществления эффективного гражданского контроля за деятельностью органов государственной власти;

- совершенствование и защита отечественной информационной инфраструктуры, ускорение развития новых информационных технологий и их широкое распространение, унификация средств поиска, сбора, хранения, обработки и анализа информации с учетом вхождения России в глобальную информационную инфраструктуру;

- развитие стандартизации информационных систем на базе общепризнанных международных стандартов и их внедрение во всех видах таких систем;

- развитие отечественной индустрии телекоммуникационных и информационных средств, их приоритетное по сравнению с зарубежными аналогами распространение на внутреннем рынке;

- защита государственных информационных ресурсов, прежде всего в федеральных органах государственной власти, на предприятиях оборонного комплекса;

- духовное возрождение России, обеспечение сохранности и защиты культурного и исторического наследия (в том числе музейных, архивных, библиотечных фондов, основных историко-культурных объектов);

- сохранение традиционных духовных ценностей при важнейшей роли Русской Православной церкви и церквей других конфессий;

- пропаганда средствами массовой информации элементов национальных культур народов России, духовно-нравственных, исторических традиций, норм общественной жизни и передового опыта подобной пропагандистской деятельности;

- повышение роли русского языка как государственного языка и языка межгосударственного общения народов России и государств - членов Содружества Независимых государств (СНГ);

- создание оптимальных социально-экономических условий для осуществления важнейших видов творческой деятельности и функционирования учреждений культуры;

- противодействие угрозе развязывания противоборства в информационной сфере;

- организация международного сотрудничества по обеспечению ИБ при интеграции России в мировое информационное пространство.

Установление стандартов и нормативов в сфере обеспечения ИБ РФ является наиболее важной регулирующей функцией.

Девять государственных стандартов Российской Федерации (ГОСТ 28147-89, ГОСТ Р 34.10-94, ГОСТ Р 34.11-94, ГОСТ 29.339-92, ГОСТ Р 50752-95, ГОСТ РВ 50170-92, ГОСТ Р 50600-93, ГОСТ Р 50739-95, ГОСТ Р 50922-96) относятся к различным группам по классификатору стандартов и, к сожалению, не являются функционально полными ни по одному из направлений защиты процессов переработки информации. Кроме того, есть семейства родственных стандартов, имеющих отношение к области защиты процессов переработки информации.

Комплексный характер защиты процессов переработки информации достигается за счет использования унифицированного алгоритмического обеспечения для средств криптографической защиты в соответствии с российскими государственными стандартами:

- ГОСТ 28147-89 "Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования";

- ГОСТ Р 34.10-94 "Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма";

- ГОСТ Р 34.11-94 "Информационная технология. Криптографическая защита информации. Функция хэширования";

- ГОСТ Р 50739-95 "Средства вычислительной техники. Защитa от несанкционированного доступа к информации. Общие технические требования".

Немаловажное значения для формирования оптимальных схем государственного воздействия на информационные процессы имеет нормативно-правовое обеспечение данной сферы, включающее в себя в качестве одного из краеугольных камней систему лицензирования и сертификации информационных продуктов и услуг, информационных и телекоммуникационных систем, сетей связи и сопутствующих технологий. В этом направлении государством был предпринят целый ряд шагов, которые в своей совокупности привели к созданию законодательного блока, включающего в себя целый ряд нормативных актов, направленных на урегулирование отношений в информационной сфере, многие из которых имеют беспрецедентный для российской законодательной системы характер. К числу важнейших из них следует прежде всего отнести следующие законы: "О государственной тайне", "Об архивном фонде и архивах", "О правовой охране программ для ЭВМ и баз данных", "О правовой охране интегральных схем", "Об информации, информатизации и защите информации", "Об информационном обеспечении экономического развития и предпринимательской деятельности", "О коммерческой тайне", "О статистической информации", "О правовой информации", "О научно-технической информации", "Об участии в международном информационном обмене и контроле за экспортом информационной продукции", "О внесении изменений и дополнений в кодексы РФ об ответственности за правонарушения при работе с информацией", "Об электронно-цифровой подписи".

Заключение

Проблема обеспечения безопасности носит комплексный характер. Для ее решения необходимо сочетание как правовых мер, так и организационных (например, в компьютерных информационных системах на управленческом уровне руководство каждой организации должно выработать политику безопасности, определяющую общее направление работ, и выделить на эти цели соответствующих ресурсы), и программно-технических (идентификация и аутентификация, управление доступом, протоколирование и аудит, криптография, экранирование).

Следует также особо подчеркнуть, что обеспечение защиты информации не может носить характер одноразовой акции. Это непрерывный процесс, заключающийся в разработке и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле её состояния, выявлении узких и слабых мест, являющихся потенциальным каналом для осуществления противоправных действий. Надёжный заслон на пути несанкционированного доступа к информационным ресурсам информации может быть обеспечен лишь за счёт комплексного использования всего арсенала имеющихся средств защиты на всех этапах технологического цикла обработки информации. Наибольший эффект достигается лишь в том случае, когда все используемые средства, методы и меры объединяются в единый целостный механизм, представляющий собой интегрированную систему защиты информации. Функционирование системы должно контролироваться, модернизироваться и изменяться в зависимости от состояния внешних и внутренних условий. При этом не следует забывать, что никакая система не может обеспечить должный уровень защиты без соответствующей подготовки пользователей и соблюдения ими всех установленных правил использования информационных ресурсов. Иными словами, система обеспечения информационной безопасности должна представлять собой чётко структурированную совокупность административных органов, научных учреждений федерального подчинения и соответствующих подразделений частных и государственных предприятий, обеспечивающих распространение и внедрение передовых средств, технологий и методов защиты информации от внутренних и внешних угроз.

В завершение хотелось бы отметить, что непременным условием роста информационного потенциала страны является осуществление решительных действий государства на трёх основных направлениях: создание единого информационного ресурса страны путем объединения общественно значимых информационных ресурсов стратегически важных субъектов управления, хозяйствования, сферы науки и т.п. в единое целое на базе современных систем связи и телекоммуникаций; совершенствование и развитие национальной информационной инфраструктуры; осуществление государственного контроля и управления созданием общественно важных информационных ресурсов, систем связи и телекоммуникаций.

Список использованной литературы

1. Малышенко Д.Г. Современное состояние и перспективы укрепления информационной безопасности. - М.: ВНИИ МВД России, 2004.

2. Мельников В.П. Информационная безопасность и защита информации. - М.: "Академия", 2007.

3. Хореев П.Б. Методы и средства защиты информации в компьютерных системах. - М.: "Академия", 2005.

Размещено на Allbest.ru