Методы, средства и организация системы защиты информации в экономических информационных системах

4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

6. “Прозрачность” системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.

7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты (рис. 3.2.)

Рис.3.2. Управление защитой информации.

К основным методам защиты информации в ЭИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение. (рис 3.3.)

Рис. 3.3. Методы и средства информационной безопасности экономического объекта.

Итак, рассмотрим каждый из этих методов в отдельности.

Препятствие - метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации путем регулирования использования всех ресурсов информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

- идентификацию пользователей, персонала и ресурсов системы;

- опознание объекта или субъекта по предъявленному им идентификатору;

- проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

- разрешение и создание условий работы в пределах установленного регламента;

- регистрацию обращений к защищаемым ресурсам;

- реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытках несанкционированных действий.

Маскировка -- метод защиты информации путем ее криптографического закрытия. Этот метод защиты широко применяется за рубежом, как при обработке, так и при хранении информации, в том числе на дискетах. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Регламентация -- метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

Принуждение - такой метод защиты, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение -- такой метод защиты, который побуждает пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Автоматизированные информационные технологии в экономике: Учебник/ Под ред.проф. Г.А. Титоренко. - М.: Компьютер, ЮНИТИ, 1999. - 400с.

Рассмотренные методы обеспечения безопасности реализуются на практике за счет применения различных средств защиты, таких, как технические, программные, организационные, законодательные и морально-этические как это представлено на рисунке 2.3.

К основным средствам защиты, используемым для создания механизма защиты, относятся следующие:

Технические средства реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится на аппаратные и физические. Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу. Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации.

Программные средства представляют из себя программное обеспечение, специально предназначенное для выполнения функций зашиты информации.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство помещений, проектирование компьютерной информационной системы банковской деятельности, монтаж и наладка оборудования, испытания, эксплуатация).

Морально-этические средства защиты реализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи в обществе. Эти нормы большей частью не являются обязательными как законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета и престижа человека. Наиболее показательным примером таких норм является Кодекс профессионального поведения членов Ассоциаций пользователей ЭВМ США.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

3.3 Механизмы криптографии

Для реализации мер безопасности используются различные механизмы шифрования (криптографии). Криптография -- это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Сущность криптографических методов заключается в том, что для предотвращения несанкционированного доступа к какому-либо сообщению оно зашифровывается. Когда санкционированный пользователь получает это сообщение, он дешифрует или раскрывает его посредством обратного преобразования криптограммы.

Криптографическая система основывается на использовании специального алгоритма, который запускается уникальным числом, называемым шифрующим ключом. Для обмена зашифрованными сообщениями, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.

Наряду с шифрованием используются и другие механизмы безопасности: угроза информация шифрование криптографический

- цифровая (электронная) подпись;

- контроль доступа;

- обеспечение целостности данных;

- обеспечение аутентификации;

- управление маршрутизацией;

- арбитраж или освидетельствование.

Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание (верификацию) получателем.

Механизмы контроля доступа осуществляют проверку полномочий объектов ИТ (программ и пользователей) на доступ к ресурсам сети.

Механизмы обеспечения целостности данных реализуются выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами ИТ, третьей стороной (арбитром).

Для обеспечения непрерывной защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

3.4 Шифрование как основной метод защиты информации

Постоянное развитие и совершенствование информационных технологий дает возможность передавать и хранить все большие объемы информации. Это благо имеет и оборотную сторону. Информация становится все более уязвимой. 

Поэтому все большую важность приобретает проблема защиты информации от несанкционированного доступа (НСД) при передаче и хранении. Сущность этой проблемы - постоянная борьба специалистов по защите информации со своими "оппонентами". 

Очевидная тенденция к переходу на цифровые методы передачи и хранения информации позволяет применять унифицированные методы и алгоритмы для защиты дискретной (текст, факс, телекс) и непрерывной информации. 

Испытанный метод защиты информации от НСД - шифрование (криптография). Шифрованием называют процесс преобразования открытых данных в зашифрованные или зашифрованных данных в открытые по определенным правилам с применением ключей.

С помощью криптографических методов возможно:

* шифрование информации; 

* реализация электронной подписи; 

* распределение ключей шифрования; 

* защита от случайного или умышленного изменения информации. 

К алгоритмам шифрования предъявляются определенные требования:

* высокий уровень защиты данных против дешифрования и возможной модификации; 

* защищенность информации должна основываться только на знании ключа и не зависеть от того, известен алгоритм или нет (правило Киркхоффа); 

* малое изменение исходного текста или ключа должно приводить к значительному изменению шифрованного текста (эффект "обвала"); 

* область значений ключа должна исключать возможность дешифрования данных путем перебора значений ключа; 

* экономичность реализации алгоритма при достаточном быстродействии; 

* стоимость дешифрования данных без знания ключа должна превышать стоимость данных.

Существует два основных типа криптографических алгоритмов:

- симметричные, для которых ключ расшифрования совпадает с ключом зашифрования;

- асимметричные (алгоритмы с открытым ключом), использующие для зашифрования и расшифрования два разных ключа.

Симметричные алгоритмы делятся на две категории:

- потоковые шифры, в которых данные обрабатываются побитово (посимвольно),

- блочные шифры, в которых операции производятся над группами битов.

Для осуществления этих алгоритмов применяются специальные программы, которых в настоящее время на рынке информационных технологий достаточно много.

Входная информация.

Входной информацией в данном вопросе является то, что требуется защитить от несанкционированного доступа путем шифрования.

Программы, использующие для этих целей, работают с файлами (шифрование, установка защит). Таком образом, входными данными являются файлы различного типа для шифрования и EXE- и COM-файлы для установки пароля и проверки по ключевой дискете.

Постоянная информация.

В качестве постоянной информации используются таблицы перестановок и константы генератора псевдослучайных чисел при шифровании файлов.

Выходная информация.

Результатом выполнения алгоритма шифрования информации являются выходные данные. Это зашифрованные файлы и защищенные программы.

Как показывает практика, абсолютных способов защиты информации не существует. Какими бы сложными и дорогими не были предлагаемые на рынке средства защиты, их эффективность оказывается условной. С учетом сложившейся реальной обстановки востребованными оказываются несложные и недорогие средства защиты, разрабатываемые и устанавливаемые самим производителем продукта и направленные против незаконных действий квалифицированных пользователей.



Заключение

С каждым годом увеличивается количество информации, растет ее спрос, а значит и растет ее ценность, связи с этим возрастают требования по ее защите. Так же быстрыми темпами совершенствуются компьютерные технологии. Из-за ежегодного обновления компьютерных технологий возникают новые угрозы для информации, поэтому все более актуальной становится про-блема обеспечения ее безопасности, предотвращения несанкционированного доступа к информации, физического уничтожения или модификации защищаемой информации.

Под угрозой безопасности информации понимается действие или событие, которое может привести к разрушению, искажению или не-санкционированному использованию информационных ресурсов.

Источники угроз информационной безопасности могут быть внешние или внутренние. Угрозы могут осуществляться различными способами: (информационными, техническими, физическими, организационными).

В настоящее время отсутствует единая общепринятая классификация угроз безопасности. Угрозы различаются по следующим признакам: по цели реализации угрозы; по принципу воздействия на систему; по характеру воздействия на систему; по причине появления используемой ошибки защиты; по способу воздействия атаки на объект (при активном воздействии); по объекту атаки; по используемым средствам атаки; по состоянию объекта атаки.

Защита любых информационных ресурсов и информационных технологий, неправомерное обращение с которыми может нанести ущерб их собственнику, владельцу, пользователю или иному лицу регулируется разработанной правительством системой нормативных актов правового регулирования вопросов информатизации и защиты информации в Российской Федерации.

Обеспечение информационной безопасности экономического объекта достигается множеством различных методов и средств. К основным методам защиты информации в ЭИС относятся: препятствие, управление доступом, маскировка, регламентация, принуждение, побуждение.

Все средства защиты информации делятся на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) “неформальные” (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность). К основным средствам защиты относятся: технические, программные, организационные, морально-этические, законодательные средства защиты. Все эти методы и средства используются при организации системы защиты информации экономических систем.

Создание системы защиты информации экономических систем основывается на совокупности принципов и подходов. Наиболее важными являются принципы непрерывности совершенствования и развития системы информационной безопасности и комплексного использования всего арсенала имеющихся средств защиты во всех структурных элементах производства и на всех этапах технологического цикла обработки информации.

Важнейшими условиями обеспечения безопасности являются законность, достаточность, соблюдение баланса интересов личности и предприятия, высокий профессионализм сотрудников, занимающихся вопросами информационной безопасности, подготовка пользователей и соблюдение ими всех установленных правил сохранения конфиденциальности, взаимная ответственность персонала и руководства, взаимодействие с государственными правоохранительными органами.

Создание системы защиты информации экономических систем включает в себя следующие этапы: обследование организации,

проектирование системы защиты информации, внедрение системы защиты информации, сопровождение системы информационной безопасности, обучение специалистов по защите информации.

Обеспечение информационной безопасности требует комплексного подхода, в основе которого должна лежать система обеспечения информационной безопасности, включающая организационную (подготовленный персонал и нормативные документы) и техническую (средства защиты информации) составляющие.

Таким образом, система защиты информации в экономических информационных системах представляет собой сложный комплекс мер, способов и средств, гарантирующих обеспечение безопасности экономической информации. Однако из-за постоянного обновления компьютерных технологий возникают новые угрозы для информации, поэтому про-блема обеспечения ее безопасности, предотвращения несанкционированного доступа к информации, ее уничтожения или модификации, становится все более актуальной, свидетельствует о необходимости более подробного изучения и решения вопросов защиты информации в экономических информационных системах.



Список использованной литературы

ФЗ РФ "О государственной тайне" (от 21.07.93 г. N 5485-1)

ФЗ РФ "Об информации, информатизации и защите информации" (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ)

Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (принят ГД ФС РФ 25.03.2011)

Автоматизированные информационные технологии в экономике: Учебник/Под ред. проф. Г.А. Титоренко. - М.: Компьютер, ЮНИТИ, 1999. - 400с.

Адамадзиев К.Р., Асхабова А.Н. Информационные системы в экономике: Учебное пособие. - Махачкала: 2002. - 138с

Герасименко В.А. Проблемы защиты данных в системах их обработки. // Зарубежная радиоэлектроника, 1989 г., №12, с. 5-21.

Давыдовский А.И., Дорошкевич П.В. Защита информации в вычислительных сетях. // Зарубежная радиоэлектроника. - 1989, №12, с. 60-70.

Девянин П.Н., Михальский О.О., Правиков Д.И. и др. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. - М.: Радио и связь, 2000, 192 с.

Емельянова Н.З., Партыка Т.Л. Попов И.И. Информационные системы в экономике. Издательство "Форум", 2005, 461 с.

Зашита информации в компьютерных системах и сетях/ Под ред. В.Ф. Шаньгина .- М.: Радио и связь, 1999.-328 с.

Зегжда Д.П., Ивашко А.М.. Основы безопасности информационных систем. М.: Горячая линия - телеком, 2000г.

Игнатьев В.А. Информационная безопасность современного коммерческого предприятия: учебное пособие. - М.: Academia, 2009

Информационные системы в экономике: учебник для студентов вузов / Под ред. Г.А. Титоренко. - 2-е изд., перераб. И доп. - М.: ЮНИТИ-ДАНА, 2008. - 463с.

Карминский А.М., Черников Г.В. Информационные системы в экономике. Ч. II. - М.: Финансы и статистика, 2006.

Конеев И., Беляев А. Информационная безопасность предприятия. - СПб.: БХВ-Петербург, 2005.

Марков А.А. Введение в теорию кодирования .- М.: Наука, 1982. - 192с.

Мафтик С. Механизмы защиты в сетях ЭВМ. - М.: Мир, 1993. - 216с.

Мхитарян С.В. Маркетинговая информационная система. Издательство "Эксмо", 2006, 336 с.

Мельников Ю.Н. Учебное пособие по курсу «Методы и средства защиты информации».

Размещено на Allbest.ru