Информационная безопасность в компьютерных и коммуникационных системах является одной из самых актуальных тем на сегодняшний день. В настоящее время многие организации столкнулись с потерей жизненно важной информации, вызванной сбоями компьютерных систем, несанкционированным проникновением злоумышленников в их корпоративные сети.
С переходом на использование технических средств связи информация подвергается воздействию случайных процессов: неисправностям и сбоям оборудования, ошибкам операторов и т.д., которые могут привести к ее разрушению, изменениям на ложную, а также создать предпосылки для доступа к ней посторонних лиц. С дальнейшим усложнением и широким распространением технических средств связи возросли возможности для преднамеренного несанкционированного доступа к информации (НСД).
Актуальной задачей на сегодняшний день является организация защиты информации в корпоративных сетях. Главными отличительными особенностями корпоративной сети можно считать централизованное управление сетью связи и заданный уровень сохранности информации, накапливаемой и обрабатываемой в сети корпорации, а также учет средств и каналов связи всех существующих подсетей.
Функциональные требования обуславливают концепцию защищенности сети. Они определяют не только конфигурацию корпоративной сети, но и ограничения на использование сетевых протоколов. В корпоративной локальной вычислительной сети (ЛВС) должно обеспечиваться физическое разделение (подключение к различным связным ресурсам) серверов и рабочих мест, т.е. необходима организация подсетей рабочих мест и серверов. Для эффективного функционирования сети централизованно должны быть реализованы службы административного управления, перечень которых определяется архитектурой управления взаимодействием открытых систем. В этот перечень входят службы управления: эффективностью функционирования, конфигурацией и именами, учетными данными, при отказах и сбоях.
Для выработки политики информационной безопасности необходимо осуществить сбор информации, отражающей структуру организации; перечень и характеристики функций, выполняемых каждым подразделением и сотрудниками; описание функциональных связей между подразделениями и отдельными рабочими местами; перечень информационных объектов, циркулирующих в системе; перечень применяемых прикладных и системных программ; описание топологии комплекса технических средств. Полученные данные обрабатываются и систематизируются. Информационные объекты можно классифицировать: по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери того или иного вида информации, по сложности ее восстановления. Для осуществления поставленной задачи необходимо создание независимого подразделения информационной безопасности, основными функциями которого являются предоставление пользователям доступа к информации в соответствии с принятой в организации политикой безопасности, а также контролем за ее выполнением.
В Федеральном законе РФ «Об информации, информатизации и защите информации» (принят 25.01.1995г. Государственной Думой) определено, что информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления.
Информации присущи следующие свойства:
Ценность информации определяется степенью ее полезности для владельца. Если доступ к информации ограничивается, то такая информация является конфиденциальной. Конфиденциальная информация может содержать государственную и коммерческую тайну. Коммерческую тайну могут содержать сведения, принадлежащие частному лицу, фирме, корпорации и т.п. Государственную тайну могут содержать сведения, принадлежащие государству (госучреждению).
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью предприятия, разглашение которых (передача, утечка) могут нанести ущерб его интересам.
Порядок защиты государственной тайны регулируется Законом РФ “О государственной тайне” и постановлением Правительства РФ “Об утверждении Правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности” от 4.09.95 г. № 870. Защита информации и прав субъектов в области информационных процессов и информатизации регулируется главой 5 Федерального закона РФ “Об информации, информатизации и защите информации”, принятого Государственной Думой 25 января 1995 г.
3. ценность информации изменяется во времени;
Ценность информации, как известно, со временем уменьшается. Зависимость ценности информации от времени приближенно определяется по формуле: $$C(t) = C_0 * e^{-2,3 \frac{t}{\tau}},$$ где %%C_0%% – ценность информации в момент ее возникновения (получения); %%t%% - время от момента возникновения информации до момента определения ее стоимости; %%τ%% - время от момента возникновения информации до момента ее устаревания.
4. информация покупается и продается; Информация может быть получена тремя путями: проведением научных исследований, покупкой, противоправным добыванием информации.
5. сложность объективной оценки количества информации.
В качестве предмета защиты рассматривается информация, хранящаяся, обрабатываемая и передаваемая в компьютерных системах. Объектом защиты информации является компьютерная система (КС) или автоматизированная система обработки данных (АСОД). Компьютерная система - это комплекс аппаратных и программных средств, предназначенных для автоматизированного сбора, хранения, обработки, передачи и получения информации.
Понятие «объект защиты» или «объект» чаще трактуется в более широком смысле. Для сосредоточенных КС или элементов распределенных систем понятие «объект» включает в себя не только информационные ресурсы, аппаратные, программные средства, обслуживающий персонал, пользователей, но и помещения, здания, и даже прилегающую к зданиям территорию.
Одним из основных понятий теории защиты информации являются понятия безопасность информации.
Безопасность информации в КС - это состояние устойчивости данных к случайным или преднамеренным воздействиям, исключающее недопустимые риски их уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя.
Таким образом, меры, принимаемые при защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе называют информационной безопасностью. Информационная безопасность достигается проведением руководством соответствующего уровня политики информационной безопасности. Основным документом, на основе которого проводится политика информационной безопасности, является программа информационной безопасности. Этот документ разрабатывается и принимается высшими органами управления государством, ведомством, организацией как официальный руководящий документ. В документе приводятся цели политики информационной безопасности и основные направления решения задач защиты информации в КС, общие требования и принципы построения систем защиты информации в КС.
При наличии простых средств хранения и передачи информации существовали и не потеряли значения и сегодня следующие методы ее защиты от преднамеренного доступа:
С увеличением объемов, сосредоточением информации, увеличением количества пользователей и другими причинами повышается вероятность преднамеренного НСД.
Ограничение доступа заключается в создании некоторой физически замкнутой преграды вокруг объекта защиты с организацией контролируемого доступа лиц, связанных с объектом защиты по своим функциональным обязанностям. Ограничение доступа к комплексам средств автоматизации (КСА) обработки информации заключается:
Задача средств ограничения доступа — исключить случайный и преднамеренный доступ посторонних лиц на территорию размещения КСА и непосредственно к аппаратуре. В указанных целях создается защитный контур, замыкаемый двумя видами преград: физической и контрольно-пропускной. Такие преграды часто называют системой охранной сигнализации и системой контроля доступа. В целях контроля доступа к аппаратуре, а также к внутреннему монтажу, линиям связи технологическим органам управления используется аппаратура контроля вскрытия аппаратуры. Это означает, что внутренний монтаж аппаратуры и технологические органы и пульты управления закрыты крышками, дверцами или кожухами, на которые установлены датчики. Датчики срабатывают при вскрытии аппаратуры и выдают электрические сигналы, которые по цепям сбора поступают па централизованное устройство контроля. Установка такой системы имеет смысл при наиболее полном перекрытии всех технологических подходов к аппаратуре, включая средства загрузки программного обеспечения, пульт управления электронно-вычислительной машиной (ЭВМ) и внешние кабельные соединители технических средств, входящих в состав вычислительной системы.
Разграничение и контроль доступа к информации в вычислительной системе заключается в разделении информации, циркулирующей в ней, на части и организации доступа к ней должностных лиц в соответствии с их функциональными обязанностями и полномочиями.
Задача разграничения доступа: сокращение количества должностных лиц, не имеющих к ней отношения при выполнении своих функций, т.е. защита информации от нарушителя среди допущенного к ней персонала. При этом деление информации может производиться по степени важности, секретности, по функциональному назначению, по документам и т. д.
Разделение привилегий на доступ к информации заключается в том, что из числа допущенных к ней должностных лиц выделяется группа. Этой группе предоставляется доступ только при одновременном предъявлении полномочий всех членов группы.
Данный метод несколько усложняет процедуру, но обладает высокой эффективностью защиты. На его принципах можно организовать доступ к данным с санкции вышестоящего лица по запросу или без него.
5. Идентификация и установление подлинности объекта.
Идентификация — это присвоение какому-либо объекту или субъекту уникального имени или числа. Аутентификация - установление подлинности, заключающееся в проверке, является ли проверяемый объект (субъект) тем, за кого себя выдает. Конечная цель идентификации и установления подлинности объекта в вычислительной системе — допуск его к информации ограниченного пользования в случае положительного исхода проверки, или отказ в допуске в случае отрицательного исхода проверки. Объектами идентификации и установления подлинности в вычислительной системе могут быть:
Идентификатором установления подлинности личности в повседневной жизни является его внешний вид: фигура, форма головы, черты лица, характер, его привычки, поведение и другие свойственные данному человеку признаки, которые создают образ данного человека.
Общие понятия и определения | Интегрированная система информационной безопасности |