|
76. Забезпечення прозорості операцій та захисту інформації від несанкціонованого доступу.
Будь-яка інформація, яка зберігається та обробляється в комп'ютері, є чиєюсь власністю і становить інтерес для певного кола осіб. Власник інформації зацікавлений в її збереженні, тобто в забезпеченні її конфіденційності і цілісності. Для цього необхідно захистити інформацію як від фізичної втрати, так і від доступу до неї сторонніх осіб, які не входять до кола власників або легальних користувачів.
Безпека інформації - це створення таких умов зберігання, обробки і передачі інформації, за яких вірогідність її витікання, модифікації або руйнування задовольняє задані вимоги.
Стрімкий розвиток і впровадження обчислювальної техніки, локальних і глобальних мереж супроводжується зростанням надзвичайних випадків, пов'язаних з порушенням збереження інформації.
Головною метою будь-якої системи забезпечення інформаційної безпеки є забезпечення сталого функціонування підприємства, запобігання загрозам його безпеки, захист законних інтересів підприємства від протиправних посягань, недопущення викрадання фінансових коштів, розголошення, втрати, витоку, викривлення і знищення службової інформації.
Стратегія і тактика захисту інформації від несанкціонованого доступу
Стратегія і тактика захисту інформації полягають у попередженні, контролі, своєчасному знаходженні і блокуванні несанкціонованого доступу. Реалізація стратегії і тактики захисту інформації у комп'ютерних системах полягає у системному підході і вирішенні таких завдань на етапах проектування й експлуатації: на етапі проектування:
• визначення переліку і вартості даних, що підлягають захисту;
• аналіз системи як об'єкта захисту та визначення в ній максимально можливої кількості каналів несанкціонованого доступу до інформації і можливих впливів випадкового характеру;
• розробка засобів захисту, що перекривають виявлені канали несанкціонованого доступу і забезпечують заданий рівень безпеки інформації;
• розробка засобів функціонального контролю системи, підвищення вірогідності і резервування інформації;
• оцінка рівня очікуваної ефективності захисту на відповідність заданим вимогам;
• на етапі експлуатації:
• контроль і підтримка функціонування системи безпеки інформації у даній ІС;
• своєчасне попередження, виявлення і блокування несанкціонованого доступу;
• реєстрація та облік усіх звернень до інформації, яка підлягає захисту, документування, ведення статистики і прогнозування несанкціонованого доступу.
Пропоновані принципи дозволяють чітко поставити завдання і знайти шляхи щодо його вирішення: знайти предмет і об'єкт захисту, потенційні загрози, збудувати на шляху порушника систему взаємопов'язаних перепон з можливістю одержання розрахункових характеристик її очікуваної ефективності.
Існує декілька видів засобів захисту інформації у комп'ютерах:
• організаційні;
• законодавчі;
• фізичні;
• програмно-апаратні засоби.
Організаційні - охоплюють порядок роботи з конфіденційною інформацією: регламентація доступу у приміщення і безпосередньо до обчислювальної техніки, додержання певних норм і протоколів і відповідальність за їх порушення.
Організаційні заходи захисту включають:
• організовування секретного (конфіденційного) діловодства;
• розмежування доступу до інформації: кожний співробітник підприємства повинен володіти тільки тими відомостями, що містять комерційну таємницю, які необхідні йому для виконання своїх обов'язків; дозвіл на доступ до такої інформації надається керівником підприємства, при цьому співробітник несе відповідальність за розголошення одержаних відомостей;
• встановлення такого порядку використання технічних засобів і приміщень, який би унеможливлював витік відомостей;
• встановлення порядку роботи з відвідувачами - їх облік у спеціальному журналі, визначення приміщень для прийому відвідувачів, їх супроводження при відвідуванні основних робочих приміщень;
• навчання співробітників підприємства заходам захисту комерційної інформації, підвищення їх відповідальності за ненавмисне розголошення комерційної таємниці.
Законодавчі методи захисту - акти, якими регламентуються правила використання та обробки інформації обмеженого доступу та встановлюються міри відповідальності за їх порушення.
Фізичні методи захисту - охорона, сигналізація, створення екранованих приміщень для захисту від витікання інформації по каналах випромінювання, перевірка апаратури, що поставляється, на відповідність її специфікаціям та відсутність апаратних „жучків".
Засоби охорони території підприємства формують собою різні типи обмежень і контролюючих систем, включаючи огорожі з автоматичною системою сигналізації, системи телевізійного контролю території, різні електронно-оптичні засоби охорони. До них можна віднести засоби розмежування доступу співробітників у приміщення з різним ступенем секретності.
Основними засобами захисту інформації при використанні технічних засобів є:
• пошук закладних (підслуховуючих або записуючих) пристроїв;
• забезпечення прихованості передавання інформації по телефонно-телеграфних каналах шляхом їх шифрування;
• спеціальний захист апаратури від випромінювань за допомогою захисних блоків;
• створення штучних перешкод щодо перехвату електричних або акустичних сигналів.
Програмно-апаратні засоби реалізують технічні ("електронний ключ") і криптографічні методи захисту.
Стрижнем будь-якого захисту електронної інформації є криптографічні засоби, які використовуються для таких цілей:
• Шифрування інформації для захисту як від несанкціонованого доступу з боку користувача-порушника, так і від комп'ютерних вірусів.
• Контроль цілісності даних та програм з метою виявлення випадкових та навмисних спотворень.
• Аутентифікація повідомлень, що передаються з метою перевірки цілісності їх вмісту та підтвердження істинності авторства.
• Аутентифікація документів з метою вирішення спірних питань щодо авторства документів на основі цифрового підпису.
Концепція аутентифікації на основі цифрового підпису полягає у тому, що кожний користувач мережі має свій секретний ключ, необхідний для формування підпису. Відкритий ключ, відповідний цьому секретному ключу, призначений для перевірки підпису, відомий всім іншим користувачам мережі. Згідно з термінологією, затвердженою ISO, під поняттям «цифровий підпис», розуміють методи, які дозволяють встановлювати істинність автора повідомлення (документа) при виникненні суперечки щодо авторства цього повідомлення. Основна галузь застосування цифрового підпису - це ІС, в яких відсутня взаємна довіра сторін (фінансові системи, системи контролю за дотримуванням міжнародних договорів тощо).
Криптографічний захист не вирішує всіх проблем, і захистити інформацію від знищення за допомогою лише криптографічних методів неможливо. Використання криптографічних методів знижує продуктивність обчислювальної системи.
В Україні значимість криптографічних засобів у загальній системі захисту є вищою, ніж у зарубіжних країнах, оскільки неефективно діє законодавчий захист інформації. Для боротьби з комп'ютерним піратством (несанкціонованим копіюванням та перепродажем програм) застосовуються спеціальні програмні та апаратно-програмні засоби. Програмні засоби засновані на особливостях операційних систем та архітектури ПК. Апаратно-програмні засоби базуються на застосуванні електронних пристроїв, які підключаються або до внутрішньої шини комп'ютера, або до його зовнішнього роз'єму. Використовуються електронні ключі, які дозволяють організувати надійний захист. Це компактний прилад, який приєднується до ПК і не впливає на взаємодію комп'ютера із зовнішніми пристроями. У програмі, що захищається, використовується спеціальний алгоритм взаємодії з ключем, який не дозволяє виконувати програму без нього. У цьому випадку кожний екземпляр програми надається разом з електронним ключем. Електронні ключі можуть застосовуватись для вирішення таких задач: захист програм від несанкціонованого розповсюдження; захист даних від розкриття інформації, що міститься у них, захист комп'ютерів від доступу до них сторонніх осіб.
Зі збільшенням надійності захисту системи обробки інформації зростає її ціна. Зрозуміло, що витрати на придбання і експлуатацію системи захисту повинні бути меншими, ніж збитки від втрати інформації.
Вимоги до захисту інформації
До організації захисту інформації пред'являється ряд вимог:
• економічності, що означає, що витрати на її створення і зміст повинні бути менше можливого збитку від витоку інформації;
• виключення можливості ускладнення процесу управління в зв'язку з її використанням;
• комплексності, об'єднання системою захисту законодавчих, технічних і організаційних мір;
• одночасності створення, з органічним ув'язуванням системи захисту і ІСМ;
• ієрархічність, тобто структурно система захисту повинна включати вертикальну (рівні) і горизонтальну (ланки) побудови.
Проблема забезпечення санкціонованого використання даних охоплює питання захисту даних від небажаної їх модифікації або знищення, а також і від несанкціонованого читання. Можна виділити три узагальнених механізми управління доступу до даних:
• ідентифікація користувача (захист при допомозі паролів) - пароль періодично оновлюється, щоб запобігти несанкціонованому його використанню. Цей метод є простим і дешевим, але не забезпечує надійного захисту.
• метод автоматичного зворотного виклику (немає потреби запам'ятовування паролів - користувач повідомляє свій ідентифікаційний код для доступу до інформації). Недолік: низька швидкість обміну.
• метод кодування даних - найбільш ефективний метод захисту. Джерело інформації кодує її за допомогою деякого алгоритму і ключа кодування. Закодовані дані не доступні нікому, крім власника ключа.
|
Вход
Регистрация
FAQ
Поиск
