Typy szi. Klasifikácia druhov, metód a prostriedkov ochrany informácií. Metódy ochrany softvéru

Na vyriešenie problému informačnej bezpečnosti sa za hlavné prostriedky používané na vytváranie bezpečnostných mechanizmov považujú:

• 1. Technické prostriedky sa realizujú vo forme elektrických, elektromechanických, elektronických zariadení. Celý súbor technických prostriedkov sa zvyčajne delí na:
  • - hardvér - zariadenia zabudované priamo do zariadenia, alebo zariadenia, ktoré sú prepojené so zariadením DOD cez štandardné rozhranie (obvody riadenia paritných informácií, obvody ochrany pamäťového poľa kľúčom, špeciálne registre);
  • - fyzické - realizované vo forme autonómnych zariadení a systémov (elektronicko-mechanické vybavenie pre zabezpečovaciu signalizáciu a dohľad, zámky na dverách, mreže na oknách).
• 2. Softvér – programy špeciálne navrhnuté na vykonávanie funkcií súvisiacich s ochranou informácií.

V priebehu vývoja koncepcie ochrany informácií dospeli odborníci k záveru, že použitie žiadneho z vyššie uvedených spôsobov ochrany nezabezpečuje spoľahlivé uchovávanie informácií. Je potrebný integrovaný prístup k využívaniu a rozvoju všetkých prostriedkov a metód ochrany informácií (obr. 1).

Ryža. jeden.

V dôsledku toho boli vytvorené nasledujúce spôsoby ochrany informácií:

• 1. Nechaj- fyzicky blokuje cestu páchateľa k chráneným informáciám (na územie a do priestorov so zariadením, nosiče informácií).
• 2. Riadenie prístupu- spôsob ochrany informácií reguláciou využívania všetkých systémových prostriedkov (hardvér, softvér, dátové prvky).
• 3. Kódovanie informácií- spôsob ochrany informácií v SOD kryptografickým uzavretím. Keď sa informácie prenášajú cez dlhé komunikačné linky, kryptografický uzáver je jediný spôsob, ako ich spoľahlivo ochrániť.
• 4. nariadenia- spočíva vo vypracovaní a implementácii do procesu fungovania SOD súboru opatrení, ktoré vytvárajú také podmienky na automatizované spracovanie a uchovávanie chránených informácií v SDS, pri ktorých by bola minimalizovaná možnosť neoprávneného prístupu k nim.
• 5. Nútenosť- Používatelia a personál ODS sú nútení dodržiavať pravidlá spracovania a používania chránených informácií pod hrozbou materiálnej, administratívnej alebo trestnej zodpovednosti.

Uvažované spôsoby ochrany informácií sú realizované rôznymi prostriedkami ochrany, a to technickými, softvérovými, organizačnými, legislatívnymi, morálnymi a etickými prostriedkami.

Organizačné prostriedky ochrany sú organizačné a právne opatrenia vykonávané v procese tvorby a prevádzky SOD na zabezpečenie ochrany informácií. Organizačné činnosti pokrývajú všetky konštrukčné prvky SOD vo všetkých fázach: výstavba priestorov, návrh systému, inštalácia a uvedenie zariadení do prevádzky, testovanie a overovanie, prevádzka.

TO legislatívne prostriedky ochrany zahŕňajú legislatívne akty danej krajiny, ktoré upravujú pravidlá používania a spracovania obmedzených informácií a zakladajú zodpovednosť za porušenie týchto pravidiel.

TO morálne a etické prostriedky ochrany zahŕňajú všetky druhy noriem, ktoré sa tradične vyvinuli alebo sa formujú, keď sa počítačové nástroje rozšírili v danej krajine alebo spoločnosti. Tieto normy väčšinou nie sú povinné, ako legislatívne opatrenia, ale ich nedodržiavanie zvyčajne vedie k strate autority, prestíže osoby alebo skupiny ľudí.

Všetky uvažované prostriedky ochrany sú rozdelené na:

• 1. Formálne- vykonávanie ochranných funkcií striktne podľa vopred určeného postupu a bez priamej účasti osoby.
• 2. neformálne- také prostriedky, ktoré sú buď determinované cieľavedomou činnosťou ľudí, alebo túto činnosť regulujú.

Vzdelávací proces v IT

V prvej časti „Základov informačnej bezpečnosti“ sme uvažovali o. Aby sme mohli začať vyberať nástroje informačnej bezpečnosti, je potrebné podrobnejšie zvážiť, čo možno pripísať pojmu informácie.

Informácie a ich klasifikácia

Existuje mnoho definícií a klasifikácií „informácií“. Najstručnejšia a zároveň priestranná definícia je uvedená vo federálnom zákone z 27. júla 2006 č. 149-FZ(v znení z 29. júla 2017), článok 2: Informácie sú informácie (správy, údaje) bez ohľadu na formu ich prezentácie.

Informácie možno klasifikovať do niekoľkých typov av závislosti od kategórie prístupu k nim sa delia na verejné informácie, ako aj informácie, ku ktorým je prístup obmedzený - dôverné údaje a štátne tajomstvá.

Informácie sa v závislosti od poradia ich poskytovania alebo distribúcie delia na informácie:

1. voľne redistribuovateľné
2. Poskytované po dohode osôb zapojený do príslušného vzťahu
3. Čo v súlade s federálnymi zákonmi ktoré sa majú poskytnúť alebo distribuovať
4. Distribúcia, ktorá v Ruskej federácii obmedzené alebo zakázané

Informácie o účele sú nasledujúcich typov:

1. Objem- obsahuje triviálne informácie a pracuje so súborom pojmov zrozumiteľných pre väčšinu spoločnosti.
2. Špeciálne- obsahuje špecifický súbor pojmov, ktorým väčšina spoločnosti nemusí rozumieť, ale sú nevyhnutné a zrozumiteľné v rámci úzkej sociálnej skupiny, kde sa tieto informácie využívajú.
3. tajný- prístup ku ktorému je zabezpečený úzky okruh ľudí a cez uzavreté (zabezpečené) kanály.
4. Osobné (súkromné)- súbor informácií o človeku, ktorý určuje sociálne postavenie a typy sociálnych interakcií.

Nástroje informačnej bezpečnosti sa musia aplikovať priamo na informácie, ku ktorým je obmedzený prístup – toto štátne tajomstvá a dôverné údaje.

Podľa zákona Ruskej federácie z 21.07.1993 N 5485-1 (v znení z 03.08.2015) „O štátnom tajomstve“ Článok 5. "Zoznam informácií, ktoré tvoria štátne tajomstvo" týka sa:

1. Informácie vo vojenskom priestore.
2. Informácie z oblasti ekonomiky, vedy a techniky.
3. Informácie z oblasti zahraničnej politiky a ekonomiky.
4. Informácie v oblasti spravodajskej, kontrarozviedky a operatívno-pátracej činnosti, ako aj v oblasti boja proti terorizmu a v oblasti zaisťovania bezpečnosti osôb, voči ktorým bolo rozhodnuté o použití ochranných opatrení štátu.

Obsahuje zoznam informácií, ktoré môžu predstavovať dôverné informácie prezidentský dekrét 6. marca 1997 №188 (v znení z 13. júla 2015) „O schválení zoznamu dôverných informácií“.

Dôverné údaje- ide o informácie, ku ktorým je prístup obmedzený v súlade so zákonmi štátu a normami, ktoré si spoločnosti stanovujú samostatne. Je možné rozlíšiť tieto typy dôverných údajov:

• Osobné citlivé údaje: Informácie o skutočnostiach, udalostiach a okolnostiach súkromného života občana umožňujúce identifikovať jeho osobnosť (osobné údaje), s výnimkou informácií, ktoré sa majú šíriť v médiách v prípadoch ustanovených federálnymi zákonmi. Jedinou výnimkou sú informácie, ktoré sa šíria v médiách.
• Citlivé údaje služby: Oficiálne informácie, ku ktorým majú verejné orgány obmedzený prístup v súlade s Občianskym zákonníkom Ruskej federácie a federálnymi zákonmi (úradné tajomstvo).
• Forenzné dôverné údaje: O štátnej ochrane sudcov, orgánov činných v trestnom konaní a regulačných orgánov. O štátnej ochrane obetí, svedkov a ostatných účastníkov trestného konania. Informácie obsiahnuté v osobných spisoch odsúdených, ako aj informácie o výkone súdnych úkonov, úkonoch iných orgánov a funkcionárov, okrem informácií, ktoré sú verejne dostupné v súlade s federálnym zákonom z 2. októbra 2007 N 229-FZ " O exekučnom konaní“ .
• Komerčné citlivé údaje: všetky druhy informácií, ktoré súvisia s obchodom (zisk) a prístup ku ktorým je obmedzený zákonom alebo informácie o podstate vynálezu, úžitkového vzoru alebo priemyselného vzoru pred oficiálnym zverejnením informácií o nich podnikom (utajený vývoj, výroba technológie atď.).
• Profesionálne dôverné údaje: Informácie týkajúce sa odborných činností, ku ktorým je prístup obmedzený v súlade s Ústavou Ruskej federácie a federálnymi zákonmi (lekárske, notárske, advokátske tajomstvá, korešpondencia, telefonické rozhovory, pošta, telegraf alebo iné správy atď.)

Obrázok 1. Klasifikácia typov informácií.

Osobné údaje

Samostatne stojí za to venovať pozornosť a zvážiť osobné údaje. Podľa federálneho zákona z 27. júla 2006 č. 152-FZ(v znení z 29.07.2017) „O osobných údajoch“, článok 4: Osobné údaje- ide o akékoľvek informácie týkajúce sa priamo alebo nepriamo konkrétnej alebo určiteľnej fyzickej osoby (subjekt osobných údajov).

Prevádzkovateľom osobných údajov je- štátny orgán, orgán obce, právnická osoba alebo fyzická osoba, samostatne alebo spoločne s inými osobami, ktoré organizujú a (alebo) vykonávajú spracúvanie osobných údajov, ako aj určujú účely spracúvania osobných údajov, zloženie osobných údajov údaje, ktoré sa majú spracovať, úkony (operácie) vykonané s osobnými údajmi.

Spracúvanie osobných údajov- akákoľvek akcia (operácia) alebo súbor akcií (operácií) vykonaných pomocou automatizačných nástrojov alebo bez použitia takýchto nástrojov s osobnými údajmi, vrátane zhromažďovania, zaznamenávania, systematizácie, zhromažďovania, ukladania, objasňovania (aktualizácie, zmeny), extrakcie, používania, prenosu (distribúcia, poskytovanie, sprístupňovanie), depersonalizácia, blokovanie, vymazanie, likvidácia osobných údajov.

Právo na spracúvanie osobných údajov je zakotvené v nariadeniach o štátnych orgánoch, federálnych zákonoch, licenciách na prácu s osobnými údajmi vydaných Roskomnadzorom alebo FSTEC.

Spoločnosti, ktoré profesionálne pracujú s osobnými údajmi širokého spektra ľudí, napríklad hostingové spoločnosti virtuálnych serverov alebo telekomunikační operátori, sa musia prihlásiť do registra vedeného Roskomnadzorom.

Napríklad náš hosting virtuálnych serverov VPS.HOUSE funguje v rámci legislatívy Ruskej federácie a v súlade s licenciami Federálnej služby pre dohľad nad komunikáciami, informačnými technológiami a masovými komunikáciami č. 139322 zo dňa 25.12.2015 (Telematické komunikačné služby) a č. 139323 zo dňa 25.12.2015 (Komunikačné služby na prenos dát, s výnimkou komunikačných služieb na prenos dát na účely prenosu hlasových informácií) .

Na základe toho je prevádzkovateľom osobných údajov každá stránka, ktorá má registračný formulár užívateľa, ktorý uvádza a následne spracúva informácie súvisiace s osobnými údajmi.

Vzhľadom na článok 7 zákona č. 152-FZ„O osobných údajoch“, prevádzkovatelia a ďalšie osoby, ktoré získali prístup k osobným údajom, sú povinní nezverejňovať ich tretím stranám a nešíriť osobné údaje bez súhlasu subjektu osobných údajov, pokiaľ federálny zákon neustanovuje inak. V súlade s tým je každý prevádzkovateľ osobných údajov povinný zabezpečiť potrebnú bezpečnosť a dôvernosť týchto informácií.

Aby sa zabezpečila bezpečnosť a dôvernosť informácií, je potrebné určiť, aké sú médiá, ku ktorým je otvorený a uzavretý prístup. Podľa toho sa v závislosti od typu média vyberajú aj spôsoby a prostriedky ochrany.

Hlavné nosiče informácií:

• Tlačené a elektronické médiá, sociálne siete, iné zdroje na internete;
• Zamestnanci organizácie, ktorí majú prístup k informáciám na základe ich priateľských, rodinných, profesionálnych väzieb;
• Komunikačné prostriedky, ktoré prenášajú alebo uchovávajú informácie: telefóny, automatické telefónne ústredne, iné telekomunikačné zariadenia;
• Dokumenty všetkých typov: osobné, úradné, štátne;
• Softvér ako nezávislý informačný objekt, najmä ak bola jeho verzia vyvinutá špeciálne pre konkrétnu spoločnosť;
• Elektronické pamäťové médiá, ktoré automaticky spracúvajú údaje.

Po zistení, ktoré informácie sú predmetom ochrany, nosiče informácií a možné poškodenie pri ich zverejnení, si môžete zvoliť potrebné prostriedky ochrany.

Klasifikácia nástrojov informačnej bezpečnosti

V súlade s federálnym zákonom z 27. júla 2006 č. 149-FZ(v znení z 29. júla 2017) „O informáciách, informačných technológiách a ochrane informácií“, článok 7 ods. 1 a ods.

1. Bezpečnosť informácií predstavuje prijímanie právnych, organizačných a technických opatrení, zamerané na:

• Bezpečnosť ochrana informácií pred neoprávneným prístupom, zničením, úpravou, blokovaním, kopírovaním, poskytovaním, distribúciou, ako aj pred inými nezákonnými činnosťami v súvislosti s takýmito informáciami;
• Súlad dôvernosť obmedzených informácií;
• Implementácia právo na prístup k informáciám.

4. Vlastník informácií, prevádzkovateľ informačného systému v prípadoch ustanovených právnymi predpismi Ruskej federácie, sú povinní poskytnúť:

• Prevencia neoprávnený prístup k informáciám a (alebo) ich prenos osobám, ktoré nemajú právo na prístup k informáciám;
• včasné detekcia skutočnosti neoprávneného prístupu k informáciám;
• Varovanie možnosť nepriaznivých následkov porušenia príkazu na prístup k informáciám;
• Prevencia vplyv na technické prostriedky spracovania informácií, v dôsledku čoho je narušená ich funkčnosť;
• Možnosť ihneď zotavenie informácie zmenené alebo zničené v dôsledku neoprávneného prístupu k nim;
• Neustále ovládanie na zabezpečenie úrovne informačnej bezpečnosti;
• Hľadanie na území Ruskej federácie informačných databáz, ktoré sa používajú na zhromažďovanie, zaznamenávanie, systematizáciu, zhromažďovanie, uchovávanie, objasňovanie (aktualizovanie, zmena), získavanie osobných údajov občanov Ruskej federácie (doložka 7 bola zavedená federálnym zákonom č. 21.07.2014 č. 242-FZ).

Na základe zákona č. 149-FZ Informačnú bezpečnosť možno tiež rozdeliť do niekoľkých úrovní:

1. Právna rovina zabezpečuje dodržiavanie štátnych štandardov v oblasti informačnej bezpečnosti a zahŕňa autorské práva, vyhlášky, patenty a popisy práce.
   Dobre vybudovaný ochranný systém neporušuje práva používateľov a normy spracovania údajov.
2. Organizačná úroveň umožňuje vytvárať pravidlá pre prácu používateľov s dôvernými informáciami, vyberať personál, organizovať prácu s dokumentáciou a dátovými nosičmi.
   Pravidlá pre prácu používateľov s dôvernými informáciami sa nazývajú pravidlá kontroly prístupu. Pravidlá stanovuje vedenie spoločnosti spolu s bezpečnostnou službou a dodávateľom, ktorý zabezpečovací systém implementuje. Cieľom je vytvoriť podmienky pre prístup k informačným zdrojom pre každého používateľa, napríklad právo čítať, upravovať, prenášať dôverný dokument.
   Pravidlá kontroly prístupu sú vypracované na organizačnej úrovni a implementované vo fáze práce s technickou zložkou systému.
3. Technická úroveň podmienene rozdelené na fyzické, hardvérové, softvérové ​​a matematické (kryptografické).

Nástroje informačnej bezpečnosti

Nástroje informačnej bezpečnosti vzaté na rozdelenie normatívny (neformálny) A technický (formálny).

Neformálne prostriedky informačnej bezpečnosti

Neformálne nástroje informačnej bezpečnosti– sú normatívne (legislatívne), administratívne (organizačné) a morálne a etické prostriedky, medzi ktoré patria: dokumenty, pravidlá, udalosti.

právny rámec ( legislatívne prostriedky) informačnú bezpečnosť zabezpečuje štát. Ochranu informácií upravujú medzinárodné dohovory, ústava, federálne zákony „o informáciách, informačných technológiách a ochrane informácií“, zákony Ruskej federácie „o bezpečnosti“, „komunikácie“, „o štátnom tajomstve“ a rôzne interné zákony .

Tiež niektoré z vyššie uvedených zákonov boli uvedené a prediskutované nami vyššie ako právne základy informačnej bezpečnosti. Nedodržiavanie týchto zákonov predstavuje ohrozenie informačnej bezpečnosti, čo môže viesť k závažným následkom, ktoré sa následne trestajú v súlade s týmito zákonmi, až po trestnoprávnu zodpovednosť.

Štát určí aj mieru zodpovednosti za porušenie ustanovení legislatívy v oblasti informačnej bezpečnosti. Napríklad kapitola 28 „Trestné činy v oblasti počítačových informácií“ v Trestnom zákone Ruskej federácie obsahuje tri články:

• Článok 272 „Nezákonný prístup k počítačovým informáciám“;
• Článok 273 „Vytváranie, používanie a distribúcia škodlivých počítačových programov“;
• Článok 274 "Porušenie pravidiel prevádzky prostriedkov na uchovávanie, spracovanie alebo prenos počítačových informácií a informačných a telekomunikačných sietí."

administratívne (organizačné) opatrenia zohrávajú zásadnú úlohu pri vytváraní spoľahlivého mechanizmu ochrany informácií. Pretože možnosť neoprávneného použitia dôverných informácií nie je do značnej miery určená technickými aspektmi, ale škodlivými činmi. Napríklad nedbalosť, nedbanlivosť a nedbalosť používateľov alebo ochranného personálu.

Na zníženie vplyvu týchto aspektov je potrebný súbor organizačných, právnych a organizačných a technických opatrení, ktoré by vylúčili alebo minimalizovali možnosť ohrozenia dôverných informácií.

V tejto administratívnej a organizačnej činnosti na ochranu informácií pre bezpečnostný personál je priestor pre kreativitu.

Ide o architektonické a plánovacie riešenia, ktoré vám umožňujú chrániť zasadacie miestnosti a výkonné kancelárie pred odpočúvaním a zriadením rôznych úrovní prístupu k informáciám.

Z hľadiska regulácie činnosti personálu bude dôležité navrhnúť systém žiadostí o prístup do internetu, externej elektronickej pošty a iných zdrojov. Samostatným prvkom bude prijatie elektronického digitálneho podpisu na zvýšenie bezpečnosti finančných a iných informácií, ktoré sa prenášajú vládnym orgánom prostredníctvom e-mailových kanálov.

na morálne a etické Prostriedky možno pripísať morálnym normám alebo etickým pravidlám, ktoré sa vyvinuli v spoločnosti alebo v danom tíme, ktorých dodržiavanie prispieva k ochrane informácií a ich porušenie sa rovná nedodržiavaniu pravidiel správania v spoločnosti. spoločnosť alebo tím. Tieto normy nie sú záväzné ako právne schválené normy, avšak ich nedodržiavanie vedie k poklesu autority, prestíže osoby alebo organizácie.

Formálne prostriedky ochrany informácií

Formálne opravné prostriedky- ide o špeciálne technické prostriedky a softvér, ktoré možno rozdeliť na fyzické, hardvérové, softvérové ​​a kryptografické.

Fyzické prostriedky ochrany informácií- sú to akékoľvek mechanické, elektrické a elektronické mechanizmy, ktoré fungujú nezávisle od informačných systémov a vytvárajú bariéry prístupu k nim.

Zámky, vrátane elektronických, clony, žalúzie sú navrhnuté tak, aby vytvárali prekážky pre kontakt destabilizujúcich faktorov so systémami. Skupinu dopĺňajú bezpečnostné systémy, napríklad videokamery, videorekordéry, senzory snímajúce pohyb alebo prekročenie stupňa elektromagnetického žiarenia v priestore, kde sa nachádzajú technické prostriedky na zaznamenávanie informácií.

Hardvérová informačná bezpečnosť- sú to akékoľvek elektrické, elektronické, optické, laserové a iné zariadenia, ktoré sú zabudované do informačných a telekomunikačných systémov: špeciálne počítače, systémy riadenia zamestnancov, ochrana serverov a podnikových sietí. Zabraňujú prístupu k informáciám, a to aj ich maskovaním.

Hardvér zahŕňa: generátory šumu, sieťové filtre, skenovacie rádiá a mnohé ďalšie zariadenia, ktoré „blokujú“ potenciálne kanály úniku informácií alebo umožňujú ich detekciu.

Softvér pre bezpečnosť informácií- sú to jednoduché a komplexné programy určené na riešenie problémov súvisiacich so zaistením informačnej bezpečnosti.

Príkladom komplexných riešení sú DLP systémy a SIEM systémy.

DLP systémy("Data Leak Prevention" doslova "prevencia úniku dát"), respektíve slúžia na zamedzenie úniku, preformátovanie informácií a presmerovanie informačných tokov.

SIEM systémy("Správa bezpečnostných informácií a udalostí", čo znamená "Správa udalostí a informačná bezpečnosť") poskytuje analýzu bezpečnostných udalostí (alarmov) zo sieťových zariadení a aplikácií v reálnom čase. SIEM je reprezentovaný aplikáciami, zariadeniami alebo službami a používa sa aj na zaznamenávanie údajov a vykazovanie kvôli kompatibilite s inými obchodnými údajmi.

Softvérové ​​nástroje sú náročné na výkon hardvérových zariadení a pri inštalácii je potrebné zabezpečiť dodatočné rezervy.

matematické (kryptografické)– implementácia kryptografických a stenografických metód ochrany údajov na bezpečný prenos cez podnikovú alebo globálnu sieť.

Kryptografia sa považuje za jeden z najspoľahlivejších spôsobov ochrany údajov, pretože chráni samotné informácie a nie prístup k nim. Kryptograficky konvertované informácie majú vysoký stupeň ochrany.

Zavedením ochrany kryptografických informácií sa rozumie vytvorenie softvérového a hardvérového komplexu, ktorého architektúra a zloženie je určené na základe potrieb konkrétneho zákazníka, právnych požiadaviek, úloh a potrebných metód a šifrovacích algoritmov.

To môže zahŕňať softvérové ​​komponenty šifrovania (poskytovatelia kryptomien), nástroje organizácie VPN, nástroje identity, nástroje na generovanie a overovanie kľúčov a digitálnych podpisov.

Šifrovacie nástroje môžu podporovať šifrovacie algoritmy GOST a poskytovať potrebné triedy kryptografickej ochrany v závislosti od požadovaného stupňa ochrany, regulačného rámca a požiadaviek na kompatibilitu s inými, vrátane externých systémov. Šifrovacie nástroje zároveň poskytujú ochranu pre celý súbor informačných komponentov, vrátane súborov, adresárov so súbormi, fyzických a virtuálnych pamäťových médií, celých serverov a systémov na ukladanie údajov.

Na záver druhej časti, po krátkom zvážení hlavných metód a prostriedkov ochrany informácií, ako aj klasifikácie informácií, môžeme konštatovať nasledovné: Skutočnosť, že sa opäť potvrdzuje známa téza, že zaistenie informačnej bezpečnosti je celý rad opatrení, ktoré zahŕňajú všetky aspekty ochrany informácií, ku ktorých tvorbe a poskytovaniu je potrebné pristupovať čo najopatrnejšie a najvážnejšie.

Je potrebné prísne dodržiavať a za žiadnych okolností by sa nemalo porušovať Zlaté pravidlo - ide o integrovaný prístup.

Pre názornejšiu reprezentáciu nástrojov informačnej bezpečnosti, presne ako nedeliteľný súbor opatrení, sú uvedené nižšie na obrázku 2, pričom každá z tehál predstavuje ochranu informácií v určitom segmente, odstráňte jednu z tehál a bezpečnostnú hrozbu. vznikne.

Obrázok 2. Klasifikácia nástrojov informačnej bezpečnosti.

Podľa narastajúceho počtu publikácií a firiem, ktoré sa profesionálne zaoberajú ochranou informácií v počítačových systémoch, sa riešeniu tohto problému prikladá veľký význam. Jednou z najzreteľnejších príčin narušenia systému ochrany je úmyselný neoprávnený prístup (UAS) k dôverným informáciám nelegálnymi používateľmi a následné nechcené manipulácie s týmito informáciami.

Ochrana dát je súbor opatrení prijatých na zamedzenie úniku, odcudzenia, straty, neoprávneného zničenia, skreslenia, úpravy (falšovania), neoprávneného kopírovania, blokovania informácií a pod. Keďže k strate informácií môže dôjsť z čisto technických, objektívnych a neúmyselných dôvodov, táto definícia zahŕňa aj opatrenia súvisiace so zvýšením spoľahlivosti servera v dôsledku porúch alebo porúch pevných diskov, nedostatkov v použitom softvéri atď.

Klasifikácia nástrojov informačnej bezpečnosti

Prostriedky na zaistenie informačnej bezpečnosti z hľadiska zabránenia úmyselnému konaniu možno v závislosti od spôsobu implementácie rozdeliť do skupín:

1. Technické (hardvérové) prostriedky. Ide o zariadenia rôznych typov (mechanické, elektromechanické, elektronické atď.), ktoré riešia problémy ochrany informácií hardvérom. Zabraňujú buď fyzickému preniknutiu, alebo ak k preniknutiu došlo, prístupu k informáciám, a to aj prostredníctvom ich maskovania. Prvá časť úlohy je riešená zámkami, mrežami na oknách, bezpečnostnými alarmami a pod. Druhou časťou sú generátory šumu, sieťové filtre, skenovacie rádiá a mnohé ďalšie zariadenia, ktoré „blokujú“ potenciálne kanály úniku informácií alebo ich umožňujú zistené. Výhody technické prostriedky sú spojené s ich spoľahlivosťou, nezávislosťou od subjektívnych faktorov, vysokou odolnosťou voči modifikácii. Slabé stránky– nedostatok flexibility, relatívne veľký objem a hmotnosť, vysoké náklady.

2. softvér zahŕňajú programy na identifikáciu používateľa, kontrolu prístupu, šifrovanie informácií, vymazanie zvyškových (pracovných) informácií, ako sú dočasné súbory, testovanie systému ochrany atď. Softvérové ​​výhody- všestrannosť, flexibilita, spoľahlivosť, jednoduchá inštalácia, možnosť úpravy a vývoja. nevýhody– obmedzená funkčnosť siete, využitie časti prostriedkov súborového servera a pracovných staníc, vysoká citlivosť na náhodné alebo úmyselné zmeny, možná závislosť od typov počítačov (ich hardvéru).

3. Zmiešaný hardvér a softvér implementujú rovnaké funkcie ako hardvér a softvér oddelene a majú prechodné vlastnosti.

4. Organizačné prostriedky pozostávajú z organizačno-technických (príprava priestorov s počítačmi, položenie káblového systému, s prihliadnutím na požiadavky na obmedzenie prístupu k nemu a pod.) a organizačno-právnych (národné zákony a pracovné pravidlá stanovené vedením konkrétneho podniku) . Výhody organizačné nástroje spočívajú v tom, že umožňujú riešiť mnohé heterogénne problémy, sú ľahko implementovateľné, rýchlo reagujú na nežiaduce akcie v sieti, majú neobmedzené možnosti úprav a rozvoja. nevýhody- vysoká závislosť od subjektívnych faktorov vrátane celkovej organizácie práce v určitom útvare.

Softvérové ​​nástroje sa prideľujú podľa stupňa distribúcie a dostupnosti, preto sú podrobnejšie popísané nižšie. Iné prostriedky sa používajú v prípadoch, keď je potrebné poskytnúť dodatočnú úroveň ochrany informácií.

Šifrovanie dáta sú druhom softvéru na bezpečnosť informácií a v praxi majú mimoriadny význam ako jediná spoľahlivá ochrana informácií prenášaných cez dlhé sériové linky pred únikom. Šifrovanie tvorí poslednú, takmer neprekonateľnú „hranicu“ ochrany pred neoprávneným prístupom. Pojem „šifrovanie“ sa často používa v súvislosti so všeobecnejším pojmom kryptografia. Kryptografia zahŕňa metódy a prostriedky na zabezpečenie dôvernosti informácií (aj pomocou šifrovania) a autentifikácie. Dôvernosť- ochrana informácií pred oboznamovaním sa s ich obsahom osobami, ktoré k nim nemajú právo prístupu. Vo svojom poradí Overenie predstavuje autentifikáciu rôznych aspektov interakcie informácií: komunikačná relácia, strany (identifikácia), obsah (ochrana imitácie) a zdroj (identifikácia autorstva pomocou digitálneho podpisu).

Klasické algoritmy na šifrovanie údajov

K dispozícii sú nasledujúce „klasické“ metódy šifrovania:

Substitúcia (jednoduchá - jednoabecedná, viacabecedná jednoslučková, viacabecedná viacslučková);

Permutácia (jednoduchá, komplikovaná);

Gamma (miešanie s krátkou, dlhou alebo neobmedzenou maskou).

Substitúcia zahŕňa použitie alternatívnej abecedy (alebo viacerých) namiesto pôvodnej abecedy. V prípade jednoduchej zámeny za znaky anglickej abecedy je možné navrhnúť nasledujúcu náhradu (pozri tabuľku 1).

Tabuľka 1. Príklad nahradenia znakov počas nahrádzania

Potom je slovo „cache“ zašifrované ako „usuxk“.

Permutácia potenciálne poskytuje väčšiu odolnosť voči dešifrovaniu ako substitúcia a vykonáva sa pomocou digitálneho kľúča alebo ekvivalentného kľúčového slova, ako je znázornené v nasledujúcom príklade (pozri tabuľku 2). Číselný kľúč pozostáva z neopakujúcich sa číslic a príslušné kľúčové slovo pozostáva z neopakujúcich sa znakov. Pôvodný text (obyčajný text) sa píše riadok po riadku pod kláves. Šifrovaná správa (šifrovaný text) sa vypisuje po stĺpcoch v poradí podľa čísel kľúčov alebo v poradí, v akom sa nachádzajú jednotlivé znaky kľúčového slova.

Tabuľka 2. Príklad použitia jednoduchej permutácie

V tomto príklade bude zašifrovaná správa vyzerať takto: AIHHORTTPHPαEααα…SSCEα.

Hazardné hry(miešanie masiek) je založené na modulo 2 bitovom sčítaní (podľa EXCLUSIVE OR logiky) pôvodnej správy s vopred zvolenou binárnou sekvenciou (maskou). Kompaktným znázornením masky môžu byť čísla v desiatkovej číselnej sústave alebo nejaký text (v tomto prípade sa berú do úvahy interné kódy znakov - pre anglický text ASCII tabuľka). Na obr. 1 ukazuje, ako sa pôvodný znak „A“ po pridaní do masky 0110 10012 stane znakom „(“ v zašifrovanej správe.

Ryža. 1 Príklad použitia gama

Uvedené „klasické“ metódy šifrovania (substitúcia, permutácia a gama) sú lineárne v tom zmysle, že dĺžka zašifrovanej správy sa rovná dĺžke pôvodného textu. Možno nelineárna transformácia typ náhrady namiesto pôvodných znakov (alebo celých slov, fráz, viet) vopred zvolených kombinácií znakov rôznej dĺžky. Účinná je aj ochrana informácií metóda cut-explode, kedy sú pôvodné dáta rozdelené do blokov, z ktorých každý nenesie užitočné informácie a tieto bloky sa ukladajú a prenášajú nezávisle od seba. Pre textové informácie sa môže výber dát pre takéto bloky uskutočniť v skupinách, ktoré obsahujú pevný počet bitov, menší ako počet bitov na znak v kódovacej tabuľke. V poslednej dobe sa počítačom tzv steganografia(z gréckych slov steganos – tajomstvo, tajomstvo a graphy – záznam), čo je ukrytie správy alebo súboru do inej správy alebo súboru. Môžete napríklad skryť zašifrovaný audio alebo video súbor vo veľkom informačnom alebo obrázkovom súbore. Objem kontajnera súborov musí byť aspoň osemkrát väčší ako objem zdrojového súboru. Príkladmi bežných programov, ktoré implementujú počítačovú steganografiu, sú S-Tools (pre OS Windows’95/NT). a Steganos pre Windows'95. Samotné šifrovanie informácií sa vykonáva pomocou štandardných alebo neštandardných algoritmov.

Štandardné metódy šifrovania (národné alebo medzinárodné) na zvýšenie stupňa odolnosti voči dešifrovaniu implementujú niekoľko stupňov (krokov) šifrovania, z ktorých každý používa iné „klasické“ metódy šifrovania v súlade so zvoleným kľúčom (alebo kľúčmi). Existujú dve zásadne odlišné skupiny štandardných metód šifrovania:

Šifrovanie pomocou rovnakých kľúčov (šifry) na šifrovanie a dešifrovanie (symetrické šifrovanie alebo systémy so súkromným kľúčom);

Šifrovanie pomocou verejných kľúčov na šifrovanie a súkromných kľúčov na dešifrovanie (asymetrické šifrovanie alebo systémy s verejným kľúčom).

Softvér pre bezpečnosť informácií

Zabudované nástroje na ochranu informácií v sieťových operačných systémoch sú k dispozícii, ale nedokážu vždy úplne vyriešiť problémy, ktoré vznikajú v praxi. Napríklad sieťové operačné systémy NetWare 3.x, 4.x poskytujú spoľahlivú „vrstvenú“ ochranu dát pred poruchami a poškodením hardvéru. Systém SFT (System Fault Tolerance) spoločnosti Novell zahŕňa tri hlavné úrovne:

SFT Level I zabezpečuje najmä vytváranie dodatočných kópií tabuliek FAT a Directory Entries, okamžité overenie každého novo zapísaného dátového bloku na súborovom serveri a rezerváciu približne 2 % diskového objemu na každom pevnom disku. Keď sa zistí porucha, údaje sa presmerujú do vyhradenej oblasti disku a chybný blok sa označí ako „zlý“ a ďalej sa nepoužíva.

SFT Level II obsahuje ďalšie funkcie na vytváranie „zrkadlových“ diskov, ako aj duplikovanie diskových radičov, napájacích zdrojov a káblov rozhrania.

SFT Level III vám umožňuje používať duplicitné servery v lokálnej sieti, z ktorých jeden je „hlavný“ a druhý, ktorý obsahuje kópiu všetkých informácií, sa spustí v prípade zlyhania „hlavného“ servera. .

Systém monitorovania a obmedzovania prístupových práv v sieťach NetWare (ochrana pred neoprávneným prístupom) obsahuje aj niekoľko úrovní:

Počiatočná úroveň prístupu (zahŕňa používateľské meno a heslo, systém obmedzení účtu - ako napríklad výslovné povolenie alebo zákaz práce, povolený čas siete, miesto na pevnom disku obsadené osobnými súbormi používateľa atď.);

Úroveň používateľských práv (obmedzenia vykonávania jednotlivých operácií a/alebo práce daného používateľa ako člena jednotky v určitých častiach sieťového súborového systému);

Úroveň atribútov adresárov a súborov (obmedzenia vykonávania určitých operácií vrátane odstraňovania, úprav alebo vytvárania, ktoré prichádzajú zo strany súborového systému a ovplyvňujú všetkých používateľov, ktorí sa snažia s týmito adresármi alebo súbormi pracovať);

Úroveň konzoly súborového servera (blokovanie klávesnice súborového servera počas neprítomnosti správcu siete, kým nezadá špeciálne heslo).

Špecializovaný softvér na ochranu informácií pred neoprávneným prístupom majú vo všeobecnosti lepšie možnosti a vlastnosti ako vstavané nástroje sieťového operačného systému. Okrem šifrovacích programov a kryptografických systémov je k dispozícii mnoho ďalších externých nástrojov na zabezpečenie informácií. Z najčastejšie spomínaných riešení si treba všimnúť nasledujúce dva systémy, ktoré umožňujú obmedziť a riadiť informačné toky.

1. Firewally – firewally (doslova firewall – protipožiarna stena). Medzi lokálnymi a globálnymi sieťami sú vytvorené špeciálne medziservery, ktoré kontrolujú a filtrujú všetku sieťovú / transportnú vrstvu, ktorá cez ne prechádza. To vám umožňuje dramaticky znížiť hrozbu neoprávneného prístupu zvonku do podnikových sietí, ale toto nebezpečenstvo úplne neodstráni. Bezpečnejšou verziou metódy je metóda maskovania, keď sa všetka prevádzka odchádzajúca z lokálnej siete odosiela v mene servera brány firewall, vďaka čomu je lokálna sieť takmer neviditeľná.

2. Proxy-servery (proxy - splnomocnenie, oprávnená osoba). Všetka prevádzka sieťovej/transportnej vrstvy medzi lokálnou a globálnou sieťou je úplne zakázaná – neexistuje žiadne smerovanie ako také a hovory z lokálnej siete do globálnej siete prebiehajú cez špeciálne sprostredkovateľské servery. Je zrejmé, že v tomto prípade sú hovory z globálnej siete do lokálnej siete v zásade nemožné. Tento spôsob neposkytuje dostatočnú ochranu pred útokmi na vyšších úrovniach – napríklad na aplikačnej úrovni (vírusy, kód Java a JavaScript).

• Nechaj- vytvorenie prekážky na ceste ohrozenia, ktorej prekonanie je spojené so vznikom ťažkostí pre útočníka alebo destabilizačného faktora.
• Kontrola- zabezpečenie kontrolných akcií na prvkoch chráneného systému.
• Maskovanie- akcie na chránenom systéme alebo informáciách, ktoré vedú k takej transformácii, ktorá ich zneprístupní útočníkovi. (Sem patria najmä kryptografické spôsoby ochrany).
• nariadenia- vypracovanie a implementácia súboru opatrení, ktoré vytvárajú také podmienky na spracovanie informácií, ktoré výrazne sťažujú realizáciu útokov narušiteľa alebo vplyv iných destabilizačných faktorov.
• Nútenosť- metóda spočíva vo vytváraní podmienok, za ktorých sú používatelia a pracovníci nútení dodržiavať podmienky spracovania informácií pod hrozbou zodpovednosti (vecnej, trestnoprávnej, administratívnej)
• Motivácia- metóda spočíva vo vytváraní podmienok, za ktorých používatelia a personál spĺňajú podmienky na spracovanie informácií z morálnych, etických a psychologických dôvodov.

Nástroje informačnej bezpečnosti:

• Fyzické prostriedky- mechanické, elektrické, elektromechanické, elektronické, elektronicko-mechanické atď. zariadenia a systémy, ktoré fungujú autonómne a vytvárajú rôzne druhy prekážok v ceste destabilizujúcich faktorov.
• Hardvér- rôzne elektronické a elektromechanické atď. zariadenia, ktoré sú zabudované do hardvéru systému na spracovanie údajov alebo sú s ním prepojené špeciálne na riešenie problémov bezpečnosti informácií.
• softvér- špeciálne softvérové ​​balíky alebo jednotlivé programy zahrnuté v softvéri na riešenie problémov informačnej bezpečnosti.
• Organizačné prostriedky- organizačné a technické opatrenia špeciálne upravené v technológii fungovania systému na riešenie problémov ochrany informácií.
• Legislatívne prostriedky- regulačné právne akty, ktoré upravujú práva a povinnosti, ako aj ustanovujú zodpovednosť všetkých osôb a útvarov súvisiacich s prevádzkou systému za porušenie pravidiel spracúvania informácií, ktoré môže mať za následok narušenie jeho bezpečnosti.
• Psychologické (morálne a etické prostriedky)- morálne normy alebo etické pravidlá, ktoré sa vyvinuli v spoločnosti alebo tíme, ktorých dodržiavanie prispieva k ochrane informácií a ich porušovanie sa rovná nedodržiavaniu pravidiel správania sa v spoločnosti alebo tíme.

Zvážte hlavné spôsoby ZI.

1) Kontrola prístupu je spôsob ochrany informácií reguláciou využívania všetkých systémových prostriedkov (hardvér, softvér, databázové prvky). Systém spracovania údajov by mal regulovať dni v týždni a dennú dobu, kedy môžu používatelia a pracovníci systému pracovať. Musí byť definovaný aj zoznam systémových prostriedkov, ku ktorým je povolený prístup, a poradie prístupu k nim. Je potrebné mať zoznam osôb, ktorým sa udeľuje oprávnenie na používanie technických prostriedkov, programov a funkčných úloh a pod. Kontrola prístupu zahŕňa nasledujúce ochranné funkcie: identifikácia používateľov, personálu a systémových zdrojov; overenie autority, ktoré spočíva v kontrole súladu dňa v týždni, dennej doby, ako aj požadovaných zdrojov a postupov so stanovenými predpismi; povoľovanie a vytváranie pracovných podmienok v rámci ustanovených predpisov; registrácia (logovanie) volaní do chránených zdrojov; reakcie (oneskorenie práce, porucha, vypnutie, alarm) pri pokuse o neoprávnené akcie.

2) Maskovanie – spôsob ochrany informácií kryptografickým uzavretím.

3) Regulácia – spočíva vo vývoji a implementácii do procesu fungovania systémov spracovania údajov, súborov opatrení, ktoré vytvárajú také podmienky na automatizované spracovanie a uchovávanie chránených informácií, pri ktorých by bola minimalizovaná možnosť neoprávneného prístupu.

4) Nátlak - používatelia a personál systému výmeny údajov sú nútení dodržiavať pravidlá spracovania a používania chránených informácií pod hrozbou materiálnej, administratívnej alebo trestnej zodpovednosti.

Uvažované metódy SI sa realizujú použitím rôznych prostriedkov ochrany. Sú: technické, programové, organizačné, legislatívne a morálne a etické.

Technické prostriedky sú tie, ktoré sú realizované vo forme elektrických, elektromechanických a elektronických zariadení. Celý súbor technických prostriedkov sa zvyčajne delí na hardvérové ​​a fyzické.

Hardvérové ​​ochranné prostriedky sú zariadenia, ktoré sú zabudované priamo do zariadení systémov na spracovanie údajov alebo zariadení, ktoré sú so zariadením prepojené cez štandardné rozhranie.

Fyzické - také prostriedky, ktoré sú implementované vo forme autonómnych zariadení alebo systémov (elektronicko-mechanické vybavenie pre bezpečnostné alarmy a video dohľad, zámky na dverách, mreže na oknách atď.).

Prostriedky ochrany softvéru sú programy špeciálne navrhnuté na vykonávanie funkcií súvisiacich s IS.

Organizačnými prostriedkami ochrany sa nazývajú organizačné technicko-organizačno-právne opatrenia vykonávané v procese tvorby a prevádzky systémov na zabezpečenie ochrany informácií. Organizačné činnosti pokrývajú všetky konštrukčné prvky systémov spracovania dát vo všetkých fázach ich životného cyklu: priestory budovy, návrh systému, inštalácia a uvedenie zariadení do prevádzky, testovanie a overovanie, prevádzka.

Legislatívne opravné prostriedky zahŕňajú legislatívne akty, ktoré upravujú pravidlá používania a spracovania obmedzených informácií a zakladajú zodpovednosť za porušenie týchto pravidiel.

Morálne a etické prostriedky ochrany zahŕňajú všetky druhy noriem, ktoré sa tradične vyvíjali alebo sa formujú, keď sa počítačové nástroje rozšírili. Tieto normy nie sú z veľkej časti povinné, ako legislatívne opatrenia, ich nedodržiavanie však môže viesť k strate autority a prestíže osoby alebo organizácie.

Všetky uvažované prostriedky ochrany sú rozdelené na formálne a neformálne. Prvé zahŕňajú prostriedky, ktoré vykonávajú ochranné funkcie prísne podľa vopred stanoveného postupu a bez priamej účasti osoby. Neformálne prostriedky zahŕňajú také, ktoré sú buď determinované cieľavedomou činnosťou ľudí, alebo túto činnosť (priamo či nepriamo) regulujú.