Letysite.ru

IT Новости с интернет пространства
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Механизмы обеспечения безопасности информационных систем

Защитные механизмы информационной безопасности

ЗАЩИТА ИНФОРМАЦИИ

Содержание лекции:

1. Защита информации. Необходимость защиты информации. Защитные механизмы информационной безопасности.

2. Основные угрозы целостности и конфиденциальности. Законодательный уровень информационной безопасности.

3. Физическая защита. Парольная аутентификация. Шифрование.

Цель лекции:

изучитьвиды угроз безопасности компьютерных систем и способы защиты от них

Защита информации. Необходимость защиты информации. Защитные механизмы информационной безопасности.

Использование автоматизированных систем во всех сферах деятельности человека, основанных на применении современных информационно-коммуникационных технологий, выдвинуло целый ряд проблем перед разработчиками и пользователями этих систем.

Одна из наиболее острых проблем – проблема информационной безопасности, которую необходимо обеспечивать, контролировать, а также создавать условия для ее управления.

Практически вся современная информация готовится или может быть достаточно легко преобразована в машиночитаемую форму.

Характерной особенностью такой информации является возможность посторонних лиц легко и незаметно:

· или уничтожить её.

Это обстоятельство вызывает необходимость организации безопасного функционирования данных в любых информационных системах. Такие мероприятия называют защитой информации или информационной безопасностью.

Противоправные действия с информацией не только затрагивают интересы государства, общества и личности, но оказывают негативные, а порой трагические и катастрофические воздействия на здания, помещения, личную безопасность обслуживающего персонала и пользователей информации. Подобные воздействия происходят также по причине стихийных бедствий, техногенных катастроф и террористических актов.

Главной целью любой системы обеспечения информационной безопасности (далее — ИБ) является:

· создание условий функционирования предприятия, предотвращение угроз его безопасности,

· защита законных интересов предприятия от противоправных посягательств,

· недопущение хищения финансовых средств,

· недопущение разглашения служебной информации,

· недопущение утраты служебной информации,

· недопущение утечки служебной информации,

· недопущение искажения служебной информации

· недопущение уничтожения служебной информации,

· обеспечение в рамках производственной деятельности всех подразделений предприятия.

Защитные механизмы информационной безопасности

Более детальное рассмотрение этой проблемы позволяет сформулировать основные задачи любой системы ИБ предприятия :

· необходимость отнесения определенной информации к категории ограниченного доступа (служебной или коммерческой тайне);

· прогнозирование и своевременное выявление угроз безопасности информационным ресурсам, причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;

· создание условий функционирования с наименьшей вероятностью реализации угроз безопасности информационным ресурсам и нанесения различных видов ущерба;

· создание механизма и условий оперативного реагирования на угрозы ИБ и проявления негативных тенденций в функционировании, эффективное пресечение посягательств на ресурсы на основе правовых, организационных и технических мер и средств обеспечения безопасности;

· создание условий для максимально возможного возмещения и локализации ущерба, наносимого неправомерными действиями физических и юридических лиц, ослабление негативного влияния последствий нарушения ИБ.

Актуальность темы заключается в том, что проблемы информационной безопасности имеют не только местные (частные) и государственные, но и геополитические аспекты. Это комплексная проблема, поэтому её решение рассматривается на разных уровнях: законодательном, административном, процедурном и программно-техническом.

Компьютерные технические устройства воспринимают информацию по форме её представления, как: текстовую, графическую, числовую (цифровую), звуковую, видео (статическую и динамическую), мультимедийную (комбинированную), а также: оптическую и электромагнитную.

Поскольку информация представляет интерес для различных категорий пользователей, то основным назначением информации является её использование. При этом выделяют такие её свойства, как: адресность, актуальность, возможность кодирования, высокая скорость сбора, обработки и передачи, достаточность, достоверность, многократность использования, правовая корректность, полнота, своевременность.

Слово “безопасность” латинского происхождения – secure (securus). Затем в английском языке оно получило написание “security”.

Общеизвестно, что “безопасность” – это отсутствие опасности; состояние деятельности, при которой с определённой вероятностью исключено причинение ущерба здоровью человека, зданиям, помещениям и материально-техническим средствам в них.

Под безопасностью информации (Information security) или информационной безопасностью понимают защищённость информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, способных нанести ущерб владельцам и пользователям информации и поддерживающей её структуре.

При рассмотрении проблем, связанных с обеспечением безопасности, используют понятие “несанкционированный доступ” – это неправомочное обращение к информационным ресурсам с целью их использования (чтения, модификации), а также порчи или уничтожения. Данное понятие также связано с распространением разного рода компьютерных вирусов.

В свою очередь “санкционированный доступ” – это доступ к объектам, программам и данным пользователей, имеющих право выполнять определённые действия (чтение, копирование и др.), а также полномочия и права пользователей на использование ресурсов и услуг, определённых администратором вычислительной системы.

Защищённой считают информацию, не претерпевшую незаконных изменений в процессе передачи, хранения и сохранения, не изменившую такие свойства, как достоверность, полнота и целостность данных.

Под терминами “защита информации” и “информационная безопасность” подразумевается совокупность методов, средств и мероприятий, направленных на исключение искажений, уничтожения и несанкционированного использования накапливаемых, обрабатываемых и хранимых данных.

Механизмы обеспечения информационной безопасности

Ниже наведены принципы или механизмы(методы защиты информации) которые решают проблемы защиты информации:

Идентификация — это процедура определения каждого пользователя в информационных взаимодействиях перед тем, как он сможет пользоваться этой же системой.

Политика — это список утвержденных или сложившихся правил, которые объясняют принцип работы средства информационной безопасности.

Аутентификация — процесс, который дает систем понять, что пользователь представился тем какие вводные данные он ввел.

Авторизация — это процесс создания профиля прав на отдельного пользователя из существующих правил контроля.

Контроль доступа — Созидание и поддержание списка правил, которые при создании профиля дает определенный доступ к тем или иным ресурсам. Также может быть реализован с помощью контроля удаленного доступа.

Мониторинг и аудит — это процесс постоянного отслеживания событий, которые происходят в ИС. Мониторинг предполагает в режиме реального времени, а аудит — анализ произошедших событий.

Управление конфигурацией — созидание и поддержание функций среды ИС для поддержании ее в соответствии с требованиями которые могут быть наведенными в политике безопасности предприятия.

Реагирование на инциденты — это множество мероприятий и процедур, которые вступают в действие на нарушение или подозрение информационной безопасности.

Управление пользователями — это поддержание условий для работы сотрудников в ИС. Эти условия могут быть описаны в политике безопасности.

Управление рисками — поддержание защитных средств относительно возможных потерь в денежном эквиваленте.

Также описанны инструменты, которыми реализуются выше описанные механизмы и принципы и уменьшает риск угроз информационной безопасности. Полный список привести не возможно, так как он зависит от конкретной ситуации в которой находится ИС. Основные средства информационной безопасности:

Нормативное обеспечение — это документы, которые дают возможность проводить защиту и функционирование информационной безопасности.

Персонал — это люди, будут обеспечивать жизнь ИС. Внедрять, поддерживать, разрабатывать и исполнять.

Модели безопасности — это алгоритмы или схемы которая заложена в основе защиты информации в ИС.

Антивирусные ПО — инструмент для выявления и ликвидации зловредного кода. Вирусы и тд.

Криптография — это множество средств модификации информации в вид, который не дает проанализировать информацию в открытом виде. (RSA).

Межсетевые экраны — это устройства которые контролируют трафик из одной сети в другую.

Системы обнаружения атак — Это инструмент мониторинга активности информационной деятельности, иногда с самостоятельным принятием решений.

Сканеры безопасности — это инструмент для проверки качества модели безопасности для определенной ИС.

Резервное копирование — дублирование информации на избыточные копии, на случай их надобности.

Обучение пользователей — подготовка к пользованию информационной средой активных участников. Которые будут следовать правилам информационной безопасности.

Аварийный план — это список мероприятий, который на случай событий которые не предопределены правилами информационной безопасности.

Механизмы наведены на компьютерною безопасность информационной среды. Также нужно учитывать физическую безопасность, для этого нужно дополнительно уведомлять о возможных признаках физического воздействия на аппаратуру ИС.

Шифрование применяется для обеспечения секретности, позволяющая изменять данные в зашифрованный вид, при котором перевести начальную информацию можно только при наличии специального ключа розшифрования. Системам шифрования существуют столько лет, сколько письменному обмену информацией.

Читать еще:  Три типа угроз национальной безопасности

Секретность информации работает на основе введения алгоритма закрытых или открытых ключей (кодов).Закрытый ключ в шифровании дает два существенных преимущества относительно. Во-первых, при использовании одного алгоритма можно использовать разные ключи для отправки сообщений разным получателям. Во-вторых, если секретность ключа каким-то образом будет нарушена, ключ можно легко заменить, при этом не меняя алгоритм шифрования. Делая итог, безопасность систем шифрования напрямую зависит не от секретности алгоритма шифрования, а от секретности ключа. Также Многие алгоритмы шифрования есть открытыми в сети.

Количество возможных ключей зависит от используемого алгоритма, что в свою очередь зависит от длины или числа бит в ключе.К примеру, 16-битный ключ дает 612(56) всех комбинаций ключей. Очевидно, что чем больше комбинаций ключей, тем труднее подобрать ключ, тем надёжнее зашифровано сообщение. Так, например, если использовать 128-битный ключ, то необходимо будет перебрать 2128 ключей, что не под силу даже самым мощным компьютерам. Нужно отметить, что возрастающая производительность техники приводит к уменьшению времени, требующегося для вскрытия ключей, и системам обеспечения безопасности приходится использование всё более длинных ключей, в свою очередь приводит к увеличению затрат на шифрование.
Основной проблемой подобных систем является генерация и передача ключа. Есть два варианта шифрования: симметричное шифрование (шифрованием с секретным ключом) и асимметричное шифрование(с открытым ключом).

Использования симметричного шифрования подразумевает, что адресат и адресант имеют один и тот же ключ (секретный), с его помощью они могут делать операции с данными шифрование и розшифрование. В симметричном шифровании используются ключи небольшой длины, поэтому можно быстро шифровать большие объёмы данных.Однако сложно найти безопасный механизм, с помощью которого отправитель и получатель могут тайно от других выбрать один и тот же ключ. Существует проблема безопасного распространения секретных ключей по небезопасной сети. При этом для каждого адресата необходимо хранить отдельный секретный ключ. Используя схему шифрования с открытым ключом для шифрования используются два различных ключа. При помощи одного послание зашифровывается, а при помощи второго — расшифровывается. Недостатком асимметричного шифрования есть необходимость использовать длинные ключ,относительно симметричного шифрования.

Электронная подпись

Контрольные суммы используются для представления длинных сообщений путем создания резюме фиксированной длины. Алгоритмы подщета контрольных сумм разработаны специальным образом, чтобы они были уникальны для каждого блока данных. Таким образом, устраняется возможность подмены одного сообщения другим.
Однако при использовании контрольных сумм существует проблема передачи их получателю. Для решении этой проблемы используют электронную подпись.
С помощью электронной подписи получатель убеждается в том, что он получил письмо от правильного собеседника а не от мошенника. Электронная подпись создается с помощью шифрования контрольной суммы блока информации и доп. информации личного ключа отправителя. Таким образом, расшифровать подпись может кто угодно используя открытый ключ. А правильно создать подпись может только владелец.

Механизмы обеспечения безопасности информации (п);

Средства обеспечения безопасности информации (п).

Средства защиты информации делятся на формальные и неформальные. Формальные средства защиты выполняют защитные функции по заранее предусмотренной процедуре без непосредственного участия человека. К ним относятся технические средства, представленные электрическими, электромеханическими и электронными устройствами, среди которых выделяют аппаратные, встраиваемые непосредственно в вычислительную технику или сопряженные с подобной аппаратурой по стандартному интерфейсу устройства и физические, представленные автономными устройствами и системами, создающими физические препятствия для злоумышленников (сигнализация, решетки и др.). Программные средства представлены программным обеспечением, предназначенным для выполнения функций защиты информации.

К неформальным средствам защиты относятся организационные, морально-этические и законодательные. Организационные средства включают организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения защиты информации в информационных технологиях. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла (строительство и оборудование помещений экономического объекта, проектирование информационной технологии, монтаж и наладка оборудования, испытания, эксплуатация и т. д.).

Морально-этические средствареализуются в виде всевозможных норм, которые сложились традиционно или складываются по мере распространения вычислительной техники и средств связи. Эти нормы большей частью не являются обязательными как законодательные меры, однако несоблюдение их ведет к утечке информации и нарушению секретности.

Законодательные средстваопределяются законодательными актами страны, в которых регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушения этих правил.

Механизм криптографической защитына сетевом уровне корпоративной вычислительной сети строится на сертифицированных ФАПСИ (Федеральное агентство правительственной связи и информации) — аппаратно-программных комплексах, которые обеспечивают защиту информации. Задача криптографии в преобразовании некоторого понятного исходного текста в кажущуюся случайной последовательность знаков – криптограмму [13].

Сущность криптографии заключается в том, что готовое к передаче сообщение (данные, речь или графическое сообщение того или иного документа) обычно называемое открытым, исходным или незащищенным текстом или сообщением для предотвращения к нему несанкционированного доступа зашифровывается, преобразуясь в шифротекст или закрытый текст. При получении сообщения санкционированным пользователем оно дешифруется или раскрывается им посредством обратного преобразования криптограммы, вследствие чего получается исходный открытый текст.

Метод преобразования в криптографической системе определяется используемым специальным алгоритмом. Работа такого алгоритма определяется уникальным числом или битовой последовательностью, обычно называемой шифрующим ключом.

Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может представлять собой либо набор инструкций, команд, либо часть или узел аппаратуры (hardware), либо компьютерную программу (software), либо все эти модули одновременно. В любом случае процесс шифрования/дешифрования единственным образом определяется выбранным специальным ключом. Для успешного обмена зашифрованными сообщениями винформационных технологиях отправителю и получателю необходимо знать правильную ключевую установку и хранить ее в тайне. Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа.

Тем не менее, этот ключ должен быть известен другим пользователям сети так, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом случае криптографические системы также помогают решить проблему аутентификации принятой информации, т. к. подслушивающее лицо, пассивным образом перехватывающее сообщение, будет иметь дело только с зашифрованным текстом. В то же время истинный получатель, приняв сообщение, закрытое известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

Наряду с шифрованием в информационных технологиях используются и другие механизмы безопасности. Механизм цифровой (электронной) подписи.Основывается на алгоритмах ассиметричного шифрования и включает две процедуры: формирование подписи отправителем и ее опознание (верификацию) получателем. Первая процедура обеспечивает шифрование блока данных или его дополнение криптографической контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знание которого достаточно для опознавания отправителя. Ассиметричное шифрование заключается в создании общедоступного ключа для шифрования и секретного для дешифрования.

Симметричное шифрование основывается на применении одного и того же секретного ключа для шифрования и дешифрования.

Механизмы контроля доступа осуществляют проверку полномочий объектов информационной технологии (программ и пользователей) на доступ к ресурсам сети. В основе контроля доступа к данным лежит система разграничения доступа специалистов информационной технологии к защищаемой информации.

Система регистрации и учета. В регистрационном журнале фиксируются все осуществленные или неосуществленные попытки доступа к данным или программам. Система регистрации и учета, ответственная за ведение регистрационного журнала, позволяет проследить за тем, что происходило в прошлом, и соответственно перекрыть каналы утечки информации. Содержание регистрационного журнала может анализироваться как периодически, так и непрерывно.

Механизмы аутентификации.Аутентификация бывает односторонней и взаимной. При использовании односторонней аутентификации в ИТ один из взаимодействующих объектов проверяет подлинность другого. Во втором случае проверка является взаимной. Аутентификация — процедура проверки правильности введенной пользователем регистрационной информации для входа в систему.

Читать еще:  Санитарно гигиенические требования и требования безопасности

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по скомпрометированным (небезопасным), физически ненадежным каналам.

Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами информационных технологий, третьей стороной (арбитром). Для этого вся информация, отправляемая или получаемая объектами, проходит и через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.

Основным способом защиты от доступа к конфиденциальным остаточным данным является своевременное уничтожение данных после окончания работы в рабочих областях оперативной и внешней памяти, выделенных пользователю и в местах положения файлов после выдачи запросов на их удаление. Уничтожение остаточных данных может быть осуществлено средствами операционных сред или с помощью специализированных программ.

Одним из основных компонентов системы защиты информации и процесса ее обработки в вычислительных системах является подсистема защиты от компьютерных вирусов.

52Электронные презентации: понятие, назначение, объекты и функциональные возможности (р)

Электронная презентация – это электронный документ, представляющий собой набор слайдов, предназначенный для демонстрации аудитории. Целью любой презентации является визуальное представление замысла автора, максимально удобное для восприятия конкретной аудиторией и побуждающее ее на позитивное взаимодействие с объектом и/или автором презентации. Электронная презентация должна показать то, что трудно объяснить на словах.

Задачи презентации:

· привлечь внимание аудитории;

· включать всю необходимую информацию, достаточную для восприятия аудиторией без пояснений;

· предоставлять информацию аудитории максимально комфортно;

· обратить внимание аудитории на наиболее существенные информационные разделы;

Обязательными структурными элементами, как правило, являются:

· учебный материал (включая текст, схемы, таблицы, иллюстрации, графики);

· справочная система по работе с управляющими элементами;

· система контроля знаний;

· информационные ресурсы по теме.

Основными элементами управления являются:

· кнопки перехода из оглавления на начало тем;

· кнопки перехода со слайда на слайд вперед и назад;

· кнопка возврата в оглавление;

· кнопка вызова подсказки;

· кнопка перехода в словарь терминов;

· гиперссылки для вывода на экран иллюстраций, таблиц, графиков и пр.

Информационная безопасность. Механизмы информационной безопасности

Информационная безопасность. Определение и основные задачи. Политика информационной безопасности. Составные элементы политики информационной безопасности.

Информационная безопасность – это комплекс мер, обеспечивающий для охватываемой им информации следующее:

конфиденциальность – возможность ознакомления с информацией имеют в своём распоряжении только те лица, кто владеет соответствующими полномочиями;

целостность – возможность внести изменения в информацию должны иметь только те лица, кто на это уполномочен;

доступность – возможность получения авторизованного доступа к информации со стороны пользователя в соответствующий, санкционированный для работы, период времени;

— учёт – все значимые действия пользователей (даже если они не выходят за рамки, определённого для этого пользователя правил), должны быть зафиксированы и проанализированы;

— неотрекаемость или апеллируемость – пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.

Политика ИБ – это набор формальных (официально утверждённых либо традиционно сложившихся) правил, которые регламентируют функционирование механизма информационной безопасности.

Информационная безопасность. Механизмы информационной безопасности.

Информационная безопасность – это комплекс мер, обеспечивающий для охватываемой им информации следующее:

конфиденциальность – возможность ознакомления с информацией имеют в своём распоряжении только те лица, кто владеет соответствующими полномочиями;

целостность – возможность внести изменения в информацию должны иметь только те лица, кто на это уполномочен;

доступность – возможность получения авторизованного доступа к информации со стороны пользователя в соответствующий, санкционированный для работы, период времени;

— учёт – все значимые действия пользователей (даже если они не выходят за рамки, определённого для этого пользователя правил), должны быть зафиксированы и проанализированы;

— неотрекаемость или апеллируемость – пользователь, направивший информацию другому пользователю, не может отречься от факта направления информации, а пользователь, получивший информацию, не может отречься от факта её получения.

— идентификация – определённый (распознавание) каждый участок процесса информационно взаимодействует перед тем, как к нему будут применены какие-либо понятия информационной безопасности.

— аутентификация – подтверждение идентификации;

— контроль доступа – создание и поддержание набора правил, определённые каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровню этого доступа.

— авторизация – формирование профиля прав для контроля конкретного участка процесса информационного обмена (аутенфицированного или анонимного) из набора правил контроля доступа;

— аудит и мониторинг – регулярное отслеживание событий, происходящих в процессе обмена информацией, с регистрацией и анализом предопределённых, значимых или подозрительных событий.

Аудит предполагает анализ событий постфактум, а мониторинг – приближено к режиму реального времени.

— реагирование на инциденты – совокупность процедур и мероприятий, которые производятся при нарушении или подозрении на нарушение информационной безопасности.

— управление конфигурацией – создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями ИБ;

— управление пользователями – обеспечение условий работы пользователя в среде информационного обмена в соответствии с требованиями ИБ;

— управление рисками – обеспечение соответствия возможных потерь от нарушения ИБ и мощности защитных средств;

— обеспечение устойчивости – поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствие требованиям ИБ в условиях деструктивных внешних или внутренних воздействий.

Обеспечение безопасности информационных систем

Рубрика: Информационные технологии

Дата публикации: 02.12.2015 2015-12-02

Статья просмотрена: 845 раз

Библиографическое описание:

Быкова Н. Н., Волкова В. А. Обеспечение безопасности информационных систем // Молодой ученый. — 2015. — №23. — С. 43-46. — URL https://moluch.ru/archive/103/23806/ (дата обращения: 03.04.2020).

В настоящее время в деятельности современных организаций широко применяются информационные системы и технологии. И, как следствие, необходимо сделать всё возможное для обеспечения доступности, целостности, а также конфиденциальности обрабатываемой информации. Необходимо грамотно управлять рисками, способными существенно затруднить достижение миссии организации.

Ключевые слова: информационная безопасность, информационные технологии, доступ, базы данных, конфиденциальность, целостность, доступность, защита, метки безопасности, проверка подлинности, предоставление надежности пути, анализ регистрационной информации.

За последние годы в современном обществе произошло широкое внедрение информационных технологий, что, кроме явных положительных тенденций, породило и ряд проблем, связанных с их деятельностью. С ростом роли информационных систем увеличивается конкуренция, число пользователей, а также несанкционированный доступ к информации, хранящейся и передающейся в этих сетях.

На наш взгляд за последние года информация стала гораздо уязвимей, так как произошел сильный толчок в развитии методов и способов получения каких-либо знаний путем автоматизации процессов хранения и обработки информации. К тому же происходит массовое применение персональных компьютеров, в которых циркулируют данные, применяемые либо со слабой степенью защиты, либо вовсе игнорирующее ее.

Рассмотрим суть проблемы информационной безопасности и определим способы, повышающие защищенность этих систем.

При защите информационных технологий особое внимание нужно уделять сохранности данных от злоумышленных разрушений, искажений и хищений программных средств и информации. Для этих целей разработаны и активно развиваются методы и средства поддержки сохранности, такие как защита от несанкционированного доступа, вирусов и утечки информации.

Все угрозы могут различаться в зависимости от способа и места воздействия, поэтому и подход к их устранению должен быть уникальным.

Выделяют несколько методов защиты информации: физические препятствия, законодательные, управление доступом и криптографическое закрытие, каждый из них помогает предотвратить разрушение, кражу и нелегальный доступ к информационным ресурсам. Рассмотрим их более подробно.

Способ физической защиты создает некое препятствие для нарушителя и ограничивает ему доступ к данным. Яркий минус данного метода состоит в том, что он защищает информацию только от «внешних» пользователей, не реагируя на тех, кто имеет доступ для входа. Второй же способ, законодательный, содержит в себе определенные законодательные акты, которые несут в себе меры наказания за нарушение правил использования данных. Третий метод, на наш взгляд, является наиболее действенным, с помощью управления доступом можно регулировать возможность входа в систему. Это осуществляется путем аутентификации пользователя, авторизации, регистрации и реагирования. Суть криптографии заключается в шифровании данных с помощью определенных программ. Возможность дешифрования получает только санкционированный пользователь.

Читать еще:  Меры безопасности на электрифицированных линиях

С целью защиты данных были созданы основополагающие документы, в которых раскрываются основные понятия, требования, методы и средства обеспечения информационной безопасности:

 «Гармонизированные критерии Европейских стран»;

 Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Рассмотрим каждый из них подробней.

В 1983 году в Соединенных Штатах Америки Министерством обороны был опубликован документ под названием «Оранжевая книга», в котором раскрываются понятия и способы защиты информации. Документ четко разъясняет, какие системы считаются надежными и что нужно делать для обеспечения сохранности данных.

Уровень доверия системы защиты осуществляется в выполнении двух принципов: концепция безопасности и гарантированность.

Первый принцип заключается в системе правил и норм, которые использует организация для обеспечения безопасности и защиты данных. Активным и действующим компонентом защиты является концепция безопасности системы, которая состоит из исследования угроз и возможности их устранения. Согласно «Оранжевой книге» концепция безопасности разрабатываемой системы должна состоять из отдельных компонентов. Рассмотрим их более подробно.

Ограничение доступа к данным базируется на учете личности группы или субъекта. Лично владелец информации по своему усмотрению может предоставлять и ограничивать доступ, в этом и заключается принцип произвольного управления доступом. У данного компонента есть как достоинства, например, гибкость, так и недостатки, например, разбросанная форма управления и сложность централизованного контроля. Однако, наиболее яркий недостаток, это — оторванность прав доступа от данных, то есть появляется возможность копировать секретную информацию в средствах массовой информации (СМИ).

Безопасность повторного использования объектов защищает от преднамеренного или случайного извлечения конфиденциальной информации. В первую очередь, данный тип безопасности должен быть по максимуму обеспечен для областей оперативной памяти.

Метки безопасности бывают двух видов, относительно субъекта и относительно объекта информации для реализации принудительного управления доступом. Метки субъекта содержат в себе данные о его благонадежности, а метки объекта- уровень конфиденциальности информации. Исходя из «Оранжевой книги», метки безопасности состоят из двух частей: уровень секретности и список категорий. При работе с метками необходимо заострять внимание на их целостности, то есть все субъекты и объекты должны быть помечены, чтобы не было разрыва данных, а также нужно обеспечивать и контролировать сохранность самой метки.

На сопоставление меток безопасности объектов и субъектов базируется принудительное управление доступом. Название обусловлено тем, что на него не влияют мнения субъектов.

Система безопасности подразумевает правила и методы разграничения доступа, в которой дополнительно функционирует механизм подотчетности. Его целью является контроль за деятельностью пользователей в системе в любой момент времени. Выделяют три вида средств подотчетности, это проверка подлинности, предоставление надежности пути, анализ регистрационной информации.

Второй принцип, именуемый «Гарантированность», раскрывается в степени доверия, которая может быть предоставлена при использовании системы. Она может выявляться как из тестирования, так и из проверки использования системы в целом и отдельных ее частей, и показывает на сколько точно работают механизмы, ответственные за обеспечение безопасности. Относительно «Оранжевой книги» выделяют два вида гарантированности — операционная и технологическая. Первая рассматривает архитектурные и реализационные аспекты системы, а вторая способы построения и сопровождения.

Если придерживаться трактовки «Оранжевой книги», то надежное администрирование логически выделяет три роли: системного администратора, системного оператора и администратора безопасности.

Отметим, что технологическая гарантированность должна включать весь жизненный цикл системы безопасности, то есть этапы ее проектирования, реализации, тестирования, внедрения и сопровождения. Все эти действия обязаны безоговорочно выполняться в соответствии с их стандартами для максимального обеспечения защиты от утечки данных и несанкционированного доступа.

Как уже было сказано, за последнее время число информационных систем резко увеличилось, следовательно, увеличилось и число систем информационной защиты. Для того, чтобы облегчить выбор между огромным перечнем систем обеспечения безопасности, специалисты ранжируют относительно данных из «Оранжевой книги» все эти системы по степени надежности. Выделяют четыре уровня надежности — D, C, B и A (с постепенным возрастанием надежности).

Далее рассмотрим второй основополагающий документ, в котором отражаются правила, методы и оценки системы информационной безопасности для информационных систем, «Гармонизированные критерии Европейских стран» (ITSEC). Документ был опубликован в 1991 году четырьмя организациями Европейских стран: Франции, Германии, Великобритании и Нидерландов.

Отличительная черта этих критериев состоит в отсутствии априорных требований к факторам, в которых функционирует информационная система. То есть организация при запросе сертификационной услуги четко формулирует цель оценки, в которую входят и условия, при которых будет работать система, и потенциальные угрозы, и ожидаемые функции системы безопасности.

В свою очередь орган сертификации измеряет, насколько полноценно выполняются заданные цели, в какой степени корректны и эффектны механизмы защиты в описанных разработчиком условиях.

Информационная безопасность в Европейских критериях базируется на следующих понятиях:

В отличие от «Оранжевой книги», критерии функций обеспечения защиты более расширены. В состав разделов входят: идентификация и аутентификация, управление доступом, подотчетность, аудит, повторное использование объектов, точность, надежность обслуживания, обмен данными.

Так как организации сами формулируют цель оценки, европейские критерии облегчают им эту задачу, предоставляя в качестве приложения описание классов функциональности. При этом выделяют три степени мощности обеспечения безопасности: высокая, средняя и базовая.

Рассмотрим третий вид документа для систем информационной безопасности, который называется «Руководящий документ. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации» (далее по тексту — Концепция защиты СВТ и АС от НСД к информации). В 1992 году были опубликованы пять руководящих документов, описывающие проблему несанкционированного доступа к данным. Идейной основой послужила «Концепция защиты СВТ и АС от НСД к информации».

Выделяют ряд способов кражи, взлома и НСД к информации- радиотехнические, акустические, программные и т. п.

Основные принципы защиты информации заключаются в обеспечении комплекса программно-технических средств на всех технологических стадиях обработки данных. Кроме этого, должен проводиться контроль эффективности средств защиты НСД и т. п.

Функции системы, описанные в Концепции, по своей сущности близки с положениями «Оранжевой книги».

В документе раскрываются десять классов защиты информационных систем от несанкционированного доступа. Каждый из них содержит в себе минимальные условия по защите. В свою очередь, эти классы делятся на группы:

Первая группа предполагает, что системой пользуются много пользователей, но не все они имеют право доступа ко всем данным.

Вторая группа предполагает, что несколько пользователей имеют равные права использования информацией.

Третья группа предполагает, что в системе работает один пользователь, имеющий доступ ко всем данным

Четвертый документ «Рекомендации Х.800» рассматривает основные функции безопасности, относящиеся к распределенным системам и к роли, которую они могут играть. Так же здесь отображаются основные механизмы для реализации сервисов.

Документ был создан по причине того, что за последнее время произошло совершенствование не только информационных систем, но и угроз, связанных с ними. С этими новыми проблемами не справлялись традиционные механизмы защиты, поэтому возникла острая необходимость в создании новых функций системы защиты.

По нашему мнению, выбор способов и методов защиты информации в автоматизированных системах представляет собой сложную задачу, так как необходимо учитывать различные угрозы, стоимость программных систем защиты и условия, в которых эти системы будут работать. На наш взгляд, при выборе способа обеспечения безопасности, лучше всего руководствоватьсядокументом «Гармонизированные критерии Европейских стран» (ITSEC).

Ссылка на основную публикацию
Adblock
detector