45080 (Ответы к экзамену по специальности Информатик-технолог), страница 8

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя "панические" статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации.

Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.

Организация защиты информации

Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

установление особого режима конфиденциальности;

ограничение доступа к конфиденциальной информации;

использование организационных мер и технических средств защиты информации;

осуществление контроля за соблюдением установленного режима конфиденциальности.

Обеспечение и реализация перечисленных выше мероприятий потребует создания на предприятии соответствующих органов защиты информации. Эффективность защиты информации на предприятии во многом будет определяться тем, насколько правильно выбрана структура органа защиты информации и квалифицированы его сотрудники. Как правило, органы защиты информации представляют собой самостоятельные подразделения, однако на практике часто практикуется и назначение одного из штатных специалистов предприятия ответственным за обеспечение защиты информации. Однако такая форма оправдана в тех случаях, когда объем необходимых мероприятий по защите информации небольшой и создание отдельного подразделения экономически не выгодно.

Созданием органов защиты информации на предприятии завершается построение системы защиты информации, под которой понимается совокупность органов защиты информации или отдельных исполнителей, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Средства защиты информации

Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;

средства, обеспечивающие защиту информации при передаче ее по каналам связи;

средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;

средства, обеспечивающие защиту от воздействия программ-вирусов;

материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

Основное назначение средств защиты первой группы - разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

идентификацию и аутентификацию пользователей автоматизированных систем;

разграничение доступа зарегистрированных пользователей к информационным ресурсам;

регистрацию действий пользователей;

защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;

контроль целостности СЗИ и информационных ресурсов.

В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

Ввод значений идентификатора пользователя и его пароля осуществляется по запросу СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем.

Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемыхо файлов и другие.

Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

Особо стоит отметить наличие в СЗИ защиты загрузки операционной системы с гибких магнитных дисков и CD-ROM, которая обеспечивает защиту самих средств защиты от "взлома" с использованием специальных технологий. В различных СЗИ существуют программные и аппаратно-программные реализации этой защиты, однако практика показывает, что программная реализация не обеспечивает необходимой стойкости.

Контроль целостности средств защиты и защищаемых файлов заключается в подсчете и сравнении контрольных сумм файлов. При этом используются различной сложности алгоритмы подсчета контрольных сумм.

Несмотря на функциональную общность средств защиты информации данной группы, СЗИ различных производителей различаются:

условиями функционирования (операционная среда, аппаратная платформа, автономные компьютеры и вычислительные сети);

сложностью настройки и управления параметрами СЗИ;

используемыми типами идентификаторов;

перечнем событий, подлежащих регистрации;

стоимостью средств защиты.

С развитием сетевых технологий появился новый тип СЗИ - межсетевые экраны (firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.

Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних.

Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);

относительно высокая стоимость эксплуатация таких средств.

В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

Целью статьи не является широкое обсуждение средств защиты от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем, однако отметим, что для защиты информации от утечки по физическим полям используются следующие методы и средства защиты:

электромагнитное экранирование устройств или помещений, в которых расположена вычислительная техника;

активная радиотехническая маскировка с использованием широкополосных генераторов шумов, которые широко представлены на нашем рынке.

Радикальным способом защиты информации от утечки по физическим полям является электромагнитное экранирование технических устройств и помещений, однако это способ требует значительных капитальных затрат и практически не применяется.

И несколько слов о материалах, обеспечивающих безопасность хранения, транспортировки носителей информации и защиту их от копирования. В основном это специальные тонкопленочные материалы с изменяющейся цветовой гаммой или голографические метки, которые наносятся на документы и предметы (в том числе и на элементы компьютерной техники автоматизированных систем). Они позволяют:

идентифицировать подлинность объекта;

контролировать несанкционированный доступ к ним.

Средства анализа защищенности компьютерных сетей

Широкое развитие корпоративных сетей, интеграция их с информационными системами общего пользования помимо явных преимуществ порождает новые угрозы безопасности информации. Причины возникновения новых угроз характеризуются:

сложностью и разнородностью используемого программного и аппаратного обеспечения корпоративных сетей;

большим числом узлов сети, участвующих в электронном обмене информацией, их территориальной распределенностью и отсутствием возможности контроля всех настроек;

доступностью информации корпоративных систем внешним пользователям (клиентам, партнерам и пр.) из-за ее расположения на физически соединенных носителях.

Применение описанных выше средств защиты информации, а также встроенных в операционные системы механизмов защиты информации не позволяет в полной мере ликвидировать эти угрозы. Наличие постоянных или временных физических соединений является важнейшим фактором, который влияет на повышение уязвимостей корпоративных систем из-за брешей в используемых защитных и программных средствах и утечки информации вследствие ошибочных или неграмотных действий персонала.

Обеспечение требуемой защиты информационных ресурсов предприятий в этих условиях достигается применением дополнительных инструментальных средств. К их числу относятся:

средства анализа защищенности операционных систем и сетевых сервисов;

средства обнаружения опасных информационных воздействий (атак) в сетях.

Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек и конфигурации установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей.

К числу средств анализа данного класса относится программное средство администратора ОС Solaris ASET (Automated Security Tool), которое входит в состав ОС Solaris,