Методы и средства обеспечения информационной безопасности

 

К настоящему времени разработано много различных методов и средств обеспечения информационной безопасности (ИБ). Данное многообразие определяется, прежде всего, возможными способами противодействия угрозам или порождающим их причинам.

К числу наиболее известных методов обеспечения ИБ систем относятся: управление, препятствие, маскировка, регламентация, принуждение, побуждение, нападение. Кратко рассмотрим их содержание.

Управление есть реализация таких управляющих воздействий на информационную систему, следствием которых будет решение одной или нескольких задач защиты информации. При этом управление включает в себя сбор, передачу, обобщение и анализ данных об объектах обработки информации и системах ее защиты.

Препятствие заключается в создании на пути возникновения или распространения угрозы ИБ объекта защиты некоторого барьера, не позволяющего соответствующему фактору принять опасные размеры. Примерами препятствий являются блокировки технических конструкций, физические препятствия, экранирование помещений и т.п.

Маскировка предполагает такие преобразования информации, вследствие которых она становится недоступной для злоумышленников. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, дезинформация и легендирование, создание шумовых полей и т.д.

Регламентация как метод обеспечения ИБ заключается в разработке и реализации комплекса мероприятий, создающих такие условия в информационной системе и вокруг нее, при которых существенно затрудняются проявление и воздействие угроз. К регла­ментации относятся разработка правил ознакомления с конфиденциальной информацией, ее пересылкой, хранением, учетом, а также всевозможные способы физической и технической защиты объектов.

Принуждение – это такой метод обеспечения ИБ, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение есть метод обеспечения ИБ, при котором пользователи и персонал объекта внутренне (т.е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработки информации.

Нападение как метод обеспечения ИБ применяется при ведении активных действий противоборствующими сторонами. При этом подразумевается как применение информационного оружия при ведении информационной войны, так и непосредственное физическое уничтожение противника (при ведении боевых действий) или его средств разведки.

Рассмотренные методы обеспечения ИБ реализуются с применением различных средств, которые условно можно разделить на следующие группы:

- правовые;

- организационные (административные);

- инженерно-технические;

- программно-аппаратные (программные).

Структура взаимосвязи методов и средств обеспечения ИБ представлена на рис. 1.8.

К правовым средствам обеспечения ИБ относятся, в первую очередь, законодательные и подзаконные нормативные правовые акты, регламентирующие отношения в информационной сфере, а также нормативные методические документы по вопросам обеспечения ИБ. Особую группу нормативно-технических документов по информационной безопасности образуют стандарты, утверждаемые в нашей стране ведомственными нормативными правовыми актами Росстандарта.

В систему, регламентирующую отношения в информационной сфере, включаются законодательные положения:

· об интеллектуальной собственности;

· о средствах массовой информации;

· о формировании информационных ресурсов и предоставлении информации из них;

· о реализации права на поиск, получение и использование информации;

· о создании и применении информационных технологий и средств их обеспечения, включая информационно-телекоммуникационные сети;

· о защите информации.

 

Наиболее значимые законодательные и нормативные правовые акты в рассматриваемой области подробно изучаются в дисциплинах «Правовые основы прикладной информатики», «Информационное право» и т.п. В настоящей дисциплине их содержание при необходимости рассматривается в соответствующих подразделах. Кроме того, обобщение понятия правовых средств обеспечения ИБ осуществлено в подразделе 2.6.1 раздела 2, в котором, в частности, рассматриваются состав и содержание применяемых в данной сфере стандартов.

 

Методы и средства обеспечения ИБ

 

 

 

 

 

Рис. 1.8. Структура взаимосвязи методов и средств обеспечения информационной

безопасности

 

Правовое обеспечение ИБ направлено на достижение следующих целей:

· формирование правосознания граждан по обязательному соблюдению норм законодательных актов, регламентирующих защиту информации;

· регулирование деятельности и взаимоотношений субъектов информационной сферы (то есть определение в интересах всего общества «правил игры» в рассматриваемой области);

· определение мер ответственности за нарушение правил защиты информации.

В связи с этим важно подчеркнуть, что к средствам правового обеспечения ИБ относится, несомненно, правоприменительная деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов РФ, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие в этой сфере.

К правовым средствам обеспечения ИБ относят также такие  инструменты (а точнее – институты) государственного регулирования отношений в области обеспечения ИБ как лицензирование и сертификация.

Под лицензированием понимается процедура выдачи на определенный срок специальных разрешений на ведение соответствующих видов деятельности. В области защиты информации обязательному лицензированию подлежат следующие виды деятельности:

· разработка и производство шифровальных (криптографических) средств, информационных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств;

· деятельность по распространению шифровальных (криптографических) средств;

· деятельность по техническому обслуживанию шифровальных (криптографических) средств;

·  предоставление услуг в области шифрования информации;

· деятельность по выявлению элементарных устройств, предназначенных для негласного получения информации в помещениях и технических средствах;

· деятельность по разработке и (или) производству средств защиты конфиденциальной информации;

· деятельность по технической защите конфиденциальной информации;

· разработка, производство, реализация и приобретение в целях продажи специальных технических средств, предназначенных негласного получения информации.

Под сертификацией понимается подтверждение соответствия продукции‚ процессов производства, эксплуатации, работ, услуг или иных объектов установленным требованиям (техническим регламентам, стандартам, условиям договора и пр.). Сертификация может носить как обязательный, так и добровольный характер.

Процедуру сертификации осуществляет независимая от изготовителя‚ продавца, исполнителя и потребителя организация (орган по сертификации), т.е. юридическое лицо, аккредитованное в установленном порядке для выполнения работ по сертификации.

В качестве примера укажем, что функцию органа по сертификации выполняет ФСБ РФ, осуществляя сертификацию средств квалифицированной электронной подписи и средств обработки информации, составляющей государственную тайну. В системе применения электронной подписи удостоверяющие центры осуществляют сертификацию непосредственно усиленной электронной подписи. Органы сертификации, аккредитованные Росстандартом, осуществляют сертификацию информационных систем на соответствие ГОСТ Р ИСО/МЭК 27001-2006 «Информационные технологии. Методы безопасности. Система управления безопасностью информации. Требования».

Организационные (административные) средства обеспечения информационной безопасности включают организационно-технические и организационно-правовые мероприятия, разрабатываемые и реализуемые должностными лицами в целях эффективной реализации правовых, технических и программных средств обеспечения информационной безопасности. Основное содержание этих мероприятий определена статьей 16 федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», в которой под защитой информации понимается принятие правовых, организационных и технических мер, направленных:

1) на обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) на соблюдение конфиденциальности информации ограниченного доступа;

3) на реализацию права на доступ к информации.

Указанной статьей предопределены также наиболее важные организационно-технические (а отчасти – и организационно-правовые) мероприятия по обеспечению ИБ (защиты информации), которые должны осуществлять обладатель информации и (или) оператор информационной системы. Эти лица обязаны обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации;

7) нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

Различные формы существования информации предопределяют и необходимость осуществления различных организационно-административных мероприятий. При этом важно подчеркнуть, что для любых форм информации относимой к информации ограниченного доступа, в хозяйствующем субъекте должны быть разработаны регламенты, включающие перечень информации, относимой к ограниченному доступу, перечень лиц, получающих и обрабатывающих ее, оборудование, с помощью которого осуществляется ее получение, обработка, хранение и передача, режимы их работы и использования и т.д.

К организационным мерам также относят инициируемые хозяйствующим субъектом мероприятия по сертификации информационных систем или их элементов, сертификации организации в целом на выполнение требований обеспечения безопасности в соответствии с международными и отечественными стандартами, лицензированию соответствующих видов деятельности и т.д.

Организационно-технические и организационно-правовые мероприятия проводятся в течение всего жизненного цикла защищаемой информационной системы: от проектирования технических, программных и иных средств, с помощью которых будут осуществляться все операции с информационной базой, до их уничтожения.

Все множество организационно-правовых и организационно-технических мероприятий по созданию и поддержанию функционирования системы защиты информации специалисты разделяют по критерию периодичности их проведения:

1) на разовые, т.е. однократно проводимые;

2) обусловленные ситуацией;

3) периодически проводимые;

4) регулярно или систематически проводимые.

К разовым мероприятиям относятся, например:

· разработка технических и методологических основ защиты информационных систем (ИС), информационно-телекоммуникационных сетей и других объектов;

· мероприятия, проводимые при проектировании, строительстве и оборудовании центров обработки данных  и других объектов ИС;

· мероприятия, проводимые при разработке и вводе в эксплуатацию технических средств и программного обеспечения; разработка функциональных обязанностей должностных лиц службы ИБ и т.д.;

· мероприятия, проводимые при создании службы охраны предприятия, включая создание организационно-методической и инструктивной документации по должностным категориям сотрудников охраны.

Периодически проводимые мероприятия:

· распределение реквизитов разграничения доступа к информации (пароли, ключи шифрования и т.д.);

· пересмотр правил разграничения доступа пользователей к информации.

· анализ системных журналов и принятие мер по обнаруженным нарушениям регламентов;

· периодическое осуществление анализа состояния и оценки эффективности мер и применяемых средств защиты с привлечением сторонних специалистов;

· пересмотр состава и построения системы защиты и т.д.;

· организация обучения, тренинга и инструктажа сотрудников охраны.

К условиям, которые требуют проведения мероприятий по защите информации, можно отнести, например, кадровые изменения в составе персонала, участвующего в приеме, передаче, обработке и хранении информации, ремонт и модификацию оборудования и программного обеспечения, используемого в информационной сфере, и т.д.

Постоянно проводимые мероприятия:

· обеспечение достаточного уровня физической защиты всех компонентов ИС (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности средств вычислительной техники, носителей информации и т.п.);

· непрерывная поддержка функционирования и управления используемыми средствами защиты;

· явный и скрытый контроль за работой сотрудников хозяйствующего субъекта, осуществляющего прием, обработку, хранение и передачу информации ограниченного доступа;

· контроль реализации выбранных мер защиты в процессе проектирования, разработки, ввода в эксплуатацию и функционирования ИС;

· анализ состояния и оценка эффективности мер и применяемых средств зашиты;

· ведение организационно-методической и инструктивной документации по должностным категориям сотрудников охраны.

Инженерно-технические средства обеспечения ИБ включают в себя:

● технические средства передачи, обработки, хранения и отображения информации ограниченного доступа (ТСПИ);

● физические средства защиты информации;

● специальные аппаратные средства защиты информации.

К контролируемым техническим средствам передачи, обработки, хранения и отображения информации ограниченного доступа (ТСПИ) относятся:

1) Технические средства и системы, непосредственно обрабатывающие информацию ограниченного доступа, вместе с их соединительными линиями (совокупностью проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами).

К этим средствам относятся технические средства автоматизированных систем управления – средства вычислительной техники, средства изготовления и размножения документов, аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода, системы внутреннего телевидения, системы видеозаписи и воспроизведения видео, системы оперативно-командной связи, системы внутренней автоматической телефонной связи, включая соединительные линии перечисленного выше оборудования, и т.д. Совокупность средств и систем обработки информации, а также помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, составляет объект ТСПИ.

2) Вспомогательные технические средства и системы (ВТСС) вместе с их соединительными линиями.

В состав ВТСС входят: системы и средства городской автоматической телефонной связи; системы и средства передачи данных в системе радиосвязи; системы и средства охранной и пожарной сигнализации; контрольно-измерительная аппаратура: системы и средства кондиционирования; системы и средства проводной радиотрансляционной сети и приема программ радиовещания и телевидения; средства электрической оргтехники; системы и средства электрогазификации и иные технические средства и системы.

3) Посторонние проводники.

В зону контроля включаются также посторонние проводники: провода, кабели, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции.

Необходимо отметить, что определенные трудности обеспечения ИБ заключаются в том, что ряд соединительных линий ВТСС, а также посторонних проводников могут выходить за пределы не только объекта ТСПИ, но и контролируемой зоны, под которой понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. Границей контролируемой зоны обычно является периметр охраняемой территории организации, а также ограждающие конструкции охраняемого здания или части охраняемого здания, если оно размещено на неохраняемой территории.

4) Система электропитания объекта.

5) Система заземления объекта.

Физические средства защиты информации – это совокупность механических, электрических, электромеханических, электронных, электронно-механических устройств и систем, которые функционируют автономно от информационных систем, создавая различного рода препятствия деструктивным факторам.

К физическим средствам защиты относятся: механические преграды, замки, турникеты (заграждения); специальное остекление; сейфы, шкафы; механические и электромеханические замки, в том числе с дистанционным управлением; замки с кодовым набором; датчики различного типа; теле- и фотосистемы наблюдения и регистрации; СВЧ, ультразвуковые, радиолокационные, лазерные, акустические и другие системы; устройства маркировки; устройства с идентификационными картами; устройства идентификации по физическим признакам (биометрические средства защиты); устройства пространственного заземления; системы физического контроля доступа; системы охранного телевидения и охранной сигнализации; системы пожаротушения и оповещения о пожаре и др.

Специальные аппаратные средства – это совокупность механических, электрических, электромеханических, электронных, электронно-механических, оптических, лазерных, радиолокационных устройств систем, встраиваемых в информационные системы или сопрягаемых с ними специально для обеспечения информационной безопасности.

К аппаратным средствам защиты информации относятся:

· регистры хранения реквизитов защиты (паролей, грифов секретности и т.п.);

· устройства для измерения индивидуальных характеристик человека (цвета и строения радужной оболочки глаз, овала лица и т.п.);

· схемы контроля границ адреса имен для определения законности обращения к соответствующим полям (областям) памяти и отдельным программам;

· схемы прерывания передачи информации в линии связи с целью периодического контроля адресов выдачи данных;

· экранирование ЭВМ;

· установка генераторов помех и др.

Программно-аппаратные (программные) средства защиты информации – это программное обеспечение, предназначенное для выполнения функций обеспечения ИБ информационной системы. В ряде случаев его применение связано с применением специальных аппаратных средств.

К программным средствам относятся пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства в том случае, если они не требуют специальной аппаратуры, приводят к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п. По целевому назначению программные средства можно разделить на несколько больших классов (групп):

· программы идентификации пользователей;

· программы определения прав (полномочий) пользователей (технических устройств);

· программы регистрации работы технических средств и пользователей (ведение системного журнала);

· программы уничтожения (затирания) информации после решения соответствующих задач или при нарушении пользователем определенных правил обработки информации;

· программы борьбы с программами для ЭВМ с потенциально-опасными последствиями для ИС, информационно-телекоммуникационных сетей и других объектов, включая антивирусные программы;

· криптографические программы (программы шифрования и расшифровывания данных, криптоанализа, средства усиленной электронной подписи и т.п.).

Программные средств защиты информации подразделяются также на средства, реализуемые в стандартных операционных системах, и средства защиты в специализированных информационных системах. К средствам защиты в стандартных операционных системах относят:

· динамическое распределение ресурсов и запрещение пользователям работать с чужими ресурсами;

· разграничение доступа пользователей к ресурсам по паролям;

· разграничение доступа к информации по ключам защиты;

· защита таблицы паролей.

Средства защиты в экономических информационных системах, в том числе банковских системах, позволяют реализовать следующие функции защиты данных:

· опознавание по идентифицирующей информации пользователей и элементов информационной системы, разрешение на этой основе работы с информацией на определенном уровне;

· ведение многоразмерных таблиц профилей доступа пользователей к данным;

· управление доступом по профилям полномочий;

· уничтожение временно фиксируемых областей информации при завершении ее обработки;

· формирование протоколов обращений к защищаемым данным с идентификацией данных о пользователе и временных характеристик;

· программная поддержка работы терминала лица, отвечающего за безопасность информации;

· подача сигналов при нарушении правил работы с системой или правил обработки информации;

· физическая или программная блокировка возможности работы пользователя при нарушении им определенной последовательности правил или совершении определенных действий;

· подготовка отчетов о работе с различными данными, ведение подробных протоколов работы и др.

Криптографические программы специалисты иногда выделяют в самостоятельную группу защиты информации (специфические средства). Они основаны на использовании методов шифрования (кодирования) информации и могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.

Инструктивно-методический материал, связанный с применением на предприятии методов и средств обеспечения информационной безопасности, может быть систематизирован и оформлен в виде внутрифирменного документа «Политика информационной безопасности», утверждаемого первым руководителем организации.

 

Приложение 1