· каждое финансовое учреждение должно предоставлять службе казначейства (агенству внутренних дел) декларацию для совершения различных банковских операций на сумму более 10 тыс. долларов;
· игорные дома с общим годовым доходом свыше одного миллиона долларов вносятся в список финансовых организаций, которые обязаны регистрировать денежные операции на сумму свыше 10 тыс. долларов;
· министр финансов уполномочен выплачивать вознаграждение лицам, которые предоставляют ему сведения (из первых рук) о нарушении финансовой дисциплины при совершении операций на сумму свыше 50 тыс. долларов. Вознаграждение ограничивается либо 25% конфискованной суммы, либо 150 тыс. долл.
Попытки регулирования отношений в сфере компьютерной информации уже не один десяток лет предпринимаются не только в США, но и в других развитых странах.
Примером такого регулирования может стать соответствующее законодательство ФРГ. В 1986 г. Бундестагом был принят второй закон о борьбе с экономической преступностью, которым в Уголовный кодекс было введено семь новых параграфов, содержащих описание компьютерных преступлений. В частности, § 202а УК ФРГ предусматривает уголовную ответственность лиц, неправомочно приобретавших для себя или иного лица непосредственно не воспринимаемые, записанные в устройства памяти либо переданные данные, специально защищенные от несанкционированного доступа. Состав так называемого компьютерного мошенничества изложен в § 263а, в соответствии с которым уголовной ответственности подлежат лица, оказавшие влияние на результаты процесса обработки информации путем неправильного оформления программ (манипуляцией с программным обеспечением).
Российская действительность не является исключением и каждодневно приносит новые примеры преступлений в сфере информатизации и компьютеризации. Последние потребовали от российского законодателя принятия срочных адекватных правовых мер противодействия этому новому виду преступности.
Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается или наказывается обществом, что так поступать не принято. В рамках обеспечения информационной безопасности следует рассмотреть на законодательном уровне две группы мер:
· меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности;
· направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.
К первой группе следует отнести основные законодательные акты по информационной безопасности, являющиеся частью правовой системы Российской Федерации.
В Конституции РФ содержится ряд правовых норм, определяющих основные права и свободы граждан России в области информатизации, в том числе ст. 23 определяет право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений; ст. 42 обеспечивает право на получение достоверной информации о состоянии окружающей среды и др.
В Уголовном кодексе РФ имеются нормы, затрагивающие вопросы информационной безопасности граждан, организаций и государства. В числе таких статей ст. 137 «Нарушение неприкосновенности частной жизни», ст. 138 «Нарушение тайны переписки, телефонных переговоров, почтовых и телеграфных или иных сообщений», ст. 140 «Отказ в предоставлении гражданину информации», ст. 155 «Разглашение тайны усыновления (удочерения)», ст. 183 «Незаконное получение и разглашение сведений, составляющих коммерческую или банковскую тайну», ст. 272 «Неправомерный доступ к компьютерной информации», ст. 273 «Создание, использование или распространение вредоносных программ для ЭВМ», ст. 274 «Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети» и др.
В Налоговом кодексе РФ имеется ст. 102 «налоговая тайна».
В Гражданском кодексе РФ вопросам обеспечения информационной безопасности посвящены ст. 139 «Служебная и коммерческая тайна», ст. 946 «Тайна страхования» и др.
Специальное законодательство в области информатизации и информационной безопасности включает ряд законов, и их представим в календарной последовательности.
С принятием в 1992 г. Закона Российской Федерации «О правовой охране программ для электронных вычислительных машин и баз данных» впервые в России программное обеспечение компьютеров было законодательно защищено от незаконных действий. В том же году был принят Закон РФ «О правовой охране топологий интегральных микросхем».
Кодекс РФ об административных правонарушениях устанавливает ответственность за нарушение законодательства в области защиты информации.
Статья 13.12 предусматривает ответственность за нарушение правил защиты информации:
1. Нарушение условий, предусмотренных лицензией на осуществление деятельности в области защиты информации (за исключением информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от 3 до 5 МРОТ; на должностных лиц – от 5 до 10 МРОТ; на юридических лиц – от 50 до 100 МРОТ.
2. Использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну), – влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой; на должностных лиц – от 10 до 20 МРОТ; на юридических лиц – от 100 до 200 МРОТ с конфискацией несертифицированных средств защиты информации или без таковой.
3. Нарушение условий, предусмотренных лицензией на проведение работ, связанных с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, – влечет наложение административного штрафа на должностных лиц в размере от 20 до 30 МРОТ; на юридических лиц – от 150 до 200 МРОТ.
4. Использование несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, – влечет наложение административного штрафа на должностных лиц в размере от 30 до 40 МРОТ; на юридических лиц – от 200 до 300 МРОТ с конфискацией несертифицированных средств, предназначенных для защиты информации, составляющей государственную тайну, или без таковой.
Статья 13.13 предусматривает ответственность за незаконную деятельность в области защиты информации.
1. Занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), – влечет наложение административного штрафа на граждан в размере от 5 до 10 МРОТ с конфискацией средств защиты информации или без таковой; на должностных лиц – от 20 до 30 МРОТ с конфискацией средств защиты информации или без таковой; на юридических лиц – о 100 до 200 МРОТ с конфискацией средств защиты информации или без таковой.
2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну без лицензии, – влечет наложение административного штрафа на должностных лиц в размере от 40 до 50 МРОТ; на юридических лиц – от 300 до 400 МРОТ с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.
В 1993 г. принят Закон РФ «Об авторском праве и смежных правах», регулирующий отношения, возникающие в связи с созданием и использованием произведений науки, литературы и искусства, фонограмм, исполнений и пр.
В 1993 г. был также принят Закон РФ «О государственной тайне», регулирующий отношения, возникающие в связи с отнесением сведений к государственной тайне.
В 1995 г. принят закон «О связи», регламентирующий на правовом уровне деятельности в области связи.
Федеральный закон 1995 г. «Об информации, информатизации и защите информации» определяет ряд важных понятий таких, как информация, документ, информационные процессы, ресурсы и пр., а также регулирует отношения, возникающие при формировании и использовании информационных ресурсов, информационных технологий, защите информации и др. Правда, положения этого закона носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно (прил. №1).
К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отводилась Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехкомиссии) при Президенте РФ.
В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами.
Самое важное на законодательном уровне – создать механизм, позволяющий согласовать процесс разработки законов с реалиями информационных технологий. Конечно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
Неуклонный рост компьютерной преступности заставил законодателей России принять адекватные меры по борьбе с этим видом противоправных деяний, в т. ч. и уголовно-правовых. Главным является вступление в законную силу с 1 января 1997 г. нового Уголовного кодекса РФ, в который впервые включена глава «преступления в сфере компьютерной информации». Но начавшаяся работа нового УК РФ сразу же поставила ряд сложных вопросов перед наукой уголовного права и практикой ее применения. Нерешенные противоречия возникают при юридическом анализе преступлений в сфере компьютерной информации, а также во время проведения квалификации указанного вида преступлений.
Преступлениями в сфере компьютерной информации являются: неправомерный доступ к компьютерной информации (ст. 272 УК); создание, использование и распространение вредоносных программ для ЭВМ (ст. 273 УК); нарушение правил эксплуатации ЭВМ, систем ЭВМ или их сети (274 УК).
Доктрина информационной безопасности Российской Федерации (далее – Доктрина) утверждена Президентом РФ 9 сентября 2000 г. Этот документ представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения информационной безопасности РФ (прил. №4).
Доктрина на многие годы вперед служит основой для:
· формирования государственной политики в области обеспечения информационной безопасности РФ;
· подготовки предложений по совершенствованию правового, методического, научно-технического и организационного обеспечения информационной безопасности РФ;
· разработки целевых программ обеспечения информационной безопасности РФ;
Доктрина развивает Концепцию национальной безопасности РФ применительно к информационной сфере.
На основе первоочередных мероприятий, перечисленных в Доктрине, предлагается разработка соответствующей федеральной программы, а также ряда развивающих ее документов, утверждаемых Президентом РФ.
В 2002 г. принят Закон «Об электронной цифровой подписи», необходимый для развития системы электронных платежей.
В целях защиты информационных ресурсов РФ необходимо:
· повысить безопасность информационных систем, включая сети связи, прежде всего безопасность первичных сетей связи и информационных систем федеральных органов государственной власти, органов государственной власти субъектов РФ, финансово-кредитной и банковской сфер, сферы хозяйственной деятельности, а также систем и средств информатизации вооружения и военной техники, систем управления войсками и оружием, экологически опасными экономически важными производствами;
· интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
· обеспечить защиту сведений, составляющих государственную тайну;
· расширять международное сотрудничество РФ в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.
· осуществить мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органов государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности;
· развернуть работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.
Обеспечение информационной безопасности РФ в сфере экономики играет ключевую роль в обеспечении национальной безопасности РФ.
Воздействию угроз информационной безопасности РФ в сфере экономики наиболее подвержены:
1) система государственной статистики;
2) кредитно-финансовая система;
3) информационные и учетные автоматизированные системы подразделений федеральных органов исполнительной власти, обеспечивающих деятельность общества и государства в сфере экономики;
4) системы бухгалтерского учета предприятий, учреждений и организаций независимо от формы собственности;
5) системы сбора, обработки, хранения и передачи финансовой, биржевой, налоговой, таможенной информации и информации о внешнеэкономической деятельности государства, а также предприятий, учреждений и организаций независимо от формы собственности.
Основными мерами по обеспечению информационной безопасности в сфере экономики являются:
· организация и осуществление государственного контроля за созданием, развитием и защитой систем и средств сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
· коренная перестройка системы государственной статистической отчетности в целях обеспечения достоверности, полноты и защищенности информации, осуществляемая путем введения строгой юридической ответственности должностных лиц за подготовку первичной информации, организацию контроля за деятельностью этих лиц и служб обработки и анализа статистической информации, а также путем ограничения коммерциализации такой информации;
· разработка национальных сертифицированных средств защиты информации и внедрение их в системы и средства сбора, обработки, хранения и передачи статистической, финансовой, биржевой, налоговой, таможенной информации;
· разработка и внедрение национальных защищенных систем электронных платежей на базе интеллектуальных карт, систем электронных денег и электронной торговли, стандартизация этих систем, а также разработка нормативной правовой базы, регламентирующей их использование;
· совершенствование нормативной правовой базы, регулирующей информационные отношения в сфере экономики;
· совершенствование методов отбора и подготовки персонала для работы в системах сбора, обработки, хранения и передачи экономической информации.
К подзаконным нормативным актам в области информатизации относятся соответствующие Указы Президента РФ, Постановления Правительства РФ, Приказы и другие документы, издаваемые федеральными министерствами и ведомствами. Например, Указ Президента РФ об утверждении перечня сведений конфиденциального характера от 6 марта 1997 г. № 000 (прил. №2).
Для создания и поддержания необходимого уровня информационной безопасности в фирме разрабатывается система соответствующих правовых норм, представленная в следующих документах:
· Уставе и/или учредительном договоре;
· правилах внутреннего трудового распорядка;
· должностных обязанностях сотрудников;
· специальных нормативных документах по информационной безопасности (приказах, положениях, инструкциях);
· договорах со сторонними организациями;
· трудовых договорах с сотрудниками;
· иных индивидуальных актах.
Подробнее см. 3.3.
3.2 Подходы, принципы, методы и средства обеспечения безопасности
Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования (243).
Существует два принципиальных подхода к обеспечению компьютерной безопасности (34).
1. Фрагментарный. Данный подход ориентируется на противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, отдельные средства регистрации и управления, автономные средства шифрования и т. д.).
Достоинством фрагментарного подхода является его высокая избирательность относительно конкретной угрозы. Недостатком – локальность действия, т. е. фрагментарные меры защиты обеспечивают эффективную защиту конкретных объектов от конкретной угрозы. Но не более того.
2. Комплексный. Данный подход получил широкое распространение вследствие недостатков, присущих фрагментарному. Он объединяет разнородные меры противодействия угрозам (рис.) и традиционно рассматривается в виде трех дополняющих друг друга направлений. Организация защищенной среды обработки информации позволяет в рамках существующей политики безопасности обеспечить соответствующий уровень безопасности АИС. Недостатком данного подхода является высокая чувствительность к ошибкам установки и настройки средств защиты, сложность управления.
 |
Рис. 10
Процесс управления защитой информации включает в себя компоненты, представленные на рис.11.
Рис.11
Особенностью системного подхода к защите информации является создание защищенной среды обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Организация подобной защищенной среды позволяет гарантировать определенный уровень безопасности автоматизированной информационной системы.
Системный подход к защите информации базируется на следующих методологических принципах:
· конечной цели – абсолютного приоритета конечной (глобальной) цели;
· единства – совместного рассмотрения системы как целого' и как совокупности частей (элементов);
· связности – рассмотрения любой части системы совместно с ее связями с окружением;
· модульного построения – выделения модулей в системе и рассмотрения ее как совокупности модулей;
· иерархии – введения иерархии частей (элементов) и их ранжирования;
· функциональности – совместного рассмотрения структуры и функции с приоритетом функции над структурой;
· развития – учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;
· децентрализации – сочетания в принимаемых решениях и управлении централизации и децентрализации;
· неопределенности – учета неопределенностей и случайностей в системе.
Современные исследователи выделяют следующие методологические, организационные и реализационные принципы информационной (в том числе компьютерной) безопасности.
Принцип законности. Состоит в следовании действующему законодательству в области обеспечения информационной безопасности.
Принцип неопределенности. Возникает вследствие неясности поведения субъекта, т. е. кто, когда, где и каким образом может нарушить безопасность объекта защиты.
Принцип невозможности создания идеальной системы защиты. Следует из принципа неопределенности и ограниченности ресурсов указанных средств.
Принципы минимального риска и минимального ущерба. Вытекают из невозможности создания идеальной системы защиты. В соответствии с ним необходимо учитывать конкретные условия существования объекта защиты для любого момента времени.
Принцип безопасного времени. Предполагает учет абсолютного времени, т. е. в течение которого необходимо сохранение объектов защиты; и относительного времени, т. е. промежутка времени от момента выявления злоумышленных действий до достижения цели злоумышленником.
Принцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является следствием принципа неопределенности.
Принципы персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организации за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.
Принцип ограничения полномочий. Предполагает ограничение полномочий субъекта на ознакомление с информацией, к которой не требуется доступа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в которых не требуется по роду деятельности.
Принцип взаимодействия и сотрудничества. Во внутреннем проявлении предполагает культивирование доверительных отношений между сотрудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении – налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохранительными органами).
Принцип комплексности и индивидуальности. Подразумевает невозможность обеспечения безопасности объекта защиты каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.
Принцип последовательных рубежей безопасности. Предполагает как можно более раннее оповещение о состоявшемся посягательстве на безопасность того или иного объекта защиты или ином неблагоприятном происшествии с целью увеличения вероятности того, что заблаговременный сигнал тревоги средств защиты обеспечит сотрудникам, ответственным за безопасность, возможность вовремя определить причину тревоги и организовать эффективные мероприятия по противодействию.
Принципы равнопрочности и равномощности рубежей защиты. Равнопрочность подразумевает отсутствие незащищенных участков в рубежах защиты. Равномощность предполагает относительно одинаковую величину защищенности рубежей защиты в соответствии со степенью угроз объекту защиты.
· Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты.
· Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации.
· Полнота контроля и регистрации попыток несанкционированного доступа, т. е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ЭИС без ее предварительной регистрации.
· Обеспечение надежности системы защиты, т. е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
· Обеспечение контроля за функционированием системы защиты, т. е. создание средств и методов контроля работоспособности механизмов защиты.
· Экономическая целесообразность использования систем защиты. Она выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИС без системы защиты информации.
Методы и средства обеспечения безопасности экономического объекта представлены на рис. 12
Рис. 12 Методы и средства информационной безопасности экономического объекта
Методами обеспечения защиты информации на предприятии являются следующие:
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т. п.).
Управление доступом – метод защиты информации регулированием использования всех ресурсов автоматизированной информационной системы предприятия. Управление доступом включает следующие функции защиты:
· идентификацию пользователей, персонала и ресурсов информационной системы (присвоение каждому объекту персонального идентификатора);
· аутентификацию (установления подлинности) объекта или субъекта по предъявленному им идентификатору;
· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
· регистрацию обращений к защищаемым ресурсам;
· реагирование (сигнализация, отключение, задержка работ, отказ в запросе при попытках несанкционированных действий).
Маскировка – метод защиты информации в автоматизированной информационной системе предприятия путем ее криптографического закрытия.
Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи информации, при которых возможность несанкционированного доступа к ней сводилась бы к минимуму.
Принуждение – метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной и уголовной ответственности.
Побуждение – метод защиты информации, который побуждает пользователей и персонал системы не нарушать установленные правила за счет соблюдения сложившихся моральных и этических норм.
Указанные выше методы обеспечения информационной безопасности реализуются с помощью следующих основных средств: физических, аппаратных, программных, аппаратно-программных, криптографических, организационных, законодательных и морально-этических.
Физические средства защиты предназначены для внешней охраны территории объектов, защиты компонентов автоматизированной информационной системы предприятия и реализуются в виде автономных устройств и систем.
Аппаратные средства защиты – это электронные, электромеханические и другие устройства, непосредственно встроенные в блоки автоматизированной информационной системы или оформленные в виде самостоятельных устройств и сопрягающиеся с этими блоками. Они предназначены для внутренней защиты структурных элементов средств и систем вычислительной техники: терминалов, процессоров, периферийного оборудования, линий связи и т. д.
Программные средства защиты предназначены для выполнения логических и интеллектуальных функций защиты и включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля.
Программные средства защиты информации являются наиболее распространенным видом защиты, обладая следующими положительными свойствами: универсальностью, гибкостью, простотой реализации, возможностью изменения и развития. Данное обстоятельство делает их одновременно и самыми уязвимыми элементами защиты информационной системы предприятия.
Аппаратно-программные средства защиты – средства, в которых программные (микропрограммные) и аппаратные части полностью взаимосвязаны и неразделимы.
Криптографические средства – средства защиты с помощью преобразования информации (шифрование).
Организационные средства – организационно-технические и организационно-правовые мероприятия по регламентации поведения персонала.
Законодательные средства – правовые акты страны, которые регламентируют правила использования, обработки и передачи информации ограниченного доступа и которые устанавливают меры ответственности за нарушение этих правил.
Морально-этические средства – нормы, традиции в обществе, например: Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ в США.
Все рассмотренные средства защиты разделены на формальные (выполняющие защитные функции строго по заранее предусмотренной процедуре без непосредственного участия человека) и «неформальные» (определяемые целенаправленной деятельностью человека либо регламентирующие эту деятельность).
Для реализации мер безопасности используются различные механизмы шифрования (криптографии).
Криптография – это наука об обеспечении секретности или аутентичности (подлинности) передаваемых сообщений.
Сущность криптографических методов заключается в следующем.
Готовое к передаче сообщение – будь то данные, речь либо графическое изображение того или иного документа, обычно называется открытым, или незащищенным текстом. В процессе передачи такого сообщения по незащищенным каналам связи оно может быть легко перехвачено или отслежено подслушивающим лицом посредством умышленных или неумышленных действий. Для предотвращения несанкционированного доступа к сообщению оно зашифровывается, преобразуясь в шифрограмму, или закрытый текст. Санкционированный пользователь, получив сообщение, дешифрует или раскрывает его посредством обратного преобразования криптограммы. Вследствие чего получается исходный открытый текст.
Шифрование может быть симметричным и асимметричным. Первое основывается на использовании одного и того же секретного ключа для шифрования и дешифрования. Второе характеризуется тем, что для шифрования используется один общедоступный ключ, а для дешифрования – другой, являющийся секретным, при этом знание общедоступного ключа не позволяет определить секретный ключ.
Наряду с шифрованием внедряются следующие механизмы безопасности:
· цифровая электронная подпись;
· контроль доступа;
· обеспечение целостности данных;
· обеспечение аутентификации;
· постановка трафика;
· управление маршрутизацией;
· арбитраж или освидетельствование.
Механизмы цифровой подписи основываются на алгоритмах ассиметричного шифрования и включают две процедуры: формирование подписи отправителем и ее опознавание получателем. Первая процедура обеспечивает шифрование блока данных либо его дополнение криптографической, контрольной суммой, причем в обоих случаях используется секретный ключ отправителя. Вторая процедура основывается на использовании общедоступного ключа, знания которого достаточно для опознавания отправителя.
Механизмы контроля доступа осуществляют проверку полномочий объектов АИС (программ и пользователей) на доступ к ресурсам сети. При доступе к ресурсу через соединение контроль выполняется как в точке инициации, так и в промежуточных точках, а также в конечной точке.
Механизмы обеспечения целостности данных применяются к отдельному блоку и к потоку данных. Целостность блока является необходимым, но не достаточным условием целостности потока и обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Отправитель дополняет передаваемый блок криптографической суммой, а получатель сравнивает ее с криптографическим значением, соответствующим принятому блоку. Несовпадение свидетельствует об искажении информации в блоке. Однако описанный механизм не позволяет вскрыть подмену блока в целом. Поэтому необходим контроль целостности потока, который реализуется посредством шифрования с использованием ключей, изменяемых в зависимости от предшествующих блоков.
Механизмы постановки трафика, называемые также механизмами заполнения текста, используют для засекречивания потока данных. Они основываются на генерации объектами АИС блоков, их шифровании и организации передачи по каналам сети. Тем самым нейтрализуется возможность получения информации посредством наблюдения за внешними характеристиками потоков, циркулирующих по каналам связи.
Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по коммуникационной сети таким образом, чтобы исключить передачу секретных сведений по небезопасным физически ненадежным каналам.
Механизмы арбитража обеспечивают подтверждение характеристик данных, передаваемых между объектами АИС, третьей стороной. Для этого вся информация, отправляемая или получаемая объектами, проходит через арбитра, что позволяет ему впоследствии подтверждать упомянутые характеристики.
Отметим типичные недостатки, присущие системе безопасности экономических объектов:
· узкое, несистемное понимание проблемы безопасности объекта;
· пренебрежение профилактикой угроз, работа по принципу «Появилась угроза – начинаем ее устранять»;
· некомпетентность в экономике безопасности, неумение сопоставлять затраты и результаты;
· «технократизм» руководства и специалистов службы безопасности, интерпретация всех задач на языке знакомой им области.
3.3 Организационно-техническое обеспечение компьютерной безопасности
Организационное обеспечение – это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становятся невозможными или существенно затрудняются за счет проведения организационных мероприятий (101).
Организационное обеспечение компьютерной безопасности включает в себя ряд мероприятий:
· организационно-административные;
· организационно-технические;
· организационно-экономические.
Организационно-административные мероприятия предполагают (101):
· минимизацию утечки информации через персонал (организация мероприятий по подбору и расстановке кадров, создание благоприятного климата в коллективе и т. д.);
· организацию специального делопроизводства и документооборота для конфиденциальной информации, устанавливающих порядок подготовки, использования, хранения, уничтожения и учета документированной информации на любых видах носителей;
· выделение специальных защищенных помещений для размещения средств вычислительной техники и связи, а также хранения носителей информации;
· выделение специальных средств компьютерной техники для обработки конфиденциальной информации;
· организацию хранения конфиденциальной информации на промаркированных отчуждаемых носителях в специально отведенных для этой цели местах;
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 |
