Классификация мер защиты информации
Классификация мер по защите информации в соответствии с п. 1 ст. 16 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание “информационная безопасность”, в перечень мер защиты должны быть включены и физические меры защиты.
10.2. Законодательные меры защиты информации
Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры по разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ «Преступления в сфере компьютерной информации», содержащей три статьи.
1. Ст. 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями). Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
2. Ст. 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа – специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
3. Ст. 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это – нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.
Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 «Нарушение авторских и смежных прав» и 147 «Нарушение изобретательских и патентных прав» гл. 19 «Преступления против конституционных прав и свобод человека и гражданина» Уголовного кодекса РФ.
Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.
10.3. Аппаратные методы защиты информации
К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства. Наибольшее распространение получили:
— специальные регистры для хранения реквизитов защиты: паролей, идентифицирующих кодов, грифов или уровней секретности;
— генераторы кодов, предназначенные для автоматического генерирования идентифицирующего кода устройства;
— устройства измерения индивидуальных характеристик человека (голоса, отпечатков) с целью его идентификации;
— специальные биты секретности, значение которых определяет уровень секретности информации, хранимой в ЗУ, которой принадлежат данные биты;
— схемы прерывания передачи информации в линии связи с целью периодической проверки адреса выдачи данных.
Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).
Криптографическое закрытие (шифрование) информации заключается в таком преобразовании защищаемой информации, при котором по внешнему виду нельзя определить содержание закрытых данных.
К шифрам, предназначенным для закрытия информации в ЭВМ и автоматизированных системах, предъявляется ряд требований, в том числе: достаточная стойкость (надежность закрытия), простота шифрования и расшифровывания, способ внутримашинного представления информации, нечувствительность к небольшим ошибкам шифрования, возможность внутримашинной обработки зашифрованной информации, незначительная избыточность информации за счет шифрования и ряд других. В той или иной степени этим требованиям отвечают некоторые виды шифров замены, перестановки, гаммирования, а также шифры, основанные на аналитических преобразованиях шифруемых данных.
Шифрование заменой (иногда употребляется термин «подстановка») заключается в том, что символы шифруемого текста заменяются символами другого или того же алфавита в соответствии с заранее обусловленной схемой замены.
Шифрование перестановкой заключается в том, что символы шифруемого текста переставляются по какому-то правилу в пределах какого-то блока этого текста.
Шифрование гаммированием (данный способ считается одним из основных для шифрования информации в автоматизированных системах) заключается в том, что символы шифруемого текста складываются с символами некоторой случайной последовательности, именуемой гаммой.
Шифрование аналитическим преобразованием заключается в том, что шифруемый текст преобразуется по некоторому аналитическому правилу (формуле).
Особенно эффективными являются комбинированные шифры, когда текст последовательно шифруется двумя или большим числом систем шифрования (например, замена и гаммирование, перестановка и гаммирование). Считается, что при этом стойкость шифрования превышает суммарную стойкость в составных шифрах.
Каждую из рассмотренных систем шифрования можно реализовать в автоматизированной системе либо программным путем, либо с помощью специальной аппаратуры. Программная реализация по сравнению с аппаратной является более гибкой и обходится дешевле. Однако аппаратное шифрование в общем случае в несколько раз производительнее.
2. Классификация методов и средств защиты информации
Отметим, что метод защиты данных – это совокупность приемов и операций, реализующих функции защиты данных (например: методы аутентификации пользователей, методы шифрования и т.д.).
Средство защиты – это инструменты, устройства, программы, законы и другие нормативные акты (например программные, аппаратные или программно-аппаратные средства), реализующее защиту данных определенным методом (устройства шифрации/дешифрации, программы анализа пароля, датчики охранной сигнализации, законы об авторских правах).
Механизм защиты – это совокупность средств защиты, функционирующих совместно для выполнения определенной задачи по защите данных (пример: криптографические протоколы, механизмы защиты операционных систем, баз данных и т.д.).
На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным методам и средствам защиты. По мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения различных методов защиты и созданных на их основе средств и механизмов защиты.
2.1. Методы защиты информации
Основные методы защиты данных следующие:
Управление представляет собой регулирование использования всех ресурсов системы в рамках установленного технологического цикла обработки и передачи данных, где в качестве ресурсов рассматриваются технические средства, ОС, программы, БД, элементы данных и т.п. Управление защитой данных реализует процесс целенаправленного воздействия подсистемы управления СОБД на средства и механизмы защиты данных и компоненты ИВС с целью обеспечения безопасности данных.
Препятствия физически преграждают нарушителю путь к защищаемым данным.
Маскировка представляет собой метод защиты данных путем их криптографического закрытия.
Регламентация заключается в разработке и реализации в процессе функционирования ИВС комплексов мероприятий, создающих такие условия технологического цикла обработки данных, при которых минимизируется риск НСД к данным. Регламентация охватывает как структурное построение ИВС, так и технологию обработки данных, организацию работы пользователей и персонала сети.
Побуждение состоит в создании такой обстановки и условий, при которых правила обращения с защищенными данными регулируются моральными и нравственными нормами.
Принуждение включает угрозу материальной, административной и уголовной ответственности за нарушение правил обращения с защищенными данными.
2.2. Классификация средств защиты информации
На основе перечисленных методов создаются средства защиты информации (рис. 2.).
Формальными называются такие средства защиты, которые выполняют свои функции по заранее установленным процедурам без вмешательства человека.
К формальным средствам защиты относятся технические и программные средства.
К техническим средствам защиты относятся все устройства, которые предназначены для защиты данных. В свою очередь, технические средства защиты можно разделить на физические и аппаратные.