Тема: Организация безопасности в области защиты информации. Защита программного обеспечения.
План:
1. Развитие нормативного регулирования в области защиты информации.
2. Основные понятия организации безопасности в области защиты информации.
3. Методы защиты информации.
4. Правила организации системы защиты информации.
5. Средства собственной защиты.
6. Средства защиты в составе вычислительной системы.
7. Средства защиты с запросом информации.
8. Средства активной и пассивной защиты.
1. Развитие нормативного регулирования в области защиты информации
Законодательные и административные меры для регулирования вопросов защиты информации на государственном уровне применяются в большинстве научно-технических развитых странах мира. Компьютерные, преступления приобрели в странах с развитой информационно-телекоммуникационной инфраструктурой такое широкое распространение, что для борьбы с ними в уголовное законодательство введены специальные статьи.
Первый закон о защите информации был принят в США в 1906 году. В период с 1967 года по настоящее время здесь принят целый ряд федеральных законов, создавших правовую основу для формирования и проведения единой государственной политики в области информатизации и защиты информации с учётом интересов национальной безопасности страны. Это законы: «О свободе информации» (1967 год), «О секретности» (1974 год), «О праве на финансовую секретность» (1978 год), «О доступе к информации о деятельности ЦРУ» (1984 год), «О компьютерных злоупотреблениях и мошенничестве» (1986 год), «О безопасности компьютерных систем» (1987 год) и другие. В настоящее время в США имеется около 500 законодательных актов по защите информации, ответственности за её разглашение и компьютерные преступления.
Система защиты информации в нашей стране до начала 90-х годов определялась существовавшей политической обстановкой и действовала в основном в интересах Специальных служб государства, Министерства обороны и Военно-промышленного комплекса. Цели защиты информации достигались главным образом за счёт реализации принципа «максимальной секретности», в соответствии, с которым доступ ко многим видам информации был просто ограничен. Никаких законодательных и иных государственных нормативных актов, определяющих защиту информационных прав негосударственных организаций и отдельных граждан, не существовало. Происходящие в стране процессы существенно затронули проблему организации системы защиты информации во всех её сферах – разработки, производства, реализации, эксплуатации средств защиты, подготовки соответствующих кадров. Прежние традиционные подходы в современных условиях уже не в состоянии обеспечить требуемый уровень безопасности государственно-значимой и частной конфиденциальной информации, циркулирующей в информационно-телекоммуникационных системах страны.
Нормы и требования российского законодательства включают в себя положения ряда нормативных актов Российской Федерации различного уровня. 19 февраля 1993 года Верховным Советом Российской Федерации был принят закон «О федеральных органах правительственной связи и информации» № 4524-1, который является первым собственно российским правовым нормативным актом. Он ввёл сертификацию деятельности в области защиты информации.
Новым шагом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федеральным собранием России федерального закона «Об информации, информатизации и защите информации» от 20. 02. 95 г. №24-ФЗ. Данный закон впервые официально вводит понятие «конфиденциальной информации», которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии, с законодательством Российской Федерации. В законе устанавливаются общие правовые требования к организации защиты такой информации в процессе её обработки, хранения и циркуляции в технических устройствах, информационно-телекоммуникационных системах и комплексах. А также этот закон организовывает контроль за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Статья 5 закона определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон) и раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекомуникационных системах.
Статья 20 определяет основные цели защиты информации. Таковыми, в частности, являются:
- предотвращение утечки, хищения, утраты, искажения и подделки информации;
- предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
- защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных сведений;
- сохранение государственной тайны и конфиденциальности информации.
Статья 21 возлагает контроль за соблюдением требований к защите информации на органы государственной власти.
Статья 23 посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.
В 1996 году Федеральным агентством правительственной связи и информации (ФАПСИ) при Президенте Российской Федерации оформлена 71 лицензия на деятельность в области защиты информации. Среди лицензиатов предприятия различных форм собственности и ведомственной принадлежности, включая такие частные фирмы, как «Авиателеком», «Аргонавт», «Ком-ФАКС», «Инфотекс» и другие.
В настоящее время можно отметить, что правовое поле в области ЗИ получило весомое заполнение. Существует законодательная база, позволяющая, с одной стороны, предприятиям осуществлять свою деятельность по защите информации в соответствии с требованиями действующих нормативных актов, а с другой – уполномоченным государственным органам на законной основе регулировать рынок соответствующих товаров и услуг, обеспечивая необходимый баланс интересов отдельных граждан, общества в целом и государства.
2. Основные понятия организации безопасности в области защиты информации
Защита информации – комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и так далее.
Средства защиты информации – технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.
Эффективность защиты информации – степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.
Безопасность информации (информационная безопасность) – состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором, с требуемой вероятностью, обеспечивается защита информации.
Требования по безопасности информации – руководящие документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности её защиты.
Криптографическое преобразование – преобразование данных при помощи шифрования и (или) выработки имитовставки.
Криптографическая защита – защита данных при помощи криптографического преобразования данных.
И так, информацию достаточно условно можно разделить на сведения, отнесённые к государственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию. Рассматривать первый тип мы не будем.
Конфиденциальная информация – это информация, требующая защиты (любая, её назначение и содержание не оговариваются). Персональные данные – это сведения о гражданах или предприятиях. В соответствии с Федеральным законом №24 «Об информации, информатизации и защите информации» «защите подлежит любая документированная информация, неправомерное обращение, с которой может нанести ущерб собственнику, владельцу или иному лицу». Следует, что ВЫ обязаны, заботится о сохранности своей информации.
Информация, хранимая в компьютерах, не может использоваться как улики в уголовно-гражданских делах, но вполне возможно её применение для выполнения следственных действий.
Защиту информации следует рассматривать как неотъемлемую часть хранения. Невозможно обеспечить серьёзную защиту, не выполняя резервное копирование информации. Обеспечить сохранность копий гораздо проще, для этого достаточно административных мер (хранение в несгораемых сейфах). Ёмкость стримеров, CD-R, CD-RW, DVD достаточна для составления резервных копий и восстановления из них в кратчайшие сроки. Пренебрежение данными мерами чревато по техническим соображениям – надёжность технических средств хранения далека от 100% (вероятность сбоя Windows в течение рабочего дня достаточно велика) и потерять информацию по причине программного сбоя или поломки накопителя, очень обидно и дорого.
3. Методы защиты информации
Административные (организационные) меры.
Правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путём. Сюда же можно отнести нормативно-правовые и морально-этические средства защиты.
Нормативно-правовые – включают в себя законы, правовые акты и механизмы их реализации.
Морально-этические – правила и нормы поведения, направленные на обеспечение безопасности информации, не закреплённые законодательно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.
Применяют следующие организационные мероприятия –
- принятие правовых обязательств со стороны сотрудников в отношении сохранности доверенных им сведений (информации);
- определение уровней (категорий) конфиденциальности защищаемой информации;
- ограничение доступа в те места и к той технике, где сосредоточена конфиденциальная информация;
- установление порядка обработки защищаемой информации (введение охраняемых зон, ограничение времени обработки и т. п.);
- организация договорных связей с государственными органами регулирования в области защиты информации.
Выполнение этих правил может дать ощутимый эффект и значительно сэкономить средства. Если территория предприятия имеет охрану, персоналу можно доверять, локальная сеть не имеет выходов в глобальные сети, то такую защищённость можно признать очень высокой. Однако такое практически не выполнимо, но пренебрегать этим методом нельзя. Он, как правило, дополняет и контролирует другие методы.
Технические методы зашиты.
Технические средства – комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся информации путём исключения несанкционированного доступа к ней с помощью технических средств съёма.
Применяют следующие технические мероприятия:
- определение возможности с помощью технических средств наблюдения отображаемой информации посторонними лицами;
- максимальное разнесение информационных кабелей между собой и относительно проводящих конструкций;
- анализ расположения предприятия, территории вокруг и подведённые коммуникации;
- проверка используемой техники на соответствие величины побочных излучений допустимым уровням;
- экранирование помещения с техникой или техники в помещениях;
- использование специальных устройств и средств пассивной и активной защиты. (Пассивные средства основаны на снижении уровня звуковой мощности акустического сигнала. Активные устройства кспользуют дополнительный источник энергии для модуляции акустического сигнала.)
Разработка и реализация мероприятий по защите информации от утечки по техническим каналам осуществляется спецорганизациями, обладающими необходимыми лицензиями компетентных органов.
Технические методы защиты компьютерной информации подразделяемся на –
- Аппаратные;
- Программные;
- Аппаратно-программные.
К техническим средствам защиты компьютерной информации также относятся:
- Защита средствами операционной системы. Практически все операционные системы имеют встроенные разрешения на доступ, которые позволяют только определённым пользователям осуществлять доступ к компьютеру (его жёсткому диску, памяти, сетевому соединению). Такой доступ реализуется через процедуру входа в систему. Если пользователь не предоставил имя и пароль, ОС не позволит ему использовать компьютер. Но даже после того, как пользователь вошёл в систему, определённые файлы могут остаться недоступными.
- Блокировка загрузки оперативной системы.
- Физическое уничтожение накопителя. (Электромагнит, пробивающий насквозь накопитель или дискету; пиропатрон, установленный под накопителем.) Данному методу трудно что-то противопоставить, но при ложном срабатывании велика стоимость потерь.
- Стирание информации. Метод имеет много общего с предыдущим, но при срабатывании теряется только информация, а не накопитель. Недостаток этого метода заключается в том, программное стирание и комплексы, использующие данную функцию, требуют постоянного нахождения компьютера под напряжением.
- Шифрование данных.
Направления защиты и соответствующие им средства.
- Защита от несанкционированного доступа (НСД) к ресурсам автономно работающих и сетевых персональных компьютеров. Осуществляется с помощью электронных замков, аппаратных шифраторов и т. д.
- Защита серверов и отдельных пользователей сети Intenet от злонамеренных хакеров, проникающих извне. Для этого используются межсетевые экраны (брандмауэры).
- Защита секретной, конфиденциальной и личной информации от-чтения посторонними лицами и целенаправленного ее искажения. Осуществляется чаще всего с помощью криптографических средств, а также с помощью электронной цифровой подписи.
- Защита программного обеспечения от нелегального копирования.
- Защита от утечки информации по побочным каналам (по цепям питания, каналу электромагнитного излучения от компьютера или монитора). Здесь применяются – экранирование помещения, использование генератора шума, специальных мониторов и комплектующих компьютера, обладающих наименьшей зоной излучения
- Защита от шпионских устройств, устанавливаемых непосредственно в комплектующие компьютера, так же как и измерения зоны излучения, выполняется специальными организациями.
Особая роль в защите информации отводиться борьбе с компьютерными вирусами.
4. Правила организации системы защиты информации
Первое правило гласит: абсолютно надёжную, непреодолимую защиту создагь нельзя. Система защиты информации (СЗИ) может быть, в лучшем случае адекватна потенциальным угрозам. Поэтому при планировании защиты необходимо представлять, кого и какая именно информация может интересовать, какова её ценность для владельца и на какие финансовые жертвы ради неё способен пойти злоумышленник.
Второе правило следует из первого: СЗИ должна быть комплексной, т. е. использующей не только технические-средства защиты, но также административные и правовые.
Третье правило состоит в том, что СЗИ должна быть гибкой и адаптируемой к изменяющимся условиям.
К этому можно добавить то, что человек, отвечающий за организацию СЗИ, должен быть не только преданным сотрудником, но и высококвалифицированным специалистом в области технических средств защиты и вычислительных средств вообще.
5. Средства собственной защиты
Собственная зашита программ – это термин, определяющий те элементы защиты, которые присуще самому ПО или сопровождают его продажу и препятствуют незаконным действиям пользователя.
Собственная защита
документация
машинный ход
сопровождение
ограничен-ное применение
заказное проектирование
авторское право
Документация, сопровождающая ПО, является субъектом авторского права Машинный код затрудняет анализ структуры программ. Сопровождение программы со стороны разработчика важно, особенно когда программа не полностью отлажена. Ограниченное применение, как способ защиты используется, когда программное обеспечение нужно для небольшого числа пользований. Заказное проектирование предполагает разработку программного обеспечения для специальных целей. Рекомендуется так же расставлять отличительные метки в стандартных программных модулях для идентификации программ.
6. Средства защиты в составе вычислительной системы
Категория средств защиты в составе вычислительных систем включает защиту дисков и аппаратуры, замки защиты, изменение функций штатных устройств. При использовании таких средств выполнение программы зависит от определённых действий, специальных мер предосторожности и условий, гарантирующих защиту.
Защита вычислительных систем
магнитные диски
специальная
аппаратура
замки защиты
изменение
функций
Защита магнитных дисков – выполняется различными способами. Основной метод заключается в форматировании диска специальными способами. К этим способам можно отнести:
- изменение числа дорожек и секторов;
- изменение размера сектора;
- изменение нумерации дорожек или секторов;
- сохранение на диске пустой (неформатированной) дорожки или сектора;
- спиральная разметка треков.
Но в противовес изложенным методам существует специальные копирующие программы, известные как «побитовые копировщики».
Побитовому копировщику в отличие от обычных программ копирования не требуется знать ни числа секторов на дорожке, ни числа дорожек на диске, ни особенностей организации секторов. Он воспроизводит каждую дорожку бит за битом на диске назначения. Проверка ошибок выполняется считыванием дорожки несколько раз и сравнением считанных данных. Не отформатированные дорожки идентифицируются и игнорируются.
Существуют меры защиты дисков, которые оказываются не по зубам побитовым копировщикам. Это использование для записи программ дисковода со скоростью вращения, меньше стандартной и использование сигнатур.
Сигнатура – как правило, некоторая особенность, вторичный признак диска, используемый в качестве идентификационной метки диска-оригинала.
Если формат диска не изменялся, любая копирующая программа скопирует диск без особых трудностей, но программа самозагрузки на диске дубликате не сможет найти сигнатуры и откажет в выполнении. Т.к. она незаметна и ни стандартная копирующая программа, ни побитовый копировщик не в состоянии скопировать их.
Методы защиты дисков используют два принципа –
- Помешать копированию программы на другой диск;
- Воспрепятствовать просмотру программы.
7. Средства защиты с запросом информации
Включение защиты в программу связано с разработкой программ с запросом информации, т. е. требующих для своей работы ввода дополнительной информации, такой как пароли, номера ключей и т. п.
Защита с запросом дополнительной информации
пароль
шифр
сигнатура
аппаратура
Пароль – секретное слово (код), предъявляемое пользователем диску для получения доступа к программе. Является средством защиты от несанкционированного доступа.
Шифры относятся к области исследования криптографии.
Сигнатура – уникальная характеристика компьютера или других устройств системы, которая может быть использована для защиты и проверена программным способом.
Один из принципов защиты программ с использованием аппаратуры защиты состоит в том, что при несанкционированном копировании программы из ПЗУ в оперативную память вырабатывается сигнал на самоуничтожение программы. Так же к аппаратуре защиты относят преобразователь информации. Это устройство, которое генерирует последовательность чисел и букв случайную или заданную пользователем.
В одних преобразователях используется микропроцессор;
В других – оптические системы, которые выделяют исходный образ из искажённых, поступающих от компьютера.
Сюда же (в аппаратуру защиты) можно отнести различные электронные устройства защиты (ЭУЗ).
8. Средства активной и пассивной защиты
Средства активной защиты делятся на две группы: внутренние и внешние, используемые в составе компьютера и вне него соответственно.
Внутренние средства активной защиты характеризуются тем, что их обычно не рекламируют. Они либо блокируют программу, либо уничтожают её, если происходит любое недозволенное действие.
Группа внешних средств приводит в готовность средства активной защиты. Это может быть:
- звуковое предупреждение;
- визуальное предупреждение;
- распечатка авторской этикетки.
К средствам пассивной защитыотносятся:
- авторское право;
- идентификация программ;
- устройства регистрации событий;
- водяные знаки;
- психологические меры.
Стратегия выбора защиты ПО –
Метод защиты зависит от объёма программных средств, которые следует защитить. Выбранный способ должен быть относительно дешев для изготовителя, но одновременно должен быть сложным и дорогостоящим для преодоления нарушителем.
Идеальные методы защиты должны позволять покупателю делать резервные копии для собственного использования и не должны ограничивать возможности компьютера.
Все средства защиты программного обеспечения классифицируются в соответствии со своими функциями следующим образом:
- средства предупреждения о несанкционированном копировании и использовании;
- средства предотвращения несанкционированного копирования;
- средства предотвращения несанкционированного использования.5. Основные меры по защите от в