Тема 4. Защита информации в юридической
деятельности
3. Принципы и средства системы защиты
информации
Организационные
мероприятия и процедуры, используемые для решения проблемы безопасности
информации, решаются на всех этапах проектирования и в процессе эксплуатации
ИС.
Создание базовой
системы защиты информации в ИС
основывается на следующих принципах;
1.
Комплексный подход к построению
системы защиты при ведущей роли организационных мероприятий, означающий
оптимальное сочетание программно-аппаратных средств и организационных мер
защиты.
2.
Разделение и минимизация полномочий по доступу к
обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных
полномочий, достаточных для успешного выполнения ими своих служебных
обязанностей, с точки зрения автономной обработки доступной им конфиденциальной
информации.
3.
Полнота контроля и регистрация попыток
несанкционированного доступа, т.е. необходимость точного установления
идентичности каждого пользователя и
протоколирования его действий для проведения возможного расследования, а
также невозможность совершения любой операции обработки информации в ИС без ее
предварительной регистрации.
4.
Обеспечение надежности системы защиты, т.е.
невозможность снижения уровня надежности при возникновении в системе сбоев,
отказов, преднамеренных действий нарушителя или непреднамеренных ошибок
пользователей или обслуживающего персонала.
5.
Обеспечение контроля за функционированием системы
защиты, т.е. создание средств и методов контроля
работоспособности механизмов защиты.
6.
Экономическая целесообразность использования
системы защиты, выражающаяся в том, что стоимость разработки и эксплуатации
систем защиты информации должна быть меньше стоимости возможного ущерба,
наносимого объекту в случае разработки и эксплуатации ИС без системы защиты
информации.
При реализации
перечисленных принципов в практической деятельности используются следующие
средства обеспечения безопасности информации.
Технические
средства реализуются в виде
электрических, электромеханических и электронных устройств. Вся
совокупность технических средств делится на аппаратные и физические.
Под аппаратными техническими средствами
принято понимать устройства, встраиваемые непосредственно в вычислительную
технику или устройства, которые сопрягаются с подобной аппаратурой по
стандартному интерфейсу (устройства для сканирования отпечатков пальцев,
сетчатки глаза и т.п.).
Физические средства
реализуются в виде автономных устройств и систем (замки, решетки,
электромеханическое оборудование
охранной сигнализации).
Программные
средства представляют ПО, специально предназначенное для
выполнения функций защиты информации.
Организационные
средства защиты представляю собой организационно-технические и
организационно-правовые мероприятия, осуществляемые в процессе создания и
эксплуатации вычислительной техники, аппаратуры телекоммуникаций для обеспечения
защиты информации. Эти мероприятия охватывают все структурные элементы аппаратуры на всех этапах их
жизненного цикла (строительство помещений, проектирование ИС, монтаж и наладка
оборудования, испытания, эксплуатация).
Законодательные
средства определяются законодательными актами страны,
которыми регламентируются правила пользования, обработки и передачи
информации ограниченного доступа и
устанавливаются меры ответственности за нарушение этих правил.
Морально-этические
средства защиты реализуются в виде всевозможных норм, которые
сложились традиционно или складываются по мере распространения ВТ и средств
связи в обществе. Эти нормы большей частью не являются обязательными как
законодательные меры, однако, несоблюдение их ведет обычно к потере авторитета
и престижа человека.
Все
рассмотренные средства защиты разделены на формальные, которые выполняют
защитные функции строго по заранее предусмотренной процедуре без
непосредственного участия человека, и неформальные,
которые определяются целенаправленной деятельностью человека либо
регламентируют эту деятельность.
4. Основные направления и виды защиты информации
Виды
защиты в информационных системах классифицируются по направлениям защиты. К основным
направлениям защиты
относятся:
- защита
информации от несанкционированного доступа;
- защита
информации в системах связи;
- защита
юридической значимости электронных документов;
- защита
конфиденциальной информации от утечки по каналам побочных электромагнитных
излучений и наводок;
- защита
информации от компьютерных вирусов и других опасных воздействий по каналам
распространения программ;
- защита от несанкционированного
копирования и распространения программ и ценной компьютерной информации.
С точки
зрения защиты информации несанкционированный доступ может иметь следующие последствия: утечка обрабатываемой
конфиденциальной информации, а также ее искажение или разрушение в результате
умышленного нарушения работоспособности ИТ.
Видами защиты информации от несанкционированного
доступа являются
1) разграничение полномочий и доступа
к информации;
2) регистрация, при которой
фиксируются все осуществленные или неосуществленные попытки доступа к данным
или программам.
Система
регистрации и учета осуществляет:
-
регистрацию входа (выхода) субъектов доступа в систему (из системы) либо
регистрацию загрузки и инициализации операционной системы и ее программного
останова;
-
регистрацию и учет выдачи печатных (графических) документов на твердую копию;
-
регистрацию запуска (завершения) программ и процессов (заданий, задач),
предназначенных для обработки защищаемых файлов;
-
регистрацию попыток доступа программных средств к защищаемым файлам;
- учет всех защищаемых носителей
информации.
К видам
защиты информации в системах связи относятся применение криптографии и специальных связных
протоколов.
К видам
защиты юридической значимости электронных документов относится применение «цифровой
подписи», которая является одним из криптографических методов проверки
подлинности информационных объектов.
Для защиты
от
побочных электромагнитных излучений и наводок применяется экранирование помещений,
предназначенных для размещения средств вычислительной техники, а также
технические меры, позволяющие снизить интенсивность информативных излучений
ПЭВМ и средств связи.
Видами защиты
информации от компьютерных вирусов и других опасных воздействий по каналам
распространения программ являются:
-
«иммуностойкие» программные средства, защищенные от возможности
несанкционированной модификации (разграничение доступа, методы самоконтроля и
самовосстановления);
-
специальные программы-анализаторы, осуществляющие постоянный контроль
возникновения отклонений в работе прикладных программ, периодическую проверку
наличия других возможных следов вирусной активности, а также входной контроль
новых программ перед их использованием.
Защита от несанкционированного
копирования и распространения программ и ценной компьютерной информации осуществляется с помощью
специальных программных средств, подвергающих защищаемые программы и базы данных
предварительной обработке (вставка парольной защиты, проверки по обращению к
устройствам хранения ключа и ключевым дискетам, блокировка отладочных
прерываний, проверка рабочей ПЭВМ по ее уникальным характеристикам и т.д.),
которая приводит исполняемый код защищаемой программы и базы данных в
состояние, препятствующее его выполнению на «чужих» машинах.
Контроль
целостности программного обеспечения проводится с помощью внешних средств
(программ контроля целостности) и с помощью внутренних средств (встроенных в
саму программу). Внешние средства осуществляют контроль при старте системы, а
также при каждом запуске программы на выполнение. Внутренние средства
контролируют выполнение программ при каждом запуске на выполнение и состоят в
сравнении контрольных сумм отдельных блоков программ с их эталонными суммами.
Противодействие
несанкционированному изменению прикладных и специальных программ можно
обеспечить разными способами, в частности методом контроля целостности базового
программного обеспечения специальными программами.
При защите
коммерческой информации пользуются всей совокупностью существующих средств и систем защиты данных.
Однако при их выборе следует исходить из сравнительной оценки важности
защищаемой информации и ущерба, который может нанести ее утрата.
Из
перечисленных средств защиты наиболее надежными и эффективными являются системы
и средства, построенные на базе криптографических методов.