Mechanické prostředky informační bezpečnosti. Typický software a hardware pro informační bezpečnost

Státní podniky, soukromé organizace a určité kategorie občanů disponují informacemi, které jsou cenné nejen pro ně, ale i pro útočníky, konkurenty nebo zahraniční zpravodajské důstojníky. Nezáleží na tom, v jaké formě jsou informace uloženy a jakými kanály jsou přenášeny, protože inženýrská a technická ochrana informací musí fungovat ve všech fázích. Nejde jen o soubor opatření, která znesnadní získávání cenných dat, ale také o samostatnou oblast vědy.

Technická ochrana je účinná při důkladném prostudování budovy, ve které jsou data uložena, složení personálu, možných kanálů úniku informací, moderní metody a prostředky ochrany a krádeže. Manažer podniku by měl jasně určit rozsah problému a výši nezbytných nákladů. Fyzické vybavení, vybavení, školení zaměstnanců a vytvoření zvláštního orgánu si vyžádají náklady (asi 15 % zisku podniku). je právem každého subjektu a vlastníka bojovat proti metodám neoprávněného úniku dat, nekontrolovaného šíření informací a zasahování do informačních procesů organizace.

Koncept kompletního systému

Každý jednotlivec nebo jednotlivec může chránit cenné informace a organizovat práci kontrolní struktury. entita v závislosti na povaze a úrovni ochrany informací a v souladu se zákony Ruské federace. Vývoj inženýrsko-technického systému a opatření se provádí po prostudování problematiky a stanovení nezbytných opatření pro bezpečnost informací. K tomu musí být cenná data chráněna před všemi možnými kanály úniku, neoprávněným přístupem a neopatrnými (neúmyslnými) akcemi personálu organizace.

Data mohou být nejen odcizena, ale zkreslena přidáním nepravdivých informací, zkopírována a zobrazena vlastním jménem, ​​a co je horší, přístup k nim může být zablokován. Podvodníci mohou ukrást, zničit nebo poškodit jakékoli paměťové médium. Není to však jediný zdroj nebezpečí, stejné následky mohou nastat v důsledku chybného neúmyslného jednání uživatele nebo při přírodní katastrofě. Proto strojírenství technický systém akce a opatření by měly směřovat k ochraně nejen informace, ale i nosiče informace, jakož i celku informačního procesu práci s utajovanými daty.

Hlavní úkoly systému

Vytvořením inženýrsko-technického systému podnik zavádí soubor organizačních opatření a řadu technických opatření, která budou chránit cenné informace. Systém pracuje na 3 hlavních úkolech:

  1. zabezpečit objekt a prostory před vstupem neoprávněných osob za účelem odcizení, poškození nebo pozměnění informací;
  2. Zabránit poškození nebo úplnému zničení nosičů informací následky živelních pohrom a působením vody při hašení požáru;
  3. Odepřete útočníkům přístup ke všem technickým kanálům, přes které může dojít k úniku dat.

Technická a technická ochrana musí splňovat moderní požadavky:

  • Důslednost a připravenost na jakékoli hrozby;
  • Vytváření zón s různými úrovněmi zabezpečení;
  • Buďte vždy o krok napřed před podvodníky, držte krok s technologickými inovacemi;
  • Úroveň ochrany informací musí být úměrná důležitosti a hodnotě informací;
  • Neschopnost cizích osob získat přístup k tajným datům;
  • Nepoužívejte jeden typ ochrany, kombinujte různá opatření a uvádějte do činnosti komplex ochranných prostředků;
  • Nejprve chraňte nejdůležitější informace.

Celé území podniku musí být rozděleno do zón, do kterých vstup podléhá zvláštnímu vstupu. Čím blíže je zóna tajným informacím, tím vyšší je úroveň kontroly a tím užší je počet lidí, kteří tam mohou jít. Toho lze dosáhnout instalací sloupků nebo kontrolních bodů. Taková opatření jsou přijímána proto, aby případnému outsiderovi bránily v pohybu překážky v podobě kontrolních zón a hranic, kde by mohla být krádež odhalena a podvodník zadržen.

Webinář o ochraně informací:

Jak k úniku dochází?

V poslední době si soukromé kanceláře pronajímají prostory umístěné v obytných domech, kde sousední prostory jsou byty běžných občanů. Stěny vícepodlažních budov jsou velmi tenké a vše řečené ve vedlejším bytě je slyšet na 98 %. Existuje mnoho takových technických únikových kanálů, každý z nich je spojen s fyzikálním, chemickým nebo biologickým polem nebo jinými zpravodajskými prostředky. Informace lze zachytit během procesu přenosu, diskuse, vytváření nebo zpracování. Únikový kanál není pouze přímou cestou pohybu dat, ale také technickými kanály, které doprovázejí provoz jiných objektů.

Věk nových technologií umožňuje podvodníkům využívat data z odražených signálů, z odposlouchávacích rádiových zařízení, magnetických a elektromagnetických polí tajného předmětu. Neoprávněné osoby používají uzemnění a elektrickou síť k odstranění informativního signálu, který jimi prochází. Dokonce i něco tak jednoduchého, jako jsou nestíněné dráty, transformátory, reproduktory, konektory nebo otevřené obvody, může prosakovat signály, které budou zachyceny elektromagnetickými poli.

Pokud subjekty využijí některý z technických kanálů pro přenos informací a zpracují je, budou moci tajná data nejen zabavit, ale i zkreslit či zablokovat. Data a informační signály jsou distribuovány vzduchem, informacemi a elektrickým vedením. Proto spojení s nimi kontaktním nebo bezkontaktním způsobem nebude obtížné. K tomu útočníci používají rádiová zařízení, která přenášejí informace na velké vzdálenosti (zařízení, která potlačují zvukové signály záznamové zařízení).

Cílem podvodníků může být nejen kopírování nebo ničení dat, ale také zasahování do provozu podnikových zařízení. A to vede k tomu, že některé systémy inženýrské a technické ochrany nebudou fungovat na plný výkon nebo nekvalitně. V důsledku toho dochází při provozu určitých procesů k četným poruchám a v extrémních případech dochází k havarijním situacím.

Způsoby a prostředky k zabezpečení dat

Inženýrská a technická ochrana podnikových informací začíná omezením přístupu neoprávněných osob do území vytvořením kontrolovaných zón: obvod budovy a okolí, všechny budovy podniku, samostatné kanceláře a prostory. Šéf společnosti musí vytvořit speciální bezpečnostní službu. Inženýrský a technický tým bude provádět neustálé monitorování a zabezpečení všech oblastí.

Další etapou ochrany informací bude nákup a instalace technických prostředků, které pracují s důvěrnými daty (telefonie, víceúrovňové komunikační systémy, reproduktor, dispečerská komunikace, zařízení pro záznam a reprodukci zvuku). Chraňte společnost před účinky naslouchacích technických prostředků, najděte slabá místa ve všech kontrolovaných oblastech, kde se útočník může dostat na informativní akustické, elektrické nebo magnetické signály. Odhalit vše možné systémy, ke kterému lze neoprávněně přistupovat (neklasifikováno telefonní linka, požární nebo zvuková signalizace, zabezpečovací poplašné systémy, sledovací zařízení a další). Pokud je to možné, odstraňte zjištěná slabá místa nebo snižte jejich počet.

Identifikovat a vymezit prostory do skupin důležitosti a utajení (sály, zasedací místnosti, kanceláře). Na základě všech shromážděných údajů sepíše komise provádějící podnikový průzkum protokol, na jehož základě je vypracován a vedoucím podniku schválen zákon. Po kontrole musí být vypracován plán celého objektu, jeho prostor a kontrolních pásem. V kancelářích a dalších vysoce zabezpečených prostorách se vyrábí TZI (nekryptografická metoda ochrany technických kanálů před únikem informací).

Jak bezpečně odstranit informace na paměťovém médiu:

Hardware a software

– technika, která útočníkům brání v kopírování, zveřejňování nebo neoprávněném přístupu k informacím. Zařízení je rozděleno do skupin:

  • Hledejte únikové kanály;
  • Detekční nástroje;
  • Aktivní opozice;
  • Pasivní opozice.

Existuje další subsystém ITZ (inženýrská a technická ochrana) - softwarové nástroje, které chrání data na úrovni programu ( antivirové programy ochrana komunikačních kanálů před neoprávněným kopírováním nebo přístupem). Jedná se o zavedení programů, které pečlivě identifikují uživatele, omezují přístup k chráněným informacím a všemi možnými způsoby kontrolují způsob interakce jiných programů s chráněnými informacemi. Není dovoleno používat v práci počítačové systémy programy bez licence nebo certifikátu, protože se mohou skrývat malware, která shromažďuje a předává tajné informace.

Na tento moment Nejbezpečnějším způsobem šifrování dat jsou šifrovací prostředky. Tento vysoká úroveň spolehlivost a ochrana informací před neprofesionálními podvodníky. Pro implementaci takových nástrojů budou informace chráněny kryptosystémem s veřejným klíčem, elektronickým podpisem nebo symetrickými kryptosystémy. Jediným bodem jejich použití bude pohodlí uživatele, který si musí zvolit způsob kryptografie, který je pro něj nejpohodlnější.

Inženýrsko-technický systém musí být po zprovoznění celého komplexu technických prostředků a opatření neustále sledován pro správné provedení všech bodů plánovaného plánu technické specifikace. Systém si časem vyžádá vylepšení a modernizaci, proto musí služba informační bezpečnosti na nové prostředky technické ochrany včas reagovat a efektivně je implementovat.

Požadavky na informační bezpečnost při návrhu informačních systémů udávají vlastnosti, které charakterizují použité prostředky informační bezpečnosti. Jsou definovány různými akty regulátorů v oblasti bezpečnosti informační bezpečnost, zejména - FSTEC a FSB Ruska. Jaké bezpečnostní třídy existují, typy a typy ochranných prostředků a kde se o tom dozvědět více, jsou uvedeny v článku.

Úvod

Problematice zajištění informační bezpečnosti je dnes věnována velká pozornost, neboť všude zaváděné technologie bez zajištění informační bezpečnosti se stávají zdrojem nových vážných problémů.

Ruská FSB informuje o vážnosti situace: výše škod způsobených útočníky za několik let po celém světě se pohybovala od 300 miliard dolarů do 1 bilionu dolarů. Podle informací generálního prokurátora Ruské federace jen v prvním pololetí roku 2017 vzrostl počet trestných činů v oblasti špičkových technologií v Rusku šestinásobně, celková výše škod přesáhla 18 milionů dolarů Nárůst cílených útoků v průmyslovém sektoru byl v roce 2017 zaznamenán po celém světě. Zejména v Rusku byl nárůst počtu útoků ve srovnání s rokem 2016 o 22 %.

Informační technologie se začaly využívat jako zbraně pro vojensko-politické, teroristické účely, k zasahování do vnitřních záležitostí suverénních států, ale i k páchání jiné trestné činnosti. Ruská federace stojí za vytvořením mezinárodního systému informační bezpečnosti.

Na území Ruské federace jsou držitelé informací a provozovatelé informačních systémů povinni blokovat pokusy o neoprávněný přístup k informacím a také sledovat stav bezpečnosti IT infrastruktury na trvalý základ. Ochrana informací je přitom zajištěna přijímáním různých opatření, včetně technických.

Nástroje informační bezpečnosti, neboli systémy ochrany informací, zajišťují ochranu informací v informačních systémech, které jsou v podstatě souborem informací uložených v databázích, informační technologie zajištění jeho zpracování a technické prostředky.

Moderní informační systémy se vyznačují používáním různých hardwarových a softwarových platforem, územním rozložením komponent a také interakcí s otevřené sítě přenos dat.

Jak chránit informace v takových podmínkách? Odpovídající požadavky předkládají autorizované orgány, zejména FSTEC a FSB Ruska. V rámci článku se pokusíme reflektovat hlavní přístupy ke klasifikaci systémů informační bezpečnosti s přihlédnutím k požadavkům těchto regulátorů. Jiné způsoby popisu klasifikace informační bezpečnosti, které se odrážejí v regulačních dokumentech ruských resortů, jakož i zahraničních organizací a agentur, jsou nad rámec tohoto článku a nejsou dále zvažovány.

Článek může být užitečný začínajícím specialistům v oblasti informační bezpečnosti jako zdroj strukturovaných informací o metodách klasifikace informační bezpečnosti na základě požadavků FSTEC Ruska (ve větší míře) a stručně i FSB Ruska.

Strukturou, která určuje postup a koordinuje poskytování informační bezpečnosti pomocí nekryptografických metod, je FSTEC Ruska (dříve Státní technická komise pod prezidentem Ruské federace, Státní technická komise).

Pokud čtenář někdy viděl Státní registr certifikovaných nástrojů informační bezpečnosti, který je tvořen FSTEC Ruska, pak jistě věnoval pozornost přítomnosti v popisné části účelu systému ochrany informací takových frází jako „RD SVT třída“, „úroveň absence nesouladu s údaji o neshodě“ atd. (obrázek 1) .

Obrázek 1. Fragment registru certifikovaných zařízení na ochranu informací

Klasifikace kryptografických nástrojů informační bezpečnosti

FSB Ruska definovala třídy systémů ochrany kryptografických informací: KS1, KS2, KS3, KV a KA.

Mezi hlavní vlastnosti IPS třídy KS1 patří jejich schopnost odolat útokům prováděným zvenčí kontrolované oblasti. Z toho vyplývá, že tvorba metod útoku, jejich příprava a implementace se provádí bez účasti specialistů v oblasti vývoje a analýzy kryptografické informační bezpečnosti. Předpokládá se, že informace o systému, ve kterém jsou specifikované systémy informační bezpečnosti používány, lze získat z otevřených zdrojů.

Pokud kryptografický informační bezpečnostní systém odolá útokům blokovaným pomocí třídy KS1 i útokům prováděným v kontrolovaném pásmu, pak taková informační bezpečnost odpovídá třídě KS2. Předpokládá se např., že při přípravě útoku by se mohly zpřístupnit informace o fyzických opatřeních k ochraně informačních systémů, zajištění kontrolovaného pásma apod.

Pokud je možné odolat útokům, pokud existuje fyzický přístup k počítačovému vybavení s nainstalovanými kryptografickými bezpečnostními informacemi, takové zařízení je považováno za vyhovující třídě KS3.

Pokud kryptografická informační bezpečnost odolává útokům, na jejichž tvorbě se podíleli specialisté v oblasti vývoje a analýzy těchto nástrojů, včetně výzkumných center, a bylo možné provést laboratorní studie bezpečnostních prostředků, pak hovoříme o souladu s třídou HF .

Pokud se na vývoji metod útoků podíleli specialisté v oblasti používání systémového softwaru NDV, byla k dispozici odpovídající projektová dokumentace a byl přístup k jakýmkoliv hardwarovým komponentům kryptografických informačních bezpečnostních systémů, pak lze ochranu proti takovým útokům zajistit pomocí tzv. třída KA.

Klasifikace prostředků ochrany elektronického podpisu

Vybavení elektronický podpis podle schopnosti odolávat útokům je zvykem srovnávat je s následujícími třídami: KS1, KS2, KS3, KV1, KV2 a KA1. Tato klasifikace je podobná klasifikaci diskutované výše v souvislosti s bezpečností kryptografických informací.

závěry

Článek zkoumal některé metody klasifikace informační bezpečnosti v Rusku, jejichž základem je regulační rámec regulátorů v oblasti ochrany informací. Uvažované možnosti klasifikace nejsou vyčerpávající. Přesto doufáme, že prezentované souhrnné informace umožní začínajícímu specialistovi v oblasti informační bezpečnosti rychlou orientaci.

padělání Podle deníku USA Today v roce 1992 v důsledku podobných nezákonných akcí pomocí osobní počítače Americké organizace utrpěly celkovou ztrátu 882 milionů dolarů. Lze předpokládat, že skutečná škoda byla mnohem větší, protože mnohé organizace takové incidenty pochopitelně tají; Není pochyb o tom, že v dnešní době se škody z takového jednání mnohonásobně zvýšily.

Ve většině případů se ukázalo, že viníci byli zaměstnanci organizací na plný úvazek, kteří dobře znali pracovní režim a ochranná opatření. To opět potvrzuje nebezpečí vnitřních hrozeb.

Dříve jsme rozlišovali mezi statickými a dynamická integrita. Za účelem porušení statická integritaútočník (obvykle zaměstnanec na plný úvazek) může:

  • zadejte nesprávné údaje;
  • Chcete-li změnit údaje.

Někdy se mění data obsahu, někdy se mění informace o službě. Nadpisy e-mailem mohou být padělané; dopis jako celek může člověk zfalšovat kteří znají heslo odesílatele (uvedli jsme relevantní příklady). Všimněte si, že to druhé je možné, i když je integrita řízena kryptografickými prostředky. Existuje interakce mezi různými aspekty zabezpečení informací: pokud je narušena důvěrnost, může utrpět integrita.

Hrozbou pro integritu není pouze falšování nebo úprava dat, ale také odmítnutí dokončených akcí. Pokud neexistují prostředky k zajištění „neodmítnutí“, nelze počítačová data považovat za důkaz.

Potenciálně náchylné k narušení integrita Nejen data, ale také programy. Výhrůžky dynamická integrita jsou porušením atomicita transakce, přeskupení, krádež, duplikace dat nebo vložení dalších zpráv ( síťové pakety a tak dále.). Tato činnost v síťovém prostředí se nazývá aktivní naslouchání.

Nejčastější hrozby pro soukromí

Důvěrné informace lze rozdělit na informace o předmětu a službě. Informace o službě (například uživatelská hesla) se nevztahují ke konkrétní oblasti, v informační systém hraje technickou roli, ale jeho zveřejnění je obzvláště nebezpečné, protože je plné neoprávněného přístupu ke všem informacím, včetně informací o předmětu.

I když jsou informace uloženy v počítači nebo jsou určeny k použití na počítači, ohrožení jejich důvěrnosti může být nepočítačové a netechnické povahy.

Mnoho lidí musí vystupovat jako uživatelé ne jednoho, ale několika systémů (informačních služeb). Pokud se pro přístup k takovým systémům použijí opakovaně použitelná hesla nebo jiné důvěrné informace, pak budou tato data s největší pravděpodobností uložena nejen v hlavě, ale také v notebooku nebo na kusech papíru, které uživatel často nechává na ploše nebo je ztrácí. A nejde zde o neorganizovanost lidí, ale o počáteční nevhodnost schématu hesel. Je nemožné zapamatovat si mnoho různých hesel; doporučení pro jejich pravidelnou (pokud možno častou) změnu situaci jen zhorší, nutí k používání jednoduchých střídavých schémat nebo se dokonce snaží věc zredukovat na dvě nebo tři snadno zapamatovatelná (a stejně snadno uhodnutelná) hesla.

Popsanou třídu zranitelností lze nazvat umístěním důvěrných dat do prostředí, kde jim není poskytnuta (a často ani nemůže být poskytnuta) potřebná ochrana. Kromě hesel uložených v notebooky uživatelé, tato třída zahrnuje přenos důvěrných dat v čistém textu (v konverzaci, v dopise, po síti), což umožňuje jejich zachycení. K útoku lze použít různé technické prostředky(odposlouchávání nebo odposlouchávání konverzací, pasivní síťový poslech atd.), ale myšlenka je stejná – přistupovat k datům v okamžiku, kdy jsou nejméně chráněna.

S hrozbou zachycení dat je třeba počítat nejen při prvotní konfiguraci IS, ale, což je velmi důležité, také při všech změnách. Výstavy, na které mnoho organizací posílá vybavení výrobní síť se všemi údaji na nich uloženými. Hesla zůstávají stejná, když vzdálený přístup jsou nadále přenášeny v čistém stavu.

Další příklad změny: ukládání dat na záložní média. K ochraně dat na primárních médiích se používají pokročilé systémy řízení přístupu; kopie často jen leží ve skříních a mnoho lidí k nim má přístup.

Zachycování dat je vážnou hrozbou, a pokud je soukromí skutečně kritické a data jsou přenášena mnoha kanály, může být jejich ochrana velmi obtížná a nákladná. Technické prostředky odposlechu jsou dobře propracované, dostupné, snadno použitelné a každý si je může nainstalovat například na kabelovou síť, takže tato hrozba existuje nejen pro vnější, ale i pro interní komunikaci.

Krádeže hardwaru jsou hrozbou nejen pro záložní média, ale také pro počítače, zejména notebooky. Notebooky jsou často ponechány bez dozoru v práci nebo v autě a někdy se prostě ztratí.

Nebezpečnou netechnickou hrozbou pro důvěrnost jsou metody mravního a psychologického ovlivňování, jako je kupř Maškaráda- provádění akcí pod rouškou osoby s oprávněním k přístupu k údajům.

Mezi nepříjemné hrozby, kterým je obtížné se bránit, patří: zneužití moci. Na mnoha typech systémů může privilegovaný uživatel (např Správce systému) je schopen číst jakýkoli (nešifrovaný) soubor, získat přístup k poště libovolného uživatele atd. Dalším příkladem je poškození při servisní údržbě. Servisní technik obvykle získává neomezený přístup k zařízení a má schopnost obejít softwarové ochranné mechanismy.

Metody ochrany

Stávající metody a nástroje pro bezpečnost informací počítačové systémy (CS) lze rozdělit do čtyř hlavních skupin:

  • způsoby a prostředky organizační a právní ochrany informací;
  • metody a prostředky inženýrské a technické ochrany informací;
  • kryptografické metody a prostředky informační bezpečnosti;
  • softwarové a hardwarové metody a prostředky informační bezpečnosti.

Metody a prostředky organizační a právní ochrany informací

Metody a prostředky organizační ochrany informací zahrnují organizační, technická a organizační a právní opatření prováděná v procesu tvorby a provozu počítačového systému k zajištění ochrany informací. Tyto činnosti by měly být prováděny při výstavbě nebo rekonstrukci prostor, ve kterých bude kompresorová stanice umístěna; návrh systému, instalace a seřízení jeho technických a software; testování a kontrola výkonu CS.

Na této úrovni ochrany informací jsou uvažovány mezinárodní smlouvy, státní předpisy, státní normy a místní předpisy konkrétní organizace.

Metody a prostředky inženýrské ochrany

Inženýrskými a technickými prostředky informační bezpečnosti se rozumí fyzické předměty, mechanická, elektrická a elektronická zařízení, konstrukční prvky budov, hasicí prostředky a další prostředky, které zajišťují:

  • ochrana území a areálu kompresorové stanice před narušiteli;
  • ochrana CS hardwaru a paměťových médií před krádeží;
  • zamezení možnosti dálkového (mimo chráněného prostoru) kamerového sledování (odposlechu) práce personálu a fungování technických prostředků ČS;
  • zamezení možnosti zachycení PEMIN (strana elektromagnetická radiace a rušení) způsobené provozními technickými prostředky CS a datových přenosových linek;
  • zajištění přístupu zaměstnanců do prostor kompresorové stanice;
  • kontrola nad harmonogramem práce personálu CS;
  • kontrola pohybu zaměstnanců ČS v různých oblastech výroby;
  • požární ochrana prostor kompresorových stanic;
  • minimalizace materiálních škod způsobených ztrátou informací v důsledku přírodních katastrof a nehod způsobených člověkem.

Nejdůležitější nedílná součást Inženýrské a technické prostředky informační bezpečnosti jsou technickými prostředky bezpečnosti, které tvoří první linii ochrany CS a jsou nezbytnou, avšak nedostačující podmínkou pro zachování důvěrnosti a integrity informací v CS.

Metody kryptografické ochrany a šifrování

Šifrování je primárním prostředkem k zajištění důvěrnosti. Takže v případě zajištění důvěrnosti dat na místní počítač používají šifrování těchto dat a v případě síťové interakce šifrované kanály přenosu dat.

Nazývá se věda o ochraně informací pomocí šifrování kryptografie(kryptografie v překladu znamená tajemné psaní nebo tajné psaní).

Kryptografie se používá:

  • chránit důvěrnost informací přenášených prostřednictvím otevřených komunikačních kanálů;
  • ověřit (potvrdit pravost) přenášených informací;
  • chránit důvěrné informace při ukládání na otevřená média;
  • zajistit integritu informací (ochrana informací před neoprávněnými změnami) při přenosu otevřenými komunikačními kanály nebo uložených na otevřených médiích;
  • zajistit nezpochybnitelnost informací přenášených po síti (zabránění možnému popření skutečnosti odeslání zprávy);
  • chránit software a další informační zdroje před neoprávněným použitím a kopírováním.

Softwarové a hardwarově-softwarové metody a prostředky zajištění bezpečnosti informací

Hardwarová informační bezpečnost zahrnuje elektronická a elektronicko-mechanická zařízení, která jsou součástí technických prostředků počítačového systému a plní (samostatně nebo ve spojení se softwarem) některé funkce zajištění bezpečnosti informací. Kritériem pro klasifikaci zařízení jako hardwaru spíše než jako technického prostředku ochrany je jeho povinné zařazení do skladby technických prostředků CS.

K hlavnímu Hardware ochrana informací zahrnuje:

  • zařízení pro zadávání identifikačních informací uživatele (magnetické a plastové karty, otisky prstů atd.);
  • Zařízení pro šifrování informací;
  • zařízení zabraňující neoprávněné aktivaci pracovních stanic a serverů (elektronické zámky a blokování).

Příklady pomocného hardwaru pro bezpečnost informací:

  • Zařízení pro ničení informací na magnetických médiích;
  • poplašná zařízení o pokusech o neoprávněné akce uživatelů CS atd.

Software pro zabezpečení informací znamená speciální programy zahrnuté v softwaru CS výhradně k provádění ochranných funkcí. K hlavnímu software ochrana informací zahrnuje:

  • programy pro identifikaci a autentizaci uživatelů CS;
  • programy pro omezení uživatelského přístupu ke zdrojům CS;
  • programy pro šifrování informací;
  • programy pro ochranu informačních zdrojů (systémový a aplikační software, databáze, počítačové školicí nástroje atd.) před neoprávněnou úpravou, používáním a kopírováním.

Upozorňujeme, že identifikace ve vztahu k zajištění informační bezpečnosti počítačového systému je chápána jako jednoznačné rozpoznání jedinečného názvu subjektu počítačového systému. Autentizace znamená potvrzení, že prezentované jméno odpovídá danému subjektu (potvrzení identity subjektu).

Příklady podpůrný software ochrana informací:

  • programy pro zničení zbytkových informací (v blocích paměť s náhodným přístupem, dočasné soubory atd.);
  • programy auditu (vedení deníků) událostí souvisejících s bezpečností CS pro zajištění možnosti obnovy a prokázání skutečnosti vzniku těchto událostí;
  • programy pro simulaci práce s narušitelem (odvrácení jeho pozornosti k získání domněle důvěrných informací);
  • testovací ovládací programy pro zabezpečení CS atd.

Výsledek

Od potenciálu bezpečnostní hrozby informace jsou velmi různorodé, cílů ochrany informací lze dosáhnout pouze vytvořením komplexního systému ochrany informací, který je chápán jako soubor metod a prostředků sjednocených k jedinému účelu a zajišťujících potřebnou efektivitu ochrany informací v ČS.

Informace jsou jakákoli data umístěná v paměti počítačového systému, jakákoli zpráva odeslaná přes síť a jakýkoli soubor uložený na jakémkoli médiu. Informace je jakýkoli výsledek práce lidské mysli: myšlenka, technologie, program, různé údaje (lékařské, statistické, finanční), bez ohledu na formu jejich prezentace. Vše, co není fyzickým předmětem a může být člověkem použito, je popsáno jedním slovem – informace.

Informace:

    Volný přístup k informacím

    Omezené informace

    1. Důvěrná informace

      Tajné informace

Důvěrné(důvěrné, soukromé) – úřední, profesní, průmyslové, obchodní nebo jiné informace, jejichž právní režim stanoví jejich vlastník na základě zákonů o obchodním, průmyslovém tajemství a dalších legislativních aktů. Vlastník informací může nezávisle stanovit jejich status jako důvěrné (například osobní tajemství). Vyžaduje bezpodmínečnou ochranu.

Oficiální tajemství- informace související s výrobní, řídící, finanční nebo jinou hospodářskou činností organizace, jejichž prozrazení (převod, únik, krádež) může poškodit její zájmy a nejsou státním tajemstvím. Tyto informace zahrnují:

    informace obsahující informace používané zaměstnanci organizace k práci pro úřední účely;

    údaje získané v důsledku zpracování úředních informací pomocí technických prostředků (kancelářské vybavení);

    dokumenty (média) vytvořené jako výsledek tvůrčí činnosti zaměstnanců organizace, včetně informací jakéhokoli původu, typu a účelu nezbytných pro normální fungování organizace.

Tajné informace– informace obsahující v souladu se státním právem. Tajné informace tvořící takové. Vyžaduje nejvíce vysoký stupeň ochrana

Státní tajemství– informace chráněné státem v oblasti jeho vojenské, obranné, zahraničně politické, hospodářské, zpravodajské atd. činnosti, jejichž šíření by mohlo poškodit bezpečnost státu. Šíření GOS SECRETS je regulováno státem a kontrolováno zpravodajskými službami.

Typy omezených informací

A informační b bezpečnost (IS) je ochrana informací a jejich podpůrné infrastruktury před náhodnými nebo záměrnými dopady přírodní nebo umělé povahy, které mohou způsobit nepřijatelný poškození vlastníků a uživatelů informací.

OCHRANA INFORMACÍ je soubor opatření zaměřených na zamezení úniku chráněných informací, jakož i neoprávněných a neúmyslných zásahů do těchto informací.

NSD – Neoprávněný přístup-unauthorizedaccessJeden z nejběžnějších a nejrozmanitějších typů narušení zabezpečení počítačového systému. Spočívá v tom, že narušitel získá přístup ke zdroji (objektu) v rozporu s pravidly řízení přístupu stanovenými v souladu s bezpečnostní politikou. U NSD se používá jakákoliv chyba v zabezpečovacím systému a lze ji provést buď pomocí standardního softwaru a nástrojů VT, nebo speciálně vyvinutého hardwaru a/nebo softwaru.

IS musí poskytovat:

    integrita dat– integrita znamená relevanci a konzistenci informací, jejich ochranu před zničením a neoprávněnými změnami.

2. důvěrnost informací je ochrana před neoprávněným přístupem k omezeným informacím, včetně ochrany proti nezákonné krádeži, pozměnění nebo zničení. (PŘÍKLAD s obchodními a osobními informacemi, úředními, státními tajemstvími)

3. dostupnost pro autorizovaný přístup– jedná se o příležitost získat požadované informace v přiměřené době.

Hlavní oblasti činností ochrany informací

Principy budování systémů ochrany informací (bezpečnost informací)

    Systematika

    Složitost

    Kontinuita ochrany

    Rozumná dostatečnost

    Flexibilita ovládání a aplikace

    Otevřenost algoritmů a ochranných mechanismů

    Snadné použití ochranných metod a prostředků

Jakékoli použité nástroje a mechanismy informační bezpečnosti by navíc neměly narušovat běžnou práci uživatele s automatizovaným informačním systémem – prudce snižovat produktivitu, zvyšovat složitost práce atd. Systém informační bezpečnosti by měl být zaměřen na taktické předvídání možných hrozeb a měl by mít také mechanismy obnovy normální operace CS v případě realizace hrozeb.

Zásady ochrany informací před neoprávněným přístupem

Uzavírání kanálů pro neoprávněný příjem informací by mělo začít kontrolou přístupu uživatelů k informačním zdrojům. Tento úkol je řešen na základě řady principů:

    Princip rozumného přístupu spočívá v povinném splnění následující podmínky: uživatel musí mít dostatečnou formu přístupu k získání informací o požadovaném stupni utajení pro plnění stanovených produkčních funkcí. Uživatelé mohou být aktivní programy a procesy, stejně jako paměťová média.

    Princip diferenciace- zabránit narušení bezpečnosti informací, k němuž může dojít např. při záznamu utajovaných informací na neutajovaných nosičích a v neutajovaných spisech, při jejich předávání do programů a procesů, které nejsou určeny ke zpracování utajovaných informací, jakož i při předávání utajovaných informací prostřednictvím nezabezpečené kanály a komunikační linky, je nutné provést vhodné vymezení informačních toků a přístupových práv k těmto informacím

    Princip čistoty zdrojů je vyčistit zdroje obsahující důvěrná informace, když jsou odstraněny nebo uvolněny uživatelem předtím, než jsou tyto prostředky znovu distribuovány dalším uživatelům.

    Princip osobní odpovědnosti- každý uživatel IP musí nést osobní odpovědnost za svou činnost v systému, včetně jakýchkoli operací s utajovanými skutečnostmi a možného narušení jejich ochrany - náhodné nebo úmyslné jednání, které vede nebo může vést k neoprávněnému přístupu nebo naopak znepřístupnění těchto informací legitimním uživatelů

    Princip bezpečnostní integrity vyplývá, že nástroje informační bezpečnosti v informačních systémech musí přesně plnit své funkce v souladu s uvedenými zásadami a být izolovány od uživatelů. Ochranná zařízení musí pro účely jejich údržby obsahovat speciální zabezpečené rozhraní pro ovládací, poplašné a záznamové zařízení.

2. Metody a prostředky ochrany informací

Metody informační bezpečnosti

    nechat – metoda fyzického blokování cesty útočníka k chráněným informacím

    Řízení přístupu – způsob určování a přidělování systémových zdrojů oprávněným uživatelům

    šifrování - způsob ochrany informací v komunikačních kanálech jejich kryptografickým uzavřením. Tato metoda ochrany je široce používána jak pro zpracování, tak pro ukládání informací. Při přenosu informací dálkovými komunikačními kanály je tato metoda jediná spolehlivá.

    nařízení – způsob ochrany informací, který vytváří zvláštní podmínky pro automatizované zpracování, uchovávání a přenos chráněných informací, při nichž by byla minimalizována možnost neoprávněného přístupu k nim.

    nutkání - způsob ochrany informací, při kterém jsou uživatelé a pracovníci systému nuceni pod hrozbou hmotné, správní nebo trestní odpovědnosti dodržovat pravidla pro zpracování, přenos a použití chráněných informací.

    motivace - metoda ochrany informací, která povzbuzuje uživatele a personál systému, aby neporušovali zavedené standardy (vysoký plat)

Vybavení

    technický jsou realizovány ve formě elektrických, elektromechanických a elektronických zařízení. Celý soubor technických prostředků je rozdělen na Hardware A fyzický.

Pod Hardware Běžně se chápe jako vestavěná elektronická zařízení. Některé z nejznámějších hardwaru zahrnují obvody pro řízení paritních informací, obvody ochrany paměťového pole pomocí klíče atd.

Fyzický prostředky se prodávají ve formě autonomních zařízení a systémů. Například zámky na dveřích vybavení místností, mříže na oknech, bezpečnostní alarmy, CCTV kamery.

Fyzická ochrana:

    zajistit bezpečnost prostor, kde jsou umístěny síťové servery;

    omezení fyzického přístupu k serverům, hubům, přepínačům pro neoprávněné osoby, síťové kabely a další vybavení;

    poskytují ochranu proti výpadkům napájení.

    software zastupovat software, speciálně navržený k plnění funkcí zabezpečení informací.

Standardní bezpečný software:

    Bezpečnostní nástroje, které používají hesla identifikace a omezení přístupu uživatele dle přidělených práv - řízení přístupu a vymezení pravomocí (identifikace + autentizace + autorizace)

Identifikace umožňuje subjektu (uživateli, procesu jednajícímu jménem konkrétního uživatele nebo jiné hardwarové a softwarové komponentě) identifikovat se (nahlásit své jméno). Přes autentizace druhá strana se ujistí, že subjekt je skutečně tím, za koho se vydává. Jako synonymum slova " autentizace"Někdy se používá fráze "ověření".

    Registrace A analýza události vyskytující se v systému - zajišťuje příjem a analýzu informací o stavu systémových prostředků pomocí speciálních kontrolních nástrojů a také evidenci akcí uznaných jako potenciálně nebezpečné pro bezpečnost systému. Analýza shromážděných informací nám umožňuje identifikovat prostředky a a priori informace použité pachatelem při ovlivňování systému a určit, kam až porušení zašlo, navrhnout způsob jeho vyšetřování a způsoby nápravy;

    Kontrola integrity systémové prostředky jsou navrženy pro včasnou detekci jejich modifikace. To umožňuje zajistit správné fungování systému a integritu zpracovávaných informací.

    Kryptografický závěrečná informace

    Ochrana před vnějšími průniky - firewally

    Obrana od počítačové viry - antivirus balíčky, anti-spam filtry

    Vybavení Rezervovat kopii a obnovu dat

    hardware a software prostředky ochrany jsou založeny na použití různých elektronická zařízení A speciální programy, které jsou součástí informačního bezpečnostního systému a plní takové (samostatně nebo v kombinaci s jinými prostředky) bezpečnostní funkce jako: identifikace a autentizace uživatelů, diferenciace přístupu ke zdrojům, evidence událostí, kryptografické uzavírání informací, zajištění odolnosti komponent proti chybám a systém jako celek atd. .d.

    Organizační prostředky ochrany jsou organizační, technická a organizačně-právní opatření prováděná v procesu tvorby a provozu speciálních softwarových a hardwarových zařízení k zajištění ochrany informací. Organizační opatření pokrývají všechny konstrukční prvky ve všech fázích životní cyklus chráněný systém (vytvoření chráněného perimetru, výstavba prostor, návrh systému jako celku, instalace a seřízení zařízení, testování a provoz), jakož i personální politika a výběr personálu.

    morální a etické prostředky ochrany jsou implementovány ve formě norem, které se vyvíjely tradičně nebo jsou vyvíjeny jako šíření VT a komunikací v dané zemi nebo společnosti. Tyto normy zpravidla nejsou povinné, jako legislativní opatření, ale jejich nedodržování vede ke ztrátě autority a prestiže organizace.

    legislativní opravné prostředky jsou určeny zákony dané země. Oni regulují pravidla používání, je stanoveno zpracování a přenos informací s omezeným přístupem a sankce za porušení těchto pravidel.

Podle svého funkčního účelu Metody a prostředky zabezpečení informací lze rozdělit do následujících typů:

Metody a prostředky varování- jsou určeny k vytvoření podmínek, za kterých je vyloučena nebo minimalizována možnost vzniku a realizace destabilizujících faktorů (hrozeb);

Metody a prostředky detekce- určené k odhalování vznikajících hrozeb nebo možnosti jejich vzniku a shromažďování dalších informací;

Metody a prostředky neutralizace- navrženy tak, aby eliminovaly vznikající hrozby;

Metody a prostředky zotavení- jsou určeny k obnovení normálního provozu chráněného systému (někdy samotného ochranného systému).

Způsoby a prostředky ochrany informace o počítači představují soubor různých opatření, hardwarových a softwarových, morálních, etických a právních norem, které mají za cíl čelit hrozbám útočníků a minimalizovat možné škody vlastníkům systémů a uživatelům informací.

Podívejme se na následující typy tradičních opatření proti úniku informací z počítače.

Technické metody a prostředky informační bezpečnosti

Tyto zahrnují:

  • ochrana proti neoprávněnému přístupu k počítačovému systému;
  • redundance všech důležitých počítačových subsystémů;
  • organizace sítí s následnou možností redistribuce zdrojů, pokud dojde k nefunkčnosti jednotlivých síťových spojů;
  • instalace detekčního zařízení;
  • Instalace zařízení pro detekci vody;
  • přijetí souboru opatření na ochranu před krádeží, sabotáží, sabotáží a výbuchy;
  • instalace rezervní systém zdroj napájení;
  • vybavení prostor zámky;
  • instalace zabezpečovacích systémů atd.

Organizační metody a prostředky informační bezpečnosti

Tyto zahrnují:

  • zabezpečení serveru;
  • pečlivě organizovaný výběr personálu;
  • vyloučení takových případů, kdy všechny zvlášť důležité práce vykonává jedna osoba;
  • vypracování plánu, jak obnovit funkčnost serveru v situaci, kdy selže;
  • univerzální prostředek ochrany před jakýmkoli uživatelem (i od vrcholového vedení).

Metody a techniky ochrany informací: autentizace a identifikace

Identifikace je přiřazení jedinečného obrazu nebo jména subjektu nebo předmětu. A autentizace je kontrola, zda subjekt/objekt je tím, za koho se snaží vydávat. Konečným cílem obou opatření je přístup subjektu/objektu k informacím, které jsou v omezeném používání, nebo odepření takového přístupu. Autenticitu objektu může provádět program, hardwarové zařízení nebo osoba. Předměty/subjekty autentizace a identifikace mohou být: technické prostředky (pracovní stanice, monitory, účastnické stanice), osoby (operátoři, uživatelé), informace na monitoru, magnetická média atd.

Metody a prostředky ochrany informací: pomocí hesel

Heslo je sada znaků (písmena, čísla atd.), která je určena k identifikaci objektu/předmětu. Když vyvstane otázka, jaké heslo zvolit a nastavit, vždy vyvstává otázka jeho velikosti, způsobu uplatnění odporu proti výběru útočníkem. Je logické, že čím delší heslo, tím vyšší úroveň zabezpečení systému poskytne, protože jeho uhodnutí/vyzvednutí kombinace bude vyžadovat mnohem více úsilí.

Ale i kdyby měl být pravidelně měněn za nový, aby se snížilo riziko jeho odposlechu v případě přímé krádeže média, ať už vytvořením kopie z média, nebo násilným nucením uživatele, aby řekl "kouzelné" slovo.