инф без. История развития средств и методов защиты информации
Скачать 1.69 Mb.
|
Объекты защиты информации Объект информатизации – совокупность информационных ресурсов, средств и систем информатизации, используемых в соответствии с заданной информационной технологией, и систем связи вместе с помещениями (транспортными средствами), в которых они установлены. ФСТЭК в своих руководящих документах трактует данное понятие несколько иначе. Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы различного уровня и назначения, системы связи, отображения и размножения вместе с помещениями, в которых они установлены, предназначенные для обработки и передачи информации, подлежащей защите, а также сами помещения, предназначенные для ведения конфиденциальных переговоров. Защищаемыми объектами информатизации в соответствии с СТР-К являются: Средства и системы информатизации (средства вычислительной техники, автоматизированные системы различного уровня и назначения на базе средств вычислительной техники, в том числе информационно-вычислительные комплексы, сети и системы, средства и системы связи и передачи данных, технические средства приема, передачи и обработки информации (телефонии, звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение), используемые для обработки конфиденциальной информации; Технические средства и системы, не обрабатывающие непосредственно конфиденциальную информацию, но размещенные в помещениях, где она обрабатывается (циркулирует); Защищаемые помещения. Объект защиты информации - информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с поставленной целью защиты информации. В соответствии с данным определением можно классифицировать объекты защиты следующим образом: Информация; По форме представления: Бумажные носители; Цифровые сигналы; Аналоговые сигналы; Виртуальная форма; Ресурсные объекты; Аппаратное обеспечение; Программное обеспечение; Процессы и процедуры обработки информации; Физические объекты; Территория; Помещения; Здания; Техническое оборудование; Средства и каналы связи и т.п.; Пользовательские объекты; Пользователи информации; Субъекты информации; Собственники информации; Обслуживающий персонал. Классификация видов, способов, методов и средств защиты информации Способы защиты информации предполагают использование определенного набора средств. Существуют следующие виды средств защиты информации: Правовая защита – действует на территории государства, территория, охватываемая международными соглашениями в области информационной безопасности; Организационная защиты информации – охватывает территорию организации или объекта информатизации; Техническая защита информации; Инженерно-техническая – действует на контролируемой зоне, здании или помещении объекта информатизации; Программно-аппаратная – масштаб: от одного отдельного компьютера до вычислительной сети (ЛВС); Криптографическая защита – масштаб сети (канала) связи, ИТКС (от организации до глобальной сети); Физическая защита – контролируемая зона, здание или помещение объекта информатизации (выделенное помещение). Правовая защита информации – это защита информации правовыми методами, включающими в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением. Организационная защита информации – это организация деятельности по защите, регламентирование доступа к защищаемым ресурсам и на объекты информатизации. Она направлена на предотвращение утечки информации ограниченного доступа и несанкционированного (неправомерного) доступа к ней по организационным каналам. Подразделяются на организационно-правовую, организационно-техническую, организацию физической защиты. Техническая защита информации - это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств. Инженерно-техническая защита направлена на предотвращение утечки информации ограниченного доступа по техническим каналам утечки и ПДТР. Программно-аппаратная защита направлена на защиту информации в СВТ и АС, функционирующих на их основе, а также в ИТКС от НСД и НСВ. Криптографическая защита информации – это защита информации с помощью ее криптографического преобразования. Она предназначена для обеспечения передачи конфиденциальной информации в зашифрованном виде по каналам связи, ИТКС, подтверждения подлинности электронных документов и обеспечения их целостности, придания электронным документам юридической силы, защиты парольных систем. Физическая защита информации - это защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты. К объектам защиты могут быть отнесены: охраняемая территория, здание (сооружение), выделяемое помещение, информация и (или) информационные ресурсы объекта информатизации. Способ защиты информации – это порядок и правила применения определенных правил применения принципов и средств защиты информации. Общие способы защиты информации: Препятствие – заключается в создании на пути угрозы некоторого барьера, не позволяющего ей принять опасные размеры. Типичными примерами являются создание физических препятствий на пути злоумышленника (турникеты), логические препятствия, представляющие собой системы идентификации и аутентификации при доступе к АС. Управление – определение на каждом шаге функционирования объекта таких управляющих воздействий на элементы системы, следствием которых будет решение одной или нескольких задач защиты информации. Например, управление доступом в АС включает следующие функции защиты, осуществляемые системой управления доступом: Идентификацию лиц, претендующих на доступ; Опознавание (аутентификацию) субъекта по предъявленному им идентификатору; Проверку полномочий (проверка соответствия запрашиваемых ресурсов назначенным полномочиям субъекта доступа); Регистрацию (протоколирование) обращений к защищаемым ресурсам; Реагирование (сигнализацию, отключение, отказ в запросе) при попытке несанкционированных действий; Маркировка – (скрытие защищаемой информации) предполагает такие ее преобразования, вследствие которых она становится недоступной для злоумышленников или доступ к ней существенно затрудняется. К маскировке относятся криптографические методы преобразования информации, скрытие объекта, а также меры по созданию шумовых полей, маскирующих информационные сигналы, экранирование излучающих технических средств обработки информации т.п. Регламентация – заключается в разработке и реализации в процессе функционирования объекта комплекса мероприятий, создающих такие условия обработки информации, при которых существенно затрудняется проявление и воздействие угроз. К регламентации относится разработка таких правил обращения с конфиденциальной информацией и средствами ее обработки, которые позволили бы максимально затруднить получение этой информации злоумышленником. Принуждение – такой способ защиты, при котором пользователи и персонал системы вынуждены соблюдать правила и условия обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности. Побуждение – способ защиты информации, при котором пользователи и персонал АС внутренне (т.е. материальными, моральными, этическими, психологическими и другими мотивами) побуждаются к соблюдению всех правил обработки информации. Средство защиты информации – техническое, программное средство, вещество и (или) материал, предназначенные или используемые для защиты информации. Средства защиты подразделяются на: Средство физической защиты – предназначено или используется для обеспечения физической защиты объекта защиты информации. К ним относятся механические, электрические, электромеханические, электронные, электронно-механические и т.п. устройства (замки) и системы, которые функционируют автономно, создавая различного рода препятствия на пути нарушителей (злоумышленников). К ним относятся также системы контроля и управления доступом (СКУД) в охраняемые зоны, помещения, средства охранной и охранно-пожарной сигнализации, системы видеонаблюдения (в совокупности со службами охраны), специальные укрепленные двери, турникеты и т.п. Криптографическое средства защиты информации – это средство защиты информации, реализующее алгоритмы криптографического преобразования информации. Реализация может осуществляться с использованием аппаратуры, программ или с использованием того и другого. Криптографические средства предназначены для шифрования информации с целью сохранения ее конфиденциальности при передаче по сетям связи, информационно-телекоммуникационным сетям, обеспечения целостности, обеспечения подлинности и юридической значимости электронных документов, защиты парольных систем в АС. Технические средства защиты информации включают аппаратные, программно-аппаратные средства, материалы и вещества, предназначенные для защиты информации. Назначение этих средств – защита информации от утечки по техническим каналам и от технических средств разведки. Аппаратные средства – различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру АС или сопрягаемые с ней специально для решения защиты информации от НСД, а также устройства, устанавливаемые на объектах информатизации с целью защиты утечки по техническим каналам. Программные средства – специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения АС с целью решения защиты информации, в первую очередь защиты от НСД. Программно-аппаратные – аппаратные средства, работающие под управлением или с использованием программ. По другой классификации средства защиты информации делятся на: Правовые (законодательные средства) – нормативные правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности; Организационные средства – правовые мероприятия, специально предусматриваемые в технологии функционирования объекта информатизации, с целью решения задач защиты информации, а также организация физической защиты предприятия; Морально-этические средства – сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а также нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе; Средства контроля эффективности защиты информации – средство защиты информации, предназначенные или используемое для контроля эффективности защиты информации. Основу рассматриваемых средств составляют средства предназначенные для контроля эффективности защиты информации от утечки по техническим каналам (сканирующие приемники, устройства для поиска закладочных устройств, сканеры безопасности сети и т.п.). У всех средств защиты информации есть свои достоинства и недостатки: Правовые способы и средства: Достоинства: универсальны в том смысле, что принципиальны применимы для всех способов НСД и НСВ на ЗИ; Недостатки: не реализацию требуется достаточно много времени и сил, поскольку в основном они реализуются через суд; Организационные способы и средства: Достоинства: широкий круг решаемых задач, простота реализации, гибкость реагирования на НСД, практически неограниченные возможности изменения и развития; Недостатки: необходимость использования людей, повышенная зависимость от субъективных факторов, высокая зависимость от общей организации работ в организации, низкая надежность без соответствующей поддержки средствами ФЗИ, ТЗИ, СКЗИ; Технические средства: Достоинства: универсальность, гибкость, надежность функционирования, простота реализации, широкие возможности, модификации и развития; Недостатки: не могут защитить от персонала, снижение функциональных возможностей АС, необходимость использования защитных устройств, подверженность модификации, ориентация на вполне определенные типы ЭВМ и ПО; Криптографические средства: Достоинства: гибкость, т.е. возможность быстрого изменения алгоритма шифрования; Недостатки: подверженность криптоанализу, требует защиты ключей, используемых для шифрования. Назначение и структура систем защиты информации Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации. Система защиты информации включает в себя: Орган защиты информации – административный орган (отдел, служба), осуществляющий организацию защиты информации (или отдельные исполнители); Технику защиты информации – средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средство контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации; Объекты защиты информации; Правила и нормы, установленные документами в области защиты информации. Они включают в себя правила и нормы, установленные правовыми, организационно-распорядительными, нормативно-методическими документами, разработанными и введенными в действие, как органами гос. власти, так и руководством организации, в которых создается и используется система защиты информации. Из общеметодологических требований к системам защиты информации можно отметить: Функциональные – обеспечивают решения требуемой совокупности задач защиты; Эргономические – минимизация помех пользователям; Экономические – минимизация затрат на систему; Технические – комплексное использование средств; Организационные – структурированность всех компонентов. Из общеметодологических требований вытекают принципы построения систем защиты информации: Концептуальное единство (комплексность) – означает, что архитектура, технология, организация и обеспечение функционирования как СЗИ в целом, так и составных ее компонентов должны рассматриваться и реализовываться в строгом соответствии с основными положениями единой концепции, отражающей цели и задачи защиты информации; Адекватность требованиям – означает, что СЗИ должна строиться в строгом соответствии с требованиями к защите, которые хранимой и обрабатываемой информации (вид тайны, степени секретности) и соответствующего объекта, а также факторами, влияющими в защиту информации (уязвимости, угрозы, условия обработки и др.); Гибкость (адаптируемость) – означает такое построение и такую организацию ее функционирования, при которых функции защиты осуществлялись бы достаточно эффективно при изменении в некотором диапазоне структуры АС, технологических сем или условий функционирования каких-либо ее компонентов; Функциональная самостоятельность – предполагает, что СЗИ должна быть самостоятельной обеспечивающей подсистемой объекта информатизации и при осуществлении функций защиты не зависеть от других подсистем; Удобство использования – означает, что СЗИ не должна создавать дополнительных неудобств для пользователей и персонала АС; Минимизация предоставляемых прав – означает, что каждому пользователю и каждому лицу из состава персонала ОИ должны предоставляться лишь те полномочия, на доступ к ресурсам объектам информатизации, которые ему действительно необходимы для выполнения своих функций в процессе автоматизированной обработки информации. При этом предоставляемые права должны быть определены установленным порядком и утверждены заблаговременно; Полнота контроля - аудит безопасности предполагает, что все процедуры автоматизированной и неавтоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основе результаты контроля должны фиксироваться в специальных регистрационных журналах; Активность реагирования – означает, что СЗИ должна реагировать на любые попытки несанкционированных действий; Экономичность – означает, что при условии соблюдения основных требований всех предыдущих принципов расходы на СЗИ должны быть минимальными. Разрабатываемая система защиты проходит три этапа: типизацию, стандартизацию, классификацию. Типизация – разработка типовых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Стандартизация – процесс установления и применения стандартов, которые в свою очередь, определяются как образцы, эталоны, модели, принимаемые за исходные, для сопоставления с ними других подобных объектов. По активности реагирования СЗИ на несанкционированные действия, все системы защиты можно разделить на три типа: Пассивные СЗИ, в которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя (например, системы аудита); Полуактивные СЗИ, в которых предусматривается сигнализация о несанкционированных действиях, но не предусматривается воздействие системы защиты на нарушителя; Активные СЗИ, в которых предусматривается как сигнализация о несанкционированных действиях, так и воздействие системы защиты на нарушителя, его действия или используемые средства. |