Создание комплексной системы защиты информации
В первых публикациях по защите информации были изложены основные аксиомы, которые не утратили своей актуальности и по сей день. Первая аксиома: абсолютно надежную защиту создать нельзя. Система защиты информации может быть в лучшем случае адекватна потенциальным угрозам. Поэтому при планировании защиты необходимо представлять, кого и какая именно информация может интересовать, какова ее ценность и на какие финансовые жертвы ради нее способен пойти злоумышленник. Вторая аксиома: система защиты информации должна быть комплексной, то есть использующей не только технические средства защиты, но также административные и правовые. Третья аксиома: система защиты информации должна быть гибкой и адаптируемой к изменяющимся условиям. Главную роль в этом играют административные мероприятия, такие, например, как регулярная смена паролей и ключей, строгий порядок их хранения, анализ журналов регистрации событий в системе, правильное распределение полномочий пользователей и другое.
В соответствии с федеральным законом “Об информации, информатизации и защите информации” целями защиты информации являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы.
Как уже сказано, создание защищенной системы - задача комплексная, и решается она путем применения программно-технических методов и средств, а также с помощью организационных мероприятий. Конкретные средства защиты информации реализуют только типовые функции по ее защите, реальная же защитная система строится исходя из возможных угроз и выбранной политики безопасности. Ниже приводится обобщенный перечень угроз и предлагается перечень мероприятий по защите данных:
· Для защищаемых помещений угрозу составляют: радиозакладки и утечка информации по техническим каналам (акустический, виброакустический, акустоэлектрический, визуально-оптический). В качестве защиты от данных угроз применяется: проверка помещений на закладки, проверка помещений на соответствие требованиям СТР-97 и аттестация помещений.
· Для системы электропитания и заземления угрозу составляют: утечка информации по цепям электропитания и заземления, а также вывод из строя системы воздействием электромагнитным излучением. В качестве защиты от данных угроз применяется: размещение трансформаторных подстанций в пределах контролируемой зоны, установка контура заземления в пределах контролируемой зоны и установка фильтров на вводах первичного электропитания.
· Для кабельной системы и пассивного оборудования сети передачи данных угрозу представляют: информационные наводки за счет параллельного пробега с техническими коммуникациями других сетей, несанкционированное подключение к кабельной магистрали и кроссам. В качестве защиты от данных угроз применяется: экранирование магистральных линий, прокладка кабельной системы в коробах, физическая защита технических помещений и ограничение доступа к кроссам, применение ВОЛС.
· Для активного сетевого оборудования сети передачи данных угрозу представляет: несанкционированное подключение к портам оборудования, перехват трафика, отключение электропитания, отказы и сбои аппаратуры. В качестве защиты от данных угроз применяется: получение предписания на эксплуатацию, размещение в экранированных приборных стойках, физическая защита помещений и ограничение доступа к оборудованию, проверка программного обеспечения рабочих станций, серверов и его защита от несанкционированного изменения, применение устройств бесперебойного электропитания, резервирование оборудования.
· Для средств вычислительной техники (серверы и рабочие станции) угрозу представляет: доступ к информации путем использования несанкционированного программного обеспечения, отключение электропитания, несанкционированный доступ к серверам и рабочему месту администратора, отказы и сбои аппаратуры. В качестве защиты от данных угроз применяется: получение предписания на эксплуатацию, применение устройств бесперебойного электропитания, физическая защита помещений и ограничение доступа к оборудованию, резервирование оборудования, пространственное зашумление, применение сертифицированных программно-аппаратных комплексов защиты.
· Для системного и прикладного программного обеспечения, а также данных угрозу представляет: нарушение целостности программного обеспечения, ошибки администратора, ошибки пользователя. В качестве защиты от данных угроз применяется: применение сертифицированных программно-аппаратных комплексов защиты, применение программного обеспечения защиты от вирусов, резервное копирование, контроль со стороны администратора, обучение пользователей.
· Угрозу может представлять рабочий персонал путем: хищения сменных носителей и бумажных копий документов, несанкционированного доступа к информации в ЛВС, неумышленных ошибок, компрометации паролей доступа и ключей шифрования. В качестве защиты от данной угрозы применяется: учет и соответствующее хранение сменных носителей, отключение дисководов, учет и соответствующее хранение бумажных носителей, установка печатающих устройств в режимных помещениях, применение сертифицированных программно-аппаратных комплексов защиты от несанкционированного доступа, разработка и внедрение нормативных документов и инструкций, разделение функций администрирования и контроля между системными администраторами и администраторами безопасности, организация и поддержание системы генерации паролей, организация скрытого контроля за работой персонала.
Мероприятия по созданию систем защиты конфиденциальной информации, реализуемые вне единого комплекса мер, предусмотренных в концепции политики безопасности, бесперспективны с точки зрения ожидаемой отдачи по решению проблем безопасности.
Криптосистемы
Криптографические методы являются наиболее эффективными средствами защиты информации в автоматизированных системах (АС). А при передаче информации по протяженным линиям связи они являются единственным реальным средством предотвращения несанкционированного доступа.
Любой криптографический метод характеризуется такими показателями, как стойкость и трудоемкость:
- Стойкость метода - это тот минимальный объем зашифрованного текста, статистическим анализом которого можно вскрыть исходный текст. Таким образом стойкость шифра определяет допустимый объем информации, зашифровываемый при использовании одного ключа.
Трудоемкость метода определяется числом элементарных операций, необходимых для шифрования одного символа исходного текста.