Организация системы безопасности по уровням
Роль информации в современном мире
Современный мир характеризуется такой интересной тенденцией, как постоянное повышение роли информации. В последнее столетие появилось много таких отраслей производства, которые почти на 100% состоят из одной информации, например, дизайн, создание программного обеспечения, реклама и другие.
В прошлые века человек использовал орудия труда и машины для обработки материальных объектов, а информацию о процессе производства держал в голове. В XX столетии появились машины для обработки информации – компьютеры, роль которых все повышается.
Указанные тенденции однозначно свидетельствуют, что начинающийся XXI век станет информационным веком, в котором материальная составляющая отойдёт на второй план.
Защита информации – комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности.
Значение защиты
С повышением значимости и ценности информации соответственно растёт и важность её защиты.
С одной стороны, информация стоит денег. Значит утечка или утрата информации повлечёт материальный ущерб. С другой стороны, информация – это управление. Несанкционированное вмешательство в управление может привести к катастрофическим последствиям в объекте управления – производстве, транспорте, военном деле. Например, современная военная наука утверждает, что полное лишение средств связи сводит боеспособность армии до нуля.
Защиту информации (ЗИ) в рамках настоящего курса определим так: меры для ограничения доступа к информации для каких-либо лиц (категорий лиц), а также для удостоверения подлинности и неизменности информации.
Вторая задача может показаться слабо связанной с первой, но на самом деле это не так. В первом случае владелец информации стремится воспрепятствовать несанкционированному доступу к ней, а во втором случае – несанкционированному изменению, в то время как доступ для чтения разрешён. Как мы позже увидим, решаются эти задачи одними и теми же средствами.
Аспекты защиты
Во-первых, хорошая защита информации обходится дорого. Плохая же защита никому не нужна, ибо наличие в ней лишь одной "дырки" означает полную бесполезность всей защиты в целом (принцип сплошной защиты). Поэтому прежде чем решать вопрос о защите информации, следует определить, стоит ли она того.
Во-вторых, прежде чем защищать информацию, нелишне определить перечень вероятных угроз, поскольку от всего на свете вы всё равно не защититесь. Возможен вариант, когда вам надо обезопасить данные от несанкционированного доступа извне, например, из Интернета.
В-третьих, при планировании схемы ЗИ большое значение имеет не только её объективная надёжность, но и отношение к защите других людей. В некоторых случаях достаточно, чтобы вы сами были уверены в достаточной надёжности защиты. А в других – это нужно доказать иным людям (например, заказчикам), часто не разбирающимся в соответствующих вопросах. Здесь встаёт вопрос сертификации, о котором мы поговорим позже.
Анализ схем защиты
Все вышеуказанные аспекты анализируются до начала мероприятий по ЗИ. В противном случае вы рискуете впустую затратить силы и средства. В разделе 7 будет дана подробная схема, по которой проводится анализ планируемой схемы ЗИ.
Заметим, что в большинстве практических случаев, с которыми автору пришлось иметь дело, такой анализ показывал, что защита или не требуется вовсе, или нужны лишь чисто номинальные, "показушные" мероприятия.
Носители информации
Очень часто путают саму информацию и её носитель.
Виды носителей
Информация – вещь нематериальная. Это сведения, которые зафиксированы (записаны) тем или иным расположением (состоянием) материального носителя, например, порядком расположения букв на странице или величиной намагниченности ленты.
Материя и информация неотделимы друг от друга. Информация не может существовать сама по себе, в отрыве от материального носителя. Материя же не может не нести информации, поскольку всегда находится в том или ином определённом состоянии.
Традиционно используемым носителем информации является бумага с нанесёнными на ней тем или иным способом изображениями.
Поскольку в наше время основным средством обработки информации является компьютер, то и для хранения информации используются в основном машинно-читаемые носители. Ниже приводится полный список известных типов машинных носителей с их качественными характеристиками.
- Жёсткий магнитный диск, ЖМД, НЖМД (hard disk, HD). Большая ёмкость, высокая скорость доступа.
- Гибкий магнитный диск, ГМД (floppy disk, FD) или дискета (diskette). Небольшая ёмкость, низкая скорость доступа, но и стоимость тоже низкая
- Перезаписываемый лазерный компакт-диск (CD-R, CD-RW). В одних случаях возможна только запись (без перезаписи), в других - также ограниченное число циклов перезаписи данных. Те же характеристики, что и для обычного компакт-диска.
- DVD-диск. Аналогичен CD-ROM, но имеет более высокую плотность записи (в 5-20 раз). Имеются устройства как только для считывания, так и для записи (перезаписи) DVD.
- Магнитные карты (полоски). Маленькая ёмкость, транспортабельность, возможность сочетания машинно-читаемой и обычной текстовой информации. Кредитные карточки, пропуска, удостоверения и т.п.
- Существует большое количество специализированных носителей, применяемых в различных малораспространённых приборах. Например, магнитная проволока, голограмма.
2.2. Защита носителей и её отличие от защиты информации
Важно различать два вида ЗИ – защита носителей и защита непосредственно информации, безотносительно к тому, где она находится.
Первый вид включает несколько методов защиты носителей информации (здесь мы будем рассматривать только компьютерные носители), их можно подразделить на программные, аппаратные и комбинированные. Метод же защиты самой информации только один – использование криптографии, то есть, шифровка данных.
Если вы много работали с современными персональными компьютерами, то познакомились с некоторыми наиболее распространёнными методами защиты носителей. Вот их перечень.
- Для всех сменных носителей – физическая их защита, например, запереть в сейф.
- Для всех встроенных в ПК носителей – воспрепятствование включению питания компьютера. Конечно, этот метод действенен для ограниченного числа случаев.
- Программное воспрепятствование доступу к конкретному носителю или к компьютеру целиков. Например, пароль на CMOS.
- Программно-аппаратный метод с использованием электронных ключей, которые чаще всего вставляются в COM-порт ПК. Не получая нужный ответ от ключа, программа, для которой он предназначен, не будет работать или давать пользователю доступ к своим данным.
Комплексные меры по защите информации
Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует защиту информации ЗИ. Любую защиту можно преодолеть. Но лишь «в принципе». Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.
Категоризация информации
Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:
· возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;
· экономической целесообразности преодоления защиты для противника.
Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в наших государственных органах принято 4 категории секретности:
· «для служебного пользования»,
· «секретно» (кат.3),
· «совершенно секретно», (кат.2)
· «совершенно секретно особой важности» (кат.1).
Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.
Комплекс мер защиты
Постановка задач
Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого мы должны ответить на следующие вопросы.
1. Что именно мы намереваемся защищать?
Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:
· кто является участником информационного процесса;
· каковы задачи участников информационного процесса;
· каким именно образом участники процесса выполняют стоящие перед ними задачи.
2. От чего мы собираемся защищать нашу систему?
Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:
· каков критерий «нормального» прохождения процесса информационного взаимодействия;
· какие возможны отклонения от "нормы".
3. От кого мы собираемся защищать нашу систему?
Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:
· кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;
· каких целей добиваются злоумышленники;
· какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;
· какие действия могут предпринять злоумышленники для достижения своих целей.
Физическая защита
Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации.
Прежде всего следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши провода проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.
Криптографическая защита
Криптография (иногда употребляют термин криптология) – область знаний, изучающая тайнопись (криптография) и методы ее раскрытия (криптоанализ). Криптография считается разделом математики.
Человеческий фактор
Как правило, человек является наименее надёжным звеном. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.
Активная защита
Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются активные мероприятия против попыток получить доступ к вашей информации. Например, следующие:
· поиск и выведение из строя устройств для скрытого съёма вашей информации;
· выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;
· выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;
· создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;
· демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;
· контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.
Прочие меры
Естественно, в комплекс мер защиты информации входит и размещение соответствующего оборудования и оргструктур в специально оборудованных (в идеале - специально построенных) для этого помещениях.
Сегодня же защита информации становится обязанностью каждого пользователя системы, что требует не только навыков обращения с системой безопасности, но и знаний о способах неправомерного доступа для предотвращения такового. Надежный контроль над информацией обеспечивает безопасность бизнеса, а так же позволяет качественно и своевременно устранять ошибки, возникающие в течение производственных процессов, облегчая работу персонала.
Основные уровни защиты информации на предприятии
Можно выделить три основных уровня защиты информации:
• защита информации на уровне рабочего места пользователя;
• защита информации на уровне подразделения предприятия;
• защита информации на уровне предприятия.
Информация первоначально создается на конкретном рабочем месте рядового пользователя системы предприятия. Очень часто именно там информация хранится и первично обрабатывается.
Рабочие места чаще всего объединяются в локальную сеть для совместной работы и обмена информацией. В данном случае мы говорим о локальной сети подразделения, пользователи которой находятся друг от друга на достаточно небольших расстояниях.
Уровни защиты информации локальной сети подразделения отличаются более сложными механизмами, чем на рабочем месте пользователя. Защита данных на различных уровнях имеет как общие, так и специальные способы защиты.
Локальные сети подразделений часто объединены в общую сеть предприятия, которая кроме рабочих мест рядовых пользователей имеет в своем составе также серверное оборудование и специализированные устройства, которые отвечают за функционирование и защиту всей сети предприятия. Кроме того локальные сети предприятия могут быть географически удалены друг от друга.
Организация системы безопасности по уровням
В системе безопасности существуют следующие уровни защиты информации:
- физическая защита информации;
- контроль доступа и персональная идентификация;
- применение ключей для шифрования данных;
- защита излучения кабеля;
- защита «обратный вызов».
Для правильного построения защитных механизмов системы безопасности следует изучить не только функционирование информационных потоков внутри предприятия, но и возможности неправомерного доступа к информации извне. В зависимости от типа угрозы, применяются определенные меры по защите информации. Поэтому каждому уровню соответствует тот или иной способ защиты информации.
Уровни защиты, в соответствии с механизмами реагирования на угрозы
- В соответствии с механизмами реагирования на угрозу, определяют следующие уровни защиты информации:
- предотвращение – внедрение служб контроля доступа к информации и технологии;
- обнаружение - раннее обнаружение угрозы, даже в случае обхода механизмов защиты;
- ограничение – уменьшение размера информационных потерь, в случае уже произошедшего преступления;
- восстановление - обеспечение эффективного восстановления информации в случае её утраты или уничтожения.
Таким образом, существует несколько уровней защиты информации, характеризующиеся применение различных методов и механизмов реагирования.