2.2. Методы защиты информации в библиотеках.

Методы, используемые для защиты конфиденциальности информации, делятся на три категории:

• организационные (меры, регламентируемые внутренними документами – правилами, инструкциями и т.д. библиотеки);

• технологические (механизмы защиты на базе программно-аппаратных средств);

• правовые (меры контроля за исполнением нормативных актов федерального и регионального законодательства).

Реально применяемые методы могут сочетать в себе элементы из разных категорий.

Правовые методы используются для защиты информационных ресурсов и должны включать, прежде всего, мероприятия по обеспечению соблюдения положений Федерального закона “Об информации, информатизации и защите информации” (ФЗ РФ “Об информации, информационных технологиях и о защите информации” // Российская газ. – 2006. – 29 июля) [3] и других законодательных актов РФ, регламентирующих работу с персональными данными и устанавливающих ответственность за нарушения режима защиты, обработки и порядка использования этих данных.

Применение конкретных мер защиты конфиденциальности зависит от категории расположения информации. Для категории расположения "информация на съемных носителях" используются в основном организационные методы. Они состоят в установлении и строгом исполнении порядка обращения с машинными носителями (на которых хранится конфиденциальная информация).

Этот порядок должен включать следующий комплекс мер [17]:

• создание машинных носителей (запись на них информации) на рабочих местах, обеспечивающих физическую сохранность носителей и отсутствие утечек информации по техническим каналам;

• постановка на учет машинных носителей с простановкой соответствующей маркировки на зарегистрированном носителе. Одним из элементов маркировки должен быть гриф конфиденциальности (секретности) информации, хранящейся на данном носителе;

• передача машинных носителей между подразделениями библиотеки под расписку;

• вынос машинных носителей за пределы библиотеки только с разрешения уполномоченных лиц;

• хранение машинных носителей в условиях, исключающих несанкционированный доступ к ним посторонних. Для хранения рекомендуется использовать надежно запираемые и опечатываемые шкафы. Надлежащие условия хранения должны быть обеспечены для всех учтенных машинных носителей, независимо от того, находятся они в эксплуатации или нет; уничтожение машинных носителей, которые утратили свои эксплуатационные характеристики или не используются из-за перехода на новый тип носителя, специально организованными комиссиями согласно актам, утверждаемым уполномоченными лицами. Уничтожение носителей должно производиться путем их физического разрушения, не допускающего восстановления и повторного использования носителей. Перед уничтожением конфиденциальная информация должна быть, по возможности, гарантированно удалена;

• передача в ремонт средств вычислительной техники без машинных носителей (в том числе без накопителей на жестких дисках). В случае ремонта машинных носителей информация на них должна быть гарантированно удалена. Если удалить информацию невозможно, решение о ремонте принимается руководителем соответствующего подразделения или коллегиально, а ремонт осуществляется в присутствии лица, ответственного за защиту информации на данном носителе;

• периодический контроль контролирующими подразделениями соблюдения установленных правил обращения с машинными носителями и их физической сохранности.

Для успешного исполнения перечисленных мер в должностных инструкциях персонала, работающего в автоматизированной системы библиотеки, следует установить ряд запрещений:

• сообщать кому бы то ни было, если это не вызвано служебной необходимостью, любые сведения о порядке защиты, учета и хранения машинных носителей, о системе охраны автоматизированной системы библиотеки;

• использовать для работы с конфиденциальной информацией незарегистрированные машинные носители;

• хранить на машинных носителях информацию с более высокой степенью конфиденциальности (секретности), чем определено для него в момент регистрации (и указано в грифе маркировки);

• работать с неучтенными экземплярами конфиденциальных документов, полученных в ходе обращений в автоматизированную систему, и передавать их другим сотрудникам;

• выносить из помещений машинные носители, содержащие конфиденциальные данные, подготовленные в автоматизированной системе документы, а также другую документацию, отдельные блоки, аппаратуру и другое оборудование; принимать и передавать машинные носители и документы без соответствующей расписки в учетных документах, знакомить с ними других сотрудников без разрешения соответствующих должностных лиц;

• делать на этикетках машинных носителей или на их упаковках пометки и надписи, раскрывающие содержание этих носителей;

• уничтожать машинные носители и документы без санкции соответствующего должностного лица и оформления в установленном порядке;

• проводить в автоматизированной системе обработку конфиденциальной информации и выполнять другие работы, не обусловленные заданиями, поступающими запросами и инструкциями по эксплуатации автоматизированной системы, а также знакомиться с содержанием машинных носителей и документами по вопросам, не имеющим отношения к служебным обязанностям;

• вносить в помещения, где расположены автоматизированные системы, постороннее имущество и материалы, в том числе кино-, фото-, радио- и другую аппаратуру.

Последние два запрета относятся и к организационным мерам защиты конфиденциальности информации других категорий расположения. Кроме того, физический доступ в помещения, где находится изолированная часть аппаратных средств и служебная часть, подключенная к общей Сети, должен быть строго регламентирован организационно и обеспечиваться также технологическими мерами (специальными замками, системами сигнализации и т.п.).

Существенной чертой информации категорий расположения является принципиальная неустранимость физического канала доступа (по Сети к ресурсам других компьютеров или к внутренним ресурсам компьютера, к которому есть непосредственный доступ) к конфиденциальной информации лиц, не имеющих полномочий доступа (читателей библиотеки, персонала без соответствующих полномочий).

В такой ситуации можно применять только технологические методы защиты конфиденциальности. Прежде всего, это системы идентификации и аутентификации пользователей автоматизированной системы. При этом методы, основанные на использовании индивидуальных биометрических характеристик, не могут считаться приемлемыми вследствие их слишком высокой стоимости. Наиболее подходящими для этих целей являются парольные системы (программно-аппаратные комплексы, реализующие систему идентификации и аутентификации пользователей автоматизированной системы на основе паролей). Во-первых, они сравнительно недороги, а во-вторых, имеется большое количество готовых разработок (в том числе в составе некоторых распространенных операционных систем).

Для повышения уровня безопасности, обеспечиваемого парольной системой, при ее эксплуатации рекомендуется придерживаться следующих правил и ограничений:

1. Устанавливать минимальную длину, меньше которой пароль пользователя быть не может.

2. Использовать в паролях различные группы символов.

3. Проверять и отбраковывать пароли по словарю (запрещать пароли, являющиеся осмысленными комбинациями символов, имеющимися в словарях).

4. Устанавливать максимальный срок действия пароля.

5. Устанавливать минимальный срок действия пароля.

6. Запретить установление паролей, когда-либо использовавшихся каким-либо участником системы.

7. Вести журнал истории паролей.

8. При вводе пользователем неправильного пароля использовать задержку обработки очередного введенного пароля (кратковременное блокирование парольной системы для данного пользователя).

9. Ввести ограничение числа попыток ввода неправильного пароля (после нарушения которого происходит долговременное блокирование парольной системы для данного пользователя).

10. Запретить выбор пароля пользователем, а генерировать пароли автоматически.

11. Ввести принудительную смену пароля при первой регистрации пользователя в системе.

Правила 1,2 увеличивают мощность пространства паролей и этим снижают вероятность подбора пароля методом “тотального опробования”, а также усложняют задачу злоумышленника при попытке подсмотреть пароль. Правило 3 не позволяет злоумышленнику реализовать эффективную атаку по словарю (опробование в качестве паролей слов из словарей). Правило 4 уменьшает вероятность подбора пароля методом “тотального опробования”. Правило 5 содействует тому же, препятствуя попыткам пользователя заменить пароль на старый после его смены по правилу 4. Правило б исключает такую смену вообще. Правило 7 необходимо для исполнения правил 4-6. Правила 8,9 препятствуют любым методам интерактивного подбора паролей злоумышленником. Правило 10 исключает возможность подбора пароля по словарю благодаря специальному методу генерации (а также делает ненужным правило 5 и, обычно, автоматически учитывает правила 1,2). Правило 10 затрудняет работу пользователей, а потому его применение не всегда оправданно. Правило 11 защищает от неправомерных действий администратора системы, имеющего доступ к паролю во время создания учетной записи пользователя.

Кроме того, в базах данных учетных записей парольной системы не рекомендуется хранить пароли в открытом виде. Для защиты от угрозы захвата баз данных учетных записей злоумышленником пароли следует хранить либо в виде сверток (значений хэш-функций), либо зашифрованными на некотором ключе.

Выбирая для использования ту или иную парольную систему, нужно принимать во внимание, позволяет ли она обеспечить выполнение указанных рекомендаций.

Информация, обрабатывающаяся на компьютерах общей Сети, по сравнению с информацией, находящейся в изолированной части аппаратных средств, более уязвима вследствие того, что к ней имеется физический канал доступа из глобальной сети Интернет. Следовательно, требуется учитывать значительно более широкий круг потенциальных нарушителей информационной безопасности автоматизированной системы. Это означает большую вероятность того, что среди последних могут быть лица высшей квалификации и с самым мощным уровнем технической оснащенности. Кроме того, если над действиями лиц, находящихся внутри помещений библиотеки, имеется возможность визуального контроля (непосредственного или с помощью видеокамер), то для удаленных нарушителей такой возможности в принципе не существует.

Поэтому для защиты конфиденциальности информации, находящейся на компьютерах общей Сети, нужно более жестко следовать указанным выше рекомендациям для использования парольных систем, а также, может быть, применять дополнительные меры защиты. Например, криптографические, т.е. хранить конфиденциальную информацию в зашифрованном виде. Для дополнительной защиты от опасных воздействий со стороны глобальной сети Интернет следует использовать хорошо зарекомендовавшие себя межсетевые экраны (иначе именуемые брандмауэрами, или firewall). Многие из них при квалифицированном использовании позволяют достаточно гибко (по большому числу критериев) настраивать систему ограничений потоков информации как из внутренней сети в сеть Интернет, так и наоборот.

Что касается информации, передающейся по сетевым каналам, то дополнительная специфика ее уязвимости по сравнению с другими категориями расположения связана с тем, что неконтролируемый физический доступ нарушителя (с соответствующим оснащением) к любому участку внутренней компьютерной сети библиотеки приводит к возможности получения передаваемой информации минуя все средства защиты. Поэтому здесь на первый план выступают упоминавшиеся выше организационные и технологические методы контроля доступа в соответствующие помещения.

Тем не менее, абсолютной гарантии отсутствия доступа нарушителя к информации, передающейся по сетевым каналам, быть не может, а среди этой информации есть и аутентифицирующая (передающиеся по сети пароли). Поэтому в процедурах сетевой аутентификации рекомендуется использовать парольные системы, предоставляющие защиту от угроз, связанных с перехватом паролей, передаваемых по Сети. Это могут быть системы, применяющие одноразовые пароли (в том числе на основе односторонних функций), а также работающие на основе протокола “рукопожатие”

Более подробно эти вопросы изложены в [18], [19].

Для облегчения персоналу пользования такими парольными системами можно предусмотреть двухступенчатую процедуру (сначала – локальную, затем – сетевую). На первой ступени процесса аутентификации пользователь при помощи обычного многоразового пароля получает доступ ко второй ступени: находящемуся внутри локального компьютера ресурсу, который уже осуществляет сетевую аутентификацию.

Все указанные выше меры по защите конфиденциальности, ограничивающие доступ к ЭИР, защищают и от нарушения целостности конфиденциальной информации. Для защиты целостности неконфиденциальной информации их также следует использовать, но только устанавливая неполное ограничение доступа: чтение разрешается, а любое изменение (запись, создание, удаление) запрещено.

Поскольку информационные ресурсы библиотеки, как правило, не обладают особо высокой коммерческой, политической и оборонной ценностью для злоумышленников, то целенаправленное применение мощных специальных средств нарушения информационной безопасности автоматизированной системы со стороны хорошо технически и технологически оснащенных противников (специальных и разведывательных служб иностранных государств, коммерческих конкурентов и т.п.) маловероятно. Чаще следует опасаться неосторожных (ошибочных) действий пользователей и персонала либо преднамеренных действий со стороны слабомотивированных (безответственные развлечения, примитивное самоутверждение) злоумышленников невысокой квалификации. В таких условиях наиболее вероятно реализуемыми и, следовательно, наиболее опасными становятся воздействия так называемых компьютерных вирусов и других вредоносных программ (“троянские кони” (Trojans), “черви” (Worms) и т.д.).

Некоторые из них направлены на нарушение конфиденциальности информации, существуют также программы, приводящие к сбоям и отказам служб автоматизированных систем, но очень часто действия обычно распространяемых вирусов ведут к нарушению именно целостности информации.