Загинайлов Теория ИБ-1 главы с 4 по 10
.pdfобработки, передачи и систем защиты информации (сертификаты на СрЗИ, аттестаты соответствия на объекты информатизации по требованиям безопасности, сертификаты ключей ЭЦП и т.п.);
– локальные нормативные акты организаций закрепляющие правовой статус защищаемой информации, органов защиты информации, и регулирующих обращение с этой информацией.
Морально – этические меры включают нормы поведения, кото-
рые традиционно сложились или складываются по мере распространения ЭВМ в стране или обществе. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты, однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные (например, общепризнанные нормы честности, патриотизма и т.п.), так и писаные, то есть оформленные в некоторый свод (устав) правил или предписаний.
Достоинства и недостатки правовых и морально-этических мер защиты. Эти меры определяют (регламентируют) правила обращения с информацией и ответственность субъектов информационных отношений за их соблюдение.
Законодательные и морально-этические меры противодействия, являются универсальными в том смысле, что принципиально применимы для всех каналов проникновения и НСД к АС и информации. В некоторых случаях они являются единственно применимыми, как, например, при защите открытой информации от незаконного тиражирования или при защите от злоупотреблений служебным положением при работе с информацией.
Их основным недостатком является то, что на реализацию требуется достаточно много времени и сил, поскольку в основном они реализуются через суд.
Организационные способы защиты информации. Организа-
ционные (административные) способы - это меры организационного характера, регламентирующие процессы функционирования системы обработки данных, использование ее ресурсов, деятельность персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности информации. Они основаны на принципах управления коллективом и предприятием (службой) и принципах законности. Организационные способы включают:
– мероприятия, осуществляемые при проектировании, строитель-
211
стве и оборудовании вычислительных центров и других объектов систем обработки данных;
–мероприятия по разработке правил доступа пользователей к ресурсам системы (разработка политики безопасности);
–мероприятия, осуществляемые при подборе и подготовке персонала системы;
–организацию охраны и надежного пропускного режима;
–организацию учета, хранения, использования и уничтожения документов и носителей с информацией;
–распределение реквизитов разграничения доступа (паролей, ключей шифрования и т.п.);
–организацию явного и скрытого контроля за работой пользова-
телей;
–мероприятия, осуществляемые при проектировании, разработке, ремонте и модификациях оборудования и программного обеспечения и т.п.
Достоинства и недостатки. Организационные меры - это единственное, что остается, когда другие методы и средства защиты отсутствуют или не могут обеспечить требуемый уровень безопасности. Однако, это вовсе не означает, что систему защиты необходимо строить исключительно на их основе, как это часто пытаются сделать на практике.
Достоинства организационных мер:
–широкий круг решаемых задач;
–простота реализации;
–гибкость реагирования на несанкционированные действия;
–практически неограниченные возможности изменения и разви-
тия.
Этим мерам присущи серьезные недостатки, такие как:
–необходимость использования людей;
–повышенная зависимость от субъективных факторов;
–высокая зависимость от общей организации работ в организа-
ции;
–низкая надежность без соответствующей поддержки физическими, техническими и криптографическими средствами (люди склонны к нарушению любых установленных дополнительных ограничений
иправил, если только их можно нарушить);
–дополнительные неудобства, связанные с большим объемом рутинной формальной деятельности.
212
Организационные меры необходимы для обеспечения эффективного применения других мер и средств защиты в части, касающейся регламентации действий людей. В то же время организационные меры необходимо поддерживать более надежными физическими и техническими и всеми другими средствами. В связи с этим в системе организационного обеспечения информационной безопасности выделяют два направления: - направление, связанное с реализацией мер организационноправового характера и направление, связанное с реализацией мер организационно-технического характера. Первое направлено на реализацию правовых методов защиты информации и поддержание правового режима обработки информации. Второе направлено на поддержание правового режима обработки информации методами инженернотехнической защиты.
Техническая защита информации. Инженерно-технические способы и средства защиты информации предназначены для защиты информации от утечки по техническим каналам и противодействия технической разведке.
Инженерно-техническая защита информации. Способы ин-
женерно-технической защиты с использованием аппаратных и аппа- ратно-программных средств защиты ИОД основаны, в основном, на принципе маскировки, они включают:
–способы и соответствующие им средства защиты объектов от наблюдения в оптическом диапазоне электромагнитных волн, от радиолокационного и радиотеплолокационного (ИК) наблюдения;
–способы защиты линий связи учреждений и предприятий от утечки ИОД;
–способы и средства устранения (снижения) утечки информации за счет побочных электромагнитных излучений и наводок (ПЭМИН),
–способы защиты акустической информации, меры по скрытию объектов от акустической, гидроакустической и сейсмической разведки;
–способы радиоэлектронного противодействия средствам радио
ирадиотехнической разведки;
–способы защиты объектов от химической, радиационной и магнитометрической разведки.
Недостатком инженерно-технических способов и средств защи-
ты является то, что они не могут защитить информацию от персонала, допущенного к работе в АС. Для решения этой задачи предназначены программно-аппаратные способы и средства защиты. Кроме того, эти способы являются зачастую дорогостоящими. Цена большинства
213
средств, особенно средств оценки эффективности инженернотехнической защиты, в десятки, а иногда и в сотни раз превышает стоимость программно-аппаратных средств.
Программно-аппаратная защита информации. Способы и средства программно-аппаратной защиты предназначены для защиты внутренней среды АС и хранящейся в ней информации, от угроз, которые могут быть реализованы с использованием инфотелекоммуникационных и системно-программных каналов, и в первую очередь от НСД и НСВ. Классификация программно-аппаратных способов и средств защиты по объектам защиты приведена на рисунке 14.3.
Программно-аппаратные способы
и средства защиты
|
|
|
|
|
|
|
|
|
|
|
Способы и |
|
Способы и |
|
Способы и |
|
Способы и |
||||
средства защиты |
|
средства защиты |
|
средства защиты |
|
средства защиты |
||||
программ и дан- |
|
в операционных |
|
в ИТКС |
|
баз данных |
||||
ных |
|
системах |
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
Рисунок 14.3 – Классификация программно - аппаратных способов и средств защиты
Как правило, современные программно-аппаратные средства защиты реализуют несколько способов. Особым направлением является разработка и внедрение системы защиты от НСД в виде программноаппаратного комплекса на базе операционной системы.
Достоинства и недостатки. Достоинства программноаппаратных способов и средств:
1)универсальность;
2)гибкость;
3)надежность функционирования;
4)простота реализации;
5)широкие возможности модификации и развития.
Недостатки программно-аппаратных средств:
214
1)снижение функциональных возможностей АС;
2)необходимость использования запоминающих устройств АС;
3)подверженность случайным или закономерным модификаци-
ям;
4) ориентация на вполне определённые типы ЭВМ и ПО (ОС, СУБД).
Криптографическая защита информации. Наиболее надеж-
ными и стойкими к угрозам безопасности информации являются криптографические способы и средства защиты.
Криптографическое закрытие является специфическим способом защиты информации, оно имеет многовековую историю развития и применения. Оно заключается в преобразовании её составных частей (слов, букв, слогов, цифр) с помощью специальных алгоритмов либо аппаратных решений и ключей, т.е. приведение её к неявному виду.
Криптографические способы защиты информации могут применяться как для защиты информации, обрабатываемой в ЭВМ или хранящейся в различного рода запоминающих устройствах, так и для закрытия информации, передаваемой между различными элементами системы по линиям связи и каналам телекоммуникаций. Классификация криптографических средств защиты информации приведена на рисунке 14.4.
Криптографические средства защиты информации
Средства шифрования
Средства имитозащиты
Средства изготовления ключевых документов
Средства кодирования
Средства ЭЦП
Ключевые документы
Рисунок 14.4 – Классификация криптографических средств защиты информации
215
Криптографические средства могут быть с программной, про- граммно-аппаратной или аппаратной реализацией.
Возможность программной реализации обуславливается тем, что все методы криптографического закрытия формальны и могут быть представлены в виде конечной алгоритмической процедуры.
Средства шифрования - аппаратные, программные и аппаратнопрограммные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информации от НСД при ее передаче по каналам связи и (или) при ее обработке и хранении.
Средства имитозащиты - аппаратные, программные и аппаратно- программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации;
Средства кодирования - средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций;
Средства электронной цифровой подписи (ЭЦП) - аппаратные,
программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций: создание ЭЦП с использованием закрытого ключа ЭЦП, подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП, создание закрытых и открытых ключей ЭЦП.
Средства изготовления ключевых документов – средства,
предназначенные для выработки по определенным правилам криптоключей (независимо от вида носителя ключевой информации).
Ключевой документ - физический носитель определенной структуры, содержащий ключевую информацию (совокупность данных, предназначенных для выработки по определенным правилам криптоключей), а при необходимости - контрольную, служебную и технологическую информацию.
Выработанные криптоключи могут «записываться» на ключевые носители разового или многократного использования. К носителям многократного использования относятся: магнитная лента, диске-
та, компакт-диск, Data Key, Smart Card, Touch Memory и т.п.
Основным достоинством программных способов реализации криптографической защиты является их гибкость, т.е. возможность быстрого изменения алгоритма шифрования. При этом можно предварительно создать пакет шифрования, содержащий программы для раз-
216
личных методов шифрования или их комбинаций. Смена программ будет производиться оперативнов процессефункционирования системы.
При аппаратной реализации все процедуры шифрования и дешифрования выполняются специальными электронными модулями, сопряженными с ЭВМ.
Криптографические методы и средства на современном этапе являются наиболее надежными. При этом используется как шифрование так и кодирование информации.
Под шифрованием понимается такой вид криптографического закрытия, при котором преобразованию подвергается каждый символ защищаемого сообщения.
Под кодированием понимается такой вид криптографического закрытия, когда некоторые элементы защищаемых данных (это не обязательно отдельные символы) заменяются заранее выбранными кодами (цифровыми, буквенными, буквенно-цифровыми сочетаниями и т.п.). Этот метод имеет две разновидности: смысловое и символьное кодирование. При смысловом кодировании кодируемые элементы имеют вполне определенный смысл (слова, предложения, группы предложений). При символьном кодировании кодируется каждый символ защищаемого сообщения. Символьное кодирование по существу совпадает с шифрованием заменой.
Недостатки криптографических способов и средств. Надёж-
ность защиты зависит от способа (алгоритма) шифрования, его устойчивости к криптоанализу. Несмотря на высокую устойчивость, СКЗИ подвержены криптоанализу и компрометации криптоключей (хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптоключи могут стать доступными несанкционированным лицам и (или) процессам.
Контрольные вопросы и задания
1.Перечислите виды защиты информации и укажите сферу действия каждого вида.
2.Что понимается под способом защиты информации?
3.Как классифицируются общие способы защиты информации?
4.Что понимается под средством защиты информации?
5.Приведите общую классификацию средств защиты информа-
ции.
6.В чём заключаются достоинства и недостатки правовых мер защиты информации?
217
7.В чём заключаются достоинства и недостатки организационных мер защиты информации?
8.В чём заключаются достоинства и недостатки инженернотехнических способов и средств защиты информации?
9.В чём заключаются достоинства и недостатки программноаппаратных способов и средств защиты информации?
10.В чём заключаются достоинства и недостатки криптографических способов и средств защиты информации?
218
Глава 15 НАЗНАЧЕНИЕ И СТРУКТУРА СИСТЕМ ЗАЩИТЫ
ИНФОРМАЦИИ
15.1 Понятие и общая структура системы защиты информации
Понятие системы защиты. В современной научной литературе и нормативных документах по защите информации встречаются различные определения понятия «система защиты информации». В теории систем понятие «система» так же определяется по-разному:
1)«Система – это комплекс взаимодействующих компонентов» (Л. Берталанфи);
2)«Система представляет собой определённое множество взаимосвязанных элементов, образующих устойчивое единство и целостность, обладающее интегральными свойствами и закономерностями» (В. П. Кузьмин);
3)«Система – это не просто совокупность единиц… а совокупность отношений между этими единицами» (А. Рапорт).
Среди множества определений можно выделить главную суть системы, которая заключается не только в том, что система включает некоторое множество компонентов, но и в том, что взаимодействие этих компонентов приводит к получению некоторого полезного (интегрированного) результата, который невозможно получить, используя каждый компонент в отдельности.
В Российских национальных стандартах по защите информации понятие системы защиты информации определяется следующим образом:
Система защиты информации – совокупность органов и (или) исполнителей, используемой ими техники защиты информации, а также объектов защиты информации, организованная и функционирующая по правилам и нормам, установленным соответствующими документами в области защиты информации.
Общая структура систем защиты информации. Исходя из оп-
ределения понятия «система» в системах защиты информации можно (по крайней мере) выделить 4 взаимосвязанных и взаимодействующих компонента (элемента) без которых решение задач защиты будет проблематичным. Состав этих компонентов приведен на рисунке 15.1
Орган защиты информации – административный орган, осуществляющий организацию защиты информации.
219
Система
защиты
информации
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Орган защи- |
|
Техника |
|
Объекты |
|
Правила и |
|||||
ты инфор- |
|
защиты |
|
защиты |
|
нормы |
|||||
мации |
|
информации |
|
информации |
|
установлен- |
|||||
(исполните- |
|
|
|
|
|
|
|
|
ные доку- |
||
ли) |
|
|
|
|
|
|
|
|
ментами |
||
|
|
|
|
|
|
|
|
|
|
|
|
Рисунок 15.1 – Компоненты системы защиты информации
Внастоящее время в сложившейся практике подразделения по защите информации на предприятиях, в организациях и учреждениях могут именоваться:
– отдел защиты государственной тайны и информации;
– отдел защиты информации;
– отдел информационной безопасности;
– служба защиты информации;
– служба информационной безопасности и т.п.
Вслучаях отсутствия специальной службы или отдела могут назначаться отдельные исполнители ответственные за защиту, например, администраторы безопасности компьютерной сети или АС, администраторы безопасности баз данных и т.д.
Техника защиты информации – средства защиты информации, в том числе средства физической защиты информации, криптографические средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты информации – информация или носитель информации, или информационный процесс, которые необходимо защищать в соответствии с целью защиты информации. Состав объектов защиты рассмотрен в главе 13.
220