ИТ в экономике / учебник / карминский ис в э
.pdf300 |
Глава 5 |
Защита осуществляется различными способами. Это может быть и физическая охрана, осуществляемая охранными предприятиями, и техническая защита с использованием специализированных средств и комплексов (например, защита от побочных электромагнитных излу чений или от высокочастотных излучений). Защита конфиденциаль ной информации от несанкционированного доступа выполняется с использованием средств шифрования и без их применения.
Важно правильно выбрать средства защиты информации, исходя из принципа "необходимой достаточности". Для этого надо реально оценить возможности конкурентов, разработать модель действий на рушителя, создать концепцию обеспечения безопасности предприятия.
Комплекс требований (рис. 5.6) к системе обеспечения информа ционной безопасности (СОИБ) разрабатывается в соответствии с на циональными и международными стандартами, например с учетом рекомендаций международного стандарта ISO 15408 "Общие крите рии оценки безопасности информационных технологий".
Комплекс требований к системе информационной безопасности
|
Минимальные требования |
Повышенные требования |
|
ч |
|
J |
|
|
|
т |
|
|
Базовый уровень защищенности |
Полный анализ рисков |
|
г |
1 |
1 |
^ |
Уточнение требований |
Анализ вариантов защиты |
||
^ |
к конкретной информационной |
по критерию |
^ |
системе |
^ "стоимость ~ эффективность" |
Политика информационной безопасности
Политика безопасности,
Базовые положения отвечающая повышенным требованиям
Рис. 5.6. Структура комплекса требований по информационной безопасности
Информационная безопасность |
3 0 1 |
В зависимости от начальных целей система информационной безопасности может развиваться как по направлению обеспечения базового уровня защищенности, так и по принципу обеспечения по вышенных требований защиты информации.
При построении системы информационной безопасности обяза телен всесторонний подход, обеспечивающий предупреждение реа лизаций возможных угроз информационной безопасности. Это пред полагает решение следующих задач.
1. В структуре подразделения, обеспечивающего безопасность предприятия в целом, должно быть специализированное инженер но-техническое подразделение по информационной безопасности. Штатное расписание этого подразделения должно предусматривать привлечение специалистов высокой квалификации в области инфор мационных технологий и современных систем связи.
2. Подразделение по информационной безопасности, изучив структуры, характеристики и точки уязвимости информационных систем и сетей связи, должно определить предварительную политику информационной безопасности, которая в дальнейшем должна быть закреплена официальными внутренними нормативными документа ми предприятия, предпроектными и проектными разработками по созданию системы информационной безопасности.
Международный стандарт ISO 17799 "Практические правила управления информационной безопасностью" задает определенную последовательность действий по созданию СОИБ (рис. 5.7).
Все этапы разработок, апробации и практического внедрения за щитных технологий должны сопровождаться мероприятиями по обу чению персонала, разъяснению политики информационной безопас ности, изданию соответствующих нормативных документов для ад министраторов сетей и систем, программистов, пользователей.
Защита конфиденциальной информации в организации осуществ ляется путем проведения организационных, организационно-техни ческих, инженерно-технических, программно-аппаратных и право вых мероприятий.
Организационные мероприятия предусматривают:
•формирование и обеспечение функционирования системы ин формационной безопасности;
•организацию делопроизводства в соответствии с требованиями руководящих документов;
302 |
|
Глава 5 |
|
|
Определение политики |
Документы, |
|
|
информационной |
определяющие политику |
|
|
безопасности |
безопасности |
|
|
X |
Документы, |
|
|
Установление границ |
||
|
определяющие границы |
||
|
объекта защиты |
||
|
системы (объекта) |
||
|
|
||
Угрозы, |
Проведение оценки |
Документы |
|
уязвимые места, |
с характеристикой угроз |
||
рисков |
|||
воздействия |
и уязвимостей |
||
Подход |
|
Контрмеры |
|
предприятия к |
Выбор контрмер и |
(организационные, |
|
управлению |
управление рисками |
процедурные, |
|
рисками |
|
программно-технические) |
|
|
|
||
Комплекс |
'Выбор средств контроля |
Комплексная система |
|
информационной |
|||
средств контроля |
и управления |
||
|
безопасности |
||
|
|
||
Аудит СОИ Б |
Сертификация СОИБ |
Ведомость соответствия |
Рис. 5.7. Этапы создания СОИБ
•использование для обработки информации защищенных систем
исредств информатизации, а также технических и программных средств защиты, сертифицированных в установленном порядке;
•возможность использования информационных систем для под готовки документов конфиденциального характера только на учтен ных установленным порядком съемных магнитных носителях и толь ко при отключенных внешних линиях связи;
•организацию контроля за действиями персонала при проведе нии работ на объектах защиты организации;
•обучение персонала работе со служебной (конфиденциальной) информацией и др.
Основными организационно-техническими мероприятиями по защите информации являются:
•экспертиза деятельности организации в области защиты ин формации;
•обеспечение условий защиты информации при подготовке и реализации международных договоров и соглашений;
Информационная безопасность |
303 |
•аттестация объектов по выполнению требований обеспечения защиты информации при проведении работ со сведениями, состав ляющими служебную тайну;
•сертификация средств защиты информации, систем и средств информатизации и связи в части защищенности информации от утеч ки по техническим каналам связи;
•разработка и внедрение технических решений и элементов за щиты информации на всех этапах создания и эксплуатации объектов, систем и средств информатизации и связи;
•применение специальных методов, технических мер и средств защиты информации, исключающих перехват информации, переда ваемой по каналам связи.
Для предотвращения уфозы утечки информации по техническим каналам проводятся следующие инэюенерно-техныческие мероприятия:
•предотвращение перехвата техническими средствами инфор мации, передаваемой по каналам связи;
•выявление внедренных электронных устройств перехвата ин формации (закладных устройств);
•предотвращение утечки информации за счет побочных элек тромагнитных излучений и наводок, создаваемых функционирую щими техническими средствами, электроакустических преобразова ний и др.
Программные (программно-аппаратные) мероприятия по предот вращению утечки информации предусматривают:
•исключение несанкционированного доступа к информации;
•предотвращение специальных воздействий, вызывающих раз рушение, уничтожение, искажение информации или сбои в работе средств информатизации;
•выявление внедренных программных или аппаратных "закладок";
•исключение перехвата информации техническими средствами;
•применение средств и способов защиты информации и контроля эффективности при обработке, хранении и передаче по каналам связи.
Правовые мероприятия - создание в организации нормативной правовой базы по информационной безопасности - предусматривают разработку на основе законодательных актов Российской Федерации необходимых руководящих и нормативно-методических документов, перечней охраняемых сведений, мер ответственности лиц за наруше ние порядка работы с конфиденциальной информацией.
304 |
Глава 5 |
Перечень необходимых мер защиты конфиденциальной инфор мации должен определяться дифференцированно в зависимости от конкретного объекта защиты информации и условий его расположе ния. Компания Ernst&Young рекомендует комплекс мероприятий по обеспечению информационной безопасности организации:
•подписание договора о неразглашении служащими, поставщи ками и нанятыми по контракту работниками;
•регулярное создание резервных копий информации, хранящей ся на мобильных компьютерах;
•регламентацию правил зафузки информации в мобильные компьютеры и правил использования информации;
•запрещение пользователям оставлять на рабочих местах па мятки, содержащие идентификаторы и пароли доступа в корпоратив ную сеть;
•запрещение оставлять на корпусах мобильных компьютеров памятки, содержащие идентификаторы и пароли, применяемые для удаленного доступа;
•запрещение использовать доступ к Интернету в личных целях;
•обязательное применение пароля на загрузку компьютеров;
•создание классификации всех данных по категориям важности
иусиление контроля над ограничением доступа в соответствии с ней;
•предотвращение доступа ко всем компьютерным системам по окончании рабочего дня;
•введение правил использования паролей доступа к файлам, со держащим информацию ограниченного доступа.
В результате созданная система обеспечения информационной безопасности должна обеспечить:
•пресечение попыток несанкционированного получения инфор мации и доступа к управлению автоматизированной системой;
•пресечение и выявление попыток несанкционированной моди фикации информации;
•пресечение и выявление попыток уничтожения или подмены (фальсификации) информации;
•пресечение и выявление попыток несанкционированного рас пространения или нарушения информационной безопасности;
•ликвидацию последствий успешной реализации угроз инфор мационной безопасности;
Информационная безопасность |
305 |
•выявление и нейтрализацию проявившихся и потенциально возможных дестабилизирующих факторов и каналов утечки инфор мации;
•определение лиц, виновных в проявлении дестабилизирующих факторов и возникновении каналов утечки информации, и привлече ние их к ответственности определенного вида (уголовной или адми нистративной).
5.4. Идентификационные системы
Проблема разграничения доступа к информации в корпоративных системах существовала с самого начала их функционирования.
Самым простым и привычным средством идентификации пользо вателей на сегодняшний день пока остается парольный доступ к сис теме. Однако нельзя гарантированно утверждать, что пароль является абсолютно надежной защитой от проникновения злоумышленников в хранилище информации - будь то жесткий диск локального компью тера или сетевые устройства хранения информации. Даже если в ор ганизации существует строгая политика по длине пароля и частоте его обновления, подобные организационно-административные меры не исключают случаев компрометации паролей. Причина тому весь ма проста - некоторые сотрудники никак не могут запомнить свои пароли. Для выхода из этой ситуации сотрудники организаций, что бы упростить запоминание паролей, часто задают в качестве пароля какое-нибудь простое слово, набор повторяющихся цифр или симво лов, собственное имя или что-либо подобное. Такие пароли могут быть "взломаны" за минимальный срок. Существующая статистика показывает, что в стандартном домене операционной системы при менение простейшей программы подбора пароля так называемым методом "грубой силы" способно в течение суток предоставить зло умышленнику до 90% всех паролей пользователей. Иногда, чтобы особенно "не напрягаться", пользователи применяют одинаковый пароль ко всем информационным системам, доступ к которым им разрешен. В этом случае, узнав всего один пароль, злоумышленник получит доступ ко всему информационному пространству, в принци пе доступному данному пользователю: и в корпоративную сеть, и в систему электронной почты, и в финансовую систему организации.
306 |
Глава 5 |
Таким образом, все попытки защитить важную для организации информацию будут преодолены, а нарушитель получит "зеленый свет" для всех своих неблаговидных начинаний. С этого времени ор ганизация может начать "терять" информацию, возможно, неожидан но для себя и, наверное, такую, которой делиться-то и не следовало.
5.4.1. Биометрические системы
Более сложные системы идентификации, использующие техниче ские средства, как правило, включают три основных функциональ ных элемента:
•носители кода или данных;
•считывающие головки или головки записи/считывания, обес печивающие передачу информации между носителями кода или но сителями данных и устройствами управления;
•устройства управления, предварительно обрабатывающие ин формацию и передающие ее на верхний уровень системы (персо нальный компьютер или программируемый контроллер).
Новые технологии, которые в будущем смогут полноценно (а то и более надежно) заменить пароли, основываются на биометрии - нау ке, изучающей возможности использования различных характери стик человеческого тела (например, отпечатки пальцев, свойства че ловеческого зрачка или голоса) для идентификации каждого кон кретного человека. Основываются эти технологии на том, что биометрические параметры каждого человека уникальны.
Мощным стимулятором спроса на биометрическое оборудование станет необходимость повышения безопасности систем доступа, в том числе электронных сделок. За первые пять лет XXI в. объем рын ка биометрических устройств вырос более чем вдвое. Важным сти мулирующим фактором является введение биометрического контро ля для въезжающих в США с последующим переходом на биометри ческие паспорта не только в США, но и в странах Евросоюза. Россия также вынуждена переходить на биометрические паспорта с 2006 г. Биометрические технологии и соответствующее оборудование обес печивают идентификацию людей по уникальным физическим при знакам и в ближайшее время станут частью стандартного набора средств безопасности при осуществлении электронных транзакций. Методы идентификации помимо сканирования отпечатков пальцев уже сейчас включают элементы распознавания лица.
Информационная безопасность |
307 |
Биометрическая идентификация позволяет эффективно решить целый ряд проблем:
•предотвратить проникновение злоумышленников на охраняе мые территории и в помещения за счет подделки, кражи документов, карт, паролей;
•ограничить доступ к информации и обеспечить персональную ответственность за ее сохранность;
•обеспечить допуск к ответственным объектам только сертифи цированных специалистов;
•избежать накладных расходов, связанных с эксплуатацией сис тем контроля доступа (карты, ключи);
•исключить неудобства, связанные с утерей, порчей или элемен тарным забыванием ключей, карт, паролей.
Биометрический контроль доступа - автоматизированный ме тод, с помощью которого идентификация личности осуществляется путем проверки уникальных физиологических особенностей или поведенческих характеристик человека. Физиологические особен ности, например такие, как папиллярный узор пальца, геометрия ладони или рисунок (модель) радужной оболочки глаза, являются постоянными физическими характеристиками человека. Данный тип измерений (проверки) практически неизменен, как и сами фи зиологические характеристики. Поведенческие же характеристики, такие, как подпись, голос или клавиатурный почерк, находятся под влиянием как управляемых действий, так и менее управляемых психологических факторов. Поскольку поведенческие характери стики могут изменяться с течением времени, зарегистрированный биометрический образец должен обновляться при каждом его ис пользовании. Хотя биометрия, основанная на поведенческих харак теристиках, менее дорога, использование физиологических черт обеспечивает большую точность идентификации личности. В лю бом случае оба метода представляют собой значительно более вы сокий уровень идентификации, чем пароли.
Вотличие от пароля или персонального идентификационного номера (общеизвестный по мобильным телефонам PIN) биометриче ская характеристика не может быть забыта, потеряна или украдена.
Биометрические системы идентификации, доступные или нахо дящиеся в стадии разработки, включают в себя системы доступа по отпечатку пальца, аромату, ДНК, форме уха, геометрии лица, темпе-
308 |
Глава 5 |
ратуре кожи лица, клавиатурному почерку, отпечатку ладони, сет чатке глаза, рисунку радужной оболочки глаза, подписи и голосу.
Биометрические системы, логически объединяющие в своем со ставе модули регистрации и идентификации, устанавливают аутен тичность определенных характеристик пользователя информацион ной системы на основе распознавания предъявляемого шаблона. Шаблоны пользователей хранятся, как правило, в специализирован ной базе данных биометрической системы, которая может быть цен трализованной или распределенной. На этапе идентификации био метрический датчик регистрирует характеристику пользователя (на пример, отпечаток пальца), переводит информацию в цифровой формат и сравнивает с хранимым шаблоном.
5.4.2.Опознавательные методы
внастоящее время разрабатываются идентификационные систе мы, основанные на различных опознавательных методах.
Отпечаток пальца. Процесс идентификации личности по отпе чатку пальца обратил на себя внимание как биометрическая техноло гия, которая, возможно, будет широко использоваться в будущем. В настоящее время применение данной технологии получило большое распространение в системе автоматической идентификации по отпе чатку пальца (AFIS), используемой в более чем 30 странах мира. Преимущества доступа по отпечатку пальца - простота использова ния, удобство и надежность. Весь процесс идентификации занимает мало времени и не требует усилий от тех, кто использует данную систему доступа. Исследования также показали, что этот способ идентификации личности является наиболее удобным из всех био метрических методов. Вероятность ошибки при идентификации пользователя намного меньше в сравнении с другими биометриче скими методами. Кроме того, устройство идентификации по отпечат ку пальца не требует много места на клавиатуре или в механизме. В настоящее время уже производятся подобные системы размером меньше колоды карт.
Геометрия руки. Преимущества идентификации по геометрии ладони сравнимы с плюсами идентификации по отпечатку пальца в вопросе надежности, хотя устройство для считывания отпечатков ладоней занимает больше места. Наиболее удачное устройство.
Информационная безопасность |
309 |
Handkey, сканирует как внутреннюю, так и боковую сторону руки, используя для этого встроенную видеокамеру и алгоритмы сжатия. Устройства, которые могут сканировать и другие параметры руки, находятся в процессе разработки несколькими компаниями - BioMet Partners, Palmetrics и BTG.
Радуэюная оболочка глаза. Преимущество сканеров для радужной оболочки состоит в том, что они не требуют, чтобы пользователь со средоточился на цели, потому что образец пятен на радужной обо лочке находится на поверхности глаза. Фактически видеоизображе ние глаза может быть отсканировано на расстоянии. У людей с ос лабленным зрением, но с неповрежденной радужной оболочкой все равно могут сканироваться и кодироваться идентифицирующие па раметры. Даже если есть катаракта - повреждение хрусталика глаза, которое находится позади радужной оболочки, она никоим образом не влияет на процесс сканирования радужной оболочки.
Сетчатка глаза. Сканирование сетчатки происходит с использо ванием инфракрасного света низкой интенсивности, направленного через зрачок к кровеносным сосудам на задней стенке глаза. Сканеры для сетчатки глаза получили большое распространение в сверхсек ретных системах контроля доступа, так как у них отмечен один из самых низких процент отказа доступа зарегистрированных пользова телей и почти 0% ошибочного доступа. Однако изображение радуж ной оболочки должно быть четким на задней части глаза, поэтому катаракта может отрицательно воздействовать на качество изображе ния радужной оболочки глаза.
Голосовая идентификация. Основной проблемой, связанной с этим удобным биометрическим подходом, является точность иден тификации, которая существенно повысилась за счет возможности современных устройств различать дополнительные характеристики человеческой речи. В настоящее время идентификация по голосу ис пользуется для управления доступом в помещения средней степени безопасности, например в лаборатории и компьютерные классы. Го лосовая идентификация - удобный, но в то же время не такой надеж ный способ, как другие биометрические методы. Например, человек с простудой или ларингитом может иметь проблемы при использова нии данных систем.
Геометрия лица. Развитие этого направления связано с быстрым ростом мультимедийных видеотехнологий, благодаря чему можно