Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4604 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Орский гуманитарно-технологический институт (филиал ОГУ)
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
курсовой проверено Шадрин.doc
Скачиваний:
4
Добавлен:
20.11.2018
Размер:
659.46 Кб
Скачать
►Содержание►

1.3 Организация применения шифрования для защиты информации.

Идущая семимильными шагами информатизация процессов государственного управления в рамках приоритетной национальной программы "Электронная Россия" ставит перед IT-сообществом новые и подчас нетривиальные задачи. Внедрение автоматизированных информационных технологий – это трудоёмкий процесс, в котором особое место занимает задача защиты информационных ресурсов от несанкционированного доступа и утечки. Интересы государства, бизнеса и населения нередко находятся в прямой зависимости от того насколько надёжны системы обеспечения информационной безопасности. При этом постоянно мелькающие сообщения в СМИ о новых утечках конфиденциальной информации, рекламные письма с предложениями о покупке различных баз данных и постоянно обновляемые рыночные лотки с дисками, содержащими всевозможные сведения о россиянах и гражданах ближнего зарубежья, заставляют задуматься о том как именно защищена такого рода информация и почему этой защиты может быть недостаточно…

Рост электронного документооборота также ставит новые задачи по обеспечению защиты циркулирующих внутри организаций и между ними электронных документов. Задача сохранения целостности конфиденциальности данных, не в ущерб доступности для тех, кто по долгу службы имеет право ими пользоваться, актуальна, прежде всего, для электронных архивов и центров обработки данных (ЦОД). При этом не менее остро стоит проблема обновления компьютерного парка – утилизация и надежное уничтожение данных на носителях, снимаемых с эксплуатации, защита данных, хранящихся в резервных хранилищах.

Согласно исследованию компании Symantec, выпущенном 9 апреля 2008 года (XIII том Отчета об угрозах интернет-безопасности Internet Security Threat Report - ISTR) на американском рынке:

Кража или утеря компьютера или другого устройства стала причиной 57% всех случаев утечки информации во втором полугодии 2007 г. и 46% — в первом полугодии.

Государственное управление стало сектором, в котором происходит больше всего утечек персональных данных — 60% от их общего числа, против 12% за предыдущий отчетный период.

Однако не только в Америке ситуация столь неутешительна. Так, по результатам исследования МВД Германии, стало известно, что из государственных учреждений страны за последние три года пропало около 500 компьютеров с конфиденциальными данными. В России проблема утечки конфиденциальной информации и персональных данных стоит не менее остро. И первый важнейший шаг для борьбы с ней в нашей стране был сделан в июле 2006 года – именно тогда был принят Федеральный закон №153-ФЗ "О персональных данных". В принципе, вступления в силу данного закона казалось бы уже достаточно для того, чтобы более внимательно отнестись к существующей ситуации. Но российские компании в силу не иначе как ментальных причин предпочли дождаться принятия технических требований ФСТЭК по защите персональных данных, с которыми эта структура по каким-то причинам не спешит. В то же время практика использования информационных технологий требует решения задачи защиты конфиденциальной информации (в том числе и персональных данных) от утечки и неавторизованного доступа уже сегодня, вне всякой зависимости от указаний свыше. Ведь предупредить подобные инциденты превентивными мерами значительно проще, чем бороться с их последствиями.

Понятно, что как бы ни была сильна технологическая оборона, для решения проблем утечки данных необходим комплексный подход, включающий и организационные, и технические меры. Первый шаг по организации защиты данных уже сделан (принят "Закон о персональных данных"). Следующий шаг – появление руководящих документов, содержащих технические требования по исполнению ФЗ о персональных данных  – ожидается в ближайшее время. На основании этих нормативных документов организации смогут создать внутренние регламенты по ИБ, после чего встанет вопрос о выборе технических решений по защите информации. Однако независимо от пока ещё не обнародованных требований и рекомендаций, на рынке уже давно представлены продукты и решения самых различных разработчиков, способные обеспечить надёжную защиту данных. Рассмотрим этот вопрос подробнее.

Для успешной борьбы с угрозой компрометации персональных данных, ничего лучше, чем криптографическая защита, пока ещё не придумано. Шифрование данных широко и с успехом применяется во всем мире уже много лет. Проверенный временем метод криптозащиты информации не теряет своей актуальности в наши дни и по-прежнему позволяет предотвратить несанкционированный доступ к информации и её утечку, даже в случае утери носителей информации.

У классических методов шифрования есть свои сложности в применении. Однако их можно преодолеть с помощью современных вычислительных систем и информационных технологий:

1. долгое время процессов криптографических преобразований

В современных системах операции шифрования выполняются "на лету", практически незаметно для пользователя. Мощности процессоров вполне хватает для зашифрования и расшифрования больших объемов информации с использованием надежных симметричных криптоаглоритмов с длиной ключа 256 бит и более.

2. генерация надежных ключей шифрования

Используются аппаратные источники случайных последовательностей (ДСЧ), исключающих слабость программных генераторов случайных чисел и "человеческий фактор" при генерации ключей шифрования.

3. надежное хранение секретных ключей

Ключи шифрования хранятся в специальных аппаратных устройствах (смарт-картах и т.п.), защищенных от извлечения информации и автоматически уничтожающих всю хранящуюся в них информацию при неавторизованном доступе к таким устройствам.

 Использование криптографии в информационных системах имеет свою историю, методологию и практику. Применение криптографии во всем мире и в нашей стране регулируется соответствующими законодательными актами и стандартами. В России приняты стандарты ГОСТ 28147-89 (алгоритм блочного шифрования с длиной ключа 256 бит) и ГОСТ Р 34.10-2001 (алгоритм цифровой подписи). Существует большое количество сертифицированных решений, позволяющих использовать шифрования при обработке и передаче конфиденциальной информации.

В современных информационных системах основной объем информации хранится на серверах. С развитием технологии виртуализации для решения задач обработки информации всё чаще будут использоваться специализированные серверы – серверы приложений (электронная почта, базы данных и т.п.), терминальные серверы, файловые серверы. В связи с этим фокус разработчиков уже сейчас заметно смещается в сторону создания технологий для защиты данных, хранящихся стороне  сервера. Сохраняя и обрабатывая большие объемы электронных документов на серверных мощностях, компании существенно экономят как временные, так и человеческие ресурсы, однако подобная автоматизация при некорректной организации контроля доступа и защиты данных, может обернуться серьёзным ущербом для компании.

Исходя из приоритетности защиты конфиденциальных данных на серверах, попробуем последовательно рассмотреть этот вопрос, обращая внимание на типовые ошибки, возникающие в процессе решения этой задачи.

Безусловно, начинать необходимо с организационных и регламентных мер. В организации должен существовать утвержденный перечень конфиденциальной информации, включая коммерческую тайну и персональные данные сотрудников, заказчиков и клиентов. Должны быть выделены и утверждены серверные ресурсы, на которых хранятся конфиденциальные данные.

Далее необходимо назначить ответственных лиц (офицеров безопасности), которые будут управлять техническими средствами защиты информации, определять права доступа к конфиденциальной информации и осуществлять общий контроль. Необходимо четко разделить задачи администрирования информационной системой компании. А именно, необходимо разделить процессы управления информационной системой на несколько отдельных задач, решение которых возлагается на сотрудников с различными должностями и степенями ответственности. В общем случае можно выделить задачи администрирования службы каталога, администрирование серверов, администрирование серверных приложений, администрирование службы резервного копирования и администрирование системы защиты информации.

В зависимости от объема работ по администрированию корпоративной информационной системы и количества сотрудников IT-отдела, управление описанными выше подсистемами может быть либо объединено в одних руках, либо, наоборот разделено между несколькими сотрудниками. Так, например, администратор безопасности может взять на себя решение задачи резервного копирования информации. В то же время управление сервером может вести два или более сотрудников. Конкретное распределение обязанностей администраторов должно осуществляться для каждой компании отдельно в соответствии с действующей в ней политикой безопасности.

В общем, первым шагом в решении задачи защиты конфиденциальной информации является выработка корпоративных политик информационной безопасности, создание соответствующих регламентов и внесение изменений в нормативную базу и штатное расписание организации.

Вторым шагом является выбор технических средств (системы шифрования, системы аутентификации, системы резервного копирования и т.д.) и интеграция всех этих систем в единое решение.

При выборе системы шифрования данных необходимо обратить внимание на решение следующих задач:

  1. надежная аутентификация администраторов и офицеров безопасности, пользователей системы;

  2. хранение ключей шифрования;

  3. периодическая смена ключей шифрования.

Вопрос аутентификации может быть надежно решен с применением специализированных аппаратных устройств – смарт-карт или токенов - с использованием цифровых сертификатов. Такая схема аутентификации широко применяется в современных информационных системах и показала свою надежность и удобство применения. С помощью цифровых сертификатов удобно управлять правами всех пользователей информационной системы, включая администраторов и офицеров безопасности. Стоит отметить, что на российском рынке сегодня присутствует сертифицированные ФСТЭК токены (например, eToken PRO cert.), применение которых для аутентификации рекомендовано отраслевыми стандартами (например, Стандарт ЦБ РФ ) и требованиями законодательства РФ.

Хорошей практикой считается  интеграция системы защиты информации с развернутой в организации PKI-системой. В этом случае будет, во-первых, обеспечен надежный контроль доступа пользователей к конфиденциальной информации, и, во-вторых, будут надежно защищены функции управления самой системой защиты.

При использовании систем шифрования информации неизбежно возникает вопрос хранения ключей шифрования. В некоторых продуктах они кодируются на основе пароля администратора безопасности и записываются вместе с защищенными данными. Необходимо понимать, что в общем случае общая безопасность системы определяется безопасностью самого "узкого" ее места, которым в данном случае является выбранный пароль. Если он будет недостаточно стоек к взлому или записан на листке бумаги, приклеенном к монитору "чтобы не забыть", то защиту от несанкционированного доступа к конфиденциальным данным никак нельзя считать надежной. Есть другой вариант – хранение ключей шифрования на мобильных носителях. Но и этот способ очень далек от совершенства. Мобильный носитель легко потерять, он может быть похищен или отобран у администратора безопасности силой.

Поэтому предпочтение стоит отдавать тем системам, в которых ключи шифрования защищены не слабее, чем сама конфиденциальная информация. Например, для хранения ключей шифрования можно использовать специализированные аппаратные устройства – смарт-карты и электронные ключи, в которых ключи шифрования и цифровые сертификаты хранятся в защищенной памяти. При применении смарт-карт и электронных ключей неавторизованный пользователь не сможет получить доступ к хранящимся в защищенной памяти ключам шифрования, даже если он сможет получить в руки такое устройство. Стоит отметить, что в идеальном случае двухфакторная аутентификация с применением смарт-карт или токенов должна использоваться всеми сотрудниками, имеющими доступ к информационной системе предприятия. Во всяком случае, как минимум, администраторов и офицеров безопасности необходимо обеспечить надежными средствами аутентификации. Такой вариант позволяет при относительно небольших затратах существенно уменьшить угрозу утечки конфиденциальных данных.

Вопрос периодической смены ключей шифрования является не менее важным, чем надежное хранение ключей шифрования. При длительной эксплуатации системы шифрования, вероятность утечки ключа шифрования возрастает. Поэтому в регламенте применения системы защиты информации должна быть предусмотрена периодическая смена ключей, например, не реже 1 раза в год. Применяемая система шифрования должна предусматривать возможность смены ключа шифрования без снижения уровня защиты на время смены ключа.

Также система защиты конфиденциальной информации должна давать возможность проведения аудита действий администраторов и офицеров безопасности. Такой аудит необходим для оценки компетентности ответственных лиц и для разбора инцидентов, связанных с нарушениями безопасности защищаемой информации (утечками и т.п.).

Применение системы шифрования позволяет решить вопрос защиты от несанкционированного доступа и утечки резервных копий конфиденциальной информации. При правильном применении системы шифрования защищаемая информация попадает в резервное хранилище в зашифрованном виде. В этом случае утеря резервных носителей не приведет к разглашению информации.

Еще одним важным свойством системы защиты информации является возможность экстренного предотвращения доступа к защищаемой информации в случае возникновения нештатных ситуаций. Например, в случае несанкционированного проникновения в серверную комнату, оборудованную охранной сигнализацией, система шифрования должна получить сигнал от охранной сигнализации и прекратить доступ к данным всем пользователям. Восстановление доступа может выполнить офицер безопасности после разбора возникшего инцидента вместе с сотрудниками отдела безопасности согласно принятого в организации порядка.

Итак, общая схема защиты конфиденциальной информации и персональных данных, хранящихся на серверах, включает в себя:

  1. категоризация информации;

  2. выделение ответственных лиц и раздельное администрирование;

  3. создание политики информационной безопасности, регламентов и других нормативных документов;

  4. внедрение системы надежной аутентификации администраторов и офицеров безопасности, а также пользователей;

  5. ведение аудита действий по управлению системой защиты;

  6. интеграция системы защиты с системой резервного копирования;

  7. возможность экстренного предотвращения доступа к конфиденциальной информации;

  8. отказоустойчивость системы защиты;

  9. применение надежных криптоалгоритмов;

  10. надежное хранение ключей шифрования;

  11. периодическая смена ключей шифрования.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности