Комп’ютерна стеганографія

2)Пустий контейнер – контейнер без вмонтованого повідомлення

3)Вмонтоване (скрите) повідомлення – повідомлення, яке вмонтовують в контейнер для передачі

4)Стеганографічний канал або просто стегоканал – канал передачі стего.

5)Стегоключ або просто ключ – таємний ключ, необхідний для приховування інформації

Загальна модель стеганосистеми

Області застосування стеганографії:

Захист від копіювання - Електронна комерція, контроль за тиражуванням (DVD), розповсюдження мультимедійної інформації (відео по запиту);

Аутентифікація - Системи відеоспостереження, електронної комерції, голосової пошти, електронне конфіденційне діловодство;

Прихована анотація документів - Медичні знімки, картографія,

мультимедійні бази даних;

Прихований зв’язок - Застосування у військових і розвідувальних цілях, а також у випадках, коли криптографію використовувати не можна.

МІСЦЕ СТЕГАНОГРАФІЧНИХ СИСТЕМ В ГАЛУЗІ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ

1. Основні джерела і наслідки атак на інформацію, що обробляється в автоматизованих системах

Рівень розвитку і безпека інформаційного простору, які є системоутворюючими факторами в усіх сферах національної безпеки, активно впливають на стан політичної, економічної, оборонної та інших складових національної безпеки України.

Інформаційна безпека, захист якої відповідно до ст.17 Конституції України, поряд із суверенітетом, територіальною цілісністю та економічною безпекою, є найважливішою функцією держави, досягається шляхом розробки сучасного законодавства, впровадження сучасних безпечних інформаційних технологій,

побудовою функціонально повної національної інфраструктури, формуванням і розвитком інформаційних відносин тощо.

Закон України “Про захист інформації в інформаційно-телекомунікаційних системах”]дає наступне визначення терміну “захист інформації” в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах – це діяльність, спрямована на запобігання несанкціонованим діям щодо інформації в зазначених системах. Окремим видом захисту інформації є технічний захист, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування (унеможливлення доступу) інформації, порушення цілісності (зміни вмісту) та режиму доступу до інформації. Доступом до інформації є отримання користувачем (фізичною або юридичною особою) можливості обробляти інформацію в системі. Дії, що провадяться з порушенням порядку доступу до інформації, установленого відповідно до законодавства, є несанкціонованими.

Неоднозначним, на думку фахівців, є трактування поняття “атака на інформацію”, оскільки остання, особливо в електронному вигляді, може бути представлена сотнями різноманітних видів. Інформацією можна вважати і окремий файл, і базу даних, і лише один запис в ній, і цілий програмний комплекс. На сьогодні всі ці об’єкти піддаються або можуть бути піддані атакам з боку деякої особи (групи осіб) – порушника.

При зберіганні, підтримці та наданні доступу до будь-якого інформаційного об’єкта його власник, або уповноважена ним особа, накладає (явно або самоочевидно) набір правил по роботі з нею. Навмисне їх порушення і класифікується як атака на інформацію [34-37].

З масовою комп’ютеризацією усіх сфер діяльності людини обсяг інформації, яка зберігається в електронному вигляді, зріс у тисячі разів. Це, в свою чергу, значно підвищило ризик витоку інформації, в результаті чого остання стає відомою (доступною) суб’єктам, що не мають права доступу до неї. З появою комп’ютерних мереж навіть відсутність фізичного доступу до комп’ютера перестала бути гарантією збереженості інформації.

Розглянемо можливі наслідки атак на інформацію, у першу чергу – економічні втрати:

а) розкриття комерційної інформації може призвести до значних прямих збитків;

б) відомості про викрадення великого об’єму інформації суттєво впливає на репутацію організації, опосередковано призводячи до втрат в обсягах торгових операцій;

в) якщо викрадення залишилося непоміченим, конкуренти можуть скористатися цим з метою повного розорення організації, нав’язуючи тій фіктивні або збиткові угоди;

г) до збитків може призвести і проста підміна інформації як на етапі її передачі, так і на етапі зберігання всередині організації.

Цілком очевидно, що атаки на інформацію можуть принести й величезну моральну шкоду з огляду на можливу конфіденційність інформації.

За даними дослідницької групи CNews Analytics, яка спеціалізується на дослідженнях ринків інформаційних технологій і телекомунікацій, глобальний економічний збиток від комп’ютерних злочинів, що так або інакше пов’язані з атакою на інформацію, у 2002 р. склав близько 49,2 млрд.$, а в 2003 р. лише за серпень – 8,23 млрд.$ (16160 атак). У 2004 р., вважають 7 аналітики цієї ж групи, сумарні економічні втрати склали від 300 до 400 млрд.$ [38]. З огляду на загальну тенденцію можна зробити висновок про зростання кількості комп’ютерних злочинів і в Україні.

Дослідницький центр DataPro Research Corp. [39], наводить таку картину розподілу основних причин втрати чи пошкодження інформації в комп’ютерних мережах: 52% – ненавмисні дії персоналу, 10% – навмисні дії персоналу, 10% – відмова обладнання, 15% – пожежі, 10% – затоплення. Що стосується умисних дій, то за даними того ж дослідження, головний мотив комп’ютерних злочинів – викрадення грошей з електронних рахунків (44%), далі йдуть викрадення секретної інформації (16%), пошкодження програмного забезпечення (16%), фальсифікація інформації (12%), замовлення послуг за чужий рахунок (10%). Серед тих, хто був виконавцем зазначених дій, – поточний кадровий склад установ (81%), сторонні особи (13%), колишні працівники цих самих установ (6%).

Зрозуміло, що в такій ситуації особлива увага повинна приділятися створенню інформаційних систем, захищених від різноманітних загроз. Але при цьому в ході проектування і створення таких систем виникає ціла низка проблем, основними з яких є: складність інтеграції певних функцій безпеки в елементи архітектури системи; складність формування вичерпного набору необхідних і достатніх вимог безпеки; відсутність загальноприйнятих методів проектування систем безпеки.

Особливостями проектування архітектури системи забезпечення безпеки інформації, як, мабуть, і інших складних багатофакторних систем, є множинність параметрів, які треба враховувати і які важко зафіксувати, постійне зростання кількості загроз інформаційній безпеці. При цьому більшість існуючих рішень, наприклад таких як екранування і VPN, враховують лише частину проблем забезпечення безпеки інформації, а використовувані методи в основному зводяться до застосування визначеного переліку продуктів.

2. Категорії інформаційної безпеки з позицій захисту автоматизованих

систем від несанкціонованого доступу

Інформація з точки зору інформаційної безпеки характеризується наступними категоріями:

конфіденційність – гарантія того, що конкретна інформація є доступною лише тому колу осіб, для якого вона призначена; порушення цієї категорії є викраденням або розкриттям інформації;

цілісність – гарантія того, що на даний момент інформація існує в її початковому вигляді, тобто при її зберіганні чи передаванні не було зроблено

несанкціонованих змін; порушення даної категорії зветься фальсифікацією повідомлення;

автентичність – гарантія того, що джерелом інформації є саме той суб’єкт, який заявлений як її автор; порушення цієї категорії зветься фальсифікацією автора повідомлення;

апельованість – гарантія того, що в разі необхідності можна бути довести, що автором повідомлення є саме заявлений суб’єкт і ніхто інший; відмінність даної категорії від попередньої в тому, що при підміні автора, хтось інший намагається заявити, що він є автором повідомлення, а при порушенні апельованості – сам автор намагається уникнути відповідальності за видане ним повідомлення.

Стосовно інформаційних систем використовуються інші категорії:

надійність – гарантія того, що система вестиме себе заплановано як в нормальному, так і у позаштатному режимах;

точність – гарантія точного і повного виконання всіх команд;

контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об’єктів, і ці обмеження доступу постійно виконуються;

контрольованість – гарантія того, що у будь-який момент може бути виконана повноцінна перевірка будь-якого компоненту програмного комплексу;

контроль ідентифікації – гарантія того, що клієнт (адресат) є саме тим, за кого себе видає;

стійкість до навмисних збоїв – гарантія того, що при навмисному внесенні помилок в межах заздалегідь обговорених норм система вестиме себе прогнозовано.

3. Можливі варіанти захисту інформації в автоматизованих системах

Серед можливих методів (заходів) захисту конфіденційної інформації найпоширенішим на сьогодні є метод криптографічного захисту, під яким розуміється приховання змісту повідомлення за рахунок його шифрування (кодування) за певним алгоритмом, що має на меті зробити повідомлення незрозумілим для непосвячених в цей алгоритм або у зміст ключа, який використовувався при шифруванні. Але зазначений метод захисту є неефективним щонаймен ше з двох причин.

По-перше, зашифрована за допомогою більш-менш стійкої криптосистеми інформація є недоступною (протягом часу, що визначається стійкістю криптосистеми) для ознайомлення без знання алгоритму і ключа. Наслідком цього стало те, що силові структури деяких країн застосовують адміністративні санкції проти так званої "стійкої криптографії", обмежуючи використання криптографічних засобів приватними і юридичними особами без відповідної ліцензії.

По-друге, слід звернути увагу на те, що криптографічний захист захищає лише зміст конфіденційної інформації. При цьому сама лише наявність шифрованої інформації здатна привернути увагу потенційного зловмисника, який, заволодівши криптографічно захищеним файлом і здогадуючись про розміщення в ньому

секретних даних, за певної мотивації здатен перевести всю сумарну міць підконтрольної йому комп’ютерної мережі на дешифрування цих даних. У цьому випадку проблема інформаційної безпеки повертається до стійкості крипто графічного коду.

На противагу вищезазначеному, cтеганографічний захист забезпечує приховання самого факту існування конфіденційних відомостей при їх передачі, зберіганні чи обробці. Під приховуванням факту існування розуміється не тільки унеможливлення виявлення в перехопленому повідомленні наявності іншого (прихованого) повідомлення, але й взагалі зробити неможливим викликання на цей рахунок будь-яких підозр. Задача неможливості неавторизованого видобування інформації при цьому відступає на другий план і розв’язується у більшості випадків додатковим використанням стандартних криптографічних методів. Загальною рисою стеганографічних методів є те, що приховуване повідомлення вбудовується в деякий не приваблюючий увагу об’єкт (контейнер), який згодом відкрито транспортується (пересилається) адресату.

4. Проблеми і задачі роботи

Завданням пропонованої роботи є розробка програмного комплексу для демонстрації принципів, закладених в основу поширених на сьогодні методів стеганографічного приховування з можливістю обчислення основних показників спотворення контейнера при вбудовуванні до нього приховуваних даних.

Дана задача вирішується попереднім опрацюванням наступних питань:

–розгляд особливостей побудови стеганографічних систем та основних типів атак на зазначені системи;

–аналіз сучасних досліджень і публікацій з приводу існуючих методів стеганографії та заходів підвищення їх стійкості до стеганоаналізу і пропускної здатності;

–формулювання практичних рекомендацій стосовно вбудовування даних.

2.Стеганографія. Приклади методів стеганографії без використання спеціальних технічних засобів.

Стеганографія — (греч. steganos — таємниця, секрет; graphy — запис, тобто тайнопис) набір засобів і методів приховання факту передачі повідомлення.

Стеганографія приховує сам факт передачі повідомлення, а криптографія вважає, що повідомлення (у шифрованому виді) доступно незаконному користувачеві, але він не може витягти із цього повідомлення информацию, яка захищена.

Перші сліди стеганографічних методів губляться в далекій давнині. Відомий такий спосіб приховання письмового повідомлення: рабу голили голову, на шкірі писали повідомлення й після відростання волосу раба відправляли до адресата. Відомі різні способи схованого листа серед рядків звичайного, незахищеного листа: від молока до складних хімічних реактивів з наступною обробкою.

У сучасної стеганографії, у цілому, можна виділити в напрямки: технологічну стеганографію (фізична, хіічна) й інформаційну стеганографію (лінгвістична, комп’ютерна).

До методів технологічної стеганографії ставляться методи, які засновані на використанні хімічних або фізичних властивостей різних матеріальних носіїв інформації.

Загалом, хімічні методи стеганографії зводяться до застосування невидимого чорнила. До цих методів відносяться симпатичні хімікалії і органічні рідини. Симпатичні хімікалії [3, 4] є одним з найбільш поширених методів класичної стеганографії. Зазвичай, процес запису здійснюється наступним чином: перший шар

– наноситься важливий запис невидимим чорнилом, другий шар – нічого не значущий запис видимим чорнилом. Текст записаний таким чином, що проявляється тільки при певних умовах (нагрівання, освітлення, хімічний проявник тощо). Органічні рідини [4] мають схожі властивості з симпатичними хімікаліями: при нагріванні вони темніють (в них міститься велика кількість вуглецю).

До фізичних методів можна віднести мікрокрапки, різного виду схованки, методи камуфляжу тамікрокрапки. У даний час фізичні методи представляють інтерес в галузі дослідження різних носіїв інформації з метою запису на них даних, які б не виявлялися звичайними методами зчитування. Особливий інтерес присутній до стандартних носіїв інформації, засобів обчислювальної, аудіота відеотехніки. Крім цього, з'явився цілий ряд нових технологій [9], які, базуючись на традиційній стеганографії, використовують останні досягнення мікроелектроніки (голограми). Схованки для таємних послань використовувалися з часів Стародавньої Греції, замасковані в осях возів, сандалях і підкладках плащів [4, 5]. Схованки для послання можуть приймати найрізноманітніші форми. Для прикладу, персів, що облягали одне із грецьких міст, спритно обдурив один грек Гістіей, зумівши таємно передати послання Мілетському правителю Арістагору. Гістіей оголив наголо свого раба, наніс послання йому на голову і почекав поки волосся відросте. Природно, що обшук гінця на виїзді з міста не дав результатів, і послання знайшло адресата.

3. Структурна схема стегосистеми. Поняття та види контейнерів.

Структурна схема стегосистеми.

Основними стеганографічними поняттями є повідомлення і контейнер. Повідомленням m M є секретна інформація, наявність якої необхідно приховати, M = {m1, m2, ..., mn} – множина всіх повідомлень. Контейнером c С зветься несекретна інформація, яку можна використати для приховання повідомлення, C = {c1, c2, ..., cq} – множина всіх контейнерів, причому q >> n. В якості повідомлення і контейнера можуть виступати як звичайний текст, так і файли мультимедійного формату. Пустий контейнер (або так званий контейнер-оригінал) – це контейнер c, який не містить прихованої інформації. Заповнений контейнер (контейнеррезультат)

– контейнер c, що містить приховане повідомлення m (cm). Однією з вимог, яка при цьому ставиться: контейнер-результат не повинен бути візуально відмінним від контейнераоригіналу. Виокремлюють два основних типи контейнерів: потоковий і фіксований.

Потоковий контейнер являє собою послідовність біт, що безперервно змінюється. Повідомлення пакується до нього в реальному масштабі часу, так що в кодері невідомо заздалегідь, чи вистачить розмірів контейнера для передачі всього повідомлення. В один контейнер великого розміру може бути вбудовано декілька повідомлень. Інтервали між вбудовуваними бітами визначаються генератором ПВП з рівномірним розподілом інтервалів між відліками. Основна проблема полягає у здійсненні синхронізації, визначенні початку і кінця послідовності. Якщо в даних контейнера існують біти синхронізації, заголовки пакетів і т.д., то приховувана інформація може йти відразу після них. Важкість забезпечення синхронізації є перевагою з точки зору забезпечення прихованості передачі. Нажаль, на сьогодні практично відсутні роботи, присвячені розробці стеганосистем з потоковим контейнером. Як приклад перспективної реалізації потокового контейнера можна

навести стеганоприставку до звичайного телефону. При цьому під прикриттям пересічної, незначущої телефонної розмови можна передавати іншу розмову, дані і т.п. Не знаючи секретного ключа не можна не лише довідатися про зміст прихованої передачі, але й про сам факт її існування__

У фіксованого контейнера розміри і характеристики є заздалегідь відомими. Це дозволяє здійснювати вкладення даних оптимальним (в певному смислі) чином. Надалі розглядатимуться переважно фіксовані контейнери (у подальшому – контейнери).

Контейнер може бути обраним, випадковим або нав’язаним. Обраний контейнер залежить від вбудовуваного повідомлення, а в граничному випадку є його функцією. Такий тип контейнера більше характерний саме для стеганографії. Нав’язаний контейнер з’являється, коли особа, що надає контейнер, підозрює про можливе приховане переписування і бажає запобігти йому. На практиці ж частіше за все мають справу з випадковим контейнером [5].

Приховування інформації, яка здебільшого має великий об’єм, висуває суттєві вимоги до контейнера, розмір якого повинен щонайменше в декілька разів перевищувати розмір вбудовуваних даних. Зрозуміло, що для підвищення прихованості зазначене співвідношення повинне бути якомога більшим.

Перед тим, як здійснити вкладення повідомлення в контейнер, його необхідно перетворити до певного зручного для пакування виду. Крім того, перед запаковуванням до контейнеру, для підвищення захищеності секретної інформації останню можна зашифрувати достатньо стійким криптографічним кодом [14]. У багатьох випадках також є бажаною стійкість отриманого стеганоповідомлення до спотворювань (у тому числі й зловмисних) [5]. У процесі передачі звук, зображення чи будь-яка інша інформація, яка використовується в якості контейнера, може зазнавати різних трансформацій (у тому числі з використанням алгоритмів із втратою даних): зміни об’єму, перетворення на інший формат тощо. Тому для збереження цілісності вбудовуваного повідомлення може стати необхідним використання коду з виправленням помилок (завадостійке кодування). Початкову обробку приховуваної інформації виконує зображений на рис.2.3 прeкодер. В якості однієї з найважливіших попередніх обробок повідомлення (а також і контейнера) можна назвати обчислення його узагальненого перетворення Фур’є. Це дозволяє здійснити вбудовування даних в спектральній області, що значно підвищує їх стійкість до спотворень. Слід зазначити, що для підвищення секретності вбудовування, попередня обробка досить часто виконується з використанням ключа.

Пакування повідомлення до контейнера (з урахуванням формату даних, що представляють контейнер) відбувається за допомогою стеганокодера. Вкладення відбувається, наприклад, шляхом модифікації наймолодших значущих біт контейнера. Взагалі, саме алгоритм (стратегія) внесення елементів повідомлення до контейнера визначає методи стеганографії, які в свою чергу поділяються на певні групи, наприклад, в залежності від того, файл якого формату було обрано в якості контейнера.

У більшості стеганосистем для пакування і видобування повідомлення використовується ключ, який зумовлює секретний алгоритм, що визначає порядок

оригінал) – це контейнер c, який не містить прихованої інформації. Заповнений контейнер (контейнеррезультат) – контейнер c, що містить приховане повідомлення m (cm). Однією з вимог, яка при цьому ставиться: контейнер-результат не повинен бути візуально відмінним від контейнераоригіналу. Виокремлюють два основних типи контейнерів: потоковий і фіксований.

Потоковий контейнер являє собою послідовність біт, що безперервно змінюється. Повідомлення пакується до нього в реальному масштабі часу, так що в кодері невідомо заздалегідь, чи вистачить розмірів контейнера для передачі всього повідомлення. В один контейнер великого розміру може бути вбудовано декілька повідомлень. Інтервали між вбудовуваними бітами визначаються генератором ПВП з рівномірним розподілом інтервалів між відліками. Основна проблема полягає у здійсненні синхронізації, визначенні початку і кінця послідовності. Якщо в даних контейнера існують біти синхронізації, заголовки пакетів і т.д., то приховувана інформація може йти відразу після них. Важкість забезпечення синхронізації є перевагою з точки зору забезпечення прихованості передачі. Нажаль, на сьогодні практично відсутні роботи, присвячені розробці стеганосистем з потоковим контейнером. Як приклад перспективної реалізації потокового контейнера можна навести стеганоприставку до звичайного телефону. При цьому під прикриттям пересічної, незначущої телефонної розмови можна передавати іншу розмову, дані і т.п. Не знаючи секретного ключа не можна не лише довідатися про зміст прихованої передачі, але й про сам факт її існування__

У фіксованого контейнера розміри і характеристики є заздалегідь відомими. Це дозволяє здійснювати вкладення даних оптимальним (в певному смислі) чином. Надалі розглядатимуться переважно фіксовані контейнери (у подальшому – контейнери).

Контейнер може бути обраним, випадковим або нав’язаним. Обраний контейнер залежить від вбудовуваного повідомлення, а в граничному випадку є його функцією. Такий тип контейнера більше характерний саме для стеганографії. Нав’язаний контейнер з’являється, коли особа, що надає контейнер, підозрює про можливе приховане переписування і бажає запобігти йому. На практиці ж частіше за все мають справу з випадковим контейнером [5].

Приховування інформації, яка здебільшого має великий об’єм, висуває суттєві вимоги до контейнера, розмір якого повинен щонайменше в декілька разів перевищувати розмір вбудовуваних даних. Зрозуміло, що для підвищення прихованості зазначене співвідношення повинне бути якомога більшим.

4. Математична модель стегосистеми.

Виходячи з цього, розглянемо математичну модель стеганосистеми.

Процес тривіального стеганографічного перетворення описується залежностями:

E: C × M → S; (2.1)

D: S → M, (2.2)

де S = {(c1, m1), (c2, m2), ..., (cn, mn), ..., (cq, mq)} = {s1, s2, ..., sq} – множина контейнерів-результатів (стеганограм).

Залежність (2.1) описує процес приховування інформації, залежність (2.2) – видобування прихованої інформації. Необхідною умовою при цьому є відсутність “перетинання” [3] тобто, якщо ma ≠ mb, причому ma, mb M, а (ca, ma), (cb, mb) S, то E(ca, ma) ∩ E(cb, mb) = . Крім того, необхідно, щоб потужність множини |C| ≥ |M|. При цьому обидва адресати (відправник і одержувач) повинні знати алгоритм прямого (E) та оберненого (D) стеганографічного перетворення.

Отже, в загальному випадку cтеганосистема – сукупність Σ = (C, M, S, E, D) контейнерів (оригіналів і результатів), повідомлень і перетворень, що їх пов’язують.

Для більшості стеганосистем множина контейнерів С обирається таким чином, щоб в результаті стеганографічного перетворення (2.1) заповнений контейнер і контейнер-оригінал були подібними, що формально може бути оцінене за допомогою функції подібності [3].

Означення 2.1. Нехай С – непорожня множина, тоді функція sim(C) → (–∞, 1] є функцією подібності на множині С, якщо для будь-яких x, y С справедливо, що sim(x, y) = 1 у випадку x = y і sim(x, y) < 1 при x ≠ y.

Стеганосистема може вважатися надійною, якщо sim[c, E(c, m)] ≈ 1 для всіх mM і c С. Причому в якості контейнера c повинен обиратися такий, що раніше не використовувався. Крім того, неавторизована особа не повинна мати доступ до набору контейнерів, що використовуються для секретного зв’язку.

Обрання визначеного контейнера c з набору можливих контейнерів С може здійснюватися довільно (так званий сурогатний метод вибору контейнера) або шляхом обрання найбільш придатного, який менше за інших зміниться під час стеганоперетворення (селективний метод). В останньому випадку контейнер обирається відповідно до правила: c sim[x, E(x, m)] x C=max . (2.3)

Також слід зазначити, що функції прямого (E) і зворотного (D) стеганографічного перетворення у загальному випадку можуть бути довільними (але, звичайно, відповідними одна одній), однак на практиці вимоги до стійкості прихованої інформації накладають на зазначені функції певні обмеження. Так, у

переважній більшості випадків, E(c, m) ≈ E(c + δ, m), або D[E(c, m)] ≈ D[E(c + δ, m)] = m, тобто незначно модифікований контейнер (на величину δ) не призводить до зміни прихованої в ньому інформації [5].

–атака на основі відомого порожнього контейнера. Якщо останній є відомим порушнику, то шляхом порівняння його з підозрюваним на присутність прихованих даних контейнером, той завжди може встановити факт наявності стеганоканалу. Незважаючи на тривіальність цього випадку, у ряді робіт приводиться його інформаційно-теоретичне обґрунтування. Набагато цікавішим бачиться сценарій, коли контейнер відомий приблизно, з деякою похибкою (як це може мати місце при додаванні до нього шуму). У цьому випадку існує можливість побудови стійкої стеганосистеми [5];

–атака на основі обраного порожнього контейнера. У цьому випадку порушник здатний змусити користуватися запропонованим ним контейнером. Останній, наприклад, може мати більші однорідні області (однотонні зображення), і тоді буде важко забезпечити таємність вбудовування;

–атака на основі відомої математичної моделі контейнера або його частини. При цьому атакуючий намагається визначити відмінність підозрілого повідомлення від відомої йому__ моделі. Наприклад, можна припустити, що біти всередині певної частини зображення є корельованими. Тоді відсутність такої кореляції може служити сигналом про наявне приховане повідомлення. Завдання того, хто вбудовує повідомлення, полягає у тому, щоб не порушити статистики контейнера. Відправник і той, хто атакує, можуть мати у своєму розпорядженні різні моделі сигналів, тоді в інформаційно-приховуючому протиборстві, переможе той, хто має ефективнішу (оптимальнішу) модель.

Основна мета атаки на стеганографічну систему аналогічна атакам на криптосистему з тією лише різницею, що різко зростає значимість активних (зловмисних) атак. Будь-який контейнер може бути замінений з метою видалення або руйнування прихованого повідомлення, незалежно від того, існує воно в контейнері чи ні. Виявлення існування прихованих даних зберігає час на етапі їхнього видалення, тому що буде потрібно обробляти тільки ті контейнери, які містять приховану інформацію. Навіть за найкращих умов для атаки, задача видобування прихованого повідомлення з контейнера може виявитися дуже складною. Однозначно ствер джувати про факт існування прихованої інформації можна лише після її виділення в явному вигляді. Іноді метою стеганографічного аналізу є не алгоритм взагалі, а пошук, наприклад, конкретного стеганоключа, що використовується для вибору бітів контейнера в стеганоперетворенні.

Як відзначалося в першому розділі, ЦВЗ повинні задовольняти суперечливим вимогам візуальної (аудіо) непомітності й працездатності до основних операцій обробки сигналів. Надалі без втрати спільності будемо припускати, що як контейнер використовується зображення.

Звернемося знову до системи вбудовування повідомлень шляхом модифікації молодшого значущого біта (LSB) пікселів, розглянутої в першому розділі. Практично будь-який спосіб обробки зображень може привести до руйнування значної частини убудованого повідомлення. Наприклад, розглянемо операцію обчислення ковзного середнього по двох сусіднім пікселам a b /2, що є найпростішим прикладом низько-частотної фільтрації. Нехай значення пікселів a і b можуть бути парними або непарними з імовірністю p 1/ 2. Тоді й значення молодшого значущого біта зміниться після усереднення в половині випадків. До того ж ефекту може привести й

зміна шкали квантування, скажемо, з 8 до 7 бітів. Аналогічний вплив робить і стиск зображень із втратами. Більше того, застосування методів очищення сигналів від шумів, що використовують оцінювання й вирахування шуму, приведе до перекручування переважної більшості бітів прихованого повідомлення.

Існують також і набагато більш згубні для ЦВДЗ операції обробки зображень, наприклад, масштабування, повороти, усікання, перестановка пікселів. Ситуація збільшується ще й тим, що перетворення стегаповідомлення можуть здійснюватися не тільки зловмисником, але й законним користувачем, або бути наслідком помилок при передачі по каналу зв’язку.

Зрушення на трохи пікселів може привести до невиявлення ЦВДЗ у детекторі. Розглянемо це на прикладі наведеного в першому розділі стегаалгоритму. У детекторі маємо SWs W S0s Ws W S0s W Ws W, де індексом s позначені зміщені версії відповідних сигналів.

стегаповідомлення не буде виявлено. Аналогові відеомагнітофони, як правило, трохи зрушують зображення через нерівномірність обертання двигуна стрічкопротягувального механізму або зношування стрічки. Зрушення може бути непомітний для ока, але привести до руйнування ЦВДЗ.

Можлива різна класифікація атак на стеганосистеми. Розглянемо атаки, специфічні для систем ЦВДЗ. Можна виділити наступні категорії атак проти таких стеганосистем [28; 29; 44;56]:

1)Атаки проти збудованого повідомлення – спрямовані на видалення або псування ЦВДЗ шляхом маніпулювання стега. Вхідні в цю категорію методи атак не намагаються оцінити й виділити водяний знак. Прикладами таких атак можуть бути лінійна фільтрація, стиск зображень, додавання шуму, вирівнювання гістограми, зміна контрастності й т. д.

2)Атаки проти стегадетектора – спрямовані на те, щоб утруднити або унеможливити правильну роботу детектора. При цьому водяний знак у зображенні залишається, але губиться можливість його прийому. У цю категорію входять такі атаки, як афінні перетворення (тобто масштабування, зсуви, повороти), усікання зображення, перестановка пікселів і т. д.

3)Атаки проти протоколу використання ЦВДЗ – в основному пов’язані зі створенням помилкових ЦВДЗ, помилкових стегів, інверсією ЦВДЗ, додаванням декількох ЦВДЗ.__

4)Атаки проти самого ЦВДЗ – спрямовані на оцінювання й витягнення ЦВДЗ зі стегаповідомлення, по можливості без перекручування контейнера. У цю групу входять такі атаки, як атаки змови, статистичного усереднення, методи очищення сигналів від шумів, деякі види нелінійної фільтрації [56] та ін.

Треба відмітити, що розглянута класифікація атак не є єдино можливою й повною. Крім того, деякі атаки (наприклад, видалення шуму) можуть бути віднесені до декількох категорій. У роботі [44] була запропонована інша класифікація атак, що також має свої достоїнства й недоліки.

Відповідно до цієї класифікації всі атаки на системи вбудовування ЦВДЗ можуть бути розділені на чотири групи:

1)атаки, спрямовані на видалення ЦВДЗ;

2)геометричні атаки, спрямовані на перекручування контейнера;

3)криптографічні атаки;

4)атаки проти використовуваного протоколу вбудовування й перевірки ЦВДЗ.

експериментах була підтверджена стійкість алгоритму до фільтрації, компресія, обертання зображення [14].

Основним недоліком алгоритму бачиться виняткова складність знаходження достатньої кількості областей, блоки з яких можуть бути замінені без помітного погіршення якості зображення. Крім того, у даному алгоритмі як контейнер можуть використовуватися лише досить текстурні зображення.

Алгоритм, запропонований у [102], дозволяє вбудовувати інформацію до блоків 8×8 зображення-контейнера. На початку алгоритму створюється маска μ(x, y), розмірність якої відповідає розмірності масиву контейнера, а елементами є псевдовипадково розподілені 0 і 1: μ(x, y) {0; 1}. Кожен блок Б в залежності від значення елементів маски ділиться на два підмасиви Б1 і Б2. Для кожного підмасиву обчислюються середні значення яскравості – λ1 і λ2.

7. Методи приховування даних у частотній області зображення.

Як вже було зазначено вище, стеганографічні методи приховування даних у просторовій області зображення є нестійкими до переважної більшості відомих видів спотворювань. Так, наприклад, застосування операції компресії із втратами (стосовно зображення, це може бути JPEG-компресія) призводить до часткового або, що є більш імовірним, повного знищення вбудованої до контейнера інформації. Більш стійкими до різноманітних спотворювань, у тому числі й компресії, є методи, які використовують для приховування даних не просторову область контейнера, а частотну.

Існує декілька способів представлення зображення в частотній області. При цьому використовується та або інша декомпозиція зображення, яке використовується в якості контейнера. Наприклад, існують методи на основі використання дискретного косинусного перетворення (ДКП), дискретного перетворення Фур’є (ДПФ), вейвлетперетворення, перетворення Карунена-Лоева та деякі інші. Подібні перетворення можуть застосовуватися або до окремих частин зображення, або ж до зображення в цілому.

Найбільшого поширення серед усіх ортогональних перетворень, у стеганографії зазнали вейвлет-перетворення і ДКП [5], що певною мірою пояснюється значним поширенням їх застосування під час компресії зображень. Крім того, є доцільним застосовувати для приховування даних саме те перетворення зображення, якому останнє піддаватиметься згодом при можливій компресії. Так, відомо, що алгоритм ДКП є базовим у стандарті JPEG, а вейвлет-перетворення – у стандарті JPEG2000. Стеганоалгоритм може бути досить стійким до подальшої компресії зображення, лише якщо він враховуватиме особливості алгоритму перспективного стиснення. При цьому, звичайно, cтеганоалгоритм, до основи якого закладено вейвлет-перетворення, зовсім не обов’язково буде стійким до дискретнокосинусного алгоритму стиснення, і навпаки. Автори [5] зазначають, що ще більш значні труднощі виникають при обранні методу стеганоперетворення під час приховання даних у потоковому відео. Причиною цього є те, що алгоритми компресії відеоінформації на додачу до компресії нерухомого кадру, однією з свої складових мають кодер векторів компенсування руху (цілком очевидно, що у нерухомому зображенні таке компенсування є відсутнім за непотрібністю). Для того, щоб бути в достатній мірі стійким, cтеганоалгоритм повинен враховувати даний фактор.

На сьогодні відкритим залишається питання існування стійкого стеганоперетворення, яке було б незалежним від застосовуваного в подальшому алгоритму компресії. Автори [19,44] з позицій теорії інформації провели розгляд різних ортонормальних перетворень, таких як ДПФ, ДКП, перетворення Xартлі, субсмугове перетворення та ін.

На сьогоднішній день відомо багато моделей для оцінки пропускної здатності каналу передачі прихованих даних. Приведемо нижче модель, представлену у роботах [5,84].

Нехай С – первинне зображення (контейнер-оригінал), M – повідомлення, що підлягає приховуванню. Тоді модифіковане зображення (стеганоконтейнер) S = С +

M. Модифіковане зображення S візуально нерозрізненне з первинним і може бути піддано у стеганоканалі компресії із втратами: S = Θ(S), де Θ(•) – оператор компресії. Завдання одержувача – видобути з одержаного контейнера S вбудовані на попередньому етапі біти даних Mi. Основне, що нас цікавитиме при цьому, – відповідь на питання: яку кількість біт можна ефективно вбудувати до зображення і згодом видобути з нього за умови задовільно низької імовірності помилок на останньому етапі. Іншими словами, яка пропускна здатність каналу передачі прихованих даних за умови наявності у каналі зв’язку певного алгоритму компресії?

Блок-схема такого стеганоканалу представлена на рис.5.23.

Повідомлення M передається по каналу, який має два джерела “шуму”: С – зображення-контейнер і “шум” Θ, що виникає в результаті операцій компресії/декомпресії. S , M* – можливо спотворені стеганоконтейнер і, як результат, – повідомлення.

Структурна схема стеганосистеми приведена на рис.5.24.

Зображення розкладається на D субсмуг (пряме перетворення), до кожної з яких вбудовується приховувана інформація. Після оберненого перетворення отримується модифіковане зображення S. Після компресії/декомпресії Θ в каналі зв’язку одержується зображення S , яке на приймальній стороні знову піддається прямому перетворенню і з кожної із D субсмуг незалежно видобувається приховане повідомлення M*.

Як зазначається у [5], реальні зображення не становлять собою випадкові процеси з рівномірно розподіленими значеннями величин. Відомо, і це використовується в алгоритмах компресії, що більша частина енергії зображень зосереджена в низькочастотній (НЧ) частині спектру. Звідси й виникає потреба у здійсненні декомпозиції зображення на субсмуги, до яких додається стеганоповідомлення. НЧ субсмуги містять переважну частину енергії зображення і, таким чином, носять шумовий характер. Високочастотні (ВЧ) субсмуги найбільшим чином піддаються впливові з боку різноманітних алгоритмів обробки, як наприклад компресія або НЧ-фільтрація. Отже, для вбудовування повідомлення найоптимальнішими є середньочастотні субсмуги спектра зображення. Типовий

розподіл шуму зображення і обробки за спектром частоти зображено на рис.5.25

[44,85].

Стеганографічний канал можна розкласти на низку незалежних підканалів. Такий поділ здійснюється за рахунок виконання прямого і оберненого перетворення. У кожному з D підканалів існує по два джерела шуму. Обрання значення візуального порогу ґрунтується на урахуванні властивостей ЗСЛ.

Відомо, що шум у ВЧ областях зображення більш прийнятний, чим у НЧ областях.

У [85] було проведено численні експерименти, які дозволили авторам дати певні рекомендації стосовно обрання виду перетворення для стеганографії. Відомо, що перетворення можна впорядкувати за досяжними виграшами від алгоритму кодування (рис.5.26). Під виграшем від кодування розуміється ступінь перерозподілу дисперсій коефіцієнтів перетворення.

Найбільший виграш дає перетворення Карунена-Лоева (ПКЛ), найменший – розкладання за базисом одиничного імпульсу (тобто відсутність перетворення). Перетворення, що мають високі значення виграшу від кодування, такі як ДКП, вейвлет-перетворення, характеризуються різко нерівномірним розподілом дисперсій коефіцієнтів субсмуг. Високочастотні субсмуги не підходять для вбудовування через великий шум обробки, а низькочастотні – через високий шум зображення (див. рис.5.25). Тому, як зазначається у [85], доводиться обмежуватися середньочастотними смугами, у яких шум зображення приблизно дорівнює шуму обробки. Оскільки таких смуг небагато, то пропускна здатність стеганоканалу є порівняно малою. У випадку застосування перетворення з більш низьким виграшем від кодування, наприклад, перетворення Адамара або Фур’є, існує більше блоків, у яких шум зображення приблизно дорівнює шуму обробки, а, отже, є вищою і пропускна здатність. Висновок, до якого прийшли автори зазначеної роботи, є досить несподіваним: для підвищення пропускної здатності стеганографічного каналу

доцільно застосовувати перетворення з меншими виграшами від кодування, які погано підходять для компресії сигналів.

Ефективність застосування вейвлет-перетворення і ДКП для компресії зображень пояснюється тим, що вони добре моделюють процес обробки зображення в ЗСЛ, відокремлюючи значимі деталі від незначущих. Отже, дані перетворення більш доречно застосовувати у випадку активного порушника, оскільки модифікація значимих коефіцієнтів може привести до неприйнятного спотворення зображення. При застосуванні перетворення з низькими значеннями виграшу від кодування існує значна небезпека порушення вбудованих даних, через те що коефіцієнти перетворення є менш стійкими до модифікацій. Проте, існує більша гнучкість у виборі перетворення, і якщо останнє є невідомим порушникові (хоча це й суперечить принципові Керхгофса), то модифікація стеганограми буде суттєво ускладненою.

Під час цифрової обробки зображення часто застосовується двомірна версія дискретного косинусного перетворення.

Розглянемо існуючі методи, що базуються на алгоритмі ДКП.

5.3.3.1. Метод відносної заміни величин коефіцієнтів ДКП (метод Коха і

Жао)

Використовується низкоуровневое властивість ЗСЧ - частотна чутливість.

Суть методу полягає у зміні ставлення між абсолютними значеннями коефіцієнтів ДКП в среднечастотной області зображення. Найменші спотворення будуть вноситися шляхом зміни в ВЧ області, проте атака стисненням з використанням JPEG гарантовано зруйнує вбудоване повідомлення. Найменша ймовірність руйнування повідомлення буде спостерігатися при встановленні в НЧ область, проте це призведе до появи видимих ??спотворень.

На практиці вбудовування здійснюється в СЧ область. Це умовна область вибирається емпірично як пошук компромісу між очікуваним рівнем стиснення (при реалізації відповідної атаки) і необхідною якістю зображення.

Вбудовування здійснюється побитно: один біт в один блок коефіцієнтів ДКП 8'8. Для вбудовування вибираються два коефіцієнта в СЧ області, позначимо їх .

Для вбудовування одиниці різниця абсолютних значень коефіцієнтів ДКП встановлюється більшою деякої величини К.

При встановленні нуля, різниця абсолютних значень встановлюється меншою .

наприклад, К = 10. Нам потрібно вмонтувати m = 1.

| -34 | - | 55 | = -21, Змінюється : | -65 | - | 55 | = 10.

При встановленні m = 0, нічого б не змінювалося.

Можна змінювати один коефіцієнт ДКП, а можна змінювати два коефіцієнта пропорційно, щоб знизити вносяться спотворення.

Гідність методу Коха-Жао: стійкість до більшості відомих стеганоатак, в тому числі до атаки стисненням, до афінних перетворень, геометричним атакам.

Недоліки методу:

1)низька пропускна здатність: 64 пікселя; 64 байта контейнера несуть 1 біт інформації;

2)деякі блоки 8'8 слабо пристосовані до вбудовування даних, а саме:

-Блоки з різкими перепадами яскравості містять великі абсолютні значення в ВЧ області, що може привести до дуже великих спотворень при вбудовуванні інформації;

-Монотонні зображення містять в НЧ і СЧ області, як правило, нульові компоненти. Модифікація СЧ області призведе до внесення видимих ??спотворень.

Зазначені недоліки усунені в наступному методі (метод Бенгама-Мемон-Ео- Юнга).

5.3.3.2. Метод Бенгама-Мемона-Ео-Юнг

Введено наступні удосконалення:

1)введена додаткова відбраковування блоків на основі процедур статистичного аналізу коефіцієнтів ДКП, а саме: блоки, що містять велику кількість великих за абсолютним значенням коефіцієнтів ДКП в ВЧ області, так само як і блоки, що містять велику кількість нульових коефіцієнтів ДКП в СЧ і ВЧ області, при встановленні не використовуються. Тим самим ігноруються висококонтрастні блоки

зрізкими перепадами яскравості і монотонні блоки зображень;

2)для вбудовування одного біта інформації використовується 3 коефіцієнта ДКП замість двох. Процедура вбудовування виглядає наступним чином:

при встановленні m= 1, абсолютне значення одного з коефіцієнтів ДКП встановлюється великим абсолютних значень двох інших коефіцієнтів не менше ніж на величину К. при встановленні m= 0, абсолютне значення першого коефіцієнта встановлюється меншим абсолютних значень двох інших коефіцієнтів не менше ніж на К.

Ключовий інформацією в розглянутих методах є координати коефіцієнтів ДКП, тобто правило вибору цих координат.

Для вилучення вбудованої інформації на приймальному боці уповноважений користувач, який знає координати точок вбудовування, зрівнює абсолютні значення відповідних коефіцієнтів ДКП.

При невиконанні жодної умови в останньому виразі реєструється помилка вилучення.

величина К задає стійкість стеганосістеми до впливу зловмисника або деяких випадкових факторів на контейнер, тобто величина К задає робастної стеганосістеми. чим вище К, Тим вище робастної, тобто тим більший рівень зовнішніх впливів буде проігноровано системою, контейнер збереже зберігається в ньому інформацію. Однак підвищення К веде до неминучого підвищення внесених спотворень.

Недоліком вдосконаленого методу Коха-Жао є його низька пропускна здатність. Однак устнанени інші недоліки методу Коха-Жао. Всі достоїнства успадковуються з методу прототипу.

1)метод Коха і Жао [2, 5, 6, 19, 23], що полягає в виборі з C блока ДКП коефіцієнтів два значення. Їх різницю порівнюють з деякою відносною величиною P

. Якщо потрібно внести «0» то ця різниця робиться більшою ніж P , а при внесенні «1» – меншою;

2)метод Бенгама- Меммона-Ео-Юнга [2, 5, 6], що являється модифікацією попереднього методу. Різниця полягає в тому, що блоки вибираються псевдовипадково. Кожен вибраний блок перевіряється з граничними значеннями Pl (блок не повинен містити граничні переходи яскравості) та Ph (не повинен бути с верх монотонним).В разі не відповідності блок відкидається. Також вибирається не два а три коефіцієнти з блоку, перші два з них порівнюються з граничним числом P . Якщо потрібно внести «0», то третій коефіцієнт роблять меншим любого із перших двох, при внесенні «1» все навпаки;

3)метод Хсу і Ву [2, 5, 6, 36] полягає в вбудовуванні в масив коефіцієнтів ДКП блоків зображення цифрового водяного знака, який представляє собою двійкове зображення розміром A Z × ;

4)метод Фрідріх [2, 5, 19], в загальному являється поєднанням двох методів, де один скриває в низькочастотні коефіцієнти ДКП, а інший в середньо частотні коефіцієнти.

здатним він прочитати повідомлення після його виявлення залежить від стійкості системи шифрування, і це питання, як правило, не розглядається в стеганографії. Діапазон дій активного порушника є значно ширшим. Приховане повідомлення може бути ним видалене або ж зруйноване. Дії зловмисного порушника найбільш небезпечні. Він здатний не лише зруйнувати, але й створювати фальшиві стеганограми (дезінформація) [40].

Для здійснення тієї чи іншої загрози порушник застосовує атаки.

Кількісна оцінка стійкості стеганографічної системи до зовнішніх впливів є доволі складною задачею, яка зазвичай реалізується методами системного аналізу, математичного моделювання або експериментального дослідження.

Надійна стеганосистема вирішує дві основні задачі: приховування самого факту існування повідомлення (перший рівень захисту); запобігання НСД до інформації, шляхом вибору відповідного методу приховування інформації (другий рівень захисту). Можливе існування третього рівня захисту – попереднього криптографічного захисту повідомлення (шифрування). Можлива модель аналізу загроз та оцінки стійкості стеганосистеми представлена на Рис.3.

Рис. 3 Модель аналізу загроз та оцінки стійкості стеганосистеми.

Оцінка рівня прихованості забезпечується шляхом проведення аналітичних досліджень та випробувань. Надійність стеганосистеми визначається, в основному, можливостями обчислювальної системи.

Аналіз базових характеристик стеганосистеми

Задача будь-якої стеганографічної системи – вкрапити повідомлення в контейнер таким чином, щоб будь-який сторонній спостерігач не зміг помітити різниці між оригінальним контейнером та модифікованим. Зазвичай система будується так щоб забезпечити певний компроміс її базових характеристик, до яких відносяться

невідчутність, стійкість, безпека, пропускна здатність створюваного стеганоканалу та обчислювальна складність реалізації.

1)Невідчутність (imperceptibility) Вкраплення повідомлення повинне зберігати перцепційну якість оригінального контейнера.

2)Стійкість до пасивних та активних атак (robustness)

3)Безпека (security)

4)Пропускна здатність стеганоканалу (capacity)

5)Обчислювальна складність реалізації

9. Методи приховування даних у тексті і їх характеристика.

Для приховування конфіденційних повідомлень у тексті (або так звана лінгвістична стеганографія) використовується або звичайна нaдлишковість мови, або формати представлення тексту.

Електронна версія тексту за багатьма причинами є найскладнішим місцем для приховування даних, на відміну від її “жорсткої” копії (наприклад, паперової), яка може бути оброблена як високоструктуроване зображення і є такою, що легко піддається різноманітним методам приховування, таким як незначні зміни формату текстових зразків, регулювання відстані між певними парами символів (кернінг), відстані між рядками тощо. В значній мірі це викликане відносним дефіцитом у текстовому файлі надлишкової інформації, особливо у порівнянні із зображеннями чи звуковими фрагментами. У той час, як до зображення/звуку є можливим у більшості випадків внести непомітні/невідчутні модифікації, навіть додаткова літера або крапка у тексті можуть бути помічені випадковим читачем. Приховування даних у тексті вимагає пошуку таких модифікацій, які були б непомітними переважною більшістю читачів. Автори [14] розглядають три групи методів, що зазнали найбільшого

поширення при вбудовуванні приховуваних даних до тексту:

–методи довільного інтервалу, що здійснюють вбудовування шляхом маніпуляції з пробільними символами (вільним місцем на друкованій полосі);

–синтаксичні методи, які працюють з пунктуацією;

–семантичні методи, до основи яких покладене залежне від приховуваних бітів даних маніпулювання словами.

5.5.1. Методи довільного інтервалу

Існує щонайменше дві причини, за якими маніпулювання вільним місцем у певних випадках показує непогані результати. По-перше, зміна кількості пробілів у кінці текстового рядка не спричиняє істотних змін у значенні фрази або речення. Подруге, пересічний читач навряд чи помітить незначні модифікації вільного місця. У [14] наведено три методи, що використовують для приховування даних вільне місце у тексті. Дані методи оперують з інтервалами між реченнями, пропусками в кінці текстових рядків та інтервалами між словами у тексті, вирівняному по ширині.

5.5.1.2. Метод зміни кількості пробілів в кінці текстових рядків

Другий метод використання вільних місць для вбудовування конфіденційних даних полягає у додаванні пробілів в кінець кожного текстового рядка. Кількість додаваних пробілів залежить від біту, що вбудовується. Два пробіли кодують один біт на рядок, чотири пробіли – два біти, вісім – три і т.д., істотно збільшуючи, порівняно з попереднім методом, кількість інформації, яку виникає можливість приховати. Додаткові переваги даного методу полягають у тому, що він може бути застосовний до будь-якого тексту; зміни у форматі є досить непомітними, оскільки вільні місця, що використовуються, є периферійними по відношенню до основного тексту. Недоліком даного (як, зрештою, і попереднього) методу є те, що деякі програми можуть ненавмисно видаляти додатково внесені пробіли. Крім того, характерним недоліком даного методу є неможливість видобування прихованих даних з паперової копії тексту.

5.5.1.1. Метод зміни інтервалу між реченнями

Вказаний метод дозволяє вбудовувати повідомлення, що має двійковий формат, до тексту шляхом розміщення одного або двох пробілів після кожного символу завершення речення (наприклад, крапки у звичайному тексті або крапки з комою для коду програм на мові C++ тощо). Одиночним пробілом кодується, наприклад, біт «1», подвійним – біт «0». Проте, такий простий метод має низку недоліків. По-перше, він є неефективним, вимагаючи тексту значного обсягу для вбудовування незначної кількості біт (так, один біт, що можна приховати в одному реченні є еквівалентним швидкості передачі даних приблизно 1 біт даних на 160 байт текстового контейнера, за умови, що у середньому речення становить собою 2 рядки по 80 166 символів кожен). По-друге, можливість приховування залежить від структури текстуконтейнера (деякі тексти, як наприклад, верлібри або вільні вірші характеризуються відсутністю стійких узгоджених або однозначних знаків завершення рядка). Потретє, деякі з текстових редакторів автоматично встановлюють після крапки наприкінці речення один-два пробіли. Зрештою, як зазначається у [14], непослідовне використання вільних місць є досить помітним для читача.

5.5.1.3. Метод зміни кількості пробілів між словами вирівняного по ширині тексту

Даний метод дозволяє приховувати дані у вільних місцях тексту, вирівняного по ширині. При цьому дані вбудовуються шляхом керованого обрання позицій, в яких буде розміщено додаткові пробіли. Один пробіл між словами інтерпретується як «0». Два пробіли – як «1». Метод дозволяє вбудувати у середньому по декілька біт до одного рядка. Через обмеження, що накладаються вирівнюванням тексту по ширині, не кожен пробіл між словами може використовуватися для вбудовування даних. Для можливості прийняття однозначного рішення приймальною стороною при визначенні, які ж саме з пробілів між словами приховують вбудовану інформацію, а які є частиною оригінального тексту, у [14] запропоновано використовувати метод вбудовування, подібний до манчестерського кодування. Таке кодування групує біти попарно, причому «01» інтерпретується як «1», «10» – як «0», а пари «00» і «11» є порожніми. Наприклад, видобуте повідомлення «1010000111» зводиться до «001», тоді як «0011110011» є порожнім рядком.

5.5.2. Синтаксичні і семантичні методи

Той факт, що вільне місце для вбудовування обирається довільно, є одночасно перевагою і недоліком з точки зору прихованості даних. Пересічний читач може й не помітити маніпуляції з текстом, тоді як текстовий редактор може автоматично змінити кількість і розміщення пробілів, руйнуючи таким чином приховані дані. Низька стійкість до атак, в світлі можливого переформатування документу, є однією з причин пошуку інших методів вбудовування даних до текстових контейнерів. Крім того, синтаксичні і семантичні методи взагалі жодним чином не використовують вільні місця у тексті, докорінно відрізняючись від розглянутих вище методів. Проте, всі ці методи можуть використовуватися одночасно, дублюючи або доповнюючи один одного.

До синтаксичних методів текстової стеганографії відносяться методи зміни пунктуації та методи зміни структури і стилю тексту [14]. Існує чимало випадків, коли

правила пунктуації є неоднозначними і відступ від них не суттєво не впливає на загальний зміст тексту. Так, наприклад, фрази “червоний, зелений, синій” та “червоний, зелений і синій” є еквівалентними одна одній. Той факт, що вибір подібних форм є довільним (але довільним, звичайно, з огляду на використовуваний в якості контейнера текст, оскільки зрозуміло, що cтеганосистема, побудована на основі видозміни широковідомого тексту навряд чи може вважатися надійною), й використовується при побудові стеганосистем на основі синтаксичних методів. Періодична зміна форм може бути поставлена у відповідність до двійкових даних. Наприклад, поява у тексті форми перерахування із сполучником “і” розуміє під собою вбудований біт «1», у той час відсутність сполучника при перерахуванні говорить про те, що було вбудовано біт «0». Серед інших прикладів – використання скорочень і абревіатур. Середня швидкість передавання даних такими методами становить декілька біт на один кілобайт тексту [14].

Проте, у той час як писемна мова надає достатньо можливостей для синтаксичного приховування даних, ці можливості зникають у характерних прозаїчних творах. Крім того, хоча деякі з правил пунктуації і є неоднозначними, їхнє суперечливе використання може стати об’єктом уваги для цензора. Також можливі випадки, коли зміна пунктуації призводить до зниження зрозумілості тексту або ж до набування текстом протилежного смислу. Тому автори [14] рекомендують з обережністю застосовувати цей метод.

До синтаксичних методів також відносяться методи зміни стилю та структури тексту без значної зміни його смислового навантаження. Наприклад, речення “Існує чимало випадків, коли правила пунктуації є неоднозначними” можна сформулювати як “Правила пунктуації є неоднозначними у багатьох випадках”. Такі методи, порівняно з методами зміни пунктуації, є більш непомітними для сторонніх, але можливість їх використання обмежена складністю автоматизування процесу стеганографічного вбудовування/видобування бітів повідомлення.

Семантичні методи є подібними до синтаксичних. Замість того, щоб вбудовувати двійкові дані, використовуючи двозначність граматичної форми, дані методи призначають два синоніми, які відповідають значенням бітів. Наприклад, слово “але” може бути поставлене у відповідність до «0», а слово “однак” – до «1». Для проведення приховування з використанням семантичних методів необхідна наявність таблиці синонімів. Крім того, як зазначається у [14], якщо слову відповідає досить велика кількість синонімів, виникає можливість одночасного кодування більшої кількості бітів. Скажімо, вибір між синонімами “секретний”, “таємний”, “прихований”, “конфіденційний”, “негласний”, “невідомий” дає можливість представити три біти даних. Проблеми можуть виникнути, коли бажанню вбудувати біт інформації перешкоджає нюанс значення слова.

послідовності, що характеризується широким частотним спектром. У результаті цього спектр даних розширюється на всю доступну смугу. Надалі послідовність розширених даних послаблюється та додається до вихідного сигналу як адитивний випадковий шум;

4)приховування даних з використанням ехо-сигналу [1, 2, 5, 6, 19, 26, 28, 49], полягає в введення в звуковий файл додаткового ехосигналу. Дані ховаються при зміні трьох параметрів ехо-сигналу: початкової амплітуди, швидкості загасання і зсуву. Коли зсув (затримка) між первинним і ехо-сигналом зменшується, починаючи

здеякого значення затримки, ССЛ стає нездатною виявити різницю між двома сигналами, а ехо-сигнал сприймається тільки як додатковий резонанс. Дане значення важко визначити точно, оскільки воно залежить від якості звукозапису, типу звуку та від слухача. У загальному випадку для більшості звуків і більшості слухачів змішування відбувається при затримці, приблизно однієї мілісекунди. Окрім зменшення часу затримки для забезпечення непомітності також можна змінювати рівні початкової амплітуди та час згасання, які б не перевищували поріг чутливості ССЛ. Для того щоб у первинний сигнал закодувати більше одного біта, сигнал розкладається на менші сегменти. Кожен сегмент при цьому розглядається як окремий сигнал і в нього може бути вбудований шляхом еховідображення один біт інформації;

5)приховування за допомогою вставки тонів [6], ґрунтується на поганій чутності та нечіткості низьких тонів у присутності компонент значно вищого спектра.

3. Етап нейтралізації

На організаційно-правовому рівні – це дисциплінарне або адміністративне (кримінальне) розслідування правопорушення (злочину) та притягнення винних до відповідальності.

На апаратно-програмному рівні – це подолання наслідків реалізації загроз

уразі порушень:

технологічих процесів - їх відновлення за допомогою плану аварійного відновлення та проведення ремонтних заходів;

операційної системи та програмних засобів - їх відновлення за допомогою інсталяційних файлів (дисків);

інформаійних ресурсів - їх відновлення за допомогою резервних і архівних копій, які зберігаються на зовнішніх носіях.

4. Етап попередження

На організаційному рівні – це проведення аналізу відомих загроз, пошук нових запобіжних заходів, оновлення політики безпеки, навчання та тренування персоналу.

На технічному рівні – це застосування пасивних засобів захисту: штор на вікнах, систем екранування, заземлення та зашумлення, а також оновлення та впровадження нових систем і засобів ТЗІ.

2.Види захисту інформації.

1.Технічний (ТЗІ) - забезпечує обмеження доступу до носія інформації апаратно-технічними засобами (антивіруси, фаєрволи, маршрутизатори, смарт-карти тощо):

- попередження витоку технічними каналами;

- попередження блокування;

2. Інженерний - попереджує руйнування носія внаслідок навмисних дій або природного впливу інженерно-технічними засобами (обмежуючі конструкції, відеоспостереження, охоронно-пожежна сигналізація тощо).

3. Криптографічний (КЗІ) - попереджує доступ до інформації за допомогою математичних перетворень:

- попередження несанкціонованої модифікації ;

- попередження несанкціонованого розголошення.

4. Організаційний - попередження доступу на об'єкт інформаційної діяльності сторонніх осіб за допомогою організаційних заходів (охорона, пропускний режим, регламетація доступу тощо).

3. Завдання захисту інформації в ІТС.

Безпека інформації в інформаційній системі чи телекомунікаційній мережі забезпечується здатністю цієї системи зберігати таємність інформації при її введенні, виведенні, передаванні, обробці та зберіганні, а також протистояти її руйнуванню, крадіжкам чи спотворенню. Безпека інформації забезпечується шляхом організації допуску до неї, захисту її від перехвату, спотворення чи введення помилкової інформації. З цієї метою застосовуються фізичні, технічні, апаратні, програмноапаратні та програмні засоби захисту. Останні посідають центральне місце в системі забезпечення безпеки інформації в інформаційних системах та телекомунікаційних мережах.

Завдання забезпечення безпеки інформації:

захист інформації в каналах зв’язку та базах даних криптографічними методами;

підтвердження справжності об’єктів даних та користувачів (аутентифікація сторін, що встановлюють зв'язок);

виявлення порушень цілісності об’єктів даних;

забезпечення захисту технічних засобів та приміщень, в яких ведеться обробка конфіденційної інформації, від витоку через побічні канали і від можливо вбудованих в них електронних пристроїв знімання інформації;

забезпечення захисту програмних продуктів та засобів обчислювальної техніки від внесення в них програмних вірусів та закладок;

захист від несанкціонованих дій через канал зв’язку від осіб, що не допущені до засобів шифрування, але що переслідують цілі компрометації таємної інформації і дезорганізації роботи абонентських пунктів;

організаційно-технічні заходи, спрямовані на забезпечення збереження інформації з обмеженим доступом;

виконання вимог з кібербезпеки в інформаційних мережах.

інструкція про порядок введення в експлуатацію КСЗІ

5.2. Навчання користувачів:

інструкція адміністратора безпеки в ІТС

інструкція системного адміністратора ІТС

інструкція користувача ІТС

правила управління паролями в ІТС

правила видачі, вилучення та обміну персональних ідентифікаторів, інших атрибутів розмежування доступу в ІТС

5.3.Комплектування КСЗІ

5.4.Будівельно-монтажні роботи:

наказ про призначення комісії з приймання робіт

акт приймання робіт

5.5. Пуско-налагоджувальні роботи:

акт інсталяції та налагоджування АВПЗ і КЗЗ від НСД

акт оцінки відповідності проведених робіт вимогам експлуатаційних документів

5.6.Попередні випробування КСЗІ:

наказ про створення комісії з проведення випробувань

програма та методика попередніх випробувань

протокол про проведення попередніх випробувань

акт про приймання КСЗІ у дослідну експлуатацію

5.7.Дослідна експлуатація КСЗІ:

наказ про введення ІТС в дослідну експлуатацію

акт про завершення дослідної експлуатації

акт про завершення робіт зі створення КСЗІ

5.8.Державна експертиза КСЗІ:

заявка на проведення державної експертиза КСЗІ

експертний висновок щодо відповідності КСЗІ вимогам НД ТЗІ

атестат відповідності КСЗІ вимогам НД ТЗІ

наказ про дозвіл на обробку в ІТС інформації, яка підлягає захисту

6.Супровід КСЗІ:

наказ про порядок забезпечення захисту інформації в ІТС

інструкція щодо забезпечення правил обробки ІзОД в ІТС

інструкція з антивірусного захисту інформації в ІТС

інструкція про порядок використання засобів КЗІ в ІТС

інструкція про порядок обліку та використання машинних носіїв інформації

інструкція з правил управління паролями в ІТС

інструкція про порядок створення і зберігання резервних копій інформаційних ресурсів ІТС

інструкція про порядок проведення контролю режиму обробки та захисту інформації в ІТС

інструкція про порядок супроводу та модернізації КСЗІ в ІТС

інструкція про порядок відновлювальних та ремонтних робіт ІТС

інші іструкції.

5. Категоріювання ІТС. Порядок проведення, типи та призначення.

Об’єкти, на яких здійснюватиметься обробка технічними засобами та/або озвучуватиметься інформація з обмеженим доступом (далі – ІзОД) підлягають обов’язковому категоріюванню. Об’єктами категоріювання є об’єкти інформаційної діяльності (далі – ОІД), в тому числі об’єкти електронно-обчислювальної техніки (далі – ЕОТ) ІТС. ОІД – це інженерно-технічна споруда (приміщення), транспортний засіб, де здійснюється озвучення та/або обробка технічними засобами ІзОД.

Категоріювання ІТС здійснюється комісією організації-власника (розпорядника) ІТС для визначення необхідного рівня захисту інформації, що обробляється на об’єктах ЕОТ ІТС, згідно вимог НД ТЗІ 1.6-005-2013 «Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці»

Категоріювання здійснюється за ознакою ступеня обмеження доступу до інформації, що обробляється технічними засобами та/або озвучується на ОІД. Згідно ТПКО-95 «Тимчасове положення про категоріювання об'єктів» установлюються 4 категорії об'єктів, на яких обробляється технічними засобами та/або озвучується ІзОД, що:

становить державну таємницю, для якої встановлено гриф секретності «особливої важливості» - перша (І);

становить державну таємницю, для якої встановлено гриф секретності «цілком таємно» - друга (ІІ);

становить державну таємницю, для якої встановлено гриф секретності «таємно», а також інформація, що містить відомості, які становлять іншу передбачену законом таємницю – третя (ІІІ);

не становить державної таємниці – четверта (ІV).

Категоріювання може бути первинним, черговим або позачерговим. Первинне категоріювання здійснюється у разі створення ІТС, де буде оброблятися ІзОД. Чергове – не рідше ніж один раз на 5 років. Позачергове – у разі зміни ознаки, за якою була встановлена категорія ІТС.

Комісія з категоріювання визначає ступень обмеження доступу до інформації, яка оброблятиметься в ІТС, та з урахуванням цього ступеня встановлює категорію ІТС. Встановлена категорія зазначається в Акті категоріювання ІТС, який складається комісією за результатами її роботи. Акт категоріювання є чинним протягом 5 років з моменту проведення категоріювання, якщо не змінилась ознака, за якою була встановлена категорія об’єкта.

Вакті зазначається:

1)Підстава для категоріювання (рішення про створення КСЗІ, закінчення терміну дії акта категоріювання, зміна ознаки, за якою була встановлена категорія, та реквізити наказу про призначення комісії з категоріювання.

2)Вид категоріювання: первинне, чергове, позачергове (у разі чергового або позачергового категоріювання вказується категорія, що була встановлена до

цього категоріювання, та реквізити акту, яким було встановлено цю категорію).

3)В ІТС здійснюється обробка ІзОД.

4)Ступінь обмеження доступу до ІзОД, що обробляється в ІТС (передбачена законом таємниця; службова інформація; конфіденційна інформація, яка перебуває у володінні розпорядників інформації, інша конфіденційна інформація, вимога щодо захисту якої встановлена законом).

5)Встановлена комісією категорія.

ІТС, яким комісія встановила відповідну категорію, вносяться до «Переліку категорійованих об’єктів», який ведеться власником (розпорядником, користувачем) ОІД.

6.Обстеження середовищ функціонування ІТС: мета, складові та порядок проведення.

Метою обстеження є підготовка засадничих даних для формування вимог до КСЗІ у вигляді опису кожного середовища функціонування ІТС та виявлення в ньому елементів, які безпосередньо чи опосередковано можуть впливати на безпеку інформації, виявлення взаємного впливу елементів різних середовищ, документування результатів обстеження для використання на наступних етапах робіт.

При обстеженні обчислювальної системи ІТС повинні бути проаналізовані

йописані:

клас, загальна структурна схема і склад (перелік і склад обладнання, технічних і програмних засобів, їхні зв'язки, особливості конфігурації, архітектури й топології, програмні і програмно-апаратні засоби захисту інформації, взаємне розміщення засобів тощо);

види і характеристики каналів зв'язку;

особливості взаємодії окремих компонентів, їх взаємний вплив один на одного;

можливі обмеження щодо використання засобів тощо.

Мають бути виявлені компоненти обчислювальної системи, які містять і які не містять засобів і механізмів захисту інформації, потенційні можливості цих засобів і механізмів, їхні властивості і характеристики, в тому числі ті, що встановлюються за умовчанням тощо.

За результатами обстеження інформаційного середовища складається «Перелік інформації, що підлягає автоматизованому обробленню в ІТС і потребує захисту», який оформлюється як окремий документ, затверджений керівником організаціївласника (розпорядника) відповідної інформації, або як розділ у інших документах (Політика безпеки, План захисту, Технічне завдання на створення КСЗІ тощо).

7. Модель порушника безпеки інформації в ІТС: мета та характеристика.

Модель порушника безпеки інформації в ІТС

На підставі Акту обстеження та визначення загроз для ІТС СЗІ розробляє «Модель порушника безпеки інформації в ІТС», яка затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту. Модель порушника - це абстрактний формалізований або неформалізований опис дій порушника, який відображає його практичні та теоретичні можливості, апріорні знання, час та місце дії тощо. Як порушник розглядається особа, яка може одержати несанкціонований доступ (далі - НСД) до роботи з включеними до складу ІТС засобами.

Модель порушника повинна визначати:

можливі цілі порушника та їх градація за ступенями небезпечності для ІТС та інформації, що потребує захисту;

категорії персоналу, користувачів ІТС та сторонніх осіб, із числа яких може бути порушник;

припущення про кваліфікацію порушника;

припущення про характер його дій.

Метою порушника можуть бути:

отримання необхідної інформації у потрібному обсязі та асортименті;

мати можливість вносити зміни в інформаційні потоки у відповідності зі своїми намірами (інтересами, планами);

нанесення збитків шляхом знищення матеріальних та інформаційних цінностей.

Порушники спочатку поділяються на дві основні групи: зовнішні та внутрішні.

Зовнішніх порушників можна розділити на:

добре озброєну та технічно оснащену групу, що діє зовні швидко і напролом;

поодиноких порушників, що не мають допуску на об'єкт і намагаються діяти потайки й обережно, так як вони усвідомлюють, що сили реагування мають перед ним переваги.

Сторонні особи, що можуть бути порушниками:

клієнти (представники організацій, громадяни);

відвідувачі (запрошені з якого-небудь приводу);

представники організацій, взаємодіючих з питань забезпечення систем життєдіяльності організації (енерго-, водо-, теплопостачання тощо);

представники конкуруючих організацій (іноземних служб) або особи, що діють за їх завданням;

особи, які випадково або навмисно порушили пропускний режим (без мети порушити безпеку);

будь-які особи за межами контрольованої зони.

Потенціальних внутрішніх порушників можна розділити на:

допоміжний персонал об'єкту, що допущений на об'єкт, але не допущений до життєво важливого центру ІТС;

основний персонал, що допущений до життєво важливого центру (найбільш небезпечний тип порушників);

співробітників служби безпеки, які часто формально не допущені до життєво важливого центру ІТС, але реально мають достатньо широкі можливості для збору необхідної інформації і скоєння акції.

Серед внутрішніх порушників можна виділити такі категорії персоналу:

користувачі (оператори) системи;

персонал, що обслуговує технічні засоби (інженери, техніки);

співробітники відділів розробки та супроводження програмного забезпечення (прикладні та системні програмісти);

технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти ІТС);

співробітники служби безпеки;

керівники різних рівнів та посадової ієрархії.

Можна виділити також 3 основних мотиви порушень: безвідповідальність, самоствердження та з корисною метою.

При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У більшості випадків це наслідок некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру заради самоствердження або у власних очах, або в очах колег.

Порушення безпеки ІТС може бути викликано корисливим інтересом користувача ІТС. У цьому випадку він буде цілеспрямовано намагатися подолати систему захисту для несанкціонованого доступу до інформації в ІТС.

Усіх порушників можна класифікувати за рівнем знань про ІТС:

знає функціональні особливості ІТС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;

має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням;

має високий рівень знань в області програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем;

знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.

За рівнем можливостей (методам та засобам, що використовуються):

застосовує чисто агентурні методи отримання відомостей;

застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи);

використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути тайком пронесені крізь пости охорони;

застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).

За часом дії:

у процесі функціонування (під час роботи компонентів системи);

у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т.д.);

як у процесі функціонування, так і в період неактивності системи.

За місцем дії:

без доступу на контрольовану територію організації;

з контрольованої території без доступу до будівель та споруджень;

усередині приміщень, але без доступу до технічних засобів;

з робочих місць кінцевих користувачів (операторів);

з доступом у зону даних (баз даних, архівів тощо);

з доступом у зону управління засобами забезпечення безпеки.

Враховуються також такі обмеження та припущення про характер дій можливих порушників:

робота з підбору кадрів і спеціальні заходи утруднюють можливість створення коаліцій порушників, тобто злочинного угрупування (змови) і цілеспрямованих дій по подоланню системи захисту двох і більше порушників;

порушник, плануючи спробу НСД, приховує свої несанкціоновані дії від інших співробітників;

НСД може бути наслідком помилок користувачів, адміністраторів, а також хиб прийнятої технології обробки інформації тощо.

Припускається, що в своєму рівні порушник - це фахівець вищої кваліфікації, який має повну інформацію про ІТС і засоби захисту. Така класифікація порушників є корисною для використання в процесі оцінки ризиків, аналізу вразливості системи, ефективності існуючих і планових заходів захисту.

За результатами формування моделі порушника обов'язково повинні бути визначені: імовірність реалізації загрози, своєчасність виявлення та відомості про порушення.

Слід зауважити, що всі злочини, зокрема і комп’ютерні, здійснюються людиною. Користувачі ІТС, з одного боку, є її складовою частиною, а з іншого - основною причиною і рухаючою силою порушень і злочинів. Отже, питання безпеки захищених ІТС фактично є питанням людських відносин та людської поведінки.

8. Класифікація порушників безпеки інформації.

Порушники спочатку поділяються на дві основні групи: зовнішні та внутрішні.

Зовнішніх порушників можна розділити на:

добре озброєну та технічно оснащену групу, що діє зовні швидко і напролом;

поодиноких порушників, що не мають допуску на об'єкт і намагаються діяти потайки й обережно, так як вони усвідомлюють, що сили реагування мають перед ним переваги.

Сторонні особи, що можуть бути порушниками:

клієнти (представники організацій, громадяни);

відвідувачі (запрошені з якого-небудь приводу);

представники організацій, взаємодіючих з питань забезпечення систем життєдіяльності організації (енерго-, водо-, теплопостачання тощо);

представники конкуруючих організацій (іноземних служб) або особи, що діють за їх завданням;

особи, які випадково або навмисно порушили пропускний режим (без мети порушити безпеку);

будь-які особи за межами контрольованої зони.

Потенціальних внутрішніх порушників можна розділити на:

допоміжний персонал об'єкту, що допущений на об'єкт, але не допущений до життєво важливого центру ІТС;

основний персонал, що допущений до життєво важливого центру (найбільш небезпечний тип порушників);

співробітників служби безпеки, які часто формально не допущені до життєво важливого центру ІТС, але реально мають достатньо широкі можливості для збору необхідної інформації і скоєння акції.

Серед внутрішніх порушників можна виділити такі категорії персоналу:

користувачі (оператори) системи;

персонал, що обслуговує технічні засоби (інженери, техніки);

співробітники відділів розробки та супроводження програмного забезпечення (прикладні та системні програмісти);

технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти ІТС);

співробітники служби безпеки;

керівники різних рівнів та посадової ієрархії.

Можна виділити також 3 основних мотиви порушень: безвідповідальність, самоствердження та з корисною метою.

При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково виробляє руйнуючі дії, які не пов'язані проте зі злим умислом. У

більшості випадків це наслідок некомпетентності або недбалості. Деякі користувачі вважають одержання доступу до системних наборів даних значним успіхом, затіваючи свого роду гру заради самоствердження або у власних очах, або в очах колег.

Порушення безпеки ІТС може бути викликано корисливим інтересом користувача ІТС. У цьому випадку він буде цілеспрямовано намагатися подолати систему захисту для несанкціонованого доступу до інформації в ІТС.

Усіх порушників можна класифікувати за рівнем знань про ІТС:

знає функціональні особливості ІТС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;

має високий рівень знань і досвід роботи з технічними засобами системи і їх обслуговуванням;

має високий рівень знань в області програмування й обчислювальної техніки, проектування й експлуатації автоматизованих інформаційних систем;

знає структуру, функції і механізм дії засобів захисту, їх сильні і слабкі сторони.

За рівнем можливостей (методам та засобам, що використовуються):

застосовує чисто агентурні методи отримання відомостей;

застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонентів системи);

використовує тільки штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути тайком пронесені крізь пости охорони;

застосовує методи та засоби активного впливу (модифікація та підключення додаткових технічних засобів, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).

За часом дії:

у процесі функціонування (під час роботи компонентів системи);

у період неактивності системи (у неробочий час, під час планових перерв у її роботі, перерв для обслуговування та ремонтів і т.д.);

як у процесі функціонування, так і в період неактивності системи.

За місцем дії:

без доступу на контрольовану територію організації;

з контрольованої території без доступу до будівель та споруджень;

усередині приміщень, але без доступу до технічних засобів;

з робочих місць кінцевих користувачів (операторів);

з доступом у зону даних (баз даних, архівів тощо);

з доступом у зону управління засобами забезпечення безпеки.

9. Модель загроз для інформації в ІТС: мета та завдання.

Модель загроз для інформації в ІТС

Після проведення обстеження середовищ ІТС необхідно визначити всі можливі потенційні загрози для ІТС.

Походження загроз може бути випадковим і навмисним. Випадкове походження обумовлюється спонтанними і не залежними від волі людей обставинами, що виникають в ІТС в процесі її функціонування. Найбільш відомими подіями цього плану є відмови, збої, помилки, стихійні лиха та побічні впливи.

Сутність перерахованих подій (окрім стихійних лих, сутність яких незрозуміла) визначається таким чином:

відмова - порушення працездатності якого-небудь елемента системи, що призводить до неможливості виконання нею основних своїх функцій;

збій - тимчасове порушення працездатності якого-небудь елемента системи, наслідком чого може бути неправильне виконання ним у цей момент своєї функції;

помилка - неправильне (разове або систематичне) виконання елементом однієї або декількох функцій, що відбувається внаслідок специфічного (постійного або тимчасового) його стану;

побічний вплив - негативний вплив на систему в цілому або окремі її елементи, чиниться будь-якими явищами, що відбуваються всередині системи або у зовнішньому середовищі.

Навмисне походження загроз обумовлюється зловмисними діями людей.

Передумови появи загроз можуть бути об'єктивними (кількісна або якісна недостатність елементів системи) і суб'єктивними. До останніх відносяться діяльність розвідувальних органів іноземних держав, промислове шпигунство, діяльність кримінальних елементів, дії недобросовісного персоналу ІТС.

Перераховані різновиди передумов інтерпретуються таким чином:

кількісна недостатність - фізична нестача одного або декількох елементів системи, що викликає порушення технологічного процесу обробки даних і / або перевантаження наявних елементів.

якісна недостатність - недосконалість конструкції (організації) елементів системи, в силу цього можуть з'являтися можливості випадкового або навмисного негативного впливу на оброблювану або збережену інформацію.

На підставі Акту обстеження та Моделі порушника політики безпеки СЗІ розробляє «Модель загроз для інформації в ІТС», яка затверджується керівником організації-власника (розпорядника) ІТС, та вноситься, за необхідності, до відповідних розділів Плану захисту та Технічного завдання на створення КСЗІ. Модель загроз має містити абстрактний формалізований або неформалізований опис методів і засобів здійснення загроз для інформації, яка потребує захисту.

Модель загроз повинна визначити:

перелік можливих типів загроз, класифікований за результатом впливу на інформацію, тобто на порушення яких її властивостей вони спрямовані (конфіденційності, цілісності або доступності інформації);

перелік можливих способів реалізації загроз певного типу (способів атак) відносно різних інформаційних об’єктів ІТС у різному стані класифікований, наприклад, за такими ознаками, як компонент обчислювальної системи ІТС або програмний засіб, уразливості яких експлуатуються порушником, причини виникнення відповідної уразливості тощо.

Загрози для інформації, що обробляється в ІТС, залежать від характеристик ОС, апаратного складу, програмних засобів, фізичного середовища, персоналу, технологій обробки та інших чинників і можуть мати об'єктивну або суб'єктивну природу.

Загрози, що мають суб'єктивну природу, поділяються на випадкові (ненавмисні) та навмисні. Мають бути визначені основні види загроз для безпеки інформації, які можуть бути реалізовані стосовно ІТС і повинні враховуватись у моделі загроз, наприклад:

зміна умов фізичного середовища (стихійні лиха і аварії, як землетрус, повінь, пожежа або інші випадкові події);

збої та відмови у роботі технічних або програмних засобів (далі - ПЗ) ІТС;

наслідки помилок під час проектування та розробки компонентів ІТС (технічних засобів, технології обробки інформації, ПЗ, засобів захисту, структур даних тощо);

помилки персоналу (користувачів) ІТС під час експлуатації;

навмисні дії (спроби) потенційних порушників.

Випадковими загрозами суб’єктивної природи (дії, які здійснюються персоналом або користувачами по неуважності, недбалості, незнанню тощо, але без навмисного наміру) можуть бути:

дії, що призводять до відмови ІТС (окремих компонентів), руйнування апаратних, програмних, інформаційних ресурсів (обладнання, каналів зв’язку, видалення даних, програм тощо);

ненавмисне пошкодження носіїв інформації;

неправомірна зміна режимів роботи ІТС (окремих компонентів, обладнання, ПЗ тощо), ініціювання тестуючих або технологічних процесів, які здатні призвести до незворотних змін у системі (наприклад, форматування носіїв інформації);

неумисне зараження ПЗ комп’ютерними вірусами;

невиконання вимог до організаційних заходів захисту чинних в ІТС розпорядчих документів;

помилки під час введення даних в систему, виведення даних за невірними адресами пристроїв, внутрішніх і зовнішніх абонентів тощо;

будь-які дії, що можуть призвести до розголошення конфіденційних відомостей, атрибутів розмежування доступу, втрати атрибутів тощо;

персонал ІТС;

технічні засоби ІТС;

моделі, алгоритми, програми ІТС;

технологія функціонування ІТС;

зовнішнє середовище.

3) можливі способи здійснення (механізм реалізації) загроз:

шляхом підключення до апаратури та ліній зв’язку,

маскування під зареєстрованого користувача,

подолання заходів захисту з метою використання інформації або нав’язування хибної інформації,

застосування закладних пристроїв чи програм, вкорінення комп’ютерних вірусів.

Опис моделі загроз (у частині, що стосується переліку можливих способів реалізації загроз та їх класифікації), має бути викладений настільки детально, щоб дозволяти (на етапі аналізу ризиків, пов’язаних з реалізацією загроз для інформації в ІТС) однозначне визначення як збитків, що завдаються у випадку успішної реалізації загрози, так і ймовірності реалізації загрози (здійснення атаки) в певний спосіб.

10.Джерела загроз інформації в ІТС. Характеристика каналів витоку інформації.

Джерело загрози - це безпосередній їх генератор або носій. Таким джерелом можуть бути люди, технічні засоби, моделі (алгоритми), а також - програми, технологічні схеми обробки, зовнішнє середовище.

Спробуємо тепер, спираючись на наведену системну класифікацію загроз безпеки інформації, визначити повне безліч погроз, потенційно можливих у сучасних автоматизованих системах. При цьому ми повинні врахувати не лише всі відомі (раніше проявлялися) загрози, але й такі загрози, які раніше не виявлялися, але потенційно можуть виникнути при застосуванні нових концепцій архітектурного побудови АС і технологічних схем обробки інформації.

Всі можливі канали витоку інформації (далі - КВІ) можна класифікувати за двома критеріями: необхідністю доступу до елементів ІТС для реалізації того чи іншого КВІ і залежністю появи КВІ від стану ІТС.

За першим критерієм КВІ можуть бути розділені на такі, що:

не вимагають доступу, тобто дозволяють отримувати необхідну інформацію дистанційно (наприклад, шляхом візуального спостереження через вікна приміщень ІТС),

вимагають доступу в приміщення ІТС. У свою чергу, такі канали можуть не залишити слідів в ІТС (наприклад, візуальний перегляд зображень на екранах моніторів або документів на паперових носіях), а можуть і залишити ті чи інші сліди (наприклад, розкрадання документів або машинних носіїв інформації).

За другим критерієм КВІ можуть бути розділені на:

потенційно існуючі незалежно від стану ІТС (наприклад, викрадати носії інформації можна незалежно від того, в робочому стані знаходяться кошти АС чи ні);

існуючі тільки в робочому стані ІТС (наприклад, побічні електромагнітні випромінювання та наведення).

Наведемо орієнтовну характеристику каналів несанкціонованого отримання інформації виділених нами класів:

1-го класу - канали, які проявляються безвідносно до обробки інформації і без доступу зловмисника до елементів системи. Сюди може бути віднесено підслуховування розмов, а також провокування на розмови осіб, що мають відношення до ІТС, і використання зловмисником візуальних, оптичних та акустичних засобів.

2-го класу - канали, які у процесі обробки інформації без доступу зловмисника до елементів ІТС. Сюди можуть бути віднесені електромагнітні випромінювання різних пристроїв ІТС, апаратури та ліній зв'язку, паразитні наведення в ланцюгах харчування, телефонних мережах, системах теплопостачання, вентиляції тощо.

3-го класу - канали, які проявляються безвідносно до обробки інформації з доступом зловмисника до елементів ІТС, але без зміни останніх. До них відносяться всілякі види копіювання носіїв інформації і документів, а також розкрадання виробничих відходів.

4-го класу - канали, які у процесі обробки інформації з доступом зловмисника до елементів ІТС, але без зміни останніх. Сюди може бути віднесено запам'ятовування і копіювання інформації в процесі обробки, використання програмних пасток тощо.

5-го класу - канали, які проявляються безвідносно до обробки інформації з доступом зловмисника до елементів ІТС і зі зміною програмних або апаратних засобів. Серед цих каналів: підміна і розкрадання носіїв інформації й апаратури, включення до програм блоків типу троянський кінь, комп'ютерний черв'як тощо.

6-го класу - канали, які у процесі обробки інформації з доступом зловмисника до елементів ІТС і зі зміною останніх. Сюди може бути віднесено незаконне підключення до апаратури та ліній зв'язку, а також зняття інформації на шинах живлення різних елементів ІТС.

11.Нормативні документи системи технічного захисту інформації. Їх роль та призначення.

Основні нормативно-правові акти України

Закон України «Про захист інформації в інформаційно-телекомунікаційних системах».

Правила забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджені постановою Кабінету Міністрів України від 29.03.2006 № 373 з останніми змінами згідно ПКМУ № 938 від 07.09.2011.

Державні стандарти України

ДСТУ 2226-93. Автоматизовані системи. Терміни та визначення.

ДСТУ 2851-94. Програмні засоби ЕОМ. Документування результатів випробувань.

ДСТУ 2853-94. Програмні засоби ЕОМ. Підготовлення і проведення випробувань.

ДСТУ 3396.0-96. Технічний захист інформації. Основні положення.

ДСТУ 3396.1-96. Технічний захист інформації. Порядок проведення робіт.

ДСТУ 3396.2-97. Технічний захист інформації. Терміни та визначення.

2 Нормативні документи системи технічного захисту інформації

Створення КСЗІ в автоматизованій системі

НД ТЗІ 3.7-003-2005. Порядок проведення робіт із створення комплексної системи захисту інформації в інформаційно-телекомунікаційній системі, затверджений наказом ДСТСЗІ СБ України від 08.11.2005 № 125 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

НД ТЗІ 1.6-005-2013. Положення про категоріювання об’єктів, де циркулює інформація з обмеженим доступом, що не становить державної таємниці, затверджений наказом Адміністрації Держспецзв'язку від 15.04.2013 № 215

НД ТЗІ 1.4-001-2000. Типове положення про службу захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 04.12.2000 № 53.

НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення комплексної системи захисту інформації в автоматизованій системі, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

Захист інформації в комп'ютерних системах від несанкціонованого доступу

НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп'ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22.

НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22.

НД ТЗІ 2.5-004-99. Критерії оцінки захищеності інформації в комп’ютерних системах від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 28.04.99 № 22.

НД ТЗІ 2.5-005-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. Затверджено наказом ДСТСЗІ СБ України від 28.04.99 № 22.

НД ТЗІ 2.5-008-2002. Вимоги із захисту службової інформації від несанкціонованого доступу під час оброблення в автоматизованих системах класу 2, затверджений наказом ДСТСЗІ СБ України від 13.12.2002 № 84 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

НД ТЗІ 2.5-010-2003. Вимоги до захисту інформації WEB-сторінки від несанкціонованого доступу, затверджений наказом ДСТСЗІ СБ України від 02.04.2003 № 33 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

Створення комплексів ТЗІ на об'єктах інформаційної діяльності

ТР ЕОТ - 95. Тимчасові рекомендації з технічного захисту інформації у засобах обчислювальної техніки, автоматизованих системах і мережах від витоку каналами побічних електромагнітних випромінювань і наводок, затверджені наказом Державної служби України з питань технічного захисту інформації від 09.06.95 № 25.

НД ТЗІ 1.1-005-2007. Створення комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.

НД ТЗІ 2.1-002-2007. Випробування комплексу технічного захисту інформації. Основні положення, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.

НД ТЗІ 3.1-001-2007. Створення комплексу технічного захисту інформації. Передпроектні роботи, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.

НД ТЗІ 3.3-001-2007. Створення комплексу технічного захисту інформації. Порядок розроблення та впровадження заходів із захисту інформації, затверджений наказом Адміністрації Держспецзв'язку від 12.12.2007 № 232.

Державна експертиза КСЗІ

Положення про державну експертизу в сфері технічного захисту інформації, затверджене наказом Адміністрації Держспецзв'язку від 16.05.2007 № 93 та зареєстроване в Міністерстві юстиції України 16.07.2007 за № 820/14087.

Порядок формування реєстру організаторів державної експертизи у сфері ТЗІ та реєстру експертів з питань ТЗІ, затверджений наказом Адміністрації Держспецзв’язку від 16.04.2008 № 64

НД ТЗІ 2.6-001-2011. Порядок проведення робіт з державної експертизи засобів технічного захисту інформації від несанкціонованого доступу та комплексних систем захисту інформації в інформаційно-телекомунікаційних системах, затверджений наказом Адміністрації Держспецзв'язку від 25.03.2011 № 65 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

НД ТЗІ 2.7-009-2009. Методичні вказівки з оцінювання функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджений наказом Адміністрації Держспецзв'язку від 24.07.2009 № 172 із змінами згідно наказу Адміністрації Держспецзв'язку від 28.12.2012 № 806.

НД ТЗІ 2.7-010-2009. Методичні вказівки з оцінювання рівня гарантій коректності реалізації функціональних послуг безпеки в засобах захисту інформації від несанкціонованого доступу, затверджений наказом Адміністрації Держспецзв'язку від 24.07.2009 № 172.

Основний керівний документ – це НД ТЗІ 3.7-003-2005

«Порядок проведення робіт із створення КСЗІ в ІТС»

Він визначає порядок прийняття рішень щодо складу комплексної системи захисту інформації в залежності від умов функціонування ІТС і видів оброблюваної інформації, визначення обсягу і змісту робіт, етапності робіт, основних завдань та порядку виконання робіт кожного етапу.

Побудований у вигляді керівництва, яке містить перелік робіт і посилання на діючі нормативні документи, у відповідності до яких ці роботи необхідно виконувати. Якщо якийсь з етапів чи видів робіт не нормовано, наводиться короткий зміст робіт та якими результатами вони повинні закінчуватись.

Дія цього НД ТЗІ поширюється тільки на ІТС, в яких здійснюється обробка інформації автоматизованим способом. Відповідно, для таких ІТС чинні всі нормативно-правові акти та нормативні документи щодо створення ІТС та щодо захисту інформації в АС. НД ТЗІ не встановлює нових норм, а систематизує в одному документі вимоги, норми і правила, які безпосередньо або непрямим чином витікають з положень діючих нормативних документів.

НД ТЗІ призначений для суб’єктів інформаційних відносин (власників або розпорядників ІТС, користувачів), діяльність яких пов’язана з обробкою інформації, що підлягає захисту, розробників комплексних систем захисту інформації в ІТС, для постачальників компонентів ІТС, а також для фізичних та юридичних осіб, які

здійснюють оцінку захищеності оброблюваної інформації на відповідність вимогам ТЗІ.

Встановлений цим НД ТЗІ порядок є обов’язковим для всіх суб’єктів системи ТЗІ в Україні незалежно від їхньої організаційно-правової форми та форми власності, в ІТС яких обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або окремих видів інформації, необхідність захисту якої визначено законодавством. Якщо в ІТС обробляються інші види інформації, то вимоги цього нормативного документа суб’єкти системи ТЗІ можуть використовувати як рекомендації.

Порядок створення КСЗІ в ІТС є єдиним незалежно від того, створюється КСЗІ в ІТС, яка проектується, чи в діючій ІТС, якщо виникла необхідність забезпечення захисту інформації або модернізації вже створеної КСЗІ.

Процес створення КСЗІ полягає у здійсненні комплексу взаємоузгоджених заходів, спрямованих на розроблення і впровадження інформаційної технології, яка забезпечує обробку інформації в ІТС згідно з вимогами, встановленими нормативноправовими актами та НД у сфері захисту інформації.

Порядок створення КСЗІ в ІТС розглядається цим НД як сукупність впорядкованих у часі, взаємопов’язаних, об’єднаних в окремі етапи робіт, виконання яких необхідне й достатньє для КСЗІ, що створюється.

Створення КСЗІ повинно виконуватись у комплексі із заходами, щодо забезпечення режиму секретності, протидії технічним розвідкам, а також з режимними заходами щодо охорони інформації з обмеженим доступом, яка не є державною таємницею.

До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:

витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;

несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;

спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.

Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ІТС.

Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.

Створення комплексу засобів захисту від несанкціонованого доступу (далі – КЗЗ) здійснюється в усіх ІТС, де обробляється інформація, яка належить до державних інформаційних ресурсів, належить до державної чи іншої таємниці або до окремих видів інформації, необхідність захисту якої визначено законодавством, а також в ІТС, де така необхідність визначена власником інформації.

Рішення щодо необхідності вжиття заходів захисту від спеціальних впливів на інформацію приймається власником інформації в кожному випадку окремо.

Роботи зі створення КСЗІ виконуються організацією-власником (розпорядником) ІТС з дотриманням вимог нормативно-правових актів щодо провадження діяльності у сфері захисту інформації.

Для організації робіт зі створення КСЗІ в ІТС створюється Служба захисту інформації в ІТС. Вона створюється після прийняття рішення про необхідність створення КСЗІ.

12.Визначення критеріїв оцінки ризиків.

Визначення критеріїв

На цьому етапі використовуються дані обстеження всіх середовищ ІТС з метою визначення того, які інформаційні та технічні ресурси зі складу ІТС і з якою детальністю повинні розглядатися в процесі керування ризиком. Крім того, необхідно розробити критерії оцінки ризиків, впливу на активи та прийняття ризиків.

Критерії оцінки ризику повинні розроблятися, враховуючи наступне:

стратегічна цінність обробки інформації;

критичність інформаційних активів;

нормативно-правові вимоги та договірні зобов'язання;

важливість доступності, конфіденційності та цілісності інформації.

Крім того, критерії оцінки ризиків можуть використовуватися для визначення пріоритетів для обробки ризиків.

Критерії впливу повинні розроблятися, виходячи з міри збитку, враховуючи наступне:

цінність інформаційного активу, на який виявлений вплив;

порушення властивості інформації (втрата конфіденційності, цілісності або доступності);

погіршення бізнес-операції;

втрата цінності бізнесу та фінансової цінності;

порушення планів і кінцевих термінів;

збиток для репутації;

порушення нормативно-правових вимог або договірних зобов'язань.

Критерії прийняття ризику повинні встановлюватися з урахуванням:

критеріїв якості бізнес-процесів;

нормативно-правових і договірних аспектів;

операцій;

технологій;

фінансів;

соціальних і гуманітарних чинників.

При розробці критеріїв прийняття ризику слід враховувати, що вони можуть:

включати багато порогових значень з бажаним рівнем ризику, але за умови, що при певних обставинах керівництво прийматиме риски, що знаходяться вище вказаного рівня;

визначатися як кількісне співвідношення оціненої вигоди до оціненого ризику для бізнесу;

включати вимоги для майбутньої додаткової обробки, наприклад, ризик може бути прийнятий, якщо є згода на дії щодо його зниження до прийнятного рівня у рамках певного періоду часу.

13.Вибір варіанту побудови КСЗІ. Загальна структура та склад КСЗІ.

Вибір варіанту побудови КСЗІ

Після завершення аналізу всіх можливих ризиків необхідно здійснити вибір варіанту побудови КСЗІ в залежності від ступеня обмеження доступу до інформації, яка обробляється в ІТС, рівня її критичності, величини можливих збитків від реалізації загроз, матеріальних, фінансових та інших ресурсів, які є у розпорядженні власника ІТС. Можливі такі варіанти:

досягнення необхідного рівня захищеності інформації за мінімальних затрат і допустимого рівня обмежень на технологію її обробки в ІТС;

досягнення необхідного рівня захищеності інформації за допустимих затрат і заданого рівня обмежень на технологію її обробки в ІТС;

досягнення максимального рівня захищеності інформації за необхідних затрат і мінімального рівня обмежень на технологію її обробки в ІТС.

Після цього необхідно здійснити первинне (попереднє) оцінювання допустимих витрат на блокування загроз, виходячи з вибраного варіанту побудови КСЗІ і виділених на це коштів. На етапі проектування КСЗІ, після формування пропозицій щодо складу заходів і засобів захисту, здійснюється оцінка залишкового ризику для кожної пропозиції (наприклад, за критерієм «ефективність/вартість»), вибирається найбільш оптимальна серед них і первинна оцінка уточнюється. Якщо залишковий ризик перевищує гранично допустимий, вносяться відповідні зміни до складу заходів і засобів захисту, після чого всі процедури виконуються повторно до одержання прийнятного результату.

На підставі визначених завдань і функцій ІТС, результатів аналізу її середовищ функціонування, моделей загроз і порушників та результатів аналізу ризиків визначаються компоненти ІТС (наприклад, ЛОМ, спеціалізований АРМ, Інтернетвузол тощо), для яких необхідно або доцільно розробляти свої власні політики безпеки, відмінні від загальної політики безпеки в ІТС.

Визначаються загальна структура та склад КСЗІ, вимоги до можливих заходів, методів та засобів захисту інформації, обмеження щодо середовищ функціонування ІТС та використання її ресурсів для реалізації завдань захисту, припустимі витрати на створення КСЗІ, умови створення, введення в дію і функціонування КСЗІ (окремих її підсистем, компонентів), загальні вимоги до застосування в ІТС (окремих її підсистемах, компонентах) організаційних, технічних, криптографічних та інших заходів захисту інформації, що ввійдуть до складу КСЗІ.

Для ІТС формується перелік необхідних функціональних послуг захисту (далі - ФПЗ) від НСД та вимог до рівнів реалізації кожної з них, визначається рівень гарантій реалізації послуг. Визначені вимоги складають профіль захищеності інформації в ІТС або її компоненті.

ФПЗ є ієрархічними в тому розумінні, що їх реалізація забезпечує зростаючу захищеність від загроз відповідного типу (конфіденційності - К, цілісності - Ц і доступності - Д). Зростання ступеня захищеності може досягатись як підсиленням

певних послуг, тобто включенням до профілю більш високого рівня послуги, так і включенням до профілю нових послуг.

Кожна послуга є набором функцій, які дозволяють протистояти певній множині загроз. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, хоча й не є точними підмножинами один одного. Рівні починаються з першого й зростають до певного значення, унікального для кожного виду послуг.

До складу КСЗІ входять заходи та засоби, які реалізують способи, методи, механізми захисту інформації від:

витоку технічними каналами, до яких відносяться канали побічних електромагнітних випромінювань і наведень, акустоелектричні та інші канали;

несанкціонованих дій та несанкціонованого доступу до інформації, що можуть здійснюватися шляхом підключення до апаратури та ліній зв’язку, маскування під зареєстрованого користувача, подолання заходів захисту з метою використання інформації або нав’язування хибної інформації, застосування закладних пристроїв чи програм, використання комп’ютерних вірусів тощо;

спеціального впливу на інформацію, який може здійснюватися шляхом формування полів і сигналів з метою порушення цілісності інформації або руйнування системи захисту.

Для кожної конкретної ІТС склад, структура та вимоги до КСЗІ визначаються властивостями оброблюваної інформації, класом автоматизованої системи та умовами експлуатації ІТС.

Створення комплексів технічного захисту інформації від витоку технічними каналами здійснюється, якщо в ІТС обробляється інформація, що становить державну таємницю, або коли необхідність цього визначено власником інформації.

14.Функціональні послуги захисту.

Функціональна послуга захисту (ФПЗ) являє собою взаємопов'язаний набір виконуваних у середовищі експлуатації АТС елементарних функцій, що дозволяє протистояти певній множині загроз для інформації.

У найпростішому випадку ФПЗ є одна елементарна функція, спрямована на протидію визначеній одній загрозі.

З позицій ТЗІ АТС разом із реалізованою на ній системою захисту розглядається як набір ФПЗ.

Нормовані специфікації ФПЗ, структуровані за видами загроз для інформації і за способами здійснення цих загроз, наведені в НД ТЗІ 2.5-001-99 .

Впроцесі оцінки спроможності комп'ютерної системи забезпечувати захист оброблюваної інформації від несанкціонованого доступу розглядаються вимоги двох видів:

вимоги до функцій захисту (послуг безпеки);

вимоги до гарантій.

Вконтексті Критеріїв комп'ютерна система розглядається як набір функціональних послуг. Кожна послуга являє собою набір функцій, що дозволяють протистояти певній множині загроз. Кожна послуга може включати декілька рівнів. Чим вище рівень послуги, тим більш повно забезпечується захист від певного виду загроз. Рівні послуг мають ієрархію за повнотою захисту, проте не обов'язково являють собою точну підмножину один одного. Рівні починаються з першого (1) і зростають до значення n, де n — ­унікальне для кожного виду послуг.

Функціональні критерії розбиті на чотири групи, кожна з яких описує вимоги до послуг, що забезпечують захист від загроз одного із чотирьох основних типів.

Конфіденційність. Загрози, що відносяться до несанкціонованого ознайомлення з інформацією, становлять загрози конфіденційності. Якщо існують вимоги щодо обмеження можливості ознайомлення з інформацією, то відповідні послуги треба шукати в розділі “Критерії конфіденційності”. В цьому розділі описані такі послуги (в дужках наведені умовні позначення для кожної послуги): довірча конфіденційність, адміністративна конфіденційність, повторне використання об'єктів, аналіз прихованих каналів, конфіденційність при обміні (експорті/імпорті).

Цілісність. Загрози, що відносяться до несанкціонованої модифікації інформації, становлять загрози цілісності. Якщо існують вимоги щодо обмеження можливості модифікації інформації, то відповідні послуги треба шукати в розділі “Критерії цілісності”. В цьому розділі описані такі послуги: довірча цілісність, адміністративна цілісність, відкат і цілісність при обміні.

Доступність. Загрози, що відносяться до порушення можливості використання комп'ютерних систем або оброблюваної інформації, становлять загрози доступності. Якщо існують вимоги щодо захисту від відмови в доступі або захисту від збоїв, то відповідні послуги треба шукати в розділі “Критерії доступності”. В цьому розділі

описані такі послуги: використання ресурсів, стійкість до відмов, горяча заміна, відновлення після збоїв.

Спостереженість. Ідентифікація і контроль за діями користувачів, керованість комп'ютерною системою становлять предмет послуг спостереженості і керованості. Якщо існують вимоги щодо контролю за діями користувачів або легальністю доступу і за спроможністю комплексу засобів захисту виконувати свої функції, то відповідні послуги треба шукати у розділі “Критерії спостереженості”. В цьому розділі описані такі послуги: реєстрація, ідентифікація і автентифікація, достовірний канал, розподіл обов'язків, цілісність комплексу засобів захисту, самотестування, автентифікація при обміні, автентифікація відправника (невідмова від авторства), автентифікація одержувача (невідмова від одержання).

Крім функціональних критеріїв, що дозволяють оцінити наявність послуг безпеки в комп'ютерній системі, цей документ містить критерії гарантій, що дозволяють оцінити коректність реалізації послуг. Критерії гарантій включають вимоги до архітектури комплексу засобів захисту, середовища розробки, послідовності розробки, випробування комплексу засобів захисту, середовища функціонування і експлуатаційної документації. В цих Критеріях вводиться сім рівнів гарантій (Г-1, ..., Г-7), які є ієрархічними. Ієрархія рівнів гарантій відбиває поступово наростаючу міру певності в тому, що реалізовані в комп'ютерній системі послуги дозволяють протистояти певним загрозам, що механізми, які їх реалізують, в свою чергу коректно реалізовані і можуть забезпечити очікуваний споживачем рівень захищеності інформації під час експлуатації комп'ютерної системи.