ВАША ИНФОРМАЦИЯ, ЧЬЯ ОНА?

или снова о защите компьютерной информации

 

В последнее время в российских изданиях различного толка, от массовых до специализированных, часто встречаются весьма уверенные и безаппеляционные утверждения, что любая профессиональная система защиты информации должна стоить очень дорого ("не может быть надежным средство защиты информации за сто долларов"), и более того, действительно надежные средства защиты не могут быть просто так доверены любому человеку с улицы.

Авторы явно поддерживают точку зрения, усиленно проповедуемую некоторыми госчиновниками, что для применения действительно надежной и профессионально сделанной системы для защиты любой информации, будь то банковская, коммерческая или просто частная, необходимо получить специальное разрешение от государственной службы, которая, даже для разрешения на защиту пользователем своих писем на персональном компьютере (PC), норовит обязать его проходить проверку почти как для допуска к секретам атомной бомбы.

С другой стороны, в конце прошлого и начале этого года разразился настоящий бум на западных рынках персональных средств информации: по меньшей мере два десятка американских и около десятка известных в мире европейских производителей средств криптографической защиты информации выпустили на широкий рынок новые программы для надежной защиты частным пользователем своей личной или деловой информации на PC. Цены на такие средства выглядят более чем привлекательно: от 50 долларов за копию.

В чем же причина столь разных взглядов на предмет, может быть, такие средства защиты не являются достаточно надежными? Или мы снова пытаемся "идти своим путем"? Попробуем разобраться в этом подробнее.

 

ЭЛЕКТРОННЫЙ СЕЙФ НАДЕЖНЕЙ БРОНИ

Любой активно работающий в бизнесе человек согласится, что при мобильности в жизни и необходимости быстро принимать важные решения, весьма часто возникает необходимость не основываться только на заранее подготовленных материалах и документах, но иметь при себе достаточно много самых конкретных и весьма важных данных о реальном состоянии дел своих компаний, конкурентов и партнеров. Далеко не всегда в ходе коммерческих переговоров удается взять необходимый перерыв и вернуться в свой офис, особенно при международных контактах, когда каждый день обходится в круглую сумму, а получить дополнительную и детальную информацию по телефону не всегда возможно.

Решение для таких случаев, и весьма удобное, предложила компьютерная индустрия созданием первого "маленького компьютера для больших людей" - переносного портативного компьютера типа ноутбук.

Современные ноутбуки стали настолько мощными, что позволяют производить полноценные презентации и видеоконференции и имеют емкие жесткие диски с размещением на них любой энциклопедии или бухгалтерских архивов с копиями всех первичных документов за сотню лет. Они компактны, удобны в поездках, позволяют подготовить любой документ или отправить факс, и уже не вызывают столь пристального и придирчивого внимания таможен и служб безопасности аэропортов, как это было еще 3-4 года назад.

Все это сделало ноутбуки настолько популярными в среде бизнес-менеджеров, особенно американских, что они стали основным оргсредством на любой деловой встрече наравне с обычными записными книжками. Одновременно это породило и массу вопросов, связанных с необходимостью надежной защиты информации, хранимой на таком компьютере.

Действительно, если он так удобен и компактен, то его так же легко и украсть и "снять" с диска всю необходимую информацию в течение нескольких минут при наличии нужного оборудования и квалификации. Не помогают никакие пароли, установленные на входе в компьютер или для блокировки его работы. Злоумышленник может просто скопировать информацию непосредственно с диска, разобрав при необходимости компьютер.

Наиболее радикальным надежным и эффективным средством защиты информации в этом случае является ее преобразование (кодирование, шифрование) в такую форму, чтобы никто, кроме владельца, не мог ее прочесть.

Технически проблема создания надежного и удобного кода, защищающего информацию от постороннего (профессионалы обычно говорят несанкционированного) доступа, вполне различима.

Главным препятствием на пути действительно широкого распространения таких методов защиты персональной и коммерческой информации до последнего времени являлась позиция правительственных "специальных служб", отвечающих за защиту информации такими средствами в сфере гостайны.

Дело в том, что некоторый класс кодов, предназначающихся для защиты наиболее важной информации, составляющей государственную или военную тайну, правительственные службы объявляют шифрами и считают нежелательным для себя разрешать использование таких шифров в частном секторе информации без их полного контроля.

Проблема чиновников, однако, состоит в том, что обычное определение шифра, принятое в науке и практике настолько широко, что формально даже применение текстового редактора с другим шрифтом должно считаться шифрованием, а это ведет к абсурду - требованию получения разрешения на применение обычных редакторов типа Word, Лексикон и т.п. Поэтому при всем своем страстном желании регулировать, они все же вынуждены шаг за шагом отступать в сторону здравого смысла и утвержденных Конституцией основных гражданских прав.

Желание же иметь возможность доступа (хотя бы принципиальную) к любой информации любого жителя страны со стороны госчиновников по существу объясняется по-прежнему цитатой Н.В.Гоголя "...нельзя ли вам, для общей нашей пользы, всякое письмо, которое прибывает к вам в почтовую контору, входящее и исходящее, знаете, этак немножко распечатать и прочитать: не содержится ли в нем какого-нибудь донесения или просто переписки...". Яснее классика не скажешь, что бы ни говорилось в оправдание.

В отличие от сейфа "железного" электронный сейф практически невозможно вскрыть, не зная индивидуального кода к его "цифровому замку", который пользователь может устанавливать и сменять в любое время, руководствуясь только своим желанием.

Вот это-то главным образом и беспокоит всевозможных наших контролеров, инспекторов, ревизоров, лицензоров и сертификаторов. "Простой" обычный человек, не облегченный никакими властными или иными госполномочиями получает возможность, хотя бы в этой узкой области контроля зад информацией, "говорить на равных" с представителями облеченными самыми "высшими полномочиями" и не может быть принужден открыть свою информацию иначе, как по закону.

 

ЦИФРОВОЙ КОНВЕРТ - ЭТО ПРОСТО И ОЧЕНЬ УДОБНО

Итак, если мы получили возможность надежно закрывать наши данные в электронном сейфе, то появляется соблазн попробовать передать их столь же надежно защищенными от постороннего взгляда и по каналам связи.

Вот тут-то и возникает новая проблема: наш партнер на другом конце канала должен уметь полученное послание легко раскодировать и прочитать, а мы должны быть уверены, что никто другой этого сделать не сможет и через год, и через 10 лет, а а лучше и через сто.

Можно, конечно, для этого использовать те самые электронные коды-сейфы, о которых мы говорили выше, но надо, чтобы у каждого из партнеров был заранее заготовлен ключ от такого сейфа. А сделать это - изготовить и доставить заранее каждому из партнеров его копию ключа для кодирования/декодирования сообщений задача подчас гораздо более сложная, чем придумать сам код.

И тут снова "возникает на горизонте" госслужба, которая за небольшую плату (скажем, всего 5 доларов за ключ) готова изготовлять и развозить всем желающим копии таких ключей, а еще лучше - предоставить и сами услуги по доставке таких "конфиденциальных" сообщений до адресата (а также еще "кому следует"). Правда, почему-то кроме самих госслужащих, которым это "по положению следует" услугами такой бизнес-сети никто воспользоваться не торопится. Глупые бизнесмены, они просто не в силах понять, что это же "для общей нашей пользы".

Напротив, "заморские ученые" еще в середине 70-х годов придумали такой принцип, мы называем его "цифровым конвертом", который позволяет любым двум обладателям компьютеров и устройств для связи (телефон, электронная почта Internet или даже телеграф) выбрать каждому самостоятельно свой случайныйу код, переслать открытую его половинку партнеру, совершенно не беспокоясь, что кто-то еще перехватит ее в линии, и "слепить" из своей половинки кода и открытой половинки партнера такую "цифровую печать", которой можно так надежно запечатать передаваемые послания, что никто, кроме адресата не взломает эту цифровую печать ни завтра, ни через 300 лет. Технически все это сделать несложно.

Другое дело, что при этом не остается места для дополнительных контролеров, которые "для общей пользы" и т.д.

Правда, пользователь может возразить, что он и не нуждается ни в каких контролерах, но это он просто "не понимает" важности задачи защиты его частной информации от всех остальных, кроме самих контролеров.

Так или иначе, но "глупый" частный пользователь не поддается на все многообещающие проекты американского правительства, предлагавшего ему за последние 5 лет по меньшей мере 4 различных проекта принципы организации общенациональной и даже международной системы передачи ключей от своих индивидуальных кодов в правительственные агентства. Он почему-то упрямо продолжает хранить их сам. Не "прогнулся" и его российский собрат под жестким нажимом своих родных служб защиты госинформации, которые в заботе о "надежности" защиты его частной информации пытаются всеми силами запретить применение так называемых "несертифицированных" средств защиты, объясняя это усложнением борьбы государства с организованной преступностью. Из внимательного прочтения последней фразы ясно, что слово сертифицированный здесь вынуждено маскируют понятие "вскрываемый за приемлемое время" (а иначе как бороться с этой проклятой организованной преступностью сертифицированными средствами).

Но это снова отпугивает частного пользователя от применения так называемых "сертифицированных средств защиты информации", тем более, что стоят они в 5-7 раз дороже распространенных на рынке у нас и в мире.

 

ЦИФРОВАЯ ПОДПИСЬ - ЭТО НЕ МИФ, А РОССИЙСКАЯ РЕАЛЬНОСТЬ

Еще одно небольшое чудо современных технологий - это возможность абсолютно законно подписать и заверить любой документ в электронном виде, совсем без бумаг.

Технически это выглядит примерно так же, как и цифровой конверт:

- каждый пользователь выбирает и хранит в секрете свой индивидуальный код для подписывания электронных документов;

- всем своим партнерам и контрагентам он выдает или высылает совершенно открытый образец своей цифровой подписи;

- с помощью которого абсолютно открытая программа проверки его подписей под электронными документами позволит любому из них, а также нотариусу, судьям, ревизорам, налоговым инспекторам и т.д., абсолютно достоверно установить - подписан ли был данный электронный документ данным лицом.

В практике работы российских банков с клиентами и при межбанковских расчетах эта технология начала использоваться еще с 1992 года и сейчас распространена достаточно широко. В последнее время она находит все большее применение в корпоративных компьютерных системах больших корпораций и системах электронной почты.

Но главные ее ресурсы по замене технологии бумажного оборота в бизнесе и управлении, а также в торговле и частной жизни еще не раскрыты и на 1 процент.

Практически же, с переходом в России от стадии раздела бывшей "общенародной" собственности с сопутствующими ему процессами вооруженных клановых "разборок" и силового передела сфер влияния (что было в Европе в прошлом веке и в США в 20-е годы), к периоду усиления системы законов и возрастания популярности судебного решения споров, роль этой технологии, сочетающей оперативность телефонных договоренностей между сторонами и юридическую силу полновесных коммерческих договоров и контрактов, возрастает настолько, что способна во многом изменить сам образ деловой жизни.

Один пример - недавнее решение налоговой службы принимать данные от компаний о персональных выплатах работникам за 1996 год в электронном виде показывает, что безбумажные технологии при всех наших проблемах уже сегодня успешно пробивают себе дорогу даже в государственных службах. А сделать электронные документы полноценными без их электронного же подписывания автором с помощью признаваемой законом подписи просто невозможно.

О ЗАКОНАХ  (врезка)

В силу исторического парадокса, последовавшего за распадом СССР и коренного изменения основных законов, Российская Федерация использовала уникальный шанс стать первой страной в мире, официально узаконившей электронные договоры с цифровыми подписями сторон без бумажного носителя с 1 января 1995 года новым Гражданским кодексом РФ, а также общие электронные документы - Федеральным Законом "Об Информации..." от 21 февраля 1995 года.

В том же 1995 году, 1 мая закон об электронном документе и цифровом конверте для него был принят в штате Юта (США). Остальные страны пока только разрабатывают такие законы, а разрабатывают их сейчас практически все развитые страны мира.

Что касается программных средств защиты информации (см. первые два раздела статьи), то сейчас, согласно Указа Президента РФ N 1268 от 26 августа 1996 года, такие средства можно не только свободно использовать внутри страны, но также и экспортировать без ограничений, но это касается именно программ для персональных компьютеров.

ТАК ЧТО РЕШАЙТЕ САМИ, СКОЛЬКО ЗАРАБОТАЮТ НА ВАШЕЙ КОМПЬЮТЕРНОЙ ИНФОРМАЦИИ, ЕСЛИ ОНА ПОПАДЕТ В ЧУЖИЕ РУКИ, И "СТОИТ ЛИ ИГРА СВЕЧ" ПО ЕЕ ЗАЩИТЕ.

Газета "Я-телохранитель"

 

Защита информации в компьютерных системах слагаемые успеха

Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы это всего лишь обновленная форма старых.

Вечная проблема защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.

Главная тенденция, характеризующая развитие современных информационных технологий рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последние 12 месяцев. Примерно 18 % опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66 процентов потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов.

Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. Однако по данным, опубликованным в сети Internet, общие потери от несанкционированного доступа к информации в компьютерных системах в 1997 году оценивались в 20 миллионов долларов, а уже в 1998 года в 53,6 миллионов долларов.

Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются:

-переход от традиционной бумажной технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях;

-объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам;

-увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.

Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.

Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя панические статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации.

Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.

Информация как объект защиты

Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.

Федеральным законом Об информации, информатизации и защите информации определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

Закон также устанавливает, что конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон Об информации, информатизации и защите информации напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР О банках и банковской деятельности в РСФСР ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

Однако не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139):

- соответствующая информация неизвестна третьим лицам;

- к ней свободного доступа на законном основании;

- меры по обеспечению ее конфиденциальности принимает собственник информации.

В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия чрезмерная засекреченность приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом О коммерческой тайне права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

Федеральный закон Об информации, информатизации и защите информации, определяя нормы, согласно которых сведения относятся к категории конфиденциальных, устанавливает и цели защиты информации:

- предотвращение утечки, хищения, искажения, подделки информации;

- предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации;

- сохранение государственной тайны, конфиденциальности документированной информации.

Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

Организация защиты информации

Отдельный раздел законопроекта О коммерческой тайне, посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите:

- установление особого режима конфиденциальности;

- ограничение доступа к конфиденциальной информации;

- использование организационных мер и технических средств защиты информации;

- осуществление контроля за соблюдением установленного режима конфиденциальности.

Конкретное содержание указанных мероприятий для каждого отдельно взятого предприятия может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.

Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Как правило, особый режим конфиденциальности подразумевает:

- организацию охраны помещений, в которых содержатся носители конфиденциальной информации;

- установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации;

- установление пропускного режима в помещения, содержащие носители конфиденциальной информации;

- закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность;

- установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность);

- организацию ремонта технических средств обработки конфиденциальной информации;

- организацию контроля за установленным порядком.

Требования устанавливаемого на предприятии особого режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.

Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

Как показывает практика работы, для разработки необходимого комплекса мероприятий по защите информации желательно привлечение квалифицированных экспертов в области защиты информации.

Традиционно для организации доступа к конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты. Подробнее о существующих средствах защиты информации мы остановимся ниже.

Осуществление контроля за соблюдением установленного режима конфиденциальности предусматривает проверку соответствия организации защиты информации установленным требованиям, а также оценку эффективности применяемых мер защиты информации. Как правило, контроль осуществляется в виде плановых и внеплановых проверок силами своих сотрудников или с привлечением других организаций, которые специализируются в этой области. По результатам проверок специалистами по защите информации проводится необходимый анализ с составлением отчета, который включает:

- вывод о соответствии проводимых на предприятии мероприятий установленным требованиям;

- оценка реальной эффективности применяемых на предприятии мер защиты информации и предложения по их совершенствованию.

Обеспечение и реализация перечисленных выше мероприятий потребует создания на предприятии соответствующих органов защиты информации. Эффективность защиты информации на предприятии во многом будет определяться тем, насколько правильно выбрана структура органа защиты информации и квалифицированы его сотрудники. Как правило, органы защиты информации представляют собой самостоятельные подразделения, однако на практике часто практикуется и назначение одного из штатных специалистов предприятия ответственным за обеспечение защиты информации. Однако такая форма оправдана в тех случаях, когда объем необходимых мероприятий по защите информации небольшой и создание отдельного подразделения экономически не выгодно.

Созданием органов защиты информации на предприятии завершается построение системы защиты информации, под которой понимается совокупность органов защиты информации или отдельных исполнителей, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

Средства защиты информации

Как уже отмечалось выше, эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп:

- средства, обеспечивающие разграничение доступа к информации в автоматизированных системах;

- средства, обеспечивающие защиту информации при передаче ее по каналам связи;

- средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем;

- средства, обеспечивающие защиту от воздействия программ-вирусов;

- материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

Основное назначение средств защиты первой группы разграничение доступа к локальным и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают:

- идентификацию и аутентификацию пользователей автоматизированных систем;

- разграничение доступа зарегистрированных пользователей к информационным ресурсам;

- регистрацию действий пользователей;

- защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM;

- контроль целостности СЗИ и информационных ресурсов.

В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

Ввод значений идентификатора пользователя и его пароля осуществляется по запросу СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой очень высокой стоимостью таких систем.

Разграничение доступа зарегистрированных пользователей к информационным ресурсам осуществляется СЗИ в соответствии с установленными для пользователей полномочиями. Как правило, СЗИ обеспечивают разграничение доступа к гибким и жестким дискам, логическим дискам, директориям, файлам, портам и устройствам. Полномочия пользователей устанавливаются с помощью специальных настроек СЗИ. По отношению к информационным ресурсам средствами защиты могут устанавливаться такие полномочия, как разрешение чтения, записи, создания, запуска исполняемых файлов и другие.

Системы защиты информации предусматривают ведение специального журнала, в котором регистрируются определенные события, связанные с действиями пользователей, например запись (модификация) файла, запуск программы, вывод на печать и другие, а также попытки несанкционированного доступа к защищаемым ресурсам и их результат.

Особо стоит отметить наличие в СЗИ защиты загрузки операционной системы с гибких магнитных дисков и CD-ROM, которая обеспечивает защиту самих средств защиты от взлома с использованием специальных технологий. В различных СЗИ существуют программные и аппаратно-программные реализации этой защиты, однако практика показывает, что программная реализация не обеспечивает необходимой стойкости.

Контроль целостности средств защиты и защищаемых файлов заключается в подсчете и сравнении контрольных сумм файлов. При этом используются различной сложности алгоритмы подсчета контрольных сумм.

Несмотря на функциональную общность средств защиты информации данной группы, СЗИ различных производителей различаются:

- условиями функционирования (операционная среда, аппаратная платформа, автономные компьютеры и вычислительные сети);

- сложностью настройки и управления параметрами СЗИ;

- используемыми типами идентификаторов;

- перечнем событий, подлежащих регистрации;

- стоимостью средств защиты.

С развитием сетевых технологий появился новый тип СЗИ межсетевые экраны (firewalls), которые обеспечивают решение таких задач, как защита подключений к внешним сетям, разграничение доступа между сегментами корпоративной сети, защита корпоративных потоков данных, передаваемых по открытым сетям.

Защита информации при передаче ее по каналам связи осуществляется средствами криптографической защиты (СКЗИ). Характерной особенностью этих средств является то, что они потенциально обеспечивают наивысшую защиту передаваемой информации от несанкционированного доступа к ней. Помимо этого, СКЗИ обеспечивают защиту информации от модификации (использование цифровой подписи и имитовставки).

Как правило, СКЗИ функционируют в автоматизированных системах как самостоятельное средство, однако в отдельных случаях СКЗИ может функционировать в составе средств разграничения доступа как функциональная подсистема для усиления защитных свойств последних.

Обеспечивая высокую степень защиты информации, в то же время применение СКЗИ влечет ряд неудобств:

- стойкость СКЗИ является потенциальной, т.е. гарантируется при соблюдении ряда дополнительных требований, реализация которых на практике осуществляется довольно сложно (создание и функционирование ключевой системы, распределение ключей, обеспечение сохранности ключей, необходимость в получении лицензии ФАПСИ на право эксплуатации средств, планирование и организация мероприятий при компрометации ключевой системы);

- относительно высокая стоимость эксплуатация таких средств.

В целом, при определении необходимости использования средств криптографической защиты информации, необходимо учитывать то, что применение СКЗИ оправдано в случаях явного перехвата действительно конфиденциальной информации.

Целью статьи не является широкое обсуждение средств защиты от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем, однако отметим, что для защиты информации от утечки по физическим полям используются следующие методы и средства защиты:

- электромагнитное экранирование устройств или помещений, в которых расположена вычислительная техника;

- активная радиотехническая маскировка с использованием широкополосных генераторов шумов, которые широко представлены на нашем рынке.

Радикальным способом защиты информации от утечки по физическим полям является электромагнитное экранирование технических устройств и помещений, однако это способ требует значительных капитальных затрат и практически не применяется.

И несколько слов о материалах, обеспечивающих безопасность хранения, транспортировки носителей информации и защиту их от копирования. В основном это специальные тонкопленочные материалы с изменяющейся цветовой гаммой или голографические метки, которые наносятся на документы и предметы (в том числе и на элементы компьютерной техники автоматизированных систем). Они позволяют:

- идентифицировать подлинность объекта;

- контролировать несанкционированный доступ к ним.

Средства анализа защищенности компьютерных сетей

Широкое развитие корпоративных сетей, интеграция их с информационными системами общего пользования помимо явных преимуществ порождает новые угрозы безопасности информации. Причины возникновения новых угроз характеризуются:

- сложностью и разнородностью используемого программного и аппаратного обеспечения корпоративных сетей;

- большим числом узлов сети, участвующих в электронном обмене информацией, их территориальной распределенностью и отсутствием возможности контроля всех настроек;

- доступностью информации корпоративных систем внешним пользователям (клиентам, партнерам и пр.) из-за ее расположения на физически соединенных носителях.

Применение описанных выше средств защиты информации, а также встроенных в операционные системы механизмов защиты информации не позволяет в полной мере ликвидировать эти угрозы. Наличие постоянных или временных физических соединений является важнейшим фактором, который влияет на повышение уязвимостей корпоративных систем из-за брешей в используемых защитных и программных средствах и утечки информации вследствие ошибочных или неграмотных действий персонала.

Обеспечение требуемой защиты информационных ресурсов предприятий в этих условиях достигается применением дополнительных инструментальных средств. К их числу относятся:

- средства анализа защищенности операционных систем и сетевых сервисов;

- средства обнаружения опасных информационных воздействий (атак) в сетях.

Средства анализа защищенности операционных систем позволяют осуществлять ревизию механизмов разграничения доступа, идентификации и аутентификации, средств мониторинга, аудита и других компонентов операционных систем с точки зрения соответствия их настроек и конфигурации установленным в организации. Кроме этого, средствами данного класса проводится контроль целостности и неизменности программных средств и системных установок и проверка наличия уязвимостей системных и прикладных служб. Как правило, такие проверки проводятся с использованием базы данных уязвимостей операционных систем и сервисных служб, которые могут обновляться по мере выявления новых уязвимостей.

К числу средств анализа данного класса относится программное средство администратора ОС Solaris ASET (Automated Security Tool), которое входит в состав ОС Solaris,

пакет программ COPS (Computer Oracle and Password System) для администраторов Unix-систем, и система System Scanner (SS) фирмы Internet Security System Inc. для анализа и управления защищенность операционных систем Unix и Windows NT/ 95/98.

Использование в сетях Internet/Intranet протоколов TCP/IP, которые характеризуются наличием в них неустранимых уязвимостей, привело к появлению в последнее время новых разновидностей информационных воздействий на сетевые сервисы и представляющих реальную угрозу защищенности информации. Средства анализа защищенности сетевых сервисов применяются для оценки защищенности компьютерных сетей по отношению к внутренним и внешним атакам. По результатам анализа защищенности сетевых сервисов средствами генерируются отчеты, включающие в себя список обнаруженных уязвимостей, описание возможных угроз и рекомендации по их устранению. Поиск уязвимостей основывается на использовании базы данных, которая содержит широко известные уязвимости сетевых сервисных программ и может обновляться путем добавления новых уязвимостей.

К числу средств анализа данного класса относится программа SATAN (автор В.Венема), Netprobe фирмы Qualix Group и Internet Scanner фирмы Internet Security System Inc.

Наибольшая эффективность защиты информации достигается при комплексном использовании средств анализа защищенности и средств обнаружения опасных информационных воздействий (атак) в сетях. Средства обнаружения атак в сетях предназначены для осуществления контроля всего сетевого трафика, который проходит через защищаемый сегмент сети, и оперативного реагирование в случаях нападения на узлы корпоративной сети.

Большинство средств данной группы при обнаружении атаки в сети оповещают администратора системы, регистрируют факт нападения в журнале системы и завершают соединение с атакующим узлом. Дополнительно, отдельные средства обнаружения атак позволяют автоматически реконфигурировать межсетевые экраны и маршрутизаторы в случае нападения на узлы корпоративной сети.

Несколько полезных советов вместо заключения

Существуют определенные правила, которых целесообразно придерживаться при организации защиты информации:

- создание и эксплуатация систем защиты информации является сложным и ответственным процессом. Не доверяйте вопросы защиты информации дилетантам, поручите их профессионалам;

- не старайтесь организовать абсолютно надежную защиту такой просто не существует. Система защиты должна быть достаточной, надежной, эффективной и управляемой. Эффективность защиты информации достигается не количеством денег, потраченных на ее организацию, а способностью ее адекватно реагировать на все попытки несанкционированного доступа к информации;

- мероприятия по защите информации от несанкционированного доступа должны носить комплексный характер, т.е. объединять разнородные меры противодействия угрозам (правовые, организационные, программно-технические);

- основная угроза информационной безопасности компьютерных систем исходит непосредственно от сотрудников. С учетом этого необходимо максимально ограничивать как круг сотрудников, допускаемых к конфиденциальной информации, так и круг информации, к которой они допускаются (в том числе и к информации по системе защиты). При этом каждый сотрудник должен иметь минимум полномочий по доступу к конфиденциальной информации.

Надеемся, что материал, который приведен в статье, поможет вам получить необходимое представление о проблеме защиты информации в компьютерных системах и успешно решать ее в повседневной деятельности.

Зенковский А.К.

 

 

Автор: ...                                                                                                                                2008 г.