Файл: Виды и состав угроз информационной безопасности (Основные виды защищаемой информации).pdf
Добавлен: 01.04.2023
Просмотров: 103
Скачиваний: 1
СОДЕРЖАНИЕ
Глава 1.1. Основные виды защищаемой информации
Глава 1.2. Виды и состав угроз информационной безопасности
Глава 2. Методы защиты информации
Глава 2.1. Правовые основы защиты информации
Глава 2.2. Техническая защита информации
Глава 2.3. Программная защита информации
Глава 2.4. Программно-техническая защита информации
Глава 2.5. Физическая защита информации
Глава 2.6. Криптографическая защита информации
На основе опознавания принимается решение о допуске лиц, имеющих на это право, или запрещение — для не имеющих его. Наибольшее распространение получили атрибутные и персональные методы опознавания.
К атрибутным способам относятся средства подтверждения полномочий, такие, в частности, как документы (паспорт, удостоверение), карты (фотокарточки, карты с магнитными, электрическими, механическими идентификаторами и т. д.) и иные средства (ключи, сигнальные элементы и т. д.)
Персональные методы — это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз. Персональные характеристики бывают статические и динамические. К последним относятся пульс, давление, кардиограммы, речь, почерк и другие.
Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек.
Системы распознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо.
Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает.
Все устройства идентификации человека могут работать как отдельно, так и комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации.
Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку содержат в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фотоносителей и даже технических средств.
Глава 2.6. Криптографическая защита информации
Криптографическая защита информации — защита информации с помощью ее криптографического преобразования. К средствам криптографической защиты информации относятся аппарпатные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:
- защиты информации при ее обработке, хранении и передаче;
- обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче;
- выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;
- выработки информации, используемой для защиты аутентифицирующих элементов защищаемой АС при их выработке, хранении, обработке и передаче.
Криптографические методы предусматривают шифрование и кодирование информации. Различают два основных метода шифрования: симметричный и ассиметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровывания данных. Существует национальный стандарт на подобные методы — ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
В ассиметричных методах используются два ключа. Один из них, несекретный (может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой, секретный — для расшифровывания. Самым популярным из ассиметричных является метод RSA, основанный на операциях с большими (100-значными) простыми числами и их произведениями.
Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких, как поток сообщений), определять подлинность источника данных, гарантировать невозможность отказаться от совершенных действий (неотказуемость).
В основе криптографического контроля целостности лежат два понятия:
- хэш-функция;
- электронная подпись (ЭП).
Хэш-функция — это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.
Глава 2.7. Организационная защита информации
Организационная защита информации — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
Организация охраны и режима подразумевает комплекс мероприятий по исключению возможности тайного проникновения на территорию в помещение посторонних лиц, создание отдельных охраняемых зон, временного и пропускного режима и организации контроля за персоналом и посетителями.
Организация работы с кадрами подразумевает подбор и расстановку сотрудников на штатные должности, изучение морально-деловых качеств, обучение их правилам работы с конфиденциальной информацией, доведение мер ответственности, контроль за работой персонала.
Работа с документами подразумевает организацию разработки и использования носителей информации, их учета, использования, хранения и уничтожения.
Анализ внутренних и внешних угроз подразумевает выявление, классификацию и постоянное изучение ситуаций, способствующих образованию каналов несанкционированного доступа к конфиденциальной информации в единстве с изучением характера возможных угроз безопасности информации.
Комплексное управление системой защиты подразумевает оптимальное планирование применения всего комплекса средств защиты информации, технических и физических средств, организацию их эксплуатации и обслуживания.
Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана.
Структура, численность и состав подразделения (службы) по защите информации на предприятии определяются реальными потребностями (степенью влияния угроз безопасности информации на показатели работы). Комплексная безопасность предприятия и защита информации может быть реализована следующими тремя путями:
- абонементное обслуживание силами специальных организаций;
- создание собственного подразделения;
- комбинированный вариант.
В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с организацией защиты и поддержание состояния защищенности на должном уровне. Поскольку для получения лицензии для подобного рода деятельности требуются квалифицированные кадры, дорогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия - гарантия качества защиты. При этом услуги такого рода достаточно дороги и специалисты не могут постоянно находиться на объекте.
Для решения задач защиты информации на подобное подразделение могут быть возложены следующие функции:
- организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещениях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, партнерами и посетителями;
- руководить работами по правовому и организационному регулированию отношений по защите коммерческой тайны;
- участвовать в разработке основополагающих документов с целью закрепления в них требований обеспечения безопасности и защиты коммерческой тайны, в частности Устава, Коллективного договора, Правил внутреннего трудового распорядка, соглашений, подрядов, должностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;
- разрабатывать и осуществлять совместно с другими подразделениями мероприятия по обеспечению работы с документами, содержащими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Инструкции по защите коммерческой тайны», «Политики информационной безопасности»;
- изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных каналов утечки конфиденциальной информации, вести учет и анализ нарушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;
- организовывать эксплуатацию систем безопасности, средств защиты информации, поддерживать их в работоспособном и актуальном состоянии;
- организовывать и проводить служебные расследования по фактам разглашения сведений, утрат документов и других нарушений режима безопасности предприятия;
- разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, регламентирующие порядок обеспечения безопасности и защиты информации;
- обеспечивать строгое выполнение требований нормативных документов по защите коммерческой тайны;
- организовывать и регулярно проводить обучение сотрудников предприятия и службы безопасности по всем направлениям защиты коммерческой тайны;
- вести учет носителей информации, сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;