Файл: Виды и состав угроз информационной безопасности (Основные виды защищаемой информации).pdf

На основе опознавания принимается решение о допуске лиц, имеющих на это право, или запрещение — для не имеющих его. Наибольшее распространение получили атрибутные и персональные методы опознавания.

К атрибутным способам относятся средства подтверждения полномочий, такие, в частности, как документы (паспорт, удостоверение), карты (фотокарточки, карты с магнитными, электрическими, механическими идентификаторами и т. д.) и иные средства (ключи, сигнальные элементы и т. д.)

Персональные методы — это методы определения лица по его независимым показателям: отпечаткам пальцев, геометрии рук, особенностям глаз. Персональные характеристики бывают статические и динамические. К последним относятся пульс, давление, кардиограммы, речь, почерк и другие.

Системы опознавания по отпечаткам пальцев. В основу идентификации положено сравнение относительного положения окончаний и разветвлений линий отпечатка. Поисковая система ищет на текущем изображении контрольные элементы, определенные при исследовании эталонного образца. Для идентификации одного человека считается достаточным определение координат 12 точек.

Системы распознавания по голосу. Существует несколько способов выделения характерных признаков речи человека: анализ кратковременных сегментов, контрольный анализ, выделение статистических характеристик. Следует отметить, что теоретически вопросы идентификации по голосу разработаны достаточно полно, но промышленное производство пока налажено слабо.

Системы опознавания по почерку считаются наиболее удобными для пользователя. Основным принципом идентификации по почерку является постоянство подписи каждого индивидуума, хотя абсолютного совпадения не бывает.

Все устройства идентификации человека могут работать как отдельно, так и комплексе. Комплекс может быть узкоспециальным или многоцелевым, при котором система выполняет функции охраны, контроля, регистрации и сигнализации.

Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку содержат в себе признаки как систем физической защиты, так и устройств контроля доступа. Они отличаются большим разнообразием и предназначены для защиты документов, материалов, магнитных и фотоносителей и даже технических средств.

Глава 2.6. Криптографическая защита инфор­мации

Криптографическая защита информации — защита информации с помощью ее криптографического преобразования. К средствам криптографической защиты информации относятся аппарпатные, программно-аппаратные и программные средства, реализующие криптографические алгоритмы преобразования информации с целью:

- защиты информации при ее обработке, хранении и передаче;

- обеспечения достоверности и целостности информации (в том числе с использованием алгоритмов цифровой подписи) при ее обработке, хранении и передаче;

- выработки информации, используемой для идентификации и аутентификации субъектов, пользователей и устройств;

- выработки информации, используемой для защиты аутентифицирующих элементов защищаемой АС при их выработке, хранении, обработке и передаче.

Криптографические методы предусматривают шифрование и кодирование информации. Различают два основных метода шифрования: симметричный и ассиметричный. В первом из них один и тот же ключ (хранящийся в секрете) используется и для шифрования, и для расшифровывания данных. Существует национальный стандарт на подобные методы — ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».

В ассиметричных методах используются два ключа. Один из них, несекретный (может публиковаться вместе с другими открытыми сведениями о пользователе), применяется для шифрования, другой, секретный — для расшифровывания. Самым популярным из ассиметричных является метод RSA, основанный на операциях с большими (100-значными) простыми числами и их произведениями.

Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких, как поток сообщений), определять подлинность источника данных, гарантировать невозможность отказаться от совершенных действий (неотказуемость).

В основе криптографического контроля целостности лежат два понятия:

- хэш-функция;

- электронная подпись (ЭП).

Хэш-функция — это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.

Глава 2.7. Организационная защита инфор­мации

Организационная защита информации — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

Организация охраны и режима подразумевает комплекс мероприятий по исключению возможности тайного проникновения на территорию в помещение посторонних лиц, создание отдельных охраняемых зон, временного и пропускного режима и организации контроля за персоналом и посетителями.

Организация работы с кадрами подразумевает подбор и расстановку сотрудников на штатные должности, изучение морально-деловых качеств, обучение их правилам работы с конфиденциальной информацией, доведение мер ответственности, контроль за работой персонала.

Работа с документами подразумевает организацию разработки и использования носителей информации, их учета, использования, хранения и уничтожения.

Анализ внутренних и внешних угроз подразумевает выявление, классификацию и постоянное изучение ситуаций, способствующих образованию каналов несанкционированного доступа к конфиденциальной информации в единстве с изучением характера возможных угроз безопасности информации.

Комплексное управление системой защиты подразумевает оптимальное планирование применения всего комплекса средств защиты информации, технических и физических средств, организацию их эксплуатации и обслуживания.

Сложность обеспечения защиты информации требует создания специальной службы, осуществляющей реализацию всех защитных мероприятий и в первую очередь организационного плана.

Структура, численность и состав подразделения (службы) по защите информации на предприятии определяются реальными потребностями (сте­пенью влияния угроз безопасности информации на показатели работы). Комплексная безопасность предприятия и защита информации может быть реализована следующими тремя путями:

- абонементное обслуживание силами специальных организаций;

- создание собственного подразделения;

- комбинированный вариант.

В первом случае специализированное предприятие (организация), имеющее лицензию на соответствующие виды деятельности, на высоком профессиональном уровне проводит полный комплекс работ, связанный с органи­зацией защиты и поддержание состояния защищенности на должном уров­не. Поскольку для получения лицензии для подобного рода деятельности требуются квалифицированные кадры, до­рогостоящие аппаратные, программные и технические средства контроля, методики проведения работ, то лицензия - гарантия качества защиты. При этом услуги такого рода достаточно дороги и специалисты не могут постоянно находиться на объекте.

Для решения задач защиты информации на подобное подразделение могут быть возложены следующие функции:

- организовывать и обеспечивать пропускной и внутриобъектовый (при наличии зон ограниченного доступа) режим в зданиях и помещени­ях, устанавливать порядок несения службы охраны, контролировать соблюдение требований режима сотрудниками, смежниками, парт­нерами и посетителями;

- руководить работами по правовому и организационному регулиро­ванию отношений по защите коммерческой тайны;

- участвовать в разработке основополагающих документов с целью зак­репления в них требований обеспечения безопасности и защиты ком­мерческой тайны, в частности Устава, Коллективного договора, Пра­вил внутреннего трудового распорядка, соглашений, подрядов, дол­жностных инструкций и обязанностей руководства, специалистов, рабочих и служащих;

- разрабатывать и осуществлять совместно с другими подразделения­ми мероприятия по обеспечению работы с документами, содержа­щими сведения, являющиеся коммерческой тайной, при всех видах работ, организовывать и контролировать выполнение требований «Ин­струкции по защите коммерческой тайны», «Политики информационной безопасности»;

- изучать все стороны производственной, коммерческой, финансовой и другой деятельности для выявления и закрытия возможных кана­лов утечки конфиденциальной информации, вести учет и анализ на­рушений режима безопасности, накапливать и анализировать данные о злоумышленных устремлениях конкурентов и других организаций получить доступ к информации о деятельности предприятия или его клиентов, партнеров, смежников;

- организовывать эксплуатацию систем безопасности, средств защиты информации, поддерживать их в работоспособном и актуальном состоянии;

- организовывать и проводить служебные расследования по фактам раз­глашения сведений, утрат документов и других нарушений режима безопасности предприятия;

- разрабатывать, вести, обновлять и пополнять «Перечень сведений, составляющих коммерческую тайну» и другие нормативные акты, рег­ламентирующие порядок обеспечения безопасности и защиты инфор­мации;

- обеспечивать строгое выполнение требований нормативных докумен­тов по защите коммерческой тайны;

- организовывать и регулярно проводить обучение сотрудников предприя­тия и службы безопасности по всем направлениям защиты коммер­ческой тайны;

- вести учет носителей информации, сейфов, металлических шкафов, специальных хранилищ и других помещений, в которых разрешено постоянное или временное хранение конфиденциальных документов;