Правомерные способы и средства защиты информации

Защита информации вызывает необходимость системного под­хода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасно­сти - организационные, физические и программно-технические - рас­сматривались как единый комплекс взаимосвязанных взаимодопол­няющих и взаимодействующих мер.

Проблема несанкционированного доступа к информации обост­рилась и приобрела особую значимость в связи с развитием компью­терных сетей, прежде всего глобальной сети Интернет. Несанкциони­рованный доступ - чтение, обновление или разрушение информации при отсутствии на это соответствующих полномочий.

Для успешной защиты своей информации пользователь должен иметь абсолютно ясное представление о возможных путях несанкцио­нированного доступа.

Перечислим основные типовые пути несанкционированного по­лучения информации: хищение носителей информации и производст­венных отходов; копирование носителей информации с преодолением мер защиты; маскировка под зарегистрированного пользователя; мис­тификация (маскировка под запросы системы); использование недос­татков операционных систем и языков программирования; использо­вание программных закладок и программных блоков типа «троянский конь»; перехват электронных излучений; перехват акустических излу­чений; дистанционное фотографирование; применение подслушиваю­щих устройств; злоумышленный вывод из строя механизмов защиты и т.д.

Для защиты информации от несанкционированного доступа применяются: организационные мероприятия, технические средства, программные средства, криптография.

Организационные мероприятия включают в себя: пропускной режим; хранение носителей и устройств в сейфе (дискеты, монитор, клавиатура и т.д.); ограничение доступа лиц в компьютерные помеще­ния и т.д.

Технические средства включают в себя различные аппаратные способы защиты информации: фильтры, экраны на аппаратуру; ключ для блокировки клавиатуры; устройства аутентификации - для чтения отпечатков пальцев, формы руки, радужной оболочки глаза, скорости и приемов печати и т.д.; электронные ключи на микросхемах и т.д.

Программные средства защиты информации создаются в ре­зультате разработки специального программного обеспечения, которое бы не позволяло постороннему человеку, не знакомому с этим видом защиты, получать информацию из системы. Программные средства включают в себя: парольный доступ-задание полномочий пользовате­ля; блокировку экрана и клавиатуры, например с помощью комбина­ции клавиш в утилите Diskreet из пакета Norton Utilites; использование средств парольной защиты BIOS на сам BIOS и на ПК в целом и т.д.

Под криптографическим способом защиты информации под­разумевается ее шифрование при вводе в компьютерную систему.

На практике обычно используются комбинированные способы защиты информации от несанкционированного доступа.

Среди механизмов безопасности сетей обычно выделяют следующие основные: шифрование; контроль доступа; цифровая под­пись.

Шифрование применяется для реализации служб засекречива­ния и используется в ряде других служб. Механизмы контроля доступа обеспечивают реализацию одноименной службы безопасности, осуще­ствляют проверку полномочий объектов сети, т.е. программ и пользо­вателей, на доступ к ресурсам сети. При доступе к ресурсу через со­единение контроль выполняется в точке инициализации связи, в про­межуточных точках, а также в конечной точке.

Механизмы контроля доступа делятся на две основные груп­пы: аутентификация объектов, требующих ресурса, с последующей проверкой допустимости доступа, для которой используется специаль­ная информационная база контроля доступа; использование меток безопасности, наличие у объекта соответствующего мандата дает пра­во на доступ к ресурсу.

Самым распространенным и одновременно самым ненадежным методом аутентификации является парольный доступ. Более совер­шенными являются пластиковые карточки и электронные жетоны. Наиболее надежными считаются методы аутентификации по особым параметрам личности, так называемые биометрические методы.

Цифровая подпись по своей сути призвана служить электрон­ным аналогом ручной подписи, используемой на бумажных докумен­тах.

Дополнительными механизмами безопасности являются следующие: обеспечение целостности данных; аутентификация; под­становка графика; управление маршрутизацией; арбитраж.

Механизмы обеспечения целостности данных применимы как к отдельному блоку данных, так и к потоку данных. Целостность блока обеспечивается выполнением взаимосвязанных процедур шифрования и дешифрования отправителем и получателем. Возможны и более про­стые методы контроля целостности потока данных, например нумера­ция блоков, дополнение их меткой имени и т.д.

В механизме обеспечения аутентификации различают посто­роннюю и взаимную аутентификацию. В первом случае один из взаи­модействующих объектов одного уровня проверяет подлинность дру­гого, тогда как во втором - проверка является взаимной. На практике часто механизмы аутентификации, как правило, совмещаются с кон­тролем доступа, шифрованием, цифровой подписью и арбитражем.

Механизмы подстановки трафика основываются на генера­ции объектами сети фиктивных блоков, их шифровании и организации их передачи по каналам сети.

Механизмы управления маршрутизацией обеспечивают выбор маршрутов движения информации по сети.

Механизмы арбитража обеспечивают подтверждение харак­теристик данных, передаваемых между объектами сети, третьей сторо­ной. Для этого вся информация, отправляемая или получаемая объек­тами, проходит и через арбитра, что позволяет ему впоследствии под­твердить упомянутые характеристики.

В общем случае для реализации одной службы безопасности может использоваться комбинация нескольких механизмов безопасно­сти.

Стремительное развитие и внедрение новейших информацион­ных технологий во все сферы жизнедеятельности является несомнен­ным благом, открывающим возможности для экономического роста, повышения общественного благосостояния. Однако следует помнить и об угрозах, о возможных негативных последствиях, к которым могут привести научные, информационные и коммуникационные достиже­ния.

Сегодня информация является важным средством формирова­ния национального и международного общественного мнения. В под­ходах к формированию информационной политики и внутри страны, и в рамках мирового сообщества в целом Россия исходит из понимания того, что реальной альтернативы многополярной системе междуна­родных отношений, отражающей многоликость современного мира, не существует. Многополярный мир - это, естественно, и наличие широ­кого спектра информационных полюсов.

Вместе с тем информационное поле продолжает оставаться сфе­рой, потенциально несущей в себе угрозы поддержанию мира и безо­пасности. Россия располагает немалыми ресурсами для обеспечения своего информационного влияния в мире. Для этого необходимо по­нимание актуальности стоящей задачи и воля в ее практическом реше­нии.

Этим потребностям, как представляется, отвечает Доктрина информационной безопасности РФ. Важная черта Доктрины и осно­ванной на ней практики - это то, что впервые миру продемонстриро­вана концепция государства, которое не намерено быть диктатором в информационно-политическом пространстве, но имеет совершенно четкую позицию по защите своих национальных интересов во всех известных сферах жизнеобеспечения. Усиление геополитического влияния России в области информационной безопасности означает, что мы стремимся использовать мировое право на жизнь только с по­зиций взаимопонимания и согласия.

Контрольные вопросы:

1. Дайте определение государственной, служебной и коммерче­ской тайны.

2. Доложите, какие формы допуска и степени секретности уста­новлены нормативно-правовыми актами РФ?

3. Доложите, какая информация, в соответствии с законодатель­ством, не может быть отнесена к коммерческой тайне?

4. Доложите порядок допуска к государственной тайне.

5. Доложите, в каких случаях допуск к сведениям, содержащим государственную тайну, может быть прекращен?