Студопедия

КАТЕГОРИИ:

АстрономияБиологияГеографияДругие языкиДругоеИнформатикаИсторияКультураЛитератураЛогикаМатематикаМедицинаМеханикаОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРиторикаСоциологияСпортСтроительствоТехнологияФизикаФилософияФинансыХимияЧерчениеЭкологияЭкономикаЭлектроника


Защита информации




 

Защита информации – комплекс мероприятий, направленных на обеспечение важнейших аспектов информационной безопасности (целостности, доступности и, если нужно, конфиденциальности информации и ресурсов, используемых для ввода, хранения, обработки и передачи данных) [Аскеров Т.М., 2001].

Основные направления защиты информации – охрана государственной, коммерческой, профессиональной, служебной, банковской тайн, персональных данных и интеллектуальной собственности [Лопатин В.Н., 2000].

Государственная тайна– защищаемые государством сведении в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Коммерческая тайна– защищаемые секреты производства, получения прибыли от пользования имуществом, продажи товаров или оказания услуг физических (независимо от гражданства) и юридических лиц (коммерческие и некоммерческие организации), занимающихся коммерческой деятельностью и зарегистрированных в этом качестве в установленном законом порядке.

Служебная тайна– защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.

Банковская тайна – защищаемые банками и иными кредитными организациями сведения о банковских операциях по счетам и сделкам в интересах клиентов, счетах и вкладах своих клиентов и корреспондентов, а также сведения о клиентах и корреспондентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни.

Профессиональная тайна– защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной. Выделяют следующие объекты профессиональной тайны: врачебная тайна, тайна связи, нотариальная тайна, адвокатская тайна, тайна усыновления, тайна страхования, тайна исповеди.

К персональным данным, требующих защиты, могут быть отнесены сведения, использование которых без согласия субъекта персональных данных может нанести вред его чести, достоинству, деловой репутации, доброму имени, иным нематериальным благам и имущественным интересам: биографические и опознавательные данные, личные характеристики, сведения о семейном, имущественном, финансовом положении, состоянии здоровья.

К числу основных защищаемых объектов интеллектуальной собственностиотнесены: произведения науки, литературы и искусства; результаты исполнительской деятельности артистов, режиссеров, дирижеров; сложные результаты творчества; звукозаписи и записи изображения; передача радио- и телевизионных сигналов; изобретения; полезные модели; промышленные образцы; профессиональные секреты; селекционные достижения; фирменные наименования и коммерческие обозначения правообладателя; товарные знаки и знаки обслуживания; наименования мест происхождения товаров; другие результаты интеллектуальной деятельности и средства индивидуализации, на которые в соответствии с законом могут признаваться или закрепляться исключительные права.

В целях охраны и защиты прав и свобод в информационной сфере Конституция РФ устанавливает гарантии, обязанности, механизмы защиты и ответственности.

Наряду с нормами Конституции РФ источниками права о доступе к информации являются:

ü законы (Основы законодательства о культуре, Основы законодательства РФ об Архивном фонде и архивах; Федеральные законы «Об информации, информатизации и защите информации», «О порядке опубликования и вступления в силу Федеральных конституционных законов, федеральных законов, актов палат Федерального собрания», «О библиотечном деле», «Об участии в международном информационном обмене» и др.);

ü подзаконные нормативные акты (указы Президента РФ, постановления Правительства РФ);

ü международные правовые акты, международные договоры и соглашения;

ü судебная практика.

Важной сферой безопасности информации является защита прав собственности на нее. Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учету и защите как материальное имущество собственника.

Вся информация с точки зрения права делится на [Партыка Т.Л., Попов И.И., 2002]:

§ информацию без ограничения права доступа. К такого рода информации, например, относится информация общего пользования, информация о состоянии окружающей среды, ее загрязнении, информация в области работ по хранению, перевозке, уничтожению химического оружия и др. Информация, содержащая сведения об обстоятельствах и фактах, представляющих угрозу жизни, здоровью граждан, не подлежит засекречиванию, не может быть отнесена к тайне;

§ информацию с ограниченным доступом– государственная тайна, коммерческая тайна, банковская тайна, профессиональная тайна и персональные данные как институт охраны права неприкосновенности частной жизни;

§ информацию, распространение которой наносит вред интересам общества, законным интересам и правам граждан. К ней относится порнография; информация, разжигающая национальную, расовую и другую рознь; пропаганда и призывы к войне; ложная реклама, реклама со скрытыми вставками и т.п.;

§ объекты интеллектуальной собственности – то, что не может быть отнесено к информации с ограниченным доступом, но охраняется особым порядком через институты интеллектуальной собственности – авторское право, патентное право, средства индивидуализации и т.п. Исключение составляют профессиональные секреты, которые охраняются в режиме коммерческой тайны;

§ иную общедоступную информацию, среди которой выделяют более 20 видов открытой общедоступной информации.

К ограничениям и запретам следует отнести следующие перечни [Партыка Т.Л., Попов И.И., 2002].

1. Перечень оснований для ограничения информационных прав:

§ защита основ конституционного строя;

§ защита нравственности, здоровья, прав, законных интересов других лиц;

§ обеспечение обороны страны и безопасности государства;

§ обеспечение общественного спокойствия в целях предотвращения беспорядков и борьбы с преступностью;

§ предотвращение разглашения конфиденциальной информации;

§ обеспечение авторитета и беспристрастности правосудия;

§ условия чрезвычайного положения, установленные по закону (на определенный период).

2. Перечень случаев прямого ограничения информационных прав:

§ использование прав в целях насильственного изменения конституционного строя;

§ пропаганда социальной ненависти, социального, расового, национального, религиозного, языкового превосходства, насилия и войны;

§ нарушение на неприкосновенность частной жизни (на личную, семейную тайну), неприкосновенность жилища, права на уважение чести, достоинства и репутации, тайны переписки, телефонных переговоров, телеграфных и иных сообщений;

§ нарушение права на государственную, служебную, профессиональную, коммерческую и банковскую тайну;

§ право на отказ от свидетельствования против себя самого, своего супруга и близких родственников.

3. Перечень видов информации с ограниченным доступом:

§ государственная тайна;

§ служебная тайна;

§ коммерческая тайна;

§ банковская тайна;

§ профессиональная тайна;

§ персональные данные.

4. Перечень сведений, доступ к которым не может быть ограничен.

Для реализации права на информацию в Конституции РФ заложены основания, по которым доступ к отдельным видам информации не подлежит какому-либо ограничению, например в статье 42 закреплено право на достоверную информацию о состоянии окружающей среды, которое не может быть ограничено. В случае возникновения угрозы жизни и здоровью людей должностные лица обязаны информировать население о ней под страхом привлечения к ответственности (часть 3 статьи 41).

В ряде законов, устанавливающих ограничения доступа к информации, также вводится перечень сведений, доступ к которым не может быть ограничен. Так, в статье 7 Закона РФ «О государственной тайне» перечислены сведения, не подлежащие засекречиванию. В пункте 3 статьи 10 Федерального закона «Об информации, информатизации и защите информации» приведен перечень документов, доступ к которым запрещено ограничивать.

За непредоставление информации гражданам, палатам Федерального Собрания РФ и Счетной палате РФ (статьи 140 и 287), а также за сокрытие информации об обстоятельствах, создающих опасность для жизни или здоровья людей (статья 237), в Уголовном кодексе РФ предусмотрена ответственность.

Ответственность в действующем законодательстве оговорена в случае неправомерного засекречивания, нарушения требований по составу предоставляемых сведений, неопубликования сведений, нарушения права граждан на бесплатное получение информации, сокрытие (непредоставление) сведений об обстоятельствах, создающих опасность для жизни или здоровья людей, несвоевременное предоставление сведений, сокрытие информации, сообщение ложных (недостоверных) сведений, ограничение права на предоставление информации, искажение сведений, нарушение свободного международного информационного обмена.

Защита права на доступ к информации может осуществляться либо в административном порядке – через подачу жалобы лицом, чьи права нарушены, на должностное лицо (орган) в вышестоящую инстанцию, специальный орган – Судебную палату по информационным спорам при Президенте РФ, либо в судебном порядке через подачу иска (жалобы) для рассмотрения в гражданском, административном или уголовном судопроизводстве.

Проблемы защиты информации постоянно усугубляются процессами проникновения во все сферы общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем.

Концентрация информации в вычислительных системах заставляет все более усиливать контроль в области защиты информации. Работы в этом направлении ведутся специалистами по информационной безопасности в вычислительных системах, которые отвечают за разработку, реализацию и эксплуатацию вычислительных систем и обеспечивают целостность, пригодность и конфиденциальность циркулирующей в вычислительных системах информации.

Сложность защиты информации в вычислительных системах определяется тем, что данные могут быть похищены и одновременно оставаться на месте; ценность данных заключается в обладании ими, а не в уничтожении или изменении. Кроме того, защита информации в вычислительных системах осложняется спецификой самих вычислительных систем, особенностями сбора, обработки и передачи данных с их использованием.

Рассмотрим проблемы защиты информации в автоматизированных системах обработки данных, персональных компьютерах (ПЭВМ), а также проблемы защиты информации в сетях ЭВМ.

Под защитой информации в автоматизированных системах обработки данных (АСОД) понимается регулярное использование в них средств и методов, принятие мер и осуществление мероприятий с целью системного обеспечения требуемой надежности информации, хранимой и обрабатываемой с использованием средств АСОД [Аскеров Т.М., 2001].

Основными видами информации, подлежащими защите в АСОД, могут быть [Партыка Т.Л., Попов И.И., 2002]:

§ исходные данные, т.е. данные, поступившие в АСОД на хранение и обработку от пользователей, абонентов и взаимодействующих систем;

§ производные данные, т.е. данные, полученные в АСОД в процессе обработки исходных и производных данных;

§ нормативно-справочные, служебные и вспомогательные данные, включая данные системы защиты;

§ программы, используемые для обработки данных, организации и обеспечения функционирования АСОД, включая и программы защиты информации;

§ алгоритмы, на основе которых разрабатывались программы (если они находятся на объектах, входящих в состав АСОД);

§ методы и модели, на основе которых разрабатывались алгоритмы (если они находятся на объектах, входящих в состав АСОД);

§ постановки задач, на основе которых разрабатывались методы, модели, алгоритмы и программы (если они находятся на объектах, входящих в состав АСОД);

§ техническая, технологическая и другая документация, находящаяся на объектах АСОД.

Общая классификационная структура задач по защите информации в АСОД включает в себя следующие группы [Партыка Т.Л., Попов И.И., 2002]:

I. Механизмы защиты:

1) введение избыточности элементов системы;

2) резервирование элементов системы;

3) регулирование доступа к элементам системы;

4) регулирование использования элементов системы;

5) маскировка информации;

6) контроль элементов системы;

7) регистрация сведений о фактах, событиях и ситуациях, которые возникают в процессе функционирования АСОД;

8) своевременное уничтожение информации, которая больше не нужна для функционирования АСОД;

9) сигнализация о состоянии управляемых объектов и процессов;

10)реагирование на проявление дестабилизирующих факторов с целью предотвращения или снижения степени их воздействия на информацию.

II. Управления механизмами защиты:

1) планирование защиты – процесс выработки рациональной (оптимальной) программы предстоящей деятельности. В общем случае различают долгосрочное (перспективное), среднесрочное и текущее планирование;

2) оперативно-диспетчерское управление защитой информации – организованное реагирование на непредвиденные ситуации, которые возникают в процессе функционирования управляемых объектов или процессов;

3) календарно-плановое руководство защитой – регулярный сбор информации о ходе выполнения планов защиты и изменении условий защиты, анализе этой информации и выработке решений о корректировке планов защиты;

4) обеспечение повседневной деятельности всех подразделений и отдельных должностных лиц, имеющих непосредственное отношение к защите информации – планирование, организация, оценка текущей деятельности, сбор, накопление и обработка информации, относящейся к защите, принятие текущих решений и др.

К основным методам защиты информации относятся:

Ø повышение достоверности информации;

Ø криптографическое преобразование информации;

Ø контроль и учет доступа к внутреннему монтажу аппаратуры, линиям связи и технологическим органам управления;

Ø ограничение доступа;

Ø разграничение и контроль доступа к информации;

Ø разделение доступа (привилегий);

Ø идентификация и аутентификация пользователей, технических средств, носителей информации и документов.

Основная цель защиты информации в ПЭВМ заключается в обеспечение ее физической целостности и предупреждении несанкционированного доступа к ней.

В самом общем виде данная цель достигается путем ограничения доступа посторонних лиц в помещения, где находятся ПЭВМ, а также хранением сменных запоминающих устройств и самих ПЭВМ с важной информацией в нерабочее время в опечатанном сейфе.

Наряду с этим для предупреждения несанкционированного доступа к информации используются следующие методы:

§ опознавание (аутентификация) пользователей и используемых компонентов обработки информации;

§ разграничение доступа к элементам защищаемой информации;

§ регистрация всех обращений к защищаемой информации;

§ криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных);

§ криптографическое закрытие защищаемой информации в процессе ее непосредственной обработки.

Для опознавания пользователей к настоящему времени разработаны и нашли практическое применение следующие способы.

1. Распознавание по простому паролю. Каждому зарегистрированному пользователю выдается персональный пароль, который он вводит при каждом обращении к ПЭВМ.

2. Опознавание в диалоговом режиме. При обращении пользователя программа защиты предлагает ему назвать некоторые данные из имеющейся записи (пароль, дата рождения, имена и даты рождения родных и близких и т.п.), которые сравниваются с данными, хранящимися в файле. При этом для повышения надежности опознавания каждый раз запрашиваемые у пользователя данные могут быть разными.

3. Опознавание по индивидуальным особенностям и физиологическим характеристикам. Реализация данного способа предполагает наличие специальной аппаратуры для съема и ввода соответствующих параметров и программ их обработки и сравнения с эталоном.

4. Опознавание по радиокодовым устройствам. Каждому зарегистрированному пользователю выдается устройство, способное генерировать сигналы, имеющие индивидуальные характеристики. Параметры сигналов заносятся в запоминающие устройства механизмов защиты.

5. Опознавание по специальным идентификационным карточкам. Изготавливаются специальные карточки, на которые наносятся данные, персонифицирующие пользователя: персональный идентификационный номер, специальный шифр или код и т.п. Эти данные на карточку заносятся в зашифрованном виде, причем ключ шифрования может быть дополнительным идентифицирующим параметром, поскольку может быть известен только пользователю, вводиться им каждый раз при обращении к системе и уничтожаться сразу же после использования.

Каждый из перечисленных способов опознавания пользователей имеет свои достоинства и недостатки, связанные с простотой, надежностью, стоимостью и др.

Разграничение доступа к элементам защищаемой информации заключается в том, чтобы каждому зарегистрированному пользователю предоставить возможности беспрепятственного доступа к информации в пределах его полномочий и исключить возможности превышения своих полномочий. Само разграничение может осуществляться несколькими способами.

1. По уровням секретности. Каждому зарегистрированному пользователю предоставляется вполне определенный уровень допуска (например, «секретно», «совершенно секретно», «особой важности» и т.п.). Тогда пользователю разрешается доступ к массиву (базе) своего уровня и массивам (базам) низших уровней и запрещается доступ к массивам (базам) более высоких уровней.

2. Разграничение доступа по специальным спискам. Для каждого элемента защищаемых данных (файла, базы, программы) составляется список всех пользователей, которым предоставлено право доступа к соответствующему элементу, или, наоборот, для каждого зарегистрированного пользователя составляется список тех элементов защищаемых данных, к которым ему предоставлено право доступа.

3. Разграничение доступа по матрицам полномочий. Данный способ предполагает формирование двумерной матрицы, по строкам которой содержатся идентификаторы зарегистрированных пользователей, а по столбцам – идентификаторы защищаемых элементов данных. Элементы матрицы содержат информацию об уровне полномочий соответствующего пользователя относительно соответствующего элемента.

4. Разграничение доступа по мандатам. Данный способ заключается в том, что каждому защищаемому элементу присваивается персональная уникальная метка, после чего доступ к этому элементу будет разрешен только тому пользователю, который в своем запросе предъявит метку элемента (мандат), которую ему может выдать администратор защиты или владелец элемента.

Регистрация всех обращений к защищаемой информацииосуществляется с помощью устройств, которые контролируют использование защищаемой информации, выявляют попытки несанкционированного доступа к ней, накапливают статистические данные о функционировании системы защиты.

Криптографическое закрытие защищаемой информации, хранимой на носителях (архивация данных) заключается в использовании методов сжатия данных, которые при сохранении содержания информации уменьшают объем памяти, необходимой для ее хранения.

Криптографическое закрытие защищаемой информации в процессе ее непосредственной обработкиосуществляется с помощью устройств программно-аппаратных комплексов, обеспечивающих шифрование и дешифрование файлов, групп файлов и разделов дисков, разграничение и контроль доступа к компьютеру, защиту информации, передаваемой по открытым каналам связи и сетям межмашинного обмена, электронную подпись документов, шифрование жестких и гибких дисков.

Защита информации в сетях ЭВМ обеспечивается решением следующих задач [Партыка Т.Л., Попов И.И., 2002]:

1) взаимное опознавание (аутентификация) вступающих в связь абонентов сети;

2) обеспечение конфиденциальности циркулирующих в сети данных;

3) обеспечение юридической ответственности абонентов за передаваемые и принимаемые данные.

Взаимная аутентификация абонентов, вступающих в связь обеспечивается использованием паролей, шифрованием. Например, для осуществления секретной связи участники сетевых переговоров получают согласованные пары ключей для шифрования и дешифрования передаваемых данных.

Конфиденциальность циркулирующих в сети данных обеспечивается путем удостоверения их целостности, заполнения трафика, управления маршрутизацией.

Целостность единственного блока данных достигается добавлением к нему при передаче проверочной величины (например, контрольной суммы), которая является секретной функцией самих данных. При приеме генерируется (формируется) такая же величина и сравнивается с принятой. Целостность последовательности блоков данных обеспечивается путем их последовательной нумерации, криптографического упорядочивания или отметками времени.

Заполнение трафика используется для защиты от попыток анализа трафика путем шифрования всего трафика, когда нельзя отличить информацию от заполнения.

Управление маршрутизацией предполагает использование только безопасные с точки зрения защиты информации фрагменты сети, участки переприема, коммуникации, звенья. Может быть запрещена передача некоторых данных по определенным маршрутам, или оконечная система, обнаружив воздействие на ее информацию, может потребовать предоставить ей маршрут доставки данных, обеспечивающий их конфиденциальность и целостность.

Юридической ответственность абонентов за передаваемые и принимаемые данные обеспечивается с помощью цифровой (электронной) подписи, реализуемой криптографическими методами, состоящими из двух процессов: 1) формирование подписи блока данных при передаче; 2) проверка подписи в принятом блоке данных. Первый процесс заключается в формировании подписи по определенному алгоритму с использованием секретного ключа, второй – в обратном преобразовании.

Применяемые в настоящее время системы зашиты информации в сетях ЭВМ обеспечивают:

§ предохранение от лиц, не допущенных к работе с системами обработки информации;

§ регламентацию (разграничение) доступа законных пользователей и программ к информационным, программным и аппаратным ресурсам систем в строгом соответствии с принятыми в организациях политиками безопасности;

§ предохранение от внедрения вредоносных программ (закладок), инструментальных и технологических средств проникновения;

§ целостность среды исполнения программ;

§ регистрацию, сбор, хранение и выдачу сведений обо всех событиях, происходящих в сети и имеющих отношение к ее безопасности;

§ централизованное управление средствами защиты (администрирования).

Следует заметить, что обеспечение защиты информации в современных вычислительных системах и сетях требует комплексного подхода. Оно невозможно без применения широкого набора защитных методов и средств, объединенных в единую систему защиты.

 

Вопросы и задания

 

1. Что понимается под информационной безопасностью?

2. Чем обусловлена необходимость укрепления информационной безопасности Российской Федерации?

3. Перечислите основные составляющие информационной безопасности.

4. В чем заключаются национальные интересы России в информационной сфере? Что требуется для их достижения?

5. На какие виды подразделяются угрозы информационной безопасности Российской Федерации?

6. Что относится к организационно-техническим методам обеспечения информационной безопасности Российской Федерации?

7. Что относится к объектам обеспечения информационной безопасности в сфере экономики (внутренней и внешней политики, в области науки и техники, в сфере духовной жизни, в общегосударственных, информационных и телекоммуникационных системах, в сфере обороны, в правоохранительных и судебных сферах)? Какие угрозы представляют наибольшую опасность для этих объектов?

8. Какие меры разрабатываются и применяются по обеспечению информационной безопасности Российской Федерации в различных сферах жизнедеятельности общества и государства?

9. Какие разрабатываются меры по обеспечению информационной безопасности в чрезвычайных ситуациях?

10. Перечислите основные задачи в сфере обеспечения информационной безопасности государства.

11. Какие функции должны осуществляться государственной системой по обеспечению информационной безопасности?

12. Какие мероприятия относятся к первоочередным мероприятиям по реализации государственной политики обеспечения информационной безопасности Российской Федерации?

13. Перечислите основные направления международного сотрудничества Российской Федерации в области обеспечения информационной безопасности.

14. Что понимается под информационной войной? Когда появился этот термин?

15. Перечислите особенности информационной войны.

16. Что предусматривает концепция «информационной войны» по оценкам российских спецслужб?

17. Что значит информационное превосходство? Чем оно достигается?

18. Что понимается под информационным оружием и чем оно отличается от обычных средств поражения?

19. В каких сферах, и с какой целью применяется информационное оружие?

20. Назовите основные объекты применения информационного оружия?

21. Как информационное оружие способно воздействовать на человека?

22. Перечислите необходимые условия организации защиты от информационного оружия.

23. Что значит защита информации?

24. Перечислите основные направления защиты информации. Что они означают?

25. Назовите источники права о доступе к информации.

26. Как с точки зрения права делится информация?

27. Перечислите ограничения и запреты на информацию?

28. Как может быть осуществлена защита права на доступ к информации?

29. Что понимается под защитой информации в автоматизированных системах обработки данных?

30. Назовите основные виды информации, подлежащие защите в АСОД.

31. Какие группы включает в себя общая классификационная структура задач по защите информации в АСОД?

32. Назовите основные методы защиты информации в АСОД.

33. Что относится к особенностям ПЭВМ с точки зрения защиты информации?

34. В чем заключается основная цель защиты информации в ПЭВМ?

35. Какие методы предупреждения несанкционированного доступа к информации используются в настоящее время?

36. Какие способы опознавания пользователей разработаны и нашли практическое применение в настоящее время?

37. В чем заключается разграничение доступа к элементам защищаемой информации? Какими способами оно осуществляется?

38. Как осуществляется криптографическое закрытие защищаемой информации?

39. Решением каких основных задач обеспечивается защита информации в сетях ЭВМ?

 


Поделиться:

Дата добавления: 2015-01-05; просмотров: 181; Мы поможем в написании вашей работы!; Нарушение авторских прав





lektsii.com - Лекции.Ком - 2014-2024 год. (0.007 сек.) Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав
Главная страница Случайная страница Контакты