Информационная безопасность

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ Начальник информационного отдела НЧОУ ВО «Северный институт Горюнов Владимир Сергеевич предпринимательства» Аннотация: в статье анализируется понятие информации и информационной безопасности, рассматриваются различные виды информации и ее основные свойства, подробно исследуется вопросы, связанные с протекающими информационными процессами, а также исследуются методы обеспечения по предотвращению несанкционированного доступа и достижения состояния полной информационной безопасности Ключевые слова: информация, основные свойства информации, информационные процессы, информационная безопасность Необходимость   в   создании   условий   по   обеспечении   безопасности   в сфере   информации   на   современном   этапе   развития   общества   обусловлена влиянием нескольких факторов: ­ устойчивое увеличение  количества средств вычислительной техники и связи,   расширение   сфер   применения   электронных   вычислительных   машин, широкомасштабное   внедрение   информационных   технологий   в   сферу управления   различными   процессами,   у   которых   возникает   потребность   в обеспечении защиты; ­   увеличение   количества   персонала,   вовлеченного   в   процесс информационного   взаимодействия,   и   в   связи   с   этим   обстоятельством возникает у людей и организаций еще большая информационная потребность; ­   отношением   к   информации,   как   к   товару,   переходом   к   рыночным отношениям, с присущей им конкуренцией и промышленным шпионажем, ∙ концентрацией   больших   объемов   информации   различного   назначения   и принадлежности на электронных носителях; ­   наличием   интенсивного   обмена   информацией   между   участниками информационного процесса; ­   количественным   и   качественным   совершенствованием   способов доступа пользователей к информационным ресурсам. В   сложившейся   ситуации   назревает   потребность   в   обеспечении защищенности   систем   и   информации   от несанкционированного доступа, кражи, уничтожения и других преступных и нежелательных действий. вычислительных   В   системе   обеспечения   защищенности   вычислительных   систем   и информации   достаточно   большой   спектр   действий   для   достижения поставленных целей и задач ­ от обеспечения государственной безопасности до   защиты   интересов   отдельных   организаций,  предприятий   и  частных   лиц, дифференциация самой информации по степени ее уязвимости. Таким   образом,   в   настоящей   исследовательской   работе   объектом исследования является информационная безопасность. Актуальность темы исследовательской работы: за счет использования инструментария   информационных   технологий   образуются   большие   банки данных, умышленное использование которых в неправомерных целях может нанести вред для тех или иных субъектов информационных отношений. Чтобы подобный риск исключить или свести к минимуму, необходимо принять меры по   обеспечению   защиты   циркулирующей   информации   в   информационной системе. Цель исследовательской работы: выяснить и ответить для на вопросы – что   же   такое   информация,   информационная   среда,   информационная безопасность   и   какие   меры   необходимо   принять   для   обеспечения защищенности вычислительных систем и информации. Задачи исследовательской работы:  ­     изучить   и   проанализировать   теоретические   аспекты   проблемы обеспечения безопасности информационных ресурсов;  ­ на основе теоретического анализа определить сущность, содержание, назначение     системы   мер   по   обеспечению   безопасности   информационных ресурсов.  Для   достижения   цели   исследовательской   работы   и   выполнения поставленных задач в исследовательской работе используется совокупность теоретических   и   эмпирических   методов:   теоретический   анализ специализированной     литературы   по   проблеме   обеспечения безопасности информационных ресурсов, теоретический   и   эмпирический  анализ данных практического     опыта     внедрения   системы   безопасности   информационных ресурсов. 1. Глава 1. Информация и ее безопасность 1.1 Понятие информации Для более глубокого понимания любого явления необходимо вникнуть в его   суть.   В   отношении   принятия   мер   по   обеспечению   информационной безопасности   фундаментальной   основой   будет   являться   информация. Поэтому необходимым условием является выяснение следующего вопроса – понятие информации и её природы, а также исследовать возможности влияния информации на поведение людей. В науке имеется несколько точек зрения по поводу природы информации, каждая из которых определяет одну из граней этого явления. Представители первой точки зрения смотрят на природу информации через призму лингвистики, согласно которой информацию можно толковать исходя из языковедческих традиций. В словаре русского языка под редакцией С.И.  Ожегова   и  Н.  Ю.  Шведовой   информация   определяется   в  нескольких значениях: 1)  сведения  об   окружающем   мире   и   протекающих   в   нем   процессах, воспринимаемые человеком или специальным устройством; 2)  сообщения,  осведомляющие   о   положении   дел,   о   состоянии   чего­ нибудь. Лингвистическая   точка   зрения   раскрывает   лишь   смысловую   сторону такого феноменологического явления как информация, т.е. лингвистическое понимание информации является односторонним. Представители второй точки зрения по поводу природы  информации рассматривают   её   в   ракурсе  физико­математического   подхода,  в   рамках которого   используются  формализованные   модели   природы   информации. Данный подход является фундаментом теории информации в строго научном значении этой дефиниции. Основные положения теории информации сводятся к   тому,   что  соотношение   количества   и   качества   информации  при   ее включенности и влиянии на процессы управления живыми и искусственными системами,   а   также   оказывают  влияние   на   изменение   характера управленческих   процессов.   В   качестве   основоположников   научной   теории информации   можно   назвать   Норберта   Винера,   Андрея   Николаевича Колмогорова, Фредерика Уинслоу Тейлора и Клода Шеннона В   качестве   предпосылки   к   появлению   такого   подхода   к   пониманию природы   информации   можно   считать  статистическую   теорию   количества информации, исходя из положений которой можно сделать вывод о появлении возможности формализации  множества связей и взаимозависимостей между элементами   процесса   управления   с   помощью   информации,   а   также оказываемого  влияния  на   характер   управляемых   систем.   Формализация множества   взаимосвязей   позволила   проводить   измерения   и   сложные математические расчеты для последующей постановки нового класса задач, связанных с поддержанием  управляемых систем в состоянии равновесия и устойчивости. Представители  третьей точки зрения по поводу  понимания сущности информации   придерживаются   мнения   о   философском   и   социальном восприятии   природы   информации.   Основные   положения   такого   подхода   к пониманию информации содержатся в разных источниках по общественным наукам.   Несмотря   на   их   разнообразие,   с   точки   зрения   подхода   к исследуемому   предмету,   можно   провести   небольшую   систематизацию   и представить обобщенную обществоведческую концепцию понимания природы информации. Для   обществоведов   интерес   будет   представлять   социальный   аспект природы   информации,   так   как   данный   аспект   по   своему   характеру   и содержанию   отражает   существующие   закономерности   в   управлении обществом.   Фундаментальные   открытия   в   области   теории   управления   и социальной информации привели многих ученых к выводу о том, что природа информации   лежит   в   плоскости   теории   отражения   и   информационного взаимодействия материальных и нематериальных объектов. Основные положения применения теории отражения и взаимодействия к проблемам   понимания   природы   информации   сводятся,   в   основном,   к следующим   моментам.   Все   явления   и   предметы   материального   и нематериального   мира   находятся   в   постоянном  движении,   изменении   и взаимодействии. В силу этого фактора они оказывают друг на друга влияние, передают   друг   другу   отдельные   свои   внешние   либо   внутренние   признаки, свойства и характерные черты. Подводя итог представленным точкам зрения, можно сделать вывод о том, что информация является многогранным явлением, процесс появления которого   можно   представить   с   помощью   закона   отражения.   Суть   закона отражения можно понять на объектно­ориентированном уровне: встречаются два объекта А и Б. Встреча двух объектов происходит впервые и поэтому у каждого объекта формируется впечатление о собеседнике. Эти впечатления собеседников друг о друге являются неким подобием объекта А или объекта Б и поэтому обозначим их под буквой С. А С в свою очередь и будет являться информацией.   Иногда   в   этом   процессе   могут   участвовать   посредники, которых   мы   обозначим   под   буквой   Д.   Схематично   процесс   появления информации, исходя из положений закона отражения, представлен на рисунке 1.                                                      А С Д Б Рисунок 1. Схематичное представление процесса появления информации 1.2 Виды информации Основными разновидностями информации по форме ее представления, способам ее кодирования и хранения, являются следующие:  графическая   — первый вид информации, в отношении которого реализуется   такой   способ   хранения   информации   об   окружающей действительности, как наскальный рисунок или картина, фотография, схема, чертежи на бумаге, холсте, мраморе и др. материалах, изображающих картины реального мира; звуковая  —   второй   вид   информации,   который   позволяет   при помощи   звукозаписывающих   устройств   хранить   и   тиражировать   звуки окружающего   мира.   В   качестве   разновидности   звуковой   информации выступает музыкальная информация, для которого был разработан и внедрен способ кодирования с использованием специальных символов;   текстовая  —   третий   вид   информации,   который   способен осуществить кодировку речи человека в виде специальных символов — букв; числовая  — четвертый вид информации, который представлен в виде   количественной   меры   объектов   и   их   свойств   в   окружающем   мире. Особенное значение данный вид информации приобрел с развитием торговли, экономики   и   денежного   обмена.   Текстовая   информация   также   может использовать метод кодирования специальными символами — цифрами;  видеоинформация  — пятый вид информации, который способен хранить «живые» картины окружающей действительности. Кроме   того,   имеются   разновидности   информации,   для   которых   не существуют способов кодировки и хранения:  тактильная   информация,  передача   которой   осуществляется   при органолептическая,   передача   которой   осуществляется   при помощи ощущений;  помощи  запаха и вкуса;      и др. 1.3 Свойства информации К числу фундаментальных свойств информации относятся:        Ознакомимся с ними более подробно. дуализм,  полнота,  достоверность,  адекватность,  доступность,  актуальность. Дуализм   информации   свидетельствует   о   том,   что   ее   можно   Двойственность охарактеризовать   с   точки   зрения   двойственности. информации   объясняется   тем,   что,   с  одной     стороны,   она   является объективной в силу объективности данных, с другой — субъективна, в силу субъективности   применяемых   методов.   Другими   словами,   методы   могут вносить   в   большей   или   меньшей   степени   субъективный   фактор   и   таким образом влиять на информацию в целом. Например, два человека читают одну и   ту   же   книгу   и   получают   подчас   весьма   разную   информацию,   хотя прочитанный   текст,   т.е.   данные,   были   одинаковы.   Более   объективная информация применяет методы с меньшим субъективным элементом. Полноту   информации   можно   раскрыть   с   точки   зрения  степени достаточности собранных  данных для принятия взвешенного решения либо создания   новых   информационных   источников   на   основе   уже   имеющихся. Недостаточная полнота данных может послужить основанием для создания ситуации   неопределенности,   т.к.   в   этом   случае   предоставляется   большой спектр   вариантов   выбора   действий,   или   может   подвести   к   применению дополнительных методов, к примеру, экспертных оценок, бросание жребия и т.п. Большие базы данных могут послужить в качестве препятствия на пути доступа   нужным   данным,   создать   повышенный   информационный   шум,   что также   вызывает   необходимость   дополнительных   методов,   например, фильтрацию,   сортировку.   И   неполный   и   избыточный   наборы   затрудняют получение информации и принятие адекватного решения. Достоверность информации  –  это свойство, характеризующее степень соответствия информации реальному объекту с необходимой точностью. При работе   с   неполным   набором   данных   достоверность   информации   может характеризоваться вероятностью, например, можно сказать, что при бросании монеты с вероятностью 50 % выпадет «орел». Адекватность   информации  выражает   степень   соответствия   созда­ ваемого   с   помощью   информации   образа   реальному   объекту,   процессу, явлению. Полная адекватность достигается редко, так как обычно приходится работать   с   не   самым   полным   набором   данных,   т.е.   присутствует неопределенность, затрудняющая принятие адекватного решения. Получение адекватной информации также затрудняется при недоступности адекватных методов. Доступность информации  —  это возможность получения информации при   необходимости.   Доступность   складывается   из   двух   составляющих:   из доступности данных и доступности методов. Отсутствие хотя бы одного дает неадекватную информацию. Актуальность информации ­  информация существует во времени, так как   существуют   во   времени   все   информационные   процессы.   Информация, актуальная   сегодня,   может   стать   совершенно   ненужной   по   истечении некоторого времени. Например, программа телепередач на нынешнюю неделю будет неактуальна для многих телезрителей на следующей неделе. Схематичное изображение основных свойств информации представлено на рисунке 2: Информация Дуализм Полнота Достоверность Адекватность Актуальность Доступность Рисунок 2. Схематичное изображение основных свойств информации 1.4 Понятие информационного процесса Процесс   получения   информации   тесно   взаимосвязан   с   процессом, который   происходит   во   время   кругооборота   самой   информации,   так называемым   информационным   процессом,   поэтому   необходимо   заострить свой   взгляд   на   отдельные   составляющие   информационного   процесса   и   их разновидности. Отдельными составляющими информационного процесса являются:  Сбор   данных  –  представляет   собой  деятельность   субъекта информационных   отношений   по   накоплению   данных   информационного характера   для   того,   чтобы   обеспечить   достаточный   уровень   полноты информации. Во время создания симбиоза с адекватной методологией, данные преобразуются в информацию, которая способна помочь на пути к принятию обоснованного решения. Например, в ситуации, когда мы проявляем интерес к цене   того   или   иного   товара,   его   потребительскими   свойствами,   мы занимаемся   сбором   информации   для   того,   чтобы   принять   взвешенное решение: покупать или не покупать его;  Передача   данных  –  представляет   собой  процесс   обмена информационными   данными.   Представим   себе   ситуацию,   когда   источник информации,   канал   связи,   приемник   информации,   и   между   ними   приняты соглашения   о   порядке   обмена   данными,   эти   соглашения   называются протоколами   обмена.  Например,   в   обычной   беседе   между   двумя   людьми негласно   принимается   соглашение,   не   перебивать   друг   друга   во   время разговора; Хранение данных – это поддержание данных в форме, постоянно готовой   к   выдаче   их   потребителю.   Одни   и   те   же   данные   могут   быть востребованы   не   однажды,   поэтому   разрабатывается   способ   их   хранения (обычно  на   материальных  носителях)   и  методы   доступа   к   ним  по   запросу потребителя;   Обработка данных – это процесс преобразования информации от исходной ее формы до определенного результата. Сбор, накопление, хранение информации часто не являются конечной целью информационного процесса. Чаще   всего   первичные   данные   привлекаются   для   решения   какой­либо проблемы,   затем   они   преобразуются   шаг   за   шагом   в   соответствии   с алгоритмом решения задачи до получения выходных данных, которые после анализа пользователем предоставляют необходимую информацию. Схематичное   изображение   составляющих   информационного   процесса представлено на рисунке 3: Сбор       Передача                                        Информационный процесс                              Хранение           Обработка Рисунок 3. Схематичное изображение  составляющих информационного процесса Глава 2. Защита информации и принимаемые меры по ее защите 2.1 Понятие защиты информации После   того,   как   мы   рассмотрели   вопросы,   связанные   с   понятием   и основными   свойствами   информации,   как   объекта   посягательств   с   целью осуществления   несанкционированного   доступа,   необходимо   заострить внимание   на   обеспечение   безопасности   информации.   Принятие   мер   по обеспечению   безопасности   информации   подразумевает   направленность действий по обеспечению надежной защиты информации. Что же такое защита информации? Под   защитой   информации   стоит   понимать   комплексное  применение средств и методов для обеспечения надежности передаваемой, хранимой и обрабатываемой   информации.   Иными   слова   можно   сказать,   что   защита информации   это   набор   действий   по   достижению   надежного   уровня защищенности   информации,   циркулирующей   внутри   той   или   иной информационной системы. Комплекс   мер   по   достижению   надежного   уровня   защищенности информации включает в себя:    обеспечение   физической   целостности   информации,   исключение возможности искажения или уничтожения отдельных элементов информации; предотвращение   попытки   подмены   отдельных   элементов  информации при сохранении ее физической целостности; разграничение   прав   доступа   к   информационным   ресурсам   и исключение   возможности   совершения   несанкционированного   доступа   к информационным ресурсам лицам или процессам, которые не имеют на это соответствующих полномочий; достижение состояния уверенности владельцем информационного ресурса   в   отношении   того,   что   передаваемые   им   информационные   данные будут   использованы   в   строгом   соответствии   с   обговоренными   условиями между сторонами того или иного договора. В качестве нарушителя надежного уровня защищенности информации выступают   процессы,   которые   подразделяются   на   случайные   и злоумышленные   (преднамеренные).   Случайные разрушительные   процессы возникают   непреднамеренно,   являются   следствием   ошибочных   действий пользователей, технических сбоев. В отличии от случайных разрушительных процессов   злоумышленные нарушения   рассматриваются   с   точки   зрения наличия умысла в действиях пользователя информационной системы. Проблемный   аспект   достижения   надежного   уровня   защищенности информации   в   системах   электронной   обработки   данных   возникает одновременно с их созданием, так как его возникновение напрямую связано с конкретными   фактами   совершения   злоумышленных   действий   со   стороны пользователя по отношению к информации. Выдвижение   проблемного   аспекта   достижения   надежного   уровня защищенности   информации   на   передний   план   в   любой   компании подтверждается ростом статьи затрат на разработку и проведение защитных мероприятий.   Для   того,   чтобы   достичь   надежного   уровня   защищенности информации   с   помощью   проводимых   защитных   мероприятий,   необходимо вложить   значительный   объем   материальных   и   финансовых   ресурсов. Построение   эффективной   системы   защиты   информации   подразумевает разработку   и   построение   оптимизационной   модели,   которая   позволит достигнуть   заданного   уровня   защищенности   информации   за   счет минимального   расходования   предусмотренных   в   бюджете   материальных   и финансовых   ресурсов.   Построение   строки   бюджета   на   проведение мероприятий по достижению требуемого уровня защищенности информации необходимо начать с вопроса выявления следующих факторов:  выявить и построить так называемую модель угроз информации;  выяснить   вопрос   о   влиянии   каждой   из   угроз   на   содержащуюся информацию в информационной системе компании;  какой   размер   материальных   и   финансовых   ресурсов   можно направить на нейтрализацию каждой из угроз. На   первоначальном   этапе   активного   использования   персонального компьютера в повседневной жизни в качестве настораживающего фактора на пути достижения надежного уровня защищенности информации  представляли хакеры,   которые   при   помощи   телефонной   линии   и   модема несанкционированно   получали   доступ   к   информационным   ресурсам.   На современном   технологий несанкционированный   доступ   к   информационным   ресурсам   может   быть осуществлен   с   помощью   вредоносного   программного   обеспечения, компьютерных   вирусов,   глобальной   информационно­телекоммуникационной сети Интернет. информационных развития этапе       Несанкционированный доступ к информационным ресурсам может быть осуществлен с помощью следующих способов:         просмотр; копирование и подмена данных; ввод ложных программ и сообщений в результате подключения к каналам связи; чтение остатков информации на ее носителях; прием   сигналов   электромагнитного   излучения   и   волнового характера; использование специальных программ.  Для   того,   чтобы   проводить   мероприятия   по   борьбе   с   фактическими проявлениями несанкционированного доступа к информационным ресурсам, необходимо разработать, создать и внедрить многоступенчатую непрерывную и   управляемую   архитектуру   безопасности   информации.   Обязанность   по защите   информационных   ресурсов   распространяется   не   только   на информацию   конфиденциального   содержания.   Информационный   ресурс выступает   в   качестве   объекта   защиты,   на   который   обычно   действует совокупность   дестабилизирующих   факторов.   Вид   и   уровень   воздействия дестабилизирующих   факторов   проявляются   по   разному,   и   не   могут   не зависеть от вида и уровня других, то есть все взаимосвязано. На   практике   встречаются   такие   ситуации,   когда   вид   и   уровень взаимодействия   имеющихся   факторов   существенно   зависят   от   влияния других, явно или скрыто усиливающих такие воздействия. В такой ситуации для   осуществления   мероприятий   по   защите   информационных   ресурсов необходимо   использовать   как   независимые   с   точки   зрения   эффективности защиты средства, так и взаимозависимые. Для обеспечения надежного уровня безопасности   данных,   нужно   произвести   поиск   оптимального   решения, сочетающего   в   себе   относительно   небольшую   стоимость   защитных мероприятий,   некоторые   неудобства   при   проведении   мер   защиты   и значимостью   того   или   иного   защищаемого   информационного   ресурса.   На основе   детального   анализа   многочисленных   взаимодействующих   факторов можно  найти   разумное   и  эффективное   решение   о   сбалансированности   мер защиты от конкретных источников опасности. 2.2 Объекты и элементы защиты в компьютерных системах обработки данных Под   объектом   защиты   следует   понимать  такой   элемент   системы,   в котором   находится   защищаемый   информационный   ресурс. В   качестве элемента   проводимых   защитных   мероприятий выступает  совокупность данных, в которой могут содержаться подлежащие защите сведения. В процессе жизнедеятельности компьютерных информационных систем могут возникать такие ситуации, как: отказы и сбои аппаратуры; системные и системотехнические ошибки; программные ошибки; ошибки человека при работе с компьютером.     Риск возникновения несанкционированного доступа к информационным ресурсам   может   быть   связан   с   фактом   осуществления   технического обслуживания   компьютерной   техники,   а   также   в   процессе   осуществления чтения информации на машинных и других носителях. Несанкционированный доступ   к   информационным   ресурсам   по   своему   характеру   является незаконным   и   подразделяется   на   пассивный   и   активный.   При пассивном несанкционированном   доступе   к   информационным   ресурсам предполагается,   что   в   данном   случае  не   происходит   нарушения информационных   ресурсов   с   позиции   нарушителя   и   он   может   лишь раскрывать   содержание   сообщений.   Если   речь   идет   об   осуществлении активного несанкционированного   доступа   к   информационным   ресурсам,   то появляется   возможность   выборочного   изменения,   уничтожения определенного порядка сообщений, перенаправления сообщений, задержки и создания поддельных сообщений. Для   проведения   мероприятий   по   обеспечению   безопасности информационных   ресурсов   необходимо   принять   разнообразные   по   своему характеру   меры,   которые   можно   объединить   общим   понятием   «система защиты информации». Под   системой   защиты   информации   следует   понимать   определенную совокупность организационных (административных) и технологических мер, программно­технических   средств,   правовых   и   морально­этических   норм, основной целью которых является предотвращение возникновения угрозы со стороны   нарушителя,   а   также   сведения   до   минимума   возможного   ущерба пользователям и владельцам системы. Под организационно­административными средствами следует понимать принятие решения по  разграничению уровней доступа к информационным и вычислительным   ресурсам,   а   также   функциональным   процессам   систем обработки данных. Данный тип средств по защите информационных ресурсов предназначен для затруднения или исключения возможности реализации угроз безопасности.   К   наиболее   типичным   организационно­административными средствам защиты информационных ресурсов относятся: предоставление   доступа   к   осуществлению   мероприятий   по обработке и передаче охраняемой законом информации только проверенной категории должностных лиц; хранение носителей информационных ресурсов, представляющих особую   ценность,   а   также   регистрационных   журналов   в   сейфах,   которые являются недоступными для посторонних лиц;  ведение строгого учета  применения и уничтожения документов    или носителей с охраняемым законом информационным ресурсом; произведение   разграничения   доступа   к   информационным   и вычислительным   ресурсам   должностным   лицам   в   соответствии   с   их функциональными обязанностями. Использование   технических   средств   защиты   информационных ресурсов позволяет  создать   замкнутую   среду   вокруг   объекта   и   элементов защиты. С этой целью проводятся такие мероприятия, как: ограничение   электромагнитного   излучения   посредством применения   мер   по   экранированию   помещений,   в   которых   производится обработка информации;   обеспечение   реализации   мер   по   электропитанию   оборудования, производящего   обработку   ценной   информации,   от   автономного   источника питания или общей электросети через специальные сетевые фильтры. Применение программных средств и методов защиты информационных ресурсов,   которые являются   более   активными   по   отношению   к   другим применяемым мерам для защиты информации в персональном компьютере и компьютерных сетях. С помощью программных средств и методов защиты информационных ресурсов применяются такие функции защиты, как: разграничение и контроль доступа к информационным ресурсам;  регистрация и изучение протекающих процессов;  проведение   мероприятий   по   предотвращению   возможных разрушительных воздействий на информационные ресурсы;  криптографическая защита информационных ресурсов.  Под технологическими   средствами   защиты   информационных ресурсов следует понимать проведение ряда мероприятий, которые по своей природе   легко   встраиваются   в   реализуемые   технологические   процессы преобразования данных. В их состав входят такие операции, как: создание архивных копий носителей; ручное или автоматическое сохранение обрабатываемых файлов во внешней памяти компьютера; ресурсам;  автоматическая регистрация доступа пользователей к различным выработка   специальных   инструкций   по   выполнению   всех технологических процедур и др. В   состав   правовых и морально­этических   мер   и   средств   защиты информационных ресурсов входят:            действующие в стране законы;  нормативные акты;  регламентирующие правила;  нормы   поведения,   соблюдение   которых   способствует   защите информации. 2.3 Средства опознания и разграничения доступа к информации Идентификация подразумевает под собой  присвоение тому или иному объекту или субъекту уникального имени или образа. Под аутентификацией следует   понимать процедуру  установления   подлинности   объекта   или субъекта,   в   ходе   которого устанавливается следующее ­ является ли объект или субъект тем, за кого он себя выдает.   происходит   процесс   проверки,   т. е. Конечными   целями   процедур   идентификации   и   аутентификации объекта   (субъекта)   является   решение   вопроса   о   допуске   его   к информационным   ресурсам   ограниченного   пользования   в   случае положительной   решения   вопроса   либо   отказе   в   допуске   в   случае отрицательного решения вопроса. Объектный состав идентификации и аутентификации включает в себя:    людей ­ пользователей, операторов;  технические средства ­ мониторы, рабочие станции, абонентские пункты;  документы ­ ручные, распечатки;  магнитные носители информации;  информацию на экране монитора.    Аутентификация пользователя информационного ресурса происходит с помощью   пароля,   который   присваивается   каждому   пользователю информационной   системы.   Хранятся   парольные   значения   пользователей информационного   ресурса   происходит   в   вычислительной   системе. Под паролем принято   понимать  совокупность   буквенно­цифровых   символов, содержательный   состав   которого   определяется   со   стороны   объекта (субъекта). Пароль   выступает   в   качестве   средства   обеспечения   безопасности   и выступает   в   качестве   гаранта   использования   для   прохождения   процедуры идентификации   и   установления   подлинности   терминала,   с   которого осуществляется процедура входа в информационную систему пользователем, а также для проведения процедуры установления подлинности компьютера по отношению к пользователю. Для   повышения   уровня   безопасности   информационного   ресурса   от несанкционированного   использования   необходимо   соблюдение   следующих мер предосторожности: хранение   парольно­ключевой   информации   на   информационном ресурсе следует осуществлять в зашифрованном виде;    не   осуществлять   распечатку   и   отображать   парольно­ключевую информацию   в   виде   открытого   файла   на   рабочей   станции   пользователя информационной системы; не   использовать   в   качестве   создания   парольно­ключевой информации собственное имя или имена родственников, а также  информацию личного   характера   ­   дата   рождения,   номер   домашнего   или   служебного телефона, название улицы; не   использовать   в   качестве   содержимого   парольно­ключевой информации   реальные   словесные   фразеологизмы,   которые   содержатся   в энциклопедиях или толковых словарях;   для   надежной   защиты   информационных   ресурсов   необходимо использовать максимально длинные пароли; с   точки   зрения   надежности   в   состав   парольно­ключевой информации   должно   входить   сочетание   символов   верхнего   и   нижнего регистров клавиатуры; в   случае   применения   для   защиты   информационного   ресурса комбинации из двух простых слов, необходимым шагом является объединение с помощью применения специальных символов ­ это +,=,<;  для   повышения   надежности   защиты   информационного   ресурса можно воспользоваться фантазийными словами, которые по своему характеру могут быть абсурдными или даже бредовыми; необходимо   часто   менять   содержание   парольно­ключевой    информации. Для   прохождения   процедуры   идентификации   пользователь информационного   ресурса   может   использовать   сложные   пароли   с технологической   точки   зрения,   которые   смогут   обеспечить   установку подлинности   пользователя   при   помощи   проведения   анализа   его биометрических параметров:  отпечатков пальцев;  рисунка линий руки;  радужной оболочки глаз;  тембра голоса.      К   наиболее   часто   используемым   видам   идентификации   относятся физические методы, реализация которых происходит с помощью носителей кодов паролей. К категории носителей парольно­ключевой информации могут быть отнесены:    подписью;   пропуск в контрольно­пропускных системах;  пластиковые   карты   с   именем   владельца,   его   кодом,   цифровой пластиковые карточки с магнитной полосой, которая считывается специальным считывающим устройством;  пластиковые карты, содержащие встроенную микросхему;  карты оптической памяти.   На   современном   этапе   развития   информационных   технологий интенсивно   разрабатываются   направления   по   обеспечению   безопасности информационного ресурса на основе проведения процедуры идентификации и установления подлинности документов при помощи такого инструмента, как цифровая   подписи.   Процедура   передачи   информации   по   каналам   связи происходит   при   помощи   факсимильной   аппаратуры,   однако   при   этом   к конечному получателю информации приходит не подлинная, а ее копия. Использование   такого   инструмента,   как   цифровая   подпись, позволит провести   шифрование   информации   при   помощи   криптографического преобразования и установить пароль, зависящего от отправителя, получателя и содержимого передаваемого сообщения. В случае возникновения ситуации повторного   использования   подписи,   необходимо   производить   ее   смену   от сообщения к сообщению. 2.4 Организационно­правовая защита информации Подсистема     мер организационно­правовых обеспечения информационной   безопасности   подразумевает   четкую   регламентацию действий   пользователей   информационной   системы   и   представляет   собой строгую   иерархическую   структуру   организационных   решений,   нормативов, законов и правил, которые по своему характеру являются определяющими в отношении   проведения   организационных   работ   на   предприятии   в   сфере обеспечения   информационной   безопасности   в   условиях   информационной системы.   В   деле   достижения   надежного   уровня   информационной   безопасности важным инструментом являются организационные меры. Использование этого инструмента,   с   одной   стороны,   позволит   сориентировать   администратора информационной   безопасности   направленность   обеспечительных   мер   в правильном   направлении.   С   другой   стороны,   использование   этого инструмента   позволит   руководству   компании,   в   пределах   которой используются средства автоматизации, должно создать и внедрить регламент автоматизированной обработки данных вместе с  правилом их защиты, а также установить меру ответственности за нарушение этих правил. Подсистема   организационно­правовых   мер   по   обеспечению информационной безопасности включает в себя несколько аспектов: Организационно­правовой аспект:  какой   орган,   какое   подразделение   или   должностное   лицо являются   ответственными   в   сфере   обеспечения   информационной безопасности; создать и внедрить нормативно­правовые, методические и другие материалы;  установить   наступление   ответственности   за   нарушение   правил   информационной безопасности;  Регистрационный аспект:  документом; разработать положение о разрешении спорных ситуаций. зафиксировать   документ   путем   проставления   "подписи"   под зафиксировать   факт   знакомства   с   содержащейся   в   документе информацией; зафиксировать факт внесения изменений в данные; фиксация фактов копирования содержания.   Юридические аспекты:  принять и утвердить законодательные нормативно­правовые акты в сфере информационной безопасности:   правила информационной безопасности; установление   ответственности   за   нарушение   правил информационной безопасности; регистрационные решения; процессуальные нормы и правила. проведение подбора и расстановки персонала; обеспечить проведение обучения персонала; установить систему морального и материального стимулирования; контролировать соблюдение установленных правил.   Морально­психологические аспекты:     Для   того,   чтобы   провести   мероприятия   по   созданию   и   обеспечению функционирования   такого   инструмента,   как   средства   защиты   информации, необходимым   шагом   является   разработка   пакета   документов,   в   котором будут определены порядок и правила обеспечения безопасности информации во время ее обработки пользователем в информационной системе, а также порядок работы с электронными документами юридического характера. В   плане   проведения   мероприятий   по   обеспечению   информационной безопасности могут содержаться следующие сведения: назначение информационной системы; перечень стоящих перед информационной системой задач; конфигурация; характеристика   и   размещение   технических   средств   и требования   в   целях   принятия   обеспечительных   мер   для доступности,   конфиденциальности,   целостности   различных   категорий информационных ресурсов; список   пользователей   и   их   полномочия   по   доступу   к информационным ресурсам системы;  цели принятия мер обеспечения информационной безопасности в пределах информационной системы и содержащихся в ней информационных ресурсов; список   существующих   угроз   безопасности   информационной системы, от которых требуется принимать меры по обеспечению безопасности информации, и наиболее вероятные пути нанесения ущерба; основные требования к организации процесса функционирования информационной   системы   и   мерам   по   обеспечению   информационной безопасности обработки данных;  программного обеспечения; защите в информационной системе; перечень   категорий   информационных   ресурсов,   подлежащих         требования   к   условиям   разворачивания   механизма   наступления ответственности   и   определению   ее   пределов,   которые   устанавливаются   в системе технических средств защиты от несанкционированного доступа; основные правила, регламентирующие деятельность персонала по вопросам обеспечения безопасности информационной системы; цель   обеспечения   непрерывности   процесса   функционирования   своевременность   восстановления   ее информационной   системы, работоспособности и пути ее достижения;   перечень и классификация возможных кризисных ситуаций; требования, меры и средства обеспечения непрерывной работы и восстановления   процесса   обработки   информации   (порядок   создания, хранения   и   использования   резервных   копий   информации   и   дублирующих ресурсов и т.п.); обязанности и порядок действий различных категорий персонала системы в кризисных ситуациях по ликвидации их последствий, минимизации наносимого   ущерба   и   восстановлению   нормального   процесса функционирования системы;  разграничение   ответственности   субъектов,   участвующих   в процессах обмена электронными документами; определение порядка подготовки, оформления, передачи, приема, проверки подлинности и целостности электронных документов; определение порядка генерации, сертификации и распространения          ключевой информации (ключей, паролей и т.п.); определение порядка разрешения споров в случае возникновения конфликтов. Кроме того, необходимо провести организационные и организационно­ технические   мероприятия   по   разработке,   внедрению   и   поддержанию функционирования комплексной системы защиты. Данный вид мер включает в себя:   разовые мероприятия; мероприятия, проводимые в ходе внедрения или возникновения определенных   корректировок   в   самой   защищаемой   автоматизированной системе или внешней среде; периодически проводимые мероприятия; постоянно проводимые мероприятия. 2.5 Методологические основы защиты информации Методологические   основы   применения   обеспечительных   мер безопасности   информации   представляют   собой,   с   одной   стороны, совокупность   научных   принципов,   которые   обеспечивают   соблюдение требований   системно­концептуального   подхода   при   исследованиях   и разработках   проблем   защиты,  а,  с  другой   стороны,  совокупность   методов, которые   являются   необходимыми   и   достаточными   для   оптимальной реализации   этих   принципов.   Повышенная   актуальность   формирования методологических   основ   безопасности   информации   детерминируется   по двумя обстоятельствами:   первое   обстоятельство   ­   для   обеспечения   комплексной   защиты информации необходимо создание научно обоснованного методологического базиса;   второе обстоятельство – необходимо выбрать правильное решение среди   большого   многообразия   методов   решения   задач,   связанных   с обеспечением безопасности информации. Основополагающим   методологическим   принципом,   гарантирующим соблюдение требований системно­концептуального подхода, очевидно, может быть   принцип   формирования   и   системной   классификации   полной совокупности моделей, необходимых и достаточных для обеспечения решения всех задач возникающих в процессе исследований и практических разработок различных аспектов проблемы защиты. Следующий принцип, который также является почти очевидным, может быть сформулирован как системный учет всей   совокупности   существенно   значимых   особенностей   самой   проблемы защиты информации в современных автоматизированных системах обработки данных. Соблюдение требований принципа формирования полного множества необходимых   моделей   должно   стать   гарантией   обеспечения   рационального выбора   методов   решения   всех   задач,   возникающих   при   исследованиях   и разработках проблем защиты. Таким   образом,   системы   безопасности   информации   в   современных автоматизированных   системах   по   обработке   данных   должны   представлять собой   стохастические   человеко­машинные   системы,   которые   будут функционировать непрерывно и по своему характеру нуждаются в активном управлении.   Все   эти   обстоятельства   непременно   должны   учитываться   при построении   и   практическом   использовании   моделей   систем   защиты.   о противном   случае   эти   модели   будут   неадекватными   реальным   системам защиты. В то же время нетрудно убедиться, что современная теория систем, сформировавшаяся   главным   образом   на   основе   классической   теории надежности   технических   систем   не   содержит   достаточных   средств   для построения   достаточно   адекватных   моделей   таких   систем,   к   которым относятся   системы   защиты   информации.   В   связи   с   этим   приобретает повышенную актуальность задача разработки новых средств моделирования, ориентированных   на   такой   тип   систем,   структуры   и   процессы функционирования которых образуют люди. 2.6 Криптографический метод защиты информации Эффективным   средством   повышения   безопасности   информационных ресурсов   является   криптографическая   трансформация.   Для   обеспечения надежности   принимаемых   мер   в   сфере   безопасности   информационных ресурсов и постоянного их совершенствования, необходимо реализовать один из следующих шагов: передача данных в компьютерных сетях; передача   данных,   которые   хранятся   в   удаленных   устройствах   памяти;  передача информации при обмене между удаленными объектами. Обеспечить   безопасность   информационных   ресурсов   можно   за   счет использования   метода   криптографического   преобразования   информации, применение   которого   заключается   в   том,   что   составные   части информационного   ресурса   трансформируется   в   цифровой   буквенный   вид благодаря применению специальных алгоритмов ­ ключей. Ключи по своему характеру являются   трансформирующейся   частью   криптографической системы, которая должна хранится в тайне и определяет, какое шифрующее преобразование из возможных, выполняется в данном случае. Для   воплощения   процедуры   шифрования   в   жизнь   необходимо использовать   определенного   рода   алгоритм   или   устройство,   который реализует заданный алгоритм. В некоторых случаях применяемый алгоритм может   быть   известен   широкому   кругу   лиц.   Для   управления   процессом шифрования   применяется   периодически   меняющееся   система   кодировки ключа,   благодаря   которой   обеспечивается   каждый   раз   оригинальное представление информационного ресурса в случае применения одного и того же алгоритма или устройства. В случае применения известного алгоритма или ключа можно относительно быстро, просто и надежно провести работу по расшифровке   текста.   Без   знания   применяемого   алгоритма   или   ключа   эта работа  может  стать  практически  затруднительной  даже  при  использовании компьютера. Для   применения   того   или   иного   метода   криптографического преобразования   информационного   ресурса,   необходимо   соответствовать следующим требованиям: применяемый   метод   криптографического   преобразования информационного   ресурса   должен   обладать   достаточным   уровнем устойчивости к предпринимаемым попыткам раскрытия исходного текста с помощью использования зашифрованного;  процедура смены ключа не должна быть достаточно сложной и сменяемый ключ не должен быть достаточно сложным для запоминания; затраты   на   защитные   преобразования   следует   сделать приемлемыми при заданном уровне сохранности информации;    наличие ошибки в проведенной процедуре шифрования не должно быть причиной потери информации;  размеры зашифрованного текста не должны превышать размеры исходного текста. Применяемые   методы   шифрования   информационного   ресурса подразделяют на четыре основные группы:  перестановка;  замена или подстановка;  аддитивный метод;  комбинированный метод.     В   случае   применения   метода перестановки   и   замены   а   надежность   защиты (подстановки) формируется   короткий   ключ, заключается в степени сложности применяемого алгоритма преобразования. Аддитивные методы шифрования информационного ресурса характеризуются применением   простых   алгоритмов   и   длинными   ключами. Комбинированные методы   шифрования   информационного   ресурса относятся   к   классу   более надежных.   В   комбинированных   методах   шифрования   информационного ресурса сочетаются достоинства используемых компонентов. Описанные   четыре   метода   криптографического   преобразования информационных ресурсов относятся к методам симметричного шифрования. Основным правилом в данном случае будет являться следующее ­ один ключ используется и для шифрования, и для дешифрования. К   числу   основных   методов   криптографического   преобразования информационных   ресурсов   относятся   методы   перестановки   и   замены.   В качестве  фундаментальной  основы метода перестановки является  разбиение исходного   текста   на   блоки,   а   затем   в   записи   этих   блоков   и   чтении шифрованного текста по разным путям геометрической фигуры.   Применение как метод замены, характеризуется заменой символов исходного текста (блока), записанный   в   одном   алфавите,   символами   другого   алфавита   в   строгом соответствии с используемым ключом преобразования. шифрования, такого   метода     Сочетание   методов   шифрования   информационного   ресурса   может привести к формированию метода производного шифра, который по своему характеру   обладает   сильными   криптографическими   возможностями. Алгоритм   метода   производного   шифра   рассчитан   на   применение   как   с аппаратной   точки   зрения,   так   и   с   программной   точки   зрения,   однако реализация данного метода происходит при помощи электронных устройств специального   назначения,   что,   по   сути,   является   ступенью   на   пути достижения высокого уровня производительности и упрощенной организации обработки   информационного   ресурса.   Например,   в   тех   странах   Запада,   в которых   ведется   промышленное   производство   аппаратуры   для криптографического   шифрования   информационных   ресурсов,   имеется возможность   резкого   увеличения   уровня   безопасности   коммерческих информационных   ресурсов   во   время   хранении   и   электронного   обмена   в компьютерных системах. 2.7 Научно­методологический базис мер по обеспечению  безопасности информации  Научно­методологический   базис   мер   по   обеспечению   безопасности информационных ресурсов представляет собой сочетание трех иерархически взаимосвязанных компонентов следующего содержания: первый   (верхний)   уровень   —   общеметодологические   принципы формирования любой науки, обобщенные до уровня мировоззренческих основ; второй (средний) уровень — общая методологическая база того фундаментального   направления,   составной   ветвью   которого   является рассматриваемая;  третий (низший) уровень — методы решения задач, учитывающие специфику конкретного направления. Общеметодологические   принципы   формирования   науки   представлены       следующим перечнем: строгое   следование   главной   задаче   науки   —   выявлению   за внешними   проявлениями   внутренних   движений,   которые,   как   правило,   — скрыты;   упреждающая разработка общих концепций решения проблем; формирование   концепций   на   основе   реальных   фактов,   а   не   на основе абстрактных умозаключений; учет   диалектики   взаимосвязей   количественных   и   качественных изменений в изучаемом фрагменте действительности; своевременное видоизменение постановок изучаемых задач; радикальная эволюция в реализации разработанных концепций; максимально   возможная   структуризация   компонентов разработанных концепций и систем; унификация и типизация предлагаемых решений.  Формирование   структуры   и   содержания   второго   уровня   научно­ методологического   базиса   мер   по   обеспечению   безопасности информационных   ресурсов   происходит   за   счет   наличия   той   посылки,   что процедура   обеспечения   безопасности   информации   выросла   в   достаточно серьезное   и   относительно   самостоятельное   научное   направление,   которое составляет   одну   из   ветвей   фундаментального   научного   направления информатики.   Таким   образом,   на   данном   уровне   мер   по   обеспечению безопасности информации выступает методологическая база информатики. Составляющими третьего уровня научно­методологического базиса мер по обеспечению безопасности информационных ресурсов являются методы и модели   непосредственного   решения   задач.   Известным   фактом   из   теории систем является следующее ­ все задачи, связанные с изучением, созданием, организацией   и   функционированием   больших   систем,   разделены   на   три класса:  Анализ,   состоящий   в   определении   текущих   и   прогнозировании будущих   значений,   представляющих   интерес   характеристик   изучаемых систем;  Синтез, состоящий в проектирование систем и их компонентов, оптимальных по заданной совокупности критериев;  Управление, состоящее в определении оптимальных управляющих воздействий,   необходимость   в   которых   может   возникнуть   в   процессе функционирования систем.