При построении системы защиты информации сложились два подхода: фрагментарный и комплексный. В первом случае мероприятия по защите направляются на противодействие вполне определенным угрозам при строго определенных условиях, например, обязательная проверка носителей антивирусными программами, применение криптографических систем шифрования и т.д. При комплексном подходе различные меры противодействия угрозам объединяются, формируя так называемую архитектуру безопасности систем.
Ныне существует достаточно много возможных направлений утечки информации и путей несанкционированного доступа к ней в системах и сетях:
· перехват электронных излучений;
· принудительно электромагнитное облучение линий связи;
· применение "подслушивающих" устройств;
· дистанционное фотографирование;
· перехват акустических волновых излучений;
· хищение носителей информации и производственных отходов систем обработки данных;
· считывание информации из массивов других пользователей;
· чтение остаточной информации в аппаратных средствах;
· копирование файлов информации с преодолением мер защиты;
· модификация программного обеспечения;
· использование недостатков ОС и прикладных программ;
· незаконное подключение к аппаратуре и линиям связи;
· злоумышленный вывод из строя механизмов защиты;
· маскировка под зарегистрированного пользователя и присвоение себе его полномочий;
· введение новых пользователей;
· внедрение компьютерных вирусов.
Надежная система защиты не должна допускать, чтобы:
q злоумышленник мог снять с себя ответственность за формирование ложной или разрушающей информации;
q были отказы от фактов получения информации, которая фактически была получена, но в другое время;
q подтверждались утверждения о посылке кому-то информации, которая на самом деле не посылалась;
q в передаваемой информации содержалась вредоносная информация;
q в число пользователей попадали без регистрации новые лица или чтобы не удалялись и не модифицировались действующие лица;
q отдельные пользователи незаконно расширяли свои полномочия по доступу к информации и процессам ее обработки;
q создавались помехи обмену сообщениями между пользователями с целью нарушения и искажения передаваемой информации.
Учитывая сложность решения проблемы безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:
q анализ возможных угроз;
q разработка системы защиты;
q реализация системы защиты;
q сопровождение системы защиты.
Отметим что на конкретном объекте и в конкретной системе обработки данных из всего многообразия угроз и возможных воздействий следует в первую очередь выбрать наиболее
2.6. Комплексы защитных мер
Разработка системы информационной безопасности предусматривает использование различных комплексов мер и мероприятий организационно – административного, организационно-технического, программно-аппаратного, технологического, правового, морально-этического характера и др.
Организационно – административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам, к регламентации деятельности персонала и др. Их цель –затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организационно – административные меры:
Ø создание контрольно-пропускного режима на территории, где располагаются ЭВМ и другие средства обработки информации;
Ø изготовление и выдача специальных пропусков;
Ø допуск к обработке и передаче конфиденциальной информации только проверенных должностных лиц;
Ø хранение носителей информации, представляющих определенную тайну, в местах, недоступных для посторонних лиц;
Ø организация защиты от установки прослушивающей аппаратуры в помещениях, связанных с отработкой информации;
Ø организация учета использования и уничтожения носителей с конфиденциальной информацией;
Ø разработка должностных инструкций и правил по работе с компьютерными средствами и информационными массивами;
Ø разграничение доступа к информационным ресурсам.
Технические средства защиты призваны создать физически замкнутую среду вокруг объекта и элементов защиты. Для этого возможны такие мероприятия:
Ø установка средств физической преграды помещений, где ведется обработка информации (кодовые замки; охранная сигнализация – звуковая, световая, визуальная без записи и с записью на видеопленку);
Ø ограничение электромагнитного излучения путем экранирования помещений;
Ø электропитание оборудования от автономного источника питания или от общей электросети через сетевые фильтры;
Ø применение во избежание несанкционированного дистанционного съема информации жидкокристаллических или плазменных дисплеев; принтеров с низким электромагнитным и акустическим излучением;
Ø использование автономных средств защиты аппаратуры в виде кожухов, крышек, дверец, шторок с установкой средств контроля вскрытия аппаратуры.
Программные средства и методы защиты активнее и шире других применяются для защиты информации в ПК и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, пользователей; предотвращение возможных разрушительных воздействий на ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.
Технологические средства защиты информации – это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:
· создание архивных копий носителей;
· автоматическое сохранение файлов во внешней памяти компьютера;
· регистрация пользователей компьютерных средств в журналах;
· автоматическая регистрация доступа пользователей к ресурсам;
· разработка специальных инструкций по выполнению технологических процедур и др.
К правовым и морально-этическим мерам и средствам защиты относятся действующие в стране законы, нормативные акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.
Примером действующих законодательных актов в Российской Федерации, регламентирующих отношения в сфере информационного рынка, являются законы РФ "Об информации, информатизации и защите информации" от 20.02.1995 г. № 24-Ф3; "О правовой охране программ для ЭВМ и баз данных" № 5351-4 от 9.07.1993 в редакции Федерального закона от 19.07.95 № 110-ФЗ и др.; примером предписаний морально-этического характера – "Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США".
Закон РФ "Об информации, информатизации и защите информации" от 20.02.1995 г. создает условия для включения России в международный информационный обмен; предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Закон направлен на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения.
В Уголовном кодексе РФ имеется глава "преступления в сфере компьютерной информации". В ней содержатся три статьи: "Неправомерный доступ к компьютерной информации" (ст. 272), "Создание, использование и распространение вредоносных программ для ЭВМ" (ст. 273) и "Нарушение прав эксплуатации ЭВМ, систем ЭВМ или их сетей" (ст. 274).
В зависимости от серьезности последствий компьютерного злоупотребления к лицам, его совершившим, могу применяться различные меры наказания, вплоть до лишения свободы сроком до 5 лет.