Захист інформації в автоматизованих інформаційних системах

date image 2017-11-30
views image 1703
Поделись с друзьями: 
123

Кожному громадянину України забезпечується вільний доступ до інформації, яка стосується його особисто, крім випадків, передбачених законами України.

Порядок доступу до інформації, перелік користувачів та їх повноваження стосовно цієї інформації визначаються власником інформації.

Порядок доступу до інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, перелік користувачів та їх повноваження стосовно цієї інформації визначаються законодавством.

У випадках, передбачених законом, доступ до інформації в системі може здійснюватися без дозволу її власника в порядку, встановленому законом.

Несанкціоноване проникнення до інформаційних ресурсів є одним з найпоширеніших і найнебезпечніших злочинів в сучасному інформаційному суспільстві. Метою його може бути:

- знищення, зміна або викрадення інформаційних масивів;

- зламання системи захисту;

- обмеження доступу до інформації законних користувачів;

- спотворення обміну в телекомунікаційних мережах тощо.

Тому як держава, так і окремі підприємства чи організації, виділяють значні кошти на забезпечення належного захисту відповідних інформаційних систем.

Інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації з підтвердженою відповідністю. Підтвердження відповідності здійснюється за результатами державної експертизи в порядку, встановленому законодавством.

Для створення комплексної системи захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом, використовуються засоби захисту інформації, які мають сертифікат відповідності або позитивний експертний висновок за результатами державної експертизи у сфері технічного та/або криптографічного захисту інформації. Підтвердження відповідності та проведення державної експертизи цих засобів здійснюються в порядку, встановленому законодавством.

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи.

Державні органи в межах своїх повноважень за погодженням відповідно із спеціально уповноваженим центральним органом виконавчої влади з питань організації спеціального зв'язку та захисту інформації або підпорядкованим йому регіональним органом встановлюють особливості захисту інформації, яка є власністю держави, або інформації з обмеженим доступом, вимога щодо захисту якої встановлена законом.

Особливості захисту інформації в системах, які забезпечують банківську діяльність, встановлюються Національним банком України.

Відкрита інформація під час обробки в системі повинна зберігати цілісність, що забезпечується шляхом захисту від несанкціонованих дій, які можуть призвести до її випадкової або умисної модифікації чи знищення.

Усім користувачам повинен бути забезпечений доступ до ознайомлення з відкритою інформацією. Модифікувати або знищувати відкриту інформацію можуть лише ідентифіковані та автентифіковані користувачі, яким надано відповідні повноваження.

Ідентифікація – процедура розпізнавання користувача в системі як правило за допомогою наперед визначеного імені (ідентифікатора) або іншої апріорної інформації про нього, яка сприймається системою.

Автентифікація – процедура встановлення належності користувачеві інформації в системі пред'явленого ним ідентифікатора;

Спроби модифікації чи знищення відкритої інформації користувачами, які не мають на це повноважень, неідентифікованими користувачами або користувачами з не підтвердженою під час автентифікації відповідністю пред'явленого ідентифікатора повинні блокуватися.

Під час обробки конфіденційної і таємної інформації повинен забезпечуватися її захист від несанкціонованого та неконтрольованого ознайомлення, модифікації, знищення, копіювання, поширення.

Однією з найбільших загроз для цілісності інформації є комп’ютерні віруси (т.зв. шкідливі програми).

Комп’ютерні віруси – це програми-паразити, які створюються для того, щоб перешкодити нормальній роботі комп’ютера чи зіпсувати наявну в ньому інформацію. Їх головною особливістю є здатність створювати свої копії і поширювати їх без відома користувача (виконується стеження за користувачем, крадіжка паролів, даних, знищення даних тощо). Зараження програми здійснюється шляхом під'єднання вірусу до програми під час її роботи. Дія вірусів залежить від тривалості зараження і типу вірусу.

В наш час найбільше випадків зараження вірусом пов’язані з роботою в Інтернеті. Найнебезпечніші точки віртуального простору – це безплатні порносайти, а також сайти, де можна отримати генератори паролів чи інші засоби для ламання програм.

Дуже велику небезпеку представляють листи, отримані через Інтернет, зокрема від невідомих людей. Вірус “I love you”, який наробив величезної шкоди в 2000 році, висилався мережею як додаток до електронного листа.

Іншим прикладом є додаток такого виду «звіт.doc.exe». Проблема полягає в тому, що багато поштових програм обрізують довгі імена, внаслідок чого реальне розширення виконуваного файлу просто непомітне. Також можуть змінити значок цього файлу для більшої правдоподібності. Тому дуже важливо не завантажувати у Word чи Excel додатки до електронних листів, не перевіривши їх.

Не можна також вірити повідомленням фіктивних провайдерів про те, що ваш пароль випадково знищений і ви повинні допомогти у його відновленні. У таких випадках справжній провайдер сам згенерує вам новий пароль і повідомить про це.

Потрібно періодично проводити повну перевірку диска. При цьому не варто покладатися лише на одну програму (використовувати інший антивірус).

Завжди включати у властивостях папки відображення розширення файлів.

Для зменшення спаму не використовувати для реєстрації на сайтах службову адресу пошти (використовувати ящик, розміщений на іншому ресурсі).

Можна виділити такі типи комп’ютерних вірусів.

Черви (Worms) – дана категорія шкідливих програм для розповсюдження використовує уразливості в мережному захисті. Назва цього класу була дана виходячи із здатності черв'яків "переповзати" з комп'ютера на комп'ютер, використовуючи мережі, електронну пошту та інші інформаційні канали.

Черви проникають на комп'ютер, обчислюють мережні адреси інших комп'ютерів і розсилають за цими адресами свої копії. Черви також є своєрідним підготовчим етапом для проникнення на комп'ютер інших шкідливих програм. Так, черв'як може створити ряд вразливостей, використовуючи які, на комп'ютер проникають троянські програми.

Троянські програми (Trojans) – програми, які в залежності від умов, знищують інформацію на дисках, приводять систему до "зависання", крадуть конфіденційну інформацію тощо. Даний клас шкідливих програм не є вірусом в традиційному розумінні цього терміну (тобто не заражає інші програми або дані); троянські програми не здатні самостійно проникати на комп'ютери і розповсюджуються зловмисниками під виглядом "корисного" програмного забезпечення.

Віруси (Viruses) – програми, які заражають інші програми – додають в них свій код, щоб при запуску зараженого файлу одержати можливість виконання несанкціонованих дій.

Деякі шкідливі програми суміщають в собі характеристики двох або навіть трьох з перерахованих вище класів.

Також широкого поширення набули такі потенційно небезпечні програми:

Програми-реклами (AdWare) – програмний код, без відома користувача включений в програмне забезпечення з метою демонстрації рекламних оголошень. Як правило, програми-реклами вбудовані в програмне забезпечення, що розповсюджується безкоштовно. Реклама розташовується в робочому інтерфейсі. Часто ці програми збирають і переправляють своєму розробнику персональну інформацію про користувача, змінюють різні параметри браузера (стартові і пошукові сторінки, рівні безпеки тощо).

Потенційно небезпечні програми (RiskWare) – програмне забезпечення, яке не має будь-якої шкідливої функції, але може бути використана зловмисниками як допоміжні компоненти шкідливої програми, оскільки містить прогалини і помилки. У цю категорію потрапляють, наприклад, програми віддаленого адміністрування, IRC-клієнти, FTP-сервери, усілякі утиліти для зупинки процесів або приховування їх роботи.

Програми-шпигуни (SpyWare) – програмне забезпечення, метою якого є несанкціонований доступ до даних користувача, відстеження дій на комп'ютері, збір інформації про зміст жорсткого диска. Вони дозволяють зловмиснику не тільки збирати інформацію, а й контролювати чужий комп'ютер. Програми-шпигуни, як правило, поширюються разом з безкоштовним програмним забезпеченням і встановлюються на комп'ютер непомітно для користувача. До таких належать клавіатурні шпигуни, програми злому паролів, програми збору коніденціальной інформації (наприклад, номерів кредитних карт).

Програми автодозвону (PornWare) – програми, які здійснюють модемне з'єднання з різними платними інтернет-ресурсами, як правило, порнографічного змісту.

Утиліти хакерів (Hack Tools) – програмне забезпечення, яке використовується зловмисниками у власних цілях для проникнення на ваш комп'ютер. До них відносяться різні нелегальні сканери вразливостей, програми для злому паролів, інші види програм для злому мережевих ресурсів або проникнення в атакується систему.

Є два способи перевірки наявності вірусів:

1. Файл, що перевіряється, звіряється з даними існуючої бази відомих вірусів, і при виявленні співпадіння його хоч би за однією ознакою з вірусом з бази антивірусна програма робить висновок, що файл інфікований.

Недолік: бази вимагають своєчасного оновлення, так як щодня з'являється приблизно 15-20 нових вірусів.

2. Евристичний метод аналізує поведінку файлів і порівнянює її із списком шаблонів вірусної активності. Це дозволяє виявити вірус навіть тоді, коли його немає в базі.

Недолік – відсутність 100% гарантій того, що виявлений файл є інфікований.

Рівень надійності інформаційної системи залежить від таких факторів:

- ступеня використання різних видів резервування (структурного, інформаційного, часового, алгоритмічного, функціонального);

- ступеня використання методів і засобів технічної діагностики;

- персоналу.

Захист від несанкціонованого доступу, забезпечення цілісності та доступності інформації повинен будуватися з використанням мережних екранів, функцій захисту ПЗ ІАС, мережних операційних систем.

Захист інформації повинен забезпечувати:

- контроль цілісності і працездатності системи захисту;

- забезпечення безпеки в аварійних ситуаціях;

- захист від можливих негативних наслідків у разі виявлення мережних атак, функціонування системи мережного захисту інформації;

- захист від ураження програмами-вірусами.

Для забезпечення захисту інформації в системі створюється комплексна система захисту інформації(КСЗІ), яка містить сукупність організаційних, інженерно-технічних заходів, засобів і методів технічного та криптографічного захисту інформації.

Виділяють такі етапи формування системи захисту інформації:

- реєстрація всіх ресурсів, які повинні бути захищені;

- аналіз можливих загроз для кожного ресурсу;

- оцінка ймовірності появи кожної загрози;

- вживання відповідних заходів.

Серед найважливіших ресурсів, на які необхідно звернути увагу при організації захисту інформаційних систем, можна назвати такі: апаратне забезпечення (сервери, канали і засоби зв’язку, робочі станції), програмне забезпечення (операційні системи, прикладні програми, бази даних), персонал (автентифікація користувачів), документація.

Усі засоби захисту інформації призначені звести до мінімуму можливість пошкодження або розкрадання інформації та забезпечити можливість відновлення інформації з мінімальними витратами.

Серед засобів захисту інформації можна назвати юридичні, організаційні, технічні, програмні та технологічні.

Юридичні засоби захисту це відповідне державне законодавство, яке передбачає відповідальність за зберігання інформації, посягання на інтелектуальну власність.

У більшості країн світу в карному або адміністративному кодексі законів є окремі статті, що передбачають різні міри відповідальності за знищення, розкрадання інформації або за незабезпечення відповідним чином її зберігання.

Організаційні засоби це різні заходи, які мають звести до мінімуму випадкове знищення або розкрадання інформації. Наприклад, для того щоб сторонні особи не мали доступу до інформації, використовуються спеціальні приміщення з охоронною сигналізацією, на зміну до ЕОМ виходять щонайменше по два оператори тощо.

За рівнем повноважень відповідно до характеру та складу робіт, які виконуються в процесі функціонування ІАС, особи, що мають доступ до системи, повинні поділятися на наступні категорії: адміністратори безпеки, системні адміністратори, авторизовані користувачі.

Адміністратор безпеки є відповідальним за дотримання політики безпеки інформації в системі. В його обов’язки входить:

- попередження неавторизованого доступу до даних, програмного забезпечення, інших ресурсів АС, керування механізмами захисту;

- надання атрибутів доступу користувачам;

- періодичний аналіз журналу реєстрації подій для своєчасного виявлення та блокування дій, що можуть кваліфікуватися як спроби несанкціонованого доступу;

- конфігурація та періодична перевірка працездатності засобів захисту інформації, ведення обліку критичних з точки зору безпеки подій і підготовку звітів щодо цього;

- конфігурація функцій захисту інформації для активного мережевого обладнання та серверів;

- контроль за проведенням змін у програмному забезпеченні серверів, активного мережного обладнання.

Для реєстрації користувачів, керування їх повноваженнями та перегляд системних журналів повинно бути передбачено окреме АРМ адміністратора безпеки.

Адміністратор безпеки повинен періодично контролювати журнал реєстрації для своєчасного виявлення та блокування дій, що можуть кваліфікуватися як спроби несанкціонованого доступу.

Адміністратор безпеки здійснює адміністрування комплексу засобів захисту, фіксування випадків порушення його цілісності та відновлювання нормальної роботи системи після критичних випадків, перегляд захищеного журналу, самотестування тощо.

Системний адміністратор здійснює керування програмними та апаратними засобами, які відповідають за коректне функціонування системи та має необмежені можливості щодо налаштування цих засобів. В його обов’язки входить:

- управління і контроль функціонування ОС серверів і робочих станцій;

- контроль функціонування ОС мережного обладнання;

- управління і контроль функціонування СКБД;

- забезпечення функціонування механізмів резервного копіювання і відновлення даних;

- контроль та підтримка функціонування апаратної частини серверів і робочих станцій;

- контроль та підтримка функціонування ліній зв’язку;

- попередження поширення комп’ютерних вірусів, інших шкідливих програм в межах АС.

Контроль за діями системних адміністраторів здійснює адміністратор безпеки.

У системі здійснюється обов'язкова реєстрація:

- результатів ідентифікації та автентифікації користувачів;

- результатів виконання користувачем операцій з обробки інформації;

- спроб несанкціонованих дій з інформацією;

- фактів надання та позбавлення користувачів права доступу до інформації та її обробки;

- результатів перевірки цілісності засобів захисту інформації.

Комплекс засобів захисту повинен забезпечувати виконання таких функцій:

- реєстрація користувача (адміністратора);

- ідентифікація та автентифікація користувача (адміністратора);

- блокування входу в систему при вводі неправильного пароля;

- забезпечення можливості виконання різними адміністраторами своїх функцій відповідно до наданих повноважень (розмежування обов’язків);

- забезпечення недоступності для користувачів функцій адміністрування;

- ведення протоколів аудиту;

- забезпечення можливості перегляду та аналізу адміністратором безпеки інформації та адміністратором баз даних зафіксованих подій.

Реєстрація здійснюється автоматичним способом, а реєстраційні дані захищаються від модифікації та знищення користувачами, які не мають повноважень адміністратора безпеки.

Ідентифікація та автентифікація користувачів, надання та позбавлення їх права доступу до інформації та її обробки, контроль за цілісністю засобів захисту в системі здійснюється автоматизованим способом.

У системі здійснюється контроль за цілісністю програмного та технічного забезпечення, яке використовується для обробки інформації, запобігання несанкціонованій його модифікації та ліквідація наслідків такої модифікації.

У разі порушення їх цілісності обробка інформації в системі припиняється.

Відповідальність за забезпечення захисту інформації в системі, своєчасне розроблення необхідних для цього заходів та створення системи захисту покладається на керівника (заступника керівника) організації, яка є власником (розпорядником) системи, та керівників її структурних підрозділів, що забезпечують створення та експлуатацію системи.

У разі коли обсяг робіт, пов'язаних із захистом інформації в системі, є незначний, захист інформації може здійснюватися однією особою.

Повинен бути розроблений порядок доступу обслуговуючого персоналу до службових приміщень, де розташовані активне комутаційне обладнання та сервери.

Факти отримання персоналом доступу до вказаних приміщень та документації повинні фіксуватись.

Авторизовані користувачімають змогу ознайомлюватись і актуалізовувати інформацію відповідно до наданих їм повноважень.

Оскільки основною слабкою ланкою є користувач, то необхідно обмежити в правах звичайного користувача (позбавити прав адміністратора на установку і видалення програм), обмежити доступ до ресурсів Інтернету які не пов'язані із службовою діяльністю.

Технічний захист інформації – вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.

Технічні засоби це спеціальне обладнання, яке призначене для захисту інформації або організації доступу до системи. Наприклад, для зберігання інформації під час вимкнення електричного струму можна застосувати спеціальні блоки безперебійного живлення, а для резервного копіювання – RAID-масиви.

Апаратне забезпечення ІАС повинно комплектуватися необхідними засобами електроживлення (у тому числі пристроями безперебійного живлення, агрегатами автономного живлення тощо), охоронної сигналізації, пожежної сигналізації, зв’язку (стаціонарні телефонні лінії, стільниковий зв’язок тощо), допоміжними технічними засобами, іншими системами життєзабезпечення.

Для захисту інформації від сторонніх осіб можна використовувати ключі блокування клавіатури, спеціальні картки для ідентифікації користувача, біометричні засоби (розпізнавання за відбитками пальців чи малюнком сітківки ока), електронні ключі.

Електронний ключ – це невеликий пристрій, що підключається до ПК через один із можливих інтерфейсів. Такий пристрій складається з допоміжної електроніки та двох основних блоків – логіки та пам'яті. Блок логіки генерує значення деякої функції, що зв'язує вхідні сигнали з вихідними. Програма через спеціальний код посилає в ключ деяке число та перевіряє значення відповіді. Якщо це значення відповідає тому, що запрограмоване, то програма продовжує працювати, якщо ж ні – то програма або не працює взагалі, або переходить в режим демоверсії.

Програмні засоби – це застосування на програмному рівні окремих механізмів обмеження доступу до системи або зберігання інформації. Серед програмних засобів найвідомішими є застосування паролів для входу в систему та методів криптографії для шифрованого зберігання інформації.

Застосування методів криптографії, як правило,виділяє окремі операцій для шифрування та розшифрування інформації. Для операції шифрування (розшифрування) складається окрема інструкція, де описуються правила та умови виконання операції. Є випадки, коли алгоритми шифрування застосовуються в звичайних програмах обробки інформації, тоді процедури шифрування будуть для користувача непомітні.

Статистика показує, що на комп’ютері середньої потужності, щоб шляхом підбору «зламати» пароль довжиною 4 знаки, потрібно 17 секунд, 5 знаків – більше 10 хвилин, а 8 знаків – приблизно 11місяців.

При виборі паролів варто дотримуватись таких рекомендацій:

- довжина пароля – не менше 10-и символів;

- використовувати як символи нижнього, так верхнього регістрів, пропуск, службові символи і цифри:

- уникати слів, що мають змістовне значення або містять особисту інформацію власника (дата народження, імена рідних тощо).

Програмне забезпечення повинне бути придбане та встановлене без порушення авторських та суміжних прав.

З метою запобіганню зараженню вірусами чи проникненню зловмисника із зовнішньої мережі в системах встановлюють спеціальні програмно-апаратні комплекси – брандмауери або фаєрволи, які здійснюють фільтрування всієї інформації, що проходить через них.

Технологічні засоби – це спеціально розроблені технології внесення змін до інформаційних масивів, зберігання страхових копій для відновлення інформації та спеціальні технологічні операції, які пов'язані з іншими засобами захисту інформації.

Зберігання страхових копій (йому передує технологічна операція страхового копіювання) дає змогу в разі втрати інформації або її пошкодження відновити її на основі страхових копій, що зберігаються окремо в таких, що охороняються, приміщеннях або спеціальних сейфах чи шафах. Відсутність страхових копій може призвести до повної неможливості відновити інформацію або до великих витрат праці для такого відновлення.

Контроль доступу до системи може бути здійснений за допомогою спеціальних програм стеження за роботою інформаційних систем, які передбачають друк та аналіз спеціальних журналів і відомостей. Ці операції виконують спеціалісти, які супроводжують систему.

Підозрілі дії користувачів:

– вхід користувача в систему в незвичний час (до початку чи після робочого дня);

– користувач багаторазово входить у систему на короткий час і виходить (намагання зібрати інформацію для несанкціонованого вторгнення);

– користувач неправильно набирає пароль декілька раз підряд (намагання підібрати пароль).

У США 45% несанкціонованих доступів до комп’ютерної інформації здійснюють співробітники фірми чи інші особи, що мають доступ до комп’ютера.

Якщо зловмисники мають можливість доступу до системного блоку, вони можуть, змінивши розташування перемикачів на системній платі чи вийнявши батарейку живлення, просто відмінити пароль.

У зв’язку з тим, що ноутбук можна легко викрасти, велику увагу треба приділяти захисту інформації, що знаходиться в ньому. В сучасних моделях крім паролю, передбачено ще й функцію розпізнавання відбитків пальців власника.

Політикою безпеки інформації на підприємстві повинні займатись в першу чергу керівники всіх рівнів, а також відділи інформаційної безпеки та системні адміністратори.

Політика безпеки інформації – це сукупність законів, правил, обмежень, рекомендацій, інструкцій тощо, які регламентують по­рядок накопичення, обробки, зберігання інформації. Політика безпеки інформації розробляється на підготовчому етапі створення КСЗІ.

Організація захисту інформації на всіх етапах життєвого циклу АІС здійснюється згідно з планом захисту інформації в АІС.

План захисту інформації в системі містить:

– завдання захисту, класифікацію інформації, яка обробляється в системі, опис технології обробки інформації;

– визначення моделі загроз для інформації в системі;

– основні вимоги щодо захисту інформації та правила доступу до неї в системі;

– перелік документів, згідно з якими здійснюється захист інформації в системі;

– перелік і строки виконання робіт службою захисту інформації.

На підставі Плану захисту складається календарний план робіт із захисту інформації в АІС.

Термін “політика безпеки” може бути застосовано щодо АІС в цілому, окремого її компонента, послуги захисту, що реалізу­ється системою тощо. Політика безпеки інформації в АІС є час­тиною загальної політики безпеки і має успадко­вувати основні її принципи.

Вимоги та порядок створення системи захисту встановлюються Департаментом спеціальних телекомунікаційних систем та захисту інформації СБУ.

Вимоги до захисту інформації кожної окремої системи встановлюються технічним завданням на створення системи або системи захисту.

У складі системи захисту повинні використовуватися засоби захисту інформації з підтвердженою відповідністю.

Якщо для створення системи захисту необхідно провести роботи з криптографічного захисту інформації, виконавець повинен мати ліцензії на провадження виду робіт у сфері криптографічного захисту інформації або залучати співвиконавців, що мають відповідні ліцензії.

Окремий аспект в питанні захисту інформації представляє проблема захисту інтелектуальної власності.

Існує Всесвітня організація інтелектуальної власності, яка здійснює міжнародну координацію діяльності у сфері охорони прав інтелектуальної власності.

Одним із засобів охорони прав власності є використання таких юридичних документів як патент і ліцензія. Патент видається власнику державними органами і засвідчує його виключне право на використання винаходу. Ліцензія надається власником патенту іншій юридичній чи фізичній особі як право на виготовлення чи використання запатентованого виробу або технології протягом певного часу чи на обмеженій території.

Ноу-хау – це незапатентовані корисні знання, досвід чи методології виробництва. Ноу-хау, як правило, зберігається як комерційна таємниця.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

123

double arrow
Сейчас читают про:
article image
ВИДЫ ОРУЖИЯ МАССОВОГО ПОРАЖЕНИЯ И ПОСЛЕДСТВИЯ ЕГО ПРИМЕНЕНИЯ
article image
Методика обучения ребенка строевым упражнениям
article image
Средства ЛФК. Классификация физических упражнений в ЛФК и их характеристика
article image
Пара сил. Момент пары сил. Теоремы о парах
article image
Правила хранения, приготовления и использования дезинфицирующих средств
article image
Правила транспортировки биологического материала в лабораторию
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Критика может быть неприятной, но она необходима. Критика выполняет ту же функцию, что и боль в человеческом теле. Она привлекает внимание к нездоровому состоянию дел. © Черчилль ==> читать все изречения...
like icon 6991
like icon 6801
Понравился сайт? Поделись им с друзьями: