2015-01-30
416
В современных ЭИС используются информационные технологии, обладающие следующими основными свойствами:
¾ содержат информацию различной степени конфиденциальности;
¾ при передаче данных имеют криптографическую защиту информации различной степени конфиденциальности;
¾ отражают иерархичность полномочий субъектов, открывают доступ к программам, к АРМ, файлам-серверам, каналам связи и информации системы; необходимость изменения этих полномочий;
¾ организует обработку информации в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени;
¾ обеспечивают управление потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;
¾ регистрируют и учитывают потоки несанкционированного доступа, события в системе и документах, выводимых на печать;
¾ обеспечивают целостность программного продукта и информации в ЭИС;
¾ устанавливают наличие средств восстановления системы защиты информации, а также обязательный учет магнитных носителей;
|
|
|
¾ создают условия для физической охраны средств вычислительной техники и магнитных носителей.
Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации ЭИС. Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии проводятся следующие действия:
¾ устанавливается наличие конфиденциальной информации в разрабатываемой ЭИС, оцениваются уровень конфиденциальности и объемы такой информации;
¾ определяются режимы обработки информации (диалоговый, телеобработки и реального времени), состав комплекса технических средств, общесистемные программные средства и т.д.
¾ анализируется возможность использования имеющихся на рынке сертификационных средств защиты информации;
¾ определяет степень участия персонала, функциональных служб, научных и вспомогательных работников объекта автоматизации в обработке информации, характер их взаимодействия между собой и со службой безопасности;
¾ вводятся мероприятия по обеспечению режима секретности на стадии разработки системы.
Среди охранных мероприятий по обеспечению безопасности информации важное место принадлежит охране объекта. При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к системе и линиям связи.
|
|
|
Функционирование системы защиты информации от несанкционированного доступа как комплекса программно-технических средств и организационных решений предусматривает:
¾ учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;
¾ ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);
¾ оперативный контроль за функционированием систем защиты секретной информации;
¾ контроль соответствия общесистемной программной среды талону;
¾ приемку новых программных средств;
¾ контроль за ходом технологического процесса обработки финансово-кредитной информации путем регистрации анализа действий пользователей.
Создание базовой системы защиты информации основываются на следующих принципах:
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных средств систем защиты.
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации без ее предварительной регистрации.
3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования.
4. Обеспечение надежности системы защиты, т. е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.
5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.
6. «Прозрачность» системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.
7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации.
Проблема создания системы защиты информации включает взаимодополняющие задачи:
o разработку системы защиты информации (ее синтез);
o оценку разработанной системы защиты информации.
Вторая задача решается путем анализа технических характеристик защиты информации с целью установления соответствия ее требованиям, предъявляемым к таким системам.
К методам обеспечения безопасности относятся:
Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).
Управление доступом – метод защиты информации с помощью регулирования использования всех ресурсов компьютерной информационной системы банковской деятельностью (элементов баз данных, программных и технических средств). Управление доступом включает следующее функции защиты:
– идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
– опознание (установление подлинности) объекта или субъекта по предъявленному ему идентификатору;
– проверку полномочий (соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);
|
|
|
– разрешение и создание условий работы в пределах установленного регламента;
– регистрацию (протоколирование) обращений к защищаемым ресурсам;
– реагирование (сигнализация, отключение, задержка работ, отказ в запросе) при попытке несанкционированных действий.
Массировка – метод защиты информации путем ее криптографического закрытия. При передаче информации по каналам большой протяженности данный метод является наиболее надежным.
Регламентация – метод защиты информации, создающий такие условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводилась бы к минимуму.
Побуждение – метод защиты, побуждающий пользователя и персонал системы не разрушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.
Принуждение- метод защиты, когда пользователи и персонал системы вынуждены соблюдать правила обработки и использования защищенной информации под угрозой материальной, административной или уголовной ответственности.
Рассмотренные методы реализуются на практике за счет применения различных средств защиты.
К основным средствам защиты относятся следующие.
Технические средства представляют электрические, электромеханические и электронные устройства. Вся совокупность указанных средств делится на аппаратные и физические.
Под аппаратными техническими средствами принято понимать устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с подобной аппаратурой по стандартному интерфейсу.
Физическими средствами являются автономные устройства и системы (замки на дверях, где размещена аппаратура, решетки на окнах, электронно-механическое оборудование охранной сигнализации и др.)
Программные средства – это программное обеспечение, специально предназначенное для выполнения функций защиты информации.
Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации вычислительной техники, аппаратуры телекоммуникаций.
|
|
|
Законодательные средства защиты определяются законодательными актами страны, регламентирующими правила пользования, обработки и передачи информации ограниченного доступа и устанавливающими меры ответственности за нарушение этих правил.
Для реализации мер безопасности используются различные механизмы шифрования (криптографии).
Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.
Наряду с шифрованием внедряются следующие механизмы безопасности:
o цифровая подпись;
o контроль доступа;
o обеспечение целостности данных;
o обеспечение аутентификации;
o управление маршрутизацией;
o арбитраж или освидетельствование.
При защите коммерческой информации, как правило, используются любые существующие средства и системы защиты данных от несанкционированного доступа, но в каждом случае следует реально оценивать важность защищаемой информации и ущерб, который может нанести ее утрата.
Защита информации может осуществляться разными методами, но наибольшей надежностью и эффективностью обладают системы и средства, построенные на базе криптографических методов.
