close

Вход

Забыли?

вход по аккаунту

?

237.Защита информации в коммерческих структурах

код для вставкиСкачать
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Министерство образования и науки Российской Федерации
Федеральное агентство по образованию
Ярославский государственный университет им. П.Г. Демидова
Кафедра экономического анализа и информатики
Защита информации
в коммерческих структурах
Методические указания
Рекомендовано
Научно-методическим советом университета
для студентов, обучающихся по специальностям
Бухгалтерский учет, анализ и аудит, Мировая экономика,
Финансы и кредит
Ярославль 2008
1
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
УДК 336.7(07)
ББК У 9(2)0–98я73
З 40
Рекомендовано
Редакционно-издательским советом университета
в качестве учебного издания. План 2008 года
Рецензент
кафедра экономического анализа и информатики
Ярославского государственного университета им. П.Г. Демидова
Составитель Т.Ф. Серебренникова
З 40
Защита информации в коммерческих структурах: метод. указания / сост. Т.Ф. Серебренникова; Яросл. гос. ун-т. – Ярославль:
ЯрГУ, 2008. – 40 с.
Методические указания окажут помощь студентам в овладении
теоретическими и практическими вопросами обеспечения безопасности информации в предпринимательской деятельности. Рассматриваются правовые аспекты защиты информации, источники и основные угрозы безопасности информации, основные способы ее
защиты. Работа рассчитана на студентов, обладающих достаточными знаниями по информатике, а также практическими навыками
работы на персональных компьютерах в операционной системе
Windows и ее приложениях.
Предназначены для студентов, обучающихся по специальностям
080109 Бухгалтерский учет, анализ и аудит, 080102 Мировая экономика, 080105 Финансы и кредит (дисциплина «Защита информации в коммерческих структурах», блок ЕН), очной, заочной и очно-заочной форм обучения.
УДК 336.7(07)
ББК У 9(2)0–98я73
© Ярославский государственный университет, 2008
2
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Понятие защиты информации
В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения
прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одной из главных составных частей экономической безопасности является информационная безопасность. Проблемы информационной безопасности становятся все
более сложными и практически значимыми в связи с массовым
переходом технологий управления на безбумажную автоматизированную основу. В Федеральном законе «Об информации, информационных технологиях и о защите информации»1 говорится
о том, что информационные ресурсы являются объектом собственности фирмы.
Система защиты информации фирмы – совокупность органов
защиты информации, используемых ими средств и методов защиты информации, ее носителей, а также мероприятий, проводимых
в этих целях.
К защите информации предъявляются определенные требования. Защита информации должна быть:
1) объектно-ориентированной – непрерывной. Это требование следует из того, что злоумышленники постоянно ищут возможность обойти защиту интересующей их информации;
2) надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка,
выражения и вида физического носителя, на котором они закреплены;
3) универсальной. В зависимости от вида канала утечки или
способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными
средствами, независимо от характера, формы и вида информации;
4) комплексной. Для защиты информации во всем её многообразии структурных элементов должны применяться все виды и
1
ФЗ № 149 от 27 июля 2006 г.
3
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
формы защиты в полном объеме. Недопустимо применять лишь
отдельные формы или технические средства;
5) плановой. Планирование осуществляется путем разработки
каждой службой детальных планов защиты информации в сфере
ее компетенции;
6) конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить
фирме определенный ущерб;
7) активной. Защищать информацию необходимо с достаточной степенью настойчивости.
Цели защиты
Основными целями защиты информации являются:
1. Предотвращение утечки, хищения, утраты, искажения,
подделки информации.
2. Предотвращение угроз безопасности личности, организации, обществу, государству.
3. Предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации.
4. Предотвращение других форм незаконного вмешательства
в информационные ресурсы и информационные системы, обеспечение правового режима документальной информации как объекта собственности.
5. Защита конституционных прав граждан на сохранение
личной тайны и конфиденциальности персональных данных,
имеющихся в информационных системах.
6. Обеспечение прав субъектов в информационных процессах
и при разработке, производстве и применении информационных
систем.
4
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Формирование режима
информационной безопасности
Формирование режима информационной безопасности –
проблема комплексная. Соотношение элементов и их содержания
обеспечивают индивидуальность построения системы защиты
информации конкретной коммерческой структуры. Система защиты информации имеет определенные виды собственного обеспечения, опираясь на которые она выполняет свою целевую
функцию.
В системе выделяют следующие элементы: правовой, организационный, инженерно-технический, программно-аппаратный
и криптографический.
Правовой (законодательный) элемент защиты информации
основывается на нормах информационного права. Он предполагает юридическое закрепление взаимоотношений фирмы и государства по вопросам правомерности использования систем защиты информации, фирмы и государства по поводу обязанности
персонала соблюдать установленные собственником информации
ограничительные и технологические меры защитного характера,
а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
• наличие в организационных документах фирмы, правилах
внутреннего трудового распорядка, контрактах, заключаемых с
сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников
фирмы положения о правовой ответственности за разглашение
конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о
добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Организационный элемент системы защиты информации
содержит меры управленческого, ограничительного (режимного)
и технологического характера, определяющие основы и содержа5
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ние системы защиты, побуждающие персонал соблюдать правила
защиты конфиденциальной информации фирмы. Элемент включает в себя регламентацию:
• формирования и организации деятельности службы безопасности и службы конфиденциальности информации (менеджера по безопасности или референта руководителя), обеспечения их
деятельности нормативно-методическими документами по организации защиты информации;
• составления и регулярного обновления перечня защищаемой информации фирмы;
• разрешительной системы разграничения доступа персонала
к защищаемой информации;
• методов отбора персонала для работы с защищаемой информацией;
• технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы;
• ведения всех видов аналитической работы;
• оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации;
• организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
• пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;
• система охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы.
Элемент организационной защиты является стержнем системы защиты информации. По мнению многих специалистов, меры
организационной защиты информации составляют 50 – 60% в
структуре большинства систем защиты информации. Это связано
с тем, что важной составной частью организационной защиты
информации является подбор, расстановка и обучение персонала,
который будет реализовывать на практике систему защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы
конфиденциальной информации фирмы.
6
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей
охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. Элемент включает в себя:
• сооружения физической защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы
и др.);
• средства защиты технических каналов утечки информации,
возникающих при работе ЭВМ, средств связи, копировальных
аппаратов, принтеров, факсов и других приборов и офисного
оборудования, при проведении совещаний, заседаний, беседах с
посетителями и сотрудниками и т.д.;
• средства противопожарной охраны;
• средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования,
информирования, идентификации и т.д.);
• средства обнаружения приборов и устройств технической
разведки (подслушивающих и передающих устройств, звукозаписывающей аппаратуры и т.п.).
Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах и различных информационных системах. Как правило, фрагменты этой защиты применяются в качестве сопутствующих средств в инженерно-технической и
организационной защите. Элемент включает в себя:
• автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
• программы защиты информации, работающие в комплексе
с программами обработки информации;
• программы защиты информации, работающие в комплексе
с техническими устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие
данные при несанкционированном входе в базу данных и т.д.).
7
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Криптографический элемент системы защиты информации
предназначен для защиты конфиденциальной информации методом криптографии. Элемент включает:
• регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
• регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
• регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
• регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.
Составные части криптографической защиты, коды, пароли и
другие ее атрибуты разрабатываются и меняются специализированной организацией.
Структура системы защиты, состав и содержание элементов,
их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Конкретная система защиты информации фирмы всегда является
строго конфиденциальной.
Классификация информационных ресурсов
по степени защиты
В соответствии с Федеральным законом2 информационные
ресурсы предприятия, организации, фирмы, банка и других государственных и негосударственных предпринимательских структур включают в себя отдельные документы и отдельные массивы
документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках
данных и др.) на любых носителях.
2
ФЗ «Об информации, информационных технологиях и защите информации»
8
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Документ может быть не только
управленческим, имеющим в большинстве случаев текстовую,
табличную форму или форму бланка. Значительные объемы ценных документов представлены в изобразительной форме: конструкторские документы, картографические, научно-технические,
документы на фотографических, магнитных, оптических, цифровых и иных носителях.
По принадлежности к тому или иному виду собственности
информационные ресурсы делятся на государственные и негосударственные.
Государственные информационные ресурсы РФ формируются в соответствии со сферами ведения как:
• федеральные информационные ресурсы;
• информационные ресурсы, находящиеся в совместном ведении РФ и субъектов РФ;
• информационные ресурсы субъектов РФ.
В соответствии с интересами обеспечения национальной
безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть:
• открытыми, то есть общедоступными, используемыми в
работе без специального разрешения, публикуемыми в средствах
массовой информации, оглашаемыми на конференциях, в выступлениях, интервью;
• ограниченного доступа и использования, то есть содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю.
Документированная информация ограниченного доступа по
условиям ее правового режима всегда принадлежит к одному из
видов тайны: государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные.
Обязательным признаком секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Сведения, составляющие го9
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
сударственную тайну3, установлены соответствующим перечнем,
который пересматривается не реже, чем раз в пять лет, а также
при изменении международной обстановки, появлении новых
достижений в области науки, техники и т.д. В соответствии с законом «О государственной тайне» сведениям, представляющим
ценность для государства, может быть присвоена одна из трех
возможных степеней (грифов) секретности: «секретно», «совершенно секретно» или «особой важности».
По степени секретности сведения подразделяются на три категории:
• сведения особой важности, разглашение которых нанесет
ущерб интересам РФ в одной или нескольких областях;
• совершенно секретные сведения, разглашение которых нанесет ущерб интересам одного ведомства или одной отрасли экономики;
• секретные, все остальные сведения, составляющие государственную тайну.
Составленные перечни секретных сведений доводятся до органов государственной власти, а также предприятий и организаций, имеющих дело с государственной тайной, но не целиком, а
только в части их касающейся. Срок неразглашения для государственной тайны – 30 лет. На документы, составляющие государственную тайну, ставится гриф «секретно».
Составление перечня сведений, отнесенных к какой-либо
тайне, и установление грифа ограничения является первым и основным элементом защиты документированной информации.
Законом «Об информации, информационных технологиях и
защите информации»4 гарантируется право собственника информации на ее использование и защиту от доступа к ней других лиц
(организаций). Если доступ к информации ограничивается, то такая информация является конфиденциальной.
Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель
документированной информации, содержащий сведения ограни3
Закон РФ «О государственной тайне» от 21.07.93 с изменениями и
дополнениями от 06.10.97.
4
ФЗ № 149 от 27 июля 2006 г
10
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица.
К конфиденциальной информации относятся:
• в государственных структурах – служебная информация
ограниченного распространения (информация для служебного
пользования), а также документы, имеющие рабочий характер и
не подлежащие публикации в открытой печати;
• в предпринимательских структурах – сведения, которые их
собственник или владелец в соответствии с законом имеет право
отнести к коммерческой (предпринимательской) тайне, тайне
фирмы, тайне мастерства;
• независимо от принадлежности – сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие
идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах
массовой информации в установленных ФЗ5 случаях.
Конфиденциальность документов имеет значительный разброс по срокам ограничения свободного доступа к ним сотрудников фирмы (от нескольких часов до нескольких лет). Основная
масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может
иметь гриф конфиденциальности, но после заключения контракта
этот гриф с письменного разрешения руководителя фирмы снимается.
Используется и другой подход к градации ценности конфиденциальной информации:
• «строго конфиденциально – строгий учет»;
• «строго конфиденциально»;
• «конфиденциально».
Как любой товар, информация имеет себестоимость, которая
определяется затратами на ее получение. Себестоимость зависит
от выбора путей получения информации и минимизации затрат
при добывании необходимых сведений выбранным путем. Ин5
ФЗ РФ от 27 июля 2006 года № 152-ФЗ «О персональных
данных».
11
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
формация добывается с целью получения прибыли или преимуществ перед конкурентами, противоборствующими сторонами.
Для этого информация:
• продается на рынке;
• внедряется в производство для получения новых технологий и товаров, приносящих прибыль;
• используется в научных исследованиях;
• позволяет принимать оптимальные решения в управлении.
Служебная тайна
Под служебной тайной понимается служебная информация в
государственных структурах, имеющая коммерческую ценность.
В отличие от коммерческой тайны защищаемая государством
конфиденциальная информация не ограничивается только коммерческой ценностью, поэтому служебная тайна является составной частью конфиденциальной информации. В государственных
структурах также может быть информация, имеющая политическую или иную ценность.
Носители информации, составляющие служебную тайну, могут иметь гриф ограничения доступа «Для служебного пользования» с указанием номера экземпляра документа, можно использовать также пометки «Лично», «Не для печати», «Не подлежит
оглашению», «Только адресату». Можно присваивать документам, содержащим служебную тайну, гриф «Конфиденциально».
На электронных документах указанные грифы проставляются на
сопроводительных документах (на всех листах).
Коммерческая тайна
Коммерческая тайна – несекретные сведения ограниченного
распространения, связанные с производством, технологией,
управлением, финансами и другой деятельностью коммерческих
организаций, разглашение, утечка и неправомерное обладание
которыми может нанести моральный и материальный ущерб его
12
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
владельцам. Таким образом, коммерческая тайна – тайна собственника на ценную предпринимательскую информацию6.
В качестве критерия важности конкретной информации используется количественный показатель величины наносимого
ущерба. Наиболее важной с точки зрения безопасности предприятия является информация, утечка которой угрожает структурной целостности предприятия или способствует перекрытию
каналов поступления материальных ресурсов.
Коммерческая тайна перечнем не определена, поскольку
она всегда разная применительно к различным предприятиям.
Порядок обращения к сведениям, относящимся к коммерческой
тайне, регулируется «Положением о сохранности коммерческой
тайны предприятия». Сроки действия коммерческой тайны определяются в каждом конкретном случае в виде определенной
даты или «бессрочно», или «до заключения контракта». Коммерческая тайна охраняется службой безопасности предприятия.
На документах, составляющих коммерческую тайну, обладатель документа имеет право проставлять в правом верхнем углу
документа гриф. Для обозначения ценности конфиденциальной
коммерческой информации используются три категории:
• «коммерческая тайна – строго конфиденциально»;
• «коммерческая тайна – конфиденциально»;
• «коммерческая тайна».
Такая пометка не является грифом секретности, а показывает, что право собственности на данную информацию охраняется
государством. На документах, передаваемых зарубежным партнерам, гриф «КТ» не ставится. На документах, содержащих
коммерческую тайну и передаваемых в органы государственной
власти, иные государственные органы и органы местного самоуправления, гриф «Коммерческая тайна» проставляется на носителях информации или сопроводительном документе обязательно.
С учетом ФЗ «О коммерческой тайне» руководитель фирмы
вне зависимости от форм собственности может устанавливать
6
ФЗ РФ от 29 июля 2004 года № 98-ФЗ «О коммерческой тайне».
13
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
специальные правила доступа к сведениям, оставляющим коммерческую тайну, и ее носителям, обеспечивая таким образом их
сохранность. Право и порядок защиты КТ должны быть закреплены в нормативных, уставных документах. Для создания правовых основ защиты информации внутри фирмы рекомендуется:
• внести следующее дополнение в устав: «Фирма имеет право: определять состав, объем и порядок защиты сведений, составляющих коммерческую тайну, требовать от сотрудников обеспечения ее сохранности. Фирма обязана: обеспечить сохранность
коммерческой тайны, а также информации, охраняемой патентными, лицензионными и авторскими правами»;
• разработать «Перечень сведений, составляющих коммерческую тайну фирмы и основные требования к сотрудникам по ее
защите»;
• разработать и предложить каждому сотруднику подписать
«Договор о сохранении коммерческой тайны и служебной информации».
Эти документы будут основой всех последующих шагов по
организации защиты информации.
Политика безопасности фирмы
Мероприятия по защите информации должны проводиться,
начиная с момента создания фирмы. Для определения основных
задач обеспечения безопасности информации целесообразно первоначально разработать политику безопасности.
Политика безопасности – это совокупность документов, содержащих цели и задачи обеспечения защиты информации, основные мероприятия, разграничение полномочий и ответственности. В зависимости от сформулированной политики можно выбирать конкретные механизмы, обеспечивающие безопасность
фирмы. Политика безопасности — это активный компонент защиты, включающий в себя анализ возможных угроз и выбор мер
противодействия. С практической точки зрения политику безопасности целесообразно разделить на три уровня.
14
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
1. К верхнему уровню относятся решения, затрагивающие
организацию в целом, они носят весьма общий характер и, как
правило, исходят от руководителя организации. На верхний уровень выносится управление защитными ресурсами, координация
использования этих ресурсов, выделение специального персонала
для защиты критически важных систем, поддержание контактов с
другими организациями.
2. К среднему уровню относятся вопросы, касающиеся отдельных аспектов информационной безопасности.
3. Политика безопасности нижнего уровня относится к конкретным сервисам. Есть много вещей, специфичных для отдельных сервисов, которые нельзя единым образом регламентировать
в рамках всей организации. В то же время они настолько важны
для обеспечения режима безопасности, что решения, относящиеся к ним, должны приниматься на управленческом, а не на техническом уровне.
Разработка документов, определяющих политику безопасности, с позиций законодательства РФ не является обязательной.
Тем не менее целесообразно ее разработать, так как она может
стать не только основополагающим документом, определяющим
основные направления работы, но и базовым нормативным документом внутреннего характера.
В странах Западной Европы ни одна вновь создаваемая организация не сможет пройти государственную регистрацию, если у
нее не будут подготовленными документы политики безопасности, ни одна страховая компания не застрахует фирму от неприятностей, связанных с информационной безопасностью.
В политике безопасности должны быть отражены:
1) правила, обязанности и ответственность сотрудников и руководителей по доступу и виды разрешений на доступ к конкретным материалам;
2) порядок доступа к сведениям, составляющим коммерческую тайну представителей заказчика;
3) порядок доступа к этим сведениям представителей государственных структур;
4) порядок посещения совещаний, конференций по закрытым
вопросам, регулирование публикаций;
15
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
5) рассылка носителей информации в другие предприятия и
обмен ими между подразделениями предприятия.
Угрозы безопасности информации
в компьютерных системах
Под угрозой безопасности информации понимается потенциально возможное событие, процесс или явление, которые могут
привести к уничтожению, утрате целостности, конфиденциальности или доступности информации.
Все множество потенциальных угроз безопасности информации в КС может быть разделено на два класса (рис. 1).
Угрозы безопасности информации в КС
Случайные угрозы
Преднамеренные угрозы
Стихийные бедствия
и аварии
Традиционный шпионаж
и диверсии
Сбои и отказы
технических средств
Несанкционированный доступ
к информации
Ошибки при разработке КС
Электромагнитные излучения
и наводки
Алгоритмические
и программные ошибки
Несанкционированная
модификация структур
Ошибки пользователей
и обслуживающего персонала
Вредительские программы
Рис. 1. Угрозы безопасности информации в компьютерных системах
16
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Случайные угрозы
Угрозы, которые не связаны с преднамеренными действиями
злоумышленников и реализуются в случайные моменты времени,
называют случайными, или непреднамеренными.
Реализация угроз этого класса приводит к наибольшим потерям информации (по статистическим данным – до 80% от ущерба, наносимого информационным ресурсам КС любыми угрозами). При этом могут происходить уничтожение, нарушение целостности и доступности информации. Реже нарушается
конфиденциальность информации, однако при этом создаются
предпосылки для злоумышленного воздействия на информацию.
Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями для КС, т.к. последние подвергаются
физическому разрушению, информация утрачивается или доступ
к ней становится невозможен.
Сбои и отказы сложных систем неизбежны. В результате
сбоев и отказов нарушается работоспособность технических
средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Нарушения алгоритмов работы отдельных узлов и устройств могут также привести к нарушению конфиденциальности информации. Например, сбои и отказы средств выдачи информации могут привести к
несанкционированному доступу к информации путем несанкционированной ее выдачи в канал связи, на печатающее устройство и
т. п.
Ошибки при разработке КС, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы КС. Особую опасность представляют ошибки в
операционных системах (ОС) и в программных средствах защиты
информации.
Согласно данным Национального Института Стандартов и
Технологий США (NIST) 65% случаев нарушения безопасности
информации происходит в результате ошибок пользователей и
обслуживающего персонала. Некомпетентное, небрежное или
невнимательное выполнение функциональных обязанностей со17
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
трудниками приводят к уничтожению, нарушению целостности и
конфиденциальности информации, а также компрометации механизмов защиты.
Преднамеренные угрозы
Второй класс угроз безопасности информации в КС составляют преднамеренно создаваемые угрозы. Угрозы этого класса в
соответствии с их физической сущностью и механизмами реализации могут быть распределены по пяти группам:
• традиционный или универсальный шпионаж и диверсии;
• несанкционированный доступ к информации;
• электромагнитные излучения и наводки;
• модификация структур КС;
• вредительские программы.
В качестве источников нежелательного воздействия на информационные ресурсы по-прежнему актуальны методы и средства шпионажа и диверсий. Чаще всего они используются для
получения сведений о системе защиты с целью проникновения в
КС, а также для хищения и уничтожения информационных ресурсов.
К методам шпионажа и диверсий относятся:
• подслушивание;
• визуальное наблюдение;
• хищение документов и машинных носителей информации;
• хищение программ и атрибутов системы защиты;
• подкуп и шантаж сотрудников;
• сбор и анализ отходов машинных носителей информации;
• поджоги;
• взрывы.
Термин «несанкционированный доступ к информации»
(НСДИ) определен как доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств
вычислительной техники или автоматизированных систем.
18
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или
процессов (субъектов доступа) к единицам информации (объектам доступа).
Право доступа к ресурсам КС определяется руководством
для каждого сотрудника в соответствии с его функциональными
обязанностями. Процессы инициируются в КС в интересах определенных лиц, поэтому и на них накладываются ограничения по
доступу к ресурсам.
Несанкционированный доступ к информации возможен только с использованием штатных аппаратных и программных
средств в следующих случаях:
• отсутствует система разграничения доступа;
• сбой или отказ в КС;
• ошибочные действия пользователей или обслуживающего персонала компьютерных систем;
• ошибки в системе разграничения доступа;
• фальсификация полномочий.
Одним из основных источников угроз безопасности информации в КС является использование специальных программ, получивших общее название «вредительские программы».
В зависимости от механизма действия вредительские программы делятся на четыре класса:
• «логические бомбы»;
• «черви»;
• «троянские кони»;
• «компьютерные вирусы».
«Логические бомбы» – это программы или их части, постоянно находящиеся в ЭВМ или вычислительных системах (ВС) и
выполняемые только при соблюдении определенных условий.
Примерами таких условий могут быть: наступление заданной даты, переход КС в определенный режим работы, наступление некоторых событий установленное число раз и т.п.
«Червями» называются программы, которые выполняются
каждый раз при загрузке системы, обладают способностью перемещаться в ВС или сети и самовоспроизводить копии. Лавинооб19
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
разное размножение программ приводит к перегрузке каналов
связи, памяти и, в конечном итоге, к блокировке системы.
«Троянские кони» – это программы, полученные путем явного изменения или добавления команд в пользовательские программы. При последующем выполнении пользовательских программ наряду с заданными функциями выполняются несанкционированные, измененные или какие-то новые функции.
«Компьютерные вирусы» – это небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются
путем создания своих копий, а при выполнении определенных
условий оказывают негативное воздействие на КС.
Методы и средства защиты информации
в компьютерных системах
Система защиты информации должна иметь несколько
уровней, перекрывающих друг друга, т.е. такие системы целесообразно строить по принципу построения матрешек. Чтобы добраться до закрытой информации, злоумышленнику необходимо
«взломать» все уровни защиты (рис. 2).
Информация
Уровни защиты
Рис. 2. Многоуровневая КСЗИ
Например, для отдельного объекта КС можно выделить 6
уровней (рубежей) защиты:
1) охрана по периметру территории объекта;
2) охрана по периметру здания;
20
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
3) охрана помещения;
4) защита аппаратных средств;
5) защита программных средств;
6) защита информации.
Комплексные системы защиты информации всегда должны
иметь централизованное управление. В распределенных КС
управление защитой может осуществляться по иерархическому
принципу. Централизация управления защитой информации объясняется необходимостью проведения единой политики в области
опасности информационных ресурсов в рамках предприятия, организации, корпорации, фирмы. Для осуществления централизованного управления в СЗИ должны быть предусмотрены специальные средства дистанционного контроля, распределения Ключей,
разграничения
доступа,
изготовления
атрибутов
идентификации и другие.
Защита информации в КС от случайных угроз
Для блокирования (парирования) случайных угроз безопасности информации в компьютерных системах должен быть решен
комплекс задач (рис. 3).
Защита информации в КС
от случайных угроз
Дублирование
информации
Оптимизация
взаимодействия
человека с КС
Повышение
надежности КС
Минимизация ущерба
от аварий и стихийных бедствий
Создание
отказоустойчивых КС
Блокировка ошибочных операций
Рис. 3. Защита информации в КС от случайных угроз
Дублирование информации является одним из самых эффективных способов обеспечения целостности информации. Оно
21
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
обеспечивает защиту информации как от случайных угроз, так и
от преднамеренных воздействий.
Одной из основных задач, решаемых при организации допуска на объект, является идентификация и аутентификация лиц,
допускаемых на объект. Их называют субъектами доступа.
Под идентификацией понимается присвоение субъектам доступа идентификаторов и (или) сравнение предъявляемых идентификаторов с перечнем присвоенных идентификаторов, владельцы (носители) которых допущены на объект.
Аутентификация означает проверку принадлежности субъекту доступа предъявленного им идентификатора, подтверждение
подлинности.
Различают два способа идентификации людей: атрибутивный
и биометрический. Атрибутивный способ предполагает выдачу
субъекту доступа либо уникального предмета, либо пароля (кода), либо предмета, содержащего код.
Предметами, идентифицирующими субъект доступа, могут
быть пропуска, жетоны или ключи от входных дверей (крышек
устройств). Пропуска, жетоны и тому подобные идентификаторы
не позволяют автоматизировать процесс допуска. Идентификация
и аутентификация личности осуществляется контролером и поэтому носит субъективный характер. Пароль представляет собой
набор символов и цифр, который известен только владельцу пароля и введен в систему, обеспечивающую доступ. Пароли используются, как правило, в системах разграничения доступа к
устройствам КС. При допуске на объекты КС чаще используются
коды. Они используются для открытия кодовых замков и содержат, в основном, цифры. Наиболее перспективными являются
идентификаторы, которые представляют собой материальный носитель информации, содержащий идентификационный код субъекта доступа. Чаще всего носитель кода выполняется в виде пластиковой карты небольшого размера. Код идентификатора может быть считан только с помощью специального устройства.
Кроме кода карта может содержать фотографию, краткие данные
о владельце, т. е. ту информацию, которая обычно имеется в пропусках.
22
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
В зависимости от физических принципов записи, хранения и
считывания идентификационной информации карты делятся на:
• магнитные;
• инфракрасные;
• карты оптической памяти;
• штриховые;
• карты «Виганд»;
• полупроводниковые.
Магнитные карты имеют магнитную полосу, на которой
может храниться около 100 байт информации. Эта информация
считывается специальным устройством при протаскивании карты
в прорези устройства.
На внутреннем слое инфракрасных карт с помощью специального вещества, поглощающего инфракрасные лучи, наносится
идентификационная информация. Верхний слой карт прозрачен
для инфракрасных лучей. Идентификационный код считывается
при облучении карты внешним источником инфракрасных лучей.
При изготовлении карт оптической памяти используется
WORM-технология, которая применяется при производстве компакт-дисков. Зеркальная поверхность обрабатывается лучом лазера, который прожигает в нужных позициях отверстия на этой
поверхности. Информация считывается в специальных устройствах путем анализа отраженных от поверхности лучей. Емкость
такой карты от 2 до 16 Мбайт информации.
В штриховых картах на внутреннем слое наносятся штрихи,
которые доступны для восприятия только при специальном облучении лучами света. Варьируя толщину штрихов и их последовательность, получают идентификационный код. Процесс считывания осуществляется протаскиванием карты в прорези считывающего устройства.
Карточки «Виганд» содержат в пластиковой основе впрессованные отрезки тонкой проволоки со случайной ориентацией.
Благодаря уникальности расположения отрезков проволоки каждая карта особым образом реагирует на внешнее электромагнитное поле. Эта реакция и служит идентифицирующим признаком.
Полупроводниковые карты содержат полупроводниковые
микросхемы и могут быть контактными и бесконтактными. Кон23
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
тактные карты имеют по стандарту ISО 7816-1:1988 восемь металлических контактов с золотым покрытием. Наиболее простыми полупроводниковыми контактными картами являются карты,
содержащие только микросхемы памяти. Наибольшее распространение из карт такого типа получили карты Тоuch Меmоrу.
Карта содержит постоянную память объемом 64 бита, в которой
хранится серийный номер Тоuch Меmorу. Карта может иметь и
перезаписываемую энергонезависимую память объемом от 1
Кбит до 4 Кбит. Карта этого типа не имеет разъема. Его заменяет
двухпроводный интерфейс последовательного типа.
Полупроводниковые карты, имеющие в своем составе микропроцессор и память, называют интеллектуальными, или
смарт-картами. Смарт-карты фактически содержат микроЭВМ.
Кроме задач идентификации такие карты решают целый ряд других задач, связанных с разграничением доступа к информации в
КС. Еще более широкий круг задач способны решать суперсмарткарты. Примером может служить многоцелевая карта
фирмы Тоshibа, которая используется в системе VISA. Возможности смарт-карты в таких картах дополнены миниатюрным монитором и клавиатурой.
Бесконтактные («проксимити») карты имеют в своем составе энергонезависимую память, радиочастотный идентификатор и
рамочную антенну. Идентификатор передает код считывающему
устройству на расстоянии до 80 см.
Наименее защищенными от фальсификации являются магнитные карты. Максимальную защищенность имеют смарткарты. Карты «проксимити» очень удобны в эксплуатации.
Все атрибутивные идентификаторы обладают одним существенным недостатком. Идентификационный признак слабо или
совсем не связан с личностью предъявителя.
Этого недостатка лишены методы биометрической идентификации. Они основаны на использовании индивидуальных биологических особенностей человека.
Для биометрической идентификации человека используются:
• папиллярные узоры пальцев;
• узоры сетчатки глаз;
• форма кисти руки;
24
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
• особенности речи;
• форма и размеры лица;
• динамика подписи;
• ритм работы на клавиатуре;
• запах тела;
• термические характеристики тела.
Дактилоскопический метод идентификации человека используется давно. Он показал высокую достоверность идентификации. Папиллярные узоры считываются с пальца специальным
сканером. Полученные результаты сравниваются с данными, хранящимися в системе идентификации.
По надежности и затратам времени метод идентификации по
узорам сетчатки глаз сопоставим с дактилоскопическим методом. С помощью высококачественной телекамеры осуществляется сканирование сетчатки глаза. Всего насчитывается около 250
признаков.
Идентификация человека по форме кисти руки основана на
анализе трехмерного изображения кисти. Метод менее надежен,
устройство идентификации довольно громоздко. Вместе с тем
метод технологичен и не требует хранения больших объемов информации.
Широкое распространение нашли способы идентификации
человека по голосу и по параметрам лица. По надежности методы уступают методам идентификации по отпечаткам пальцев и
узорам сетчатки глаза. Объясняется это значительно меньшей
стабильностью параметров голоса и лица человека. Однако лучшие системы обеспечивают вероятность достоверной идентификации порядка 0,98, что позволяет использовать их на практике
(Voice Bolt).
Системы идентификации по почерку анализируют графическое начертание, интенсивность нажатия и быстроту написания
букв. Контрольное слово пишется на специальном планшете, который преобразует характеристики письма в электрические сигналы. Системы такого типа обеспечивают высокую надежность
идентификации.
Идентификация по ритму работы на клавиатуре основывается на измерении времени между последовательным нажатием
25
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
двух клавиш. В системе хранятся результаты измерений на тестовом тексте, обработанные методами математической статистики.
Идентификация производится путем набора, статистической обработки произвольного или фиксированного текста и сравнения с
хранящимися данными. Метод обеспечивает высокую надежность идентификации. Это единственный биометрический метод
идентификации, не требующий дополнительных аппаратных затрат, если он используется для допуска к работе на технических
средствах, имеющих наборные устройства.
Методы идентификации по запаху и термическим характеристикам тела пока не нашли широкого применения.
Основным достоинством биометрических методов идентификации является очень высокая вероятность обнаружения попыток несанкционированного доступа. К средствам управления доступом можно отнести средства дистанционного управления замками, приводами дверей, ворот, турникетов и т.п.
Криптографические методы
защиты информации
Под криптографической защитой информации понимается
такое преобразование исходной информации, в результате которого она становится недоступной для ознакомления и использования лицами, не имеющими на это полномочий.
Известны различные подходы к классификации методов
криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического
преобразования информации могут быть разделены на четыре
группы (рис. 4).
26
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Методы криптографического преобразования информации
Шифрование
Стеганогра-
Кодирование
фия
Сжатие
Рис. 4. Классификация методов криптографического преобразования
информации
Процесс шифрования заключается в проведении обратимых
математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв,
цифр, других символов и двоичных кодов.
В отличие от других методов криптографического преобразования информации, методы стеганографии позволяют скрыть
не только смысл хранящейся или передаваемой информации, но и
сам факт хранения или передачи закрытой информации. В основе
всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов. Обработка мультимедийных
файлов в КС открыла практически неограниченные возможности
перед стеганографией. С помощью средств стеганографии могут
маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение. Комплексное использование стеганографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциальной информации.
Содержанием процесса кодирования информации является
замена смысловых конструкций исходной информации (слов,
предложений) кодами. В качестве кодов могут использоваться
сочетания букв, цифр, букв и цифр. При кодировании и обратном
преобразовании используются специальные таблицы или словари. Кодирование информации целесообразно применять в систе27
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
мах с ограниченным набором смысловых конструкций. Недостатком кодирования конфиденциальной информации является
необходимость хранения и распространения кодировочных таблиц, которые необходимо часто менять, чтобы избежать раскрытия кодов статистическими методами обработки перехваченных
сообщений.
Сжатие информации может быть отнесено к методам криптографического преобразования информации с определенными
оговорками. Целью сжатия является сокращение объема информации. В то же время сжатая информация не может быть прочитана или использована без обратного преобразования. Учитывая
доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Целесообразно совмещать
процесс сжатия и шифрования.
Основные виды нарушения
режима сетевой безопасности
Угроза удаленного администрирования. Под удаленным администрированием понимается несанкционированное управление
удаленным компьютером. Удаленное администрирование позволяет брать чужой компьютер под свое управление. Это может позволить копировать и модифицировать имеющиеся на нем данные, устанавливать на нем произвольные программы, в том числе
и вредоносные, использовать чужой компьютер для совершения
преступных действий в Сети «от его имени».
Защита от удаленного администрирования. Для эффективной защиты от удаленного администрирования необходимо представлять себе методы, которыми оно достигается. Таких методов
два. Первый метод – установить на компьютере «жертвы» программу (аналог сервера), с которой злоумышленник может создать удаленное соединение в то время, когда «жертва» находится
в сети. Программы, используемые для этого, называются троянскими. По своим признакам они в значительной степени напоминают компьютерные вирусы.
28
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Второй метод удаленного администрирования основан на использовании уязвимостей (ошибок), имеющихся в программном
обеспечении компьютерной системы партнера по связи. Цель
этого метода – выйти за рамки общения с клиентской (серверной)
программой и напрямую воздействовать на операционную систему, чтобы через нее получить доступ к другим программам и
данным. Программы, используемые для эксплуатации уязвимостей компьютерных систем, называются эксплоитами.
Угроза активного содержимого. В состав Web-документов
могут входить встроенные объекты. Такие объекты, как рисунки,
видеоклипы и звукозаписи, являются пассивным содержимым.
Это данные. Их можно просматривать, копировать, воспроизводить, сохранять, редактировать – в общем, делать с ними все, что
можно сделать с любыми данными на собственном компьютере.
Однако для расширения возможностей браузера и сервера многие
создатели Web-страниц встраивают в них активные объекты и активные сценарии. И в том и в другом случае речь идет о получении клиентом программного кода в составе загружаемой Webстраницы.
Активные объекты отличаются от пассивных тем, что кроме
данных содержат в себе еще и программный код, который работает на компьютере клиента. В самом общем случае сервер может
поставлять активные объекты вообще любой природы – для этого
ему надо лишь «уговорить» пользователя, чтобы тот принял некий программный код, «расширяющий» возможности его браузера. Если пользователь ни на какие заманчивые предложения не
соглашается, тогда опасными активными объектами и сценариями для него остаются только апплеты Java, элементы ActiveX,
сценарии JavaScript и VBScript. На работу с ними браузер уже настроен.
Защита от активного содержимого. Если угроза нежелательна, прием Java – апплетов, элементов ActiveX и активных
сценариев можно отключить в браузере. Компромиссный вариант
– в каждом конкретном случае запрашивать разрешение на прием
того или иного активного объекта. В Internet Explorer средства
настройки защиты от активного содержимого содержатся в диа29
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
логовом окне «Правила безопасности» (Сервис – Свойства обозревателя – Безопасность – Другой).
Угроза перехвата или подмены данных на путях транспортировки. С проникновением Интернета в экономику очень остро
встает угроза перехвата или подмены данных на путях транспортировки. Так, например, расчет электронными платежными средствами (картами платежных систем) предполагает отправку покупателем конфиденциальных данных о своей карте продавцу.
Если эти данные будут перехвачены на одном из промежуточных
серверов, нет гарантии, что ими не воспользуется злоумышленник.
Кроме того, через Интернет передаются файлы программ.
Подмена этих файлов на путях транспортировки может привести
к тому, что вместо ожидаемой программы клиент получит ее аналог с «расширенными» свойствами. В этих случаях возникает потребность в защите данных на путях транспортировки. Одновременно с потребностью в защите данных возникает потребность в
удостоверении (идентификации) партнеров по связи и подтверждении (аутентификации) целостности данных. Сегодня в электронной коммерции защищают и аутентифицируют данные, а
также идентифицируют удаленных партнеров с помощью криптографических методов.
Угроза вмешательства в личную жизнь. В основе этой угрозы лежат коммерческие интересы рекламных организаций. В настоящее время годовой рекламный бюджет Интернета составляет
несколько десятков миллиардов долларов США. В желании увеличить свои доходы от рекламы множество компаний организуют
Web-узлы не столько для того, чтобы предоставлять клиентам сетевые услуги, сколько для того, чтобы собирать о них персональные сведения. Эти сведения обобщаются, классифицируются и
поставляются рекламным и маркетинговым службам. Процесс
сбора персональной информации автоматизирован, не требует
практически никаких затрат и позволяет без ведома клиентов исследовать их предпочтения, вкусы, привязанности.
Сбор сведений об участниках работы в Интернете. Кроме
средств активного воздействия на удаленный компьютер существуют и средства пассивного наблюдения за деятельностью участ30
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
ников Сети. Они используются рекламно-маркетинговыми службами. При посещении почти любых Web-страниц нам на глаза
попадаются рекламные объявления (их называют баннерами).
При их приеме наш браузер устанавливает связь с их владельцем
(с рекламной системой) и незаметно для нас регистрируется в
этой системе. Мы можем не обращать внимания на эту рекламу и
никогда ею не пользоваться, но, переходя от одной Webстраницы к другой, мы создаем свой психологический портрет
(он называется профилем). По характеру посещаемых Web-узлов
и Web-страниц удаленная служба способна определить пол, возраст, уровень образования, род занятий, круг интересов, уровень
благосостояния и даже характер заболеваний лица, которое никогда к ней не обращалось. Достаточно хотя бы один раз зарегистрироваться где-то под своим именем и фамилией, и ранее собранные абстрактные сведения приобретают вполне конкретный
характер – так образуются негласные персональные базы данных
на участников работы в Сети.
Сопоставляя данные по разным людям или по одним и тем
же людям, но полученные в разное время, следящие системы получают профили не только на отдельных лиц, но и на коллективы: семьи, рабочие группы, предприятия. Полученные данные
могут использоваться как легально, так и нелегально. Классифицированные базы данных являются товаром: они покупаются и
продаются, переходят из рук в руки и становятся основой для
деятельности многих организаций самого разного профиля.
Источники персональной информации. Наиболее простым и
очевидным источником для сбора сведений об активности клиентов Интернета являются маркеры cookie. Согласно протоколу
НТТР браузер может отправить серверу запрос на поставку одного Web-ресурса (документа HTML) и никак при этом серверу не
представляться, то есть в своей основе служба World Wide Web
является анонимной. Тем не менее иногда все-таки имеется целесообразность в том, чтобы браузер серверу представлялся. Это,
например, полезно для Интернет-магазинов. Целесообразность в
представлении браузера серверу возникает всякий раз, когда клиент пользуется Web-услугами, персонально настроенными именно на него. Предвидя эту целесообразность, разработчики прото31
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
кола НТТР предусмотрели несложный и, как им казалось тогда,
вполне безобидный механизм представления браузера серверу с
помощью так называемых маркеров cookie.
Согласно протоколу НТТР сервер может передать браузеру
небольшой пакет данных, в которых закодирована информация,
нужная серверу для идентификации браузера и настройки на работу с ним. Этот пакет временно запоминается в оперативной
памяти компьютера и выполняет роль маркера (метки). Если в
ходе работы в WWW браузер вновь обратится к тому же Webузлу, то при обращении к нему он предъявляет ранее принятый
маркер, и сервер сразу же понимает, с каким клиентом он имеет
дело.
Маркеры могут быть временными и постоянными. Временный маркер хранится в оперативной памяти до тех пор, пока
браузер работает. По окончанию его работы все временные маркеры, полученные от серверов, уничтожаются. В большинстве
случаев, таких как посещение Интернет-магазинов, можно было
бы ограничиться временными маркерами, чтобы магазин «не забывал» своего клиента, когда тот переходит из одного отдела в
другой. Однако серверы предпочитают отправлять браузеру не
временные, а постоянные маркеры.
Постоянные маркеры обрабатываются иначе. Когда браузер
завершает работу, все постоянные маркеры, накопившиеся в оперативной памяти, переносятся на жесткий диск в виде файлов
cookie. Так происходит маркировка жесткого диска и, следовательно, компьютера клиента. При последующих выходах в Интернет в момент запуска браузера происходит считывание накопившихся маркеров cookie в оперативную память, откуда браузер
предъявляет их серверам, которые их поставили.
Физической угрозы маркеры cookie компьютеру не представляют – это файлы данных, которые не являются программным
кодом и потому безвредны в смысле несанкционированных действий. Но они представляют угрозу в смысле вмешательства в
личную жизнь.
Правовой режим маркеров cookie. Существует как минимум
два механизма использования маркеров cookie для несанкционированного сбора сведений о клиенте. Наиболее очевиден неле32
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
гальный механизм, связанный с тем, что сервер может прочитать
не только те маркеры, которые поставил он сам, но и те, которые
поставили другие серверы. Этот механизм должен блокироваться
браузером. Второй механизм сбора сведений о клиентах на основе маркеров cookie совершенно легален и в последнее время вошел в широкую практику. Он основан на том, что некая служба
(например, рекламная) широко распространяет на огромном количестве Web-узлов разной тематической направленности свои
графические объекты (например, рекламные баннеры). Посетители этих Web-узлов получают вместе с рекламными баннерами
связанные с ними маркеры cookie. В итоге получается, что служба, к которой клиенты никогда не обращались, постоянно маркирует их компьютеры своими маркерами и впоследствии по ним
может точно восстановить картину движения клиентов по Webузлам Интернета. Этим занимаются не только рекламные компании, но и компании, предоставляющие иные услуги, например
размещающие счетчики посетителей на Web- страницах своих
заказчиков.
Практика использования маркеров cookie для сбора сведений
о пользователях Интернета в настоящее время находится под
пристальным вниманием специалистов-правоведов. В ней настораживает факт негласности сбора сведений. Основным возражением на это является возможность со стороны пользователя отключить функции браузера, связанные с постановкой маркеров
cookie.
Другие источники персональной информации. Кроме маркеров cookie источником для сбора сведений о клиентах Сети является информация, легально поставляемая браузером. Во время
связи по протоколу НТТР браузер сообщает свое название, номер
версии, тип операционной системы компьютера клиента и URLадрес Web-страницы, которую клиент посещал в последний раз.
Кроме того, у серверов есть приемы, позволяющие в некоторых
случаях получить адрес электронной почты клиента, хотя эти
приемы используют только негласно и поэтому правовой режим
их сомнителен.
Угроза поставки неприемлемого содержимого. Не вся информация, публикуемая в Интернете, может считаться общест33
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
венно полезной. Существует масса причин морально-этического,
религиозного, культурного и политического характера, когда людям может быть неприятна поставляемая информация, и они хотят от нее защититься.
В большинстве стран мира Интернет пока не считается средством массовой информации (СМИ). Это связано с тем, что поставщик информации не занимается ее копированием, тиражированием и распространением, то есть он не выполняет функции
СМИ. Все это делает сам клиент в момент использования гиперссылки. Поэтому обычные законы о средствах массовой информации, регламентирующие, что можно распространять, а что нет,
в Интернете пока не работают. Обычно функции фильтрации поступающего содержания возлагают на браузер или на специально
установленную для этой цели программу.
Защита от эксплуатации ошибок в программном обеспечении. Этот вид угрозы редко опасен для клиентской стороны. Атакам программ-эксплоитов в основном подвергаются серверы.
Стратегия злоумышленников обычно реализуется в три этапа. На
первом этапе они выясняют состав программ и оборудования в
локальной сети «жертвы». На втором этапе они разыскивают информацию об известных ошибках в данных программах (об уязвимостях). На третьем этапе они готовят программы-эксплоиты
(или используют ранее подготовленные кем-то программы) для
эксплуатации обнаруженных уязвимостей. Борьба со злоумышленниками может происходить на всех трех этапах.
В наиболее ответственных случаях используют специально
выделенные компьютеры или программы, выполняющие функцию межсетевых экранов (щитов). Такие средства также называют брандмауэрами (firewall). Брандмауэр занимает положение
между защищаемыми компьютерами и внешним миром. Он не
позволяет просматривать извне состав программного обеспечения на сервере и не пропускает несанкционированные данные и
команды.
Кроме того, администрация сервера должна внимательно
следить за публикацией в Сети сообщений об уязвимостях, обнаруженных в используемых ею программах. Уязвимости должны
устраняться немедленно после опубликования сведений о них.
34
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Период времени между обнаружением уязвимости и ее устранением наиболее опасен. В этот момент злоумышленники, оповещенные о существовании уязвимости, занимаются целенаправленным поиском серверов, на которых она еще не устранена.
35
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Вопросы для самостоятельной подготовки
1. В чем состоит существо проблемы информационной безопасности?
2. Каковы составляющие информационной безопасности?
3. Перечислите аспекты и цели защиты информации.
4. Перечислите уровни режима информационной безопасности.
5. Какими могут быть информационные ресурсы в зависимости от принадлежности к виду собственности?
6. В чем различие между открытыми информационными ресурсами и информационными ресурсами ограниченного доступа?
7. Какие сведения относятся к секретным?
8. Какой гриф ставится на документы, содержащие государственную тайну?
9. Какие документы называются конфиденциальными?
10. Что относится к конфиденциальной информации в государственных структурах? Предпринимательских?
11. Перечислите меры защиты информации.
12. Какую информацию можно отнести к служебной или
коммерческой тайне?
13. Что такое служебная тайна?
14. Какой гриф ставится на документы, содержащие служебную тайну?
15. Что такое коммерческая тайна?
16. Какую информацию нельзя отнести к коммерческой тайне?
17. Какую информацию целесообразно включать в перечень
сведений, относящихся к коммерческой тайне?
18. Что относится к основным угрозам безопасности информации?
19. Дайте определение преднамеренным и непреднамеренным угрозам безопасности информации.
36
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
20. Какие Вы знаете внешние угрозы безопасности информации?
21. В чем заключаются внутренние угрозы безопасности информации?
22. Как осуществляется защита от случайных угроз?
23. Назовите уровни формирования режима безопасности
информации.
24. Перечислите формы защиты информации.
25. Что такое политика безопасности? С какой целью разрабатывается этот документ?
26. Что включает в себя верхний уровень политики безопасности?
27. Какие вопросы относятся к среднему уровню политики
безопасности?
28. Что включает в себя нижний уровень политики безопасности?
29. Что должно быть отражено в политике безопасности?
30. Что такое аутентификация и идентификация?
31. Какие Вы знаете биометрические системы защиты?
32. Что включает в себя криптографическая система защиты?
33. Что такое удаленное администрирование?
34. В чем состоит угроза активного содержимого?
35. Как происходит сбор сведений о пользователях Internet?
36. Принципы использования маркеров cookie.
37
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Литература
1. Доктрина информационной безопасности РФ. 09.09.2000.
2. Гражданский кодекс Российской Федерации. Ч. 1, гл. 9,
ст. 160 «Письменная форма сделки».
3. Уголовный кодекс Российской Федерации, 1997 г., гл. 28
«Преступления в сфере компьютерной информации», ст. 271,
272, 273, 274.
4. Информатика для экономистов и юристов: учебник для вузов / под ред. С.В. Симоновича. – СПб.: Питер, 2007.
5. Информатика / под ред. проф. Н.В. Макаровой. – М.: Финансы и статистика, 2006.
6. Ярочкин, В.И. Аудит безопасности фирмы: теория и практика: учеб. пособие для студентов высших учебных заведений
/ В.И. Ярочкин, Я.В. Бузанова. – М.: Академический проект; Королев: Парадигма, 2005.
7. Степанов, Е.А. Информационная безопасность и защита
информации: учеб. пособие / Е.А. Степанов, И.К. Корнеев. – М.:
Инфра, 2001.
8. Серебренникова, Т.Ф. Информационная безопасность: метод. указания / Т.Ф. Серебренникова. – Ярославль: ЯрГУ, 2001.
38
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Оглавление
Понятие защиты информации ....................................................... 3
Цели защиты ...................................................................................... 4
Формирование режима информационной безопасности .......... 5
Классификация информационных ресурсов по степени
защиты.................................................................................... 8
Служебная тайна............................................................................. 12
Коммерческая тайна ....................................................................... 12
Политика безопасности фирмы ................................................... 14
Угрозы безопасности информации в компьютерных системах
................................................................................................ 16
Случайные угрозы ............................................................................. 17
Преднамеренные угрозы .................................................................. 18
Методы и средства защиты информации в компьютерных
системах ................................................................................ 20
Криптографические методы защиты информации ................ 26
Основные виды нарушения режима сетевой безопасности .. 28
Вопросы для самостоятельной подготовки ............................... 36
Литература....................................................................................... 38
39
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Учебное издание
Защита информации
в коммерческих структурах
Методические указания
Составитель Серебренникова Татьяна Федоровна
Редактор, корректор И.В. Бунакова
Компьютерная верстка Е.Л. Шелеховой
Подписано в печать 16.06.2008 г. Формат 60х84/16.
Бумага тип. Усл. печ. л. 2,32. Уч.-изд. л. 1,69.
Тираж 300 экз. Заказ
.
Оригинал-макет подготовлен
в редакционно-издательском отделе ЯрГУ.
Отпечатано на ризографе.
Ярославский государственный университет.
150000 Ярославль, ул. Советская, 14.
40
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
41
Copyright ОАО «ЦКБ «БИБКОМ» & ООО «Aгентство Kнига-Cервис»
Защита информации
в коммерческих структурах
42
Документ
Категория
Без категории
Просмотров
66
Размер файла
451 Кб
Теги
структура, коммерческое, защита, 237, информация
1/--страниц
Пожаловаться на содержимое документа