Класифікація засобів захисту інформації

4.

Залежно від можливих порушень у роботі системи та загроз несанкціонованого доступу до інформації численні види захисту можна об'єднати у такі групи: морально-етичні, правові, адмініс­тративні (організаційні), технічні (фізичні), програмні. Зазначи­мо, що такий поділ є досить умовним. Зокрема, сучасні техноло­гії розвиваються в напрямку сполучення програмних та апаратних засобів захисту.

Морально-етичні засоби. До цієї групи належать норми по­ведінки, які традиційно склались або складаються з поширенням ЕОМ, мереж і т. ін. Ці норми здебільшого не є обов'язковими і не затверджені в законодавчому порядку, але їх невиконання часто призводить до падіння авторитету та престижу людини, групи осіб, організації або країни. Морально-етичні норми бувають як неписаними, так і оформленими в деякий статут. Найбільш харак­терним прикладом є Кодекс професійної поведінки членів Асоціа­ції користувачів ЕОМ США.

Правові засоби захисту — чинні закони, укази та інші норма­тивні акти, які регламентують правила користування інформацією і відповідальність за їх порушення, захищають авторські права програмістів та регулюють інші питання використання IT.

Перехід до інформаційного суспільства вимагає удосконалення карного і цивільного законодавства, а також судочинства. Сьогодні спеціальні закони ухвалено в усіх розвинених країнах світу та бага­тьох міжнародних об'єднаннях, і вони постійно доповнюються. По­рівняти їх між собою практично неможливо, оскільки кожний закон потрібно розглядати у контексті всього законодавства. Наприклад, на положення про забезпечення секретності впливають закони про інформацію, процесуальне законодавство, кримінальні кодекси та адміністративні розпорядження. До проекту міжнародної угоди про боротьбу з кіберзлочинністю, розробленого комітетом з економіч­них злочинів Ради Європи (див. матеріали сайту http://www.coe.int), було внесено зміни, оскільки його розцінили як такий, що супере­чить положенням про права людини і надає урядам і поліцейським органам зайві повноваження.

Загальною тенденцією, що її можна простежити, є підвищення жорсткості кримінальних законів щодо комп'ютерних злочинців. Так, уже сьогодні у Гонконгу максимальним покаранням за такий злочин, якщо він призвів до виведення з ладу 1C або Web-сайту, є 10 років позбавлення волі. Для порівняння, у Кримінальному ко­дексі України незаконне втручання в роботу комп'ютерів та комп'ютерних мереж карається штрафом до сімдесяти неоподат­ковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або обмеженням волі на той самий строк.

Адміністративні (організаційні) засоби захисту інформації регламентують процеси функціонування 1C, використання її ре­сурсів, діяльність персоналу, а також порядок взаємодії користу­вачів із системою таким чином, щоб найбільшою мірою усклад­нити або не допустити порушень безпеки. Вони охоплюють:

• заходи, які передбачаються під час проектування, будівниц­тва та облаштування об'єктів охорони (врахування впливу стихії, протипожежна безпека, охорона приміщень, пропускний режим, прихований контроль за роботою працівників і т. ін.);

• заходи, що здійснюються під час проектування, розробки, ремонту й модифікації обладнання та програмного забезпечення (сертифікація всіх технічних і програмних засобів, які викорис­товуються; суворе санкціонування, розгляд і затвердження всіх змін тощо);

* заходи, які здійснюються під час добору та підготовки пер­соналу (перевірка нових співробітників, ознайомлення їх із по­рядком роботи з конфіденційною інформацією і ступенем відпо­відальності за його недодержання; створення умов, за яких персоналу було б невигідно або неможливо припускатися зло­вживань і т. ін.);

• розробку правил обробки та зберігання інформації, а також стратегії її захисту (організація обліку, зберігання, використання і знищення документа і носіїв з конфіденційною інформацією; розмежування доступу до інформації за допомогою паролів, про­філів повноважень і т. ін.; розробка адміністративних норм та си­стеми покарань за їх порушення тощо).

Адміністративні засоби є неодмінною частиною захисту інфор­мації, їх значення зумовлюється тим, що вони доступні і здатні доповнити законодавчі норми там, де це потрібно організації (див. приклад), а особливістю є те, що здебільшого вони перед­бачають застосування інших видів захисту (технічного, програм­ного) і тільки в такому разі забезпечують достатньо надійний за­хист. Водночас велика кількість адміністративних правил обтя­жує працівників і насправді зменшує надійність захисту (інструк­ції просто не виконуються).

Засоби фізичного (технічного) захисту інформації — це різно­го роду механічні, електро- або електронно-механічні пристрої, а також спорудження і матеріали, призначені для захисту від несанк­ціонованого доступу і викрадень інформації та попередження її втрат у результаті порушення роботоздатності компонентів 1C, сти­хійних лих, саботажу, диверсій і т. ін. До цієї групи відносять:

* засоби захисту кабельної системи. За даними різних дослі­джень саме збої кабельної системи спричиняють більш як поло­вину відказів ЛОМ. Найкращим способом попередити подібні збої є побудова структурованої кабельної системи (СКС), в якій використовуються однакові кабелі для організації переда­вання даних в 1C, сигналів від датчиків пожежної безпеки, відео-інформації від охоронної системи, а також локальної телефонної мережі. Поняття «структурованість» означає, що кабельну систе­му будинку можна поділити на кілька рівнів залежно від її при­значення і розміщення. Для ефективної організації надійної СКС слід додержувати вимог міжнародних стандартів;

* засоби захисту системи електроживлення. Американські до­слідники з компанії Best Power1 після п'яти років досліджень проблем електроживлення зробили висновок: на кожному комп'ютері в середньому 289 раз на рік виникають порушення живлення, тобто частіш ніж один раз протягом кожного робочого дня. Найбільш надійним засобом попередження втрат інформації в разі тимчасових відімкнень електроенергії або стрибків напруги в електромережі є установка джерел безперебійного живлення. Різноманітність технічних і споживацьких характеристик дає можливість вибрати засіб, адекватний вимогам. За умов підви­щених вимог до роботоздатності 1C можливе використання ава­рійного електрогенератора або резервних ліній електроживлення, підімкнених до різних підстанцій;

* засоби архівації та дублювання інформації. За значних обся­гів інформації доцільно організовувати виділений спеціалізований сервер для архівації даних. Якщо архівна інформація має ве­лику цінність, її варто зберігати у спеціальному приміщенні, що охороняється. На випадок пожежі або стихійного лиха варто збе­рігати дублікати найбільш цінних архівів в іншому будинку (мож­ливо, в іншому районі або в іншому місті);

* засоби захисту від відпливу інформації по різних фізичних полях, що виникають під час роботи технічних засобів, — засоби виявлення прослуховувальної апаратури, електромагнітне екрану­вання пристроїв або приміщень, активне радіотехнічне маскування з використанням широкосмугових генераторів шумів тощо.

До цієї самої групи можна віднести матеріали, які забезпечу­ють безпеку зберігання і транспортування носіїв інформації та їх захист від копіювання. Переважно це спеціальні тонкоплівкові матеріали, які мають змінну кольорову гамму або голографічні мітки, що наносяться на документи і предмети (зокрема й на еле­менти комп'ютерної техніки) і дають змогу ідентифікувати дійс­ність об'єкта та проконтролювати доступ до нього.

Як було вже сказано, найчастіше технічні засоби захисту реа­лізуються в поєднанні з програмними.

Програмні засоби захисту забезпечують ідентифікацію та аутентифікацію користувачів (див. підрозд. 3.4.4), розмежування доступу до ресурсів згідно з повноваженнями користувачів, ре­єстрацію подій в 1C, криптографічний захист інформації, захист від комп'ютерних вірусів тощо (див. докладніше далі).

Розглядаючи програмні засоби захисту, доцільно спинитись на стеганографічних методах. Слово «стеганографія» означає приховане письмо, яке не дає можливості сторонній особі взнати про його існування. Одна з перших згадок про застосування тай­нопису датується V століттям до н. е. Сучасним прикладом є ви­падок роздрукування на ЕОМ контрактів з малопомітними ви­кривленнями обрисів окремих символів тексту — так вносилась шифрована інформація про умови складання контракту.

Комп'ютерна стеганографія базується на двох принципах. По-перше, аудіо- і відеофайли, а також файли з оцифрованими зобра­женнями можна деякою мірою змінити без втрати функціональ­ності. По-друге, можливості людини розрізняти дрібні зміни ко­льору або звуку обмежені. Найчастіше стеганографія використовується для створен­ня цифрових водяних знаків. На відміну від звичайних їх можна нанести і відшукати тільки за допомогою спеціального про­грамного забезпечення — цифрові водяні знаки записуються як псевдовипадкові послідовності шумових сигналів, згенерованих на основі секретних ключів. Такі знаки можуть забезпечити автен­тичність або недоторканість документа, ідентифікувати автора або власника, перевірити права дистриб'ютора або користувача, на­віть якщо файл був оброблений або спотворений.

Щодо впровадження засобів програмно-технічного захисту в 1C, розрізняють два основні його способи:

• додатковий захист — засоби захисту є доповненням до ос­новних програмних і апаратні засобів комп'ютерної системи;

• вбудований захист — механізми захисту реалізуються у ви­гляді окремих компонентів 1C або розподілені за іншими компо­нентами системи.

Перший спосіб є більш гнучким, його механізми можна дода­вати і вилучати за потребою, але під час його реалізації можуть постати проблеми забезпечення сумісності засобів захисту між собою та з програмно-технічним комплексом 1C. Вмонтований захист вважається більш надійним і оптимальним, але є жорст­ким, оскільки в нього важко внести зміни. Таким доповненням характеристик способів захисту зумовлюється те, що в реальній системі їх комбінують.

Дата добавления: 2014-01-04; Просмотров: 2382; Нарушение авторских прав?; Мы поможем в написании вашей работы!