• Меры защиты информационной безопасности. Технические меры защиты информации

    Классификация мер по защите информации в соответствии с ст. 16 π. 1 Федерального закона № 149-ФЗ представляет собой сочетание правовых, организационных и технических мер. При широкой трактовке понятия защита информации, которое в этом случае правильнее заменить на сочетание информационная безопасность, в перечень мер защиты должны быть включены и физические меры защиты.

    Законодательные меры

    Законодательные меры занимают около 5% объема средств, расходуемых на защиту информации. Это меры но разработке и практическому применению законов, постановлений, инструкций и правил эксплуатации, контроля как аппаратного, так и программного обеспечения компьютерных и информационных систем, включая линии связи, а также все объекты инфраструктуры, обеспечивающие доступ к этим системам. В России деятельность в информационной сфере регулируют более 1000 нормативных документов. Уголовное преследование за преступления в этой сфере осуществляется в соответствии с гл. 28 Уголовного кодекса РФ "Преступления в сфере компьютерной информации", содержащей три статьи.

    • 1. Статья 272 – несанкционированный доступ к информации. Несанкционированный доступ к информации – нарушение установленных правил разграничения доступа с использованием штатных средств, предоставляемых ресурсами вычислительной техники и автоматизированными системами (сетями). Отметим, что при решении вопроса о санкционированности доступа к конкретной информации необходимо наличие документа об установлении правил разграничения доступа, если эти правила не прописаны законодательно.
    • 2. Статья 273 – создание, использование и распространение (включая продажу зараженных носителей) вредоносных программ для ЭВМ, хотя перечень и признаки их законодательно не закреплены. Вредоносная программа – специально созданная или измененная существующая программа, заведомо приводящая к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ или их сети.
    • 3. Статья 274 – нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети. Это – нарушение работы программ, баз данных, выдача искаженной информации, а также нештатное функционирование аппаратных средств и периферийных устройств; нарушение нормального функционирования сети, прекращение функционирования автоматизированной информационной систем в установленном режиме; сбой в обработке компьютерной информации.

    Уголовное преследование за незаконные действия с общедоступной информацией осуществляется в соответствии со ст. 146 "Нарушение авторских и смежных прав" и 147 "Нарушение изобретательских и патентных прав" гл. 19 "Преступления против конституционных прав и свобод человека и гражданина" Уголовного кодекса РФ.

    Ответственность за соблюдением сотрудниками организации или компании законодательных мер по защите информации лежит на каждом сотруднике организации или компании, а контроль за их соблюдением – на руководителе.

    Физические меры

    Физические меры (доля 15–20%) обеспечивают ограничение физического доступа к компьютеру, линии связи, телекоммуникационному оборудованию и контроль доступа. Физические меры защиты направлены на управление доступом физических лиц, автомобилей, грузов в охраняемую зону, а также на противодействие средствам агентурной и технической разведки. Эти меры включают: охрану периметра, территории, помещений; визуальное и видеонаблюдение; опознавание людей и грузов; идентификацию техники; сигнализацию и блокировку; ограничение физического доступа в помещения.

    Выделяют три основные макрофункции физической защиты (рис. 11.2):

    • внешнюю защиту;
    • опознавание;
    • внутреннюю защиту.

    Перечисленные средства служат для обнаружения угроз и оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз.

    Из 12 разбитых по функциональному признаку групп более детально рассмотрим четыре группы, использующие в своей технической реализации собственные компьютерные средства либо пригодные для защиты самих рабочих помещений с компьютерами.

    Охранная сигнализация. Основной элемент сигнализации – датчики, фиксирующие изменение одного или нескольких физических параметров, характеристик.

    Датчики классифицируют по следующим группам:

    • объемные, позволяющие контролировать пространство помещений, например внутри компьютерных классов;
    • линейные, или поверхностные, для контроля периметров территорий, зданий, стен, проемов (окна, двери);
    • локальные, или точечные, для контроля состояния отдельных элементов (закрыто окно или дверь).

    Датчики устанавливаются как открыто, так и скрытно. Наиболее распространены:

    Выключатели (размыкатели), механически или магнитным способом замыкающие (размыкающие) управляю-

    Рис. 11.2.

    щую электрическую цепь при появлении нарушителя. Бывают напольные, настенные, на касание;

    • инфраакустические, устанавливаемые на металлические ограждения для улавливания низкочастотных колебаний, возникающих во время их преодоления;
    • датчики электрического ноля, состоящие из излучателя и нескольких приемников. Выполняются в виде натянутых между столбами проводов-кабелей. Изменение поля при появлении нарушителя и фиксируется датчиком;
    • инфракрасные датчики (излучатель – диод либо лазер), используемые для сканирования поверхностей или объемов помещений. Тепловая "фотография" запоминается и сравнивается с последующей для выявления факта перемещения объекта в защищаемом объеме;
    • микроволновые – сверхвысокочастотный передатчик и приемник;
    • датчики давления, реагирующие на изменение механической нагрузки на среду, в которой они уложены или установлены;
    • магнитные датчики (в виде сетки), реагирующие на металлические предметы, имеющиеся у нарушителя;
    • ультразвуковые датчики, реагирующие на звуковые колебания конструкций в области средних частот (до 30– 100 кГц);
    • емкостные, реагирующие на изменение электрической емкости между полом помещения и решетчатым внутренним ограждением при появлении инородного объекта.

    Средства оповещения и связи. Всевозможные сирены, звонки, лампы, подающие постоянный или прерывистые сигналы о том, что датчик зафиксировал появление угрозы. На больших расстояниях используют радиосвязь, на малых – специальную экранированную защищенную кабельную разводку. Обязательное требование – наличие автоматического резервирования электропитания средств сигнализации.

    Охранное телевидение. Распространенное физическое средство защиты. Главная особенность – возможность не только фиксировать визуально факт нарушения режима охраны объекта и контролировать обстановку вокруг объекта, но и документировать факт нарушения, как правило, с помощью видеомагнитофона.

    В отличие от обычного телевидения, в системах охранного ТВ монитор принимает изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте (так называемое закрытое ТВ). Естественно, что кабельные линии для передачи сигналов охранного ТВ не должны быть доступны иным лицам, кроме охраны. Мониторы располагаются в отдельных помещениях, доступ в которые должен быть ограничен.

    Рассмотренные выше три группы относятся к категории средств обнаружения вторжения или угрозы.

    Естественные средства противодействия вторжению. Сюда относятся естественные или искусственные барьеры (водные преграды, сильно пересекающаяся местность, заборы, спецограждения, особые конструкции помещений, сейфы, запираемые металлические ящики для компьютеров и т.п.).

    Средства ограничения доступа, в состав которых входит компьютерная техника. Сюда относятся биометрические или иные, использующие внешние по отношению к компьютеру носители паролей или идентифицирующих кодов: пластиковые карты, флеш-карты, таблетки Touch Memory и другие средства ограничения доступа.

    Биометрические средства ограничения доступа. Особенность биометрических методов допуска состоит в их статистической природе. В процессе проверки объекта при наличии ранее запомненного кода устройство контроля выдает сообщение по принципу "совпадает" или "не совпадает". В случае считывания копии биологического кода и его сравнения с оригиналом речь идет о вероятности ошибки, которая является функцией чувствительности, разрешающей способности и программного обеспечения контролирующего доступ прибора. Качество биометрической системы контроля доступа определяется следующими характеристиками:

    • вероятностью ошибочного допуска "чужого" – ошибка первого рода;
    • вероятностью ошибочного задержания (отказа в допуске) "своего" легального пользователя – ошибка второго рода;
    • временем доступа или временем идентификации;
    • стоимостью аппаратной и программной частей биометрической системы контроля доступа, включая расходы на обучение персонала, установку, обслуживание и ремонт.

    Бо́льшая часть биометрических средств защиты реализована на трех компонентах: сканер (датчик) – преобразователь (сигналы датчика в цифровой код для компьютера) – компьютер (хранитель базы биометрических кодов – характеристик объекта, сравнение с принятой от датчика информацией, принятие решения о допуске объекта или блокировании его доступа).

    В качестве уникального биологического кода человека в биометрии используются параметры двух групп.

    Поведенческие, основанные на специфике действий человека, – это тембр голоса, подпись, индивидуальная походка, клавиатурный почерк. Главный недостаток поведенческих характеристик – временна́я неустойчивость, т.е. возможность значительного изменения со временем. Это в значительной степени ограничивает применение поведенческих характеристик как средств ограничения доступа. Однако на протяжении относительно короткого временно́го интервала они применимы как идентифицирующие личность средства. Пример – фиксация клавиатурного почерка работающего в процессе осуществления им сетевой атаки и последующий (после задержания злоумышленника) контрольный набор определенного текста желательно на изъятой у него клавиатуре (лучше на его же компьютере).

    Физиологические, использующие анатомическую уникальность каждого человека, – радужная оболочка глаза, сетчатка глаза, отпечатки пальцев, отпечаток ладони, геометрия кисти руки, геометрия лица, термограмма лица, структура кожи (эпителия) на пальцах на основе ультразвукового цифрового сканирования, форма ушной раковины, трехмерное изображение лица, структура кровеносных сосудов руки, структура ДНК, анализ индивидуальных запахов. Справедливости ради отметим, что бо́льшая часть перечисленных биометрических средств пока не производится в массовых масштабах.

    Устройства биометрического контроля начали распространяться в России еще до 2000 г. Однако из-за высокой цены на российских рынках (десятки тысяч долларов за устройство) подобная техника была экзотикой. Сегодня биометрические средства доступны и имеют устойчивый спрос в России. Иная причина – осознание необходимости защиты от преступности у нас в стране. Как показывает опыт, сложность применяемых устройств контроля допуска растет. Раньше в России на режимных предприятиях применялись замки с PIN-кодом, затем появились магнитные пластиковые карты, которые необходимо было провести через специальные устройства считывания, еще позднее – карточки дистанционного считывания. Опыт, в том числе и российский, показывает, что данные средства эффективны только от случайного посетителя и слабы при жестких формах преступности, когда похищаются и пароли входа в информационную систему, и пластиковые карточки, оказывается давление на отдельных сотрудников служб охраны и безопасности.

    Уровень современной биометрической защиты весьма высок: он исключает возможность взлома даже в ситуации, когда злоумышленник пытается использовать труп или изъятые органы. Возможность технического взлома базы эталонов или их подмены на этапе идентификации, как правило, исключена: сканер и каналы связи сильно защищены, а компьютер дополнительно изолирован от сети и не имеет даже терминального доступа.

    Известная компания Identix, занимающаяся автоматизированным дактилоскопическим оборудованием, прошла регистрацию в 52 странах. Ее серийно выпускаемое оборудование решает следующие идентификационные задачи:

    • контроль физического доступа в здание, на стоянки автомашин и в другие помещения;
    • контроль компьютерных станций (серверов, рабочих мест) и систем телекоммуникаций;
    • контроль доступа к сейфам, складам и т.п.;
    • идентификация в электронной коммерции;
    • контроль членства в различных организациях и клубах;
    • паспортный контроль;
    • выдача и контроль виз, лицензий;
    • контроль времени посещения;
    • контроль транспортных средств;
    • идентификация кредитных и смарт-карт.

    В табл. 11.1 сопоставлены характеристики промышленных биометрических систем контроля доступа.

    Таблица 11.1

    Характеристики промышленных биометрических систем контроля доступа

    Ограничителем распространения биометрических средств контроля доступа в ряде стран выступает действующее на их территории законодательство. В России действует закон о персональных данных (Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных", введен в действие с 26 января 2007 г.). Подобные законы существуют в других странах, а в некоторых отсутствуют. Статья 11 "Биометрические персональные данные" указанного Закона не содержит исчерпывающего перечня параметров, которые можно отнести к этим данным.

    Несомненно, что создание пусть небольших, локальных баз данных, содержащих идентифицирующую гражданина информацию, должно регулироваться законодательно с обязательными мерами ответственности за несанкционированное раскрытие или искажение подобной информации.

    Пластиковые карты. Лидером среди переносных носителей персональных идентификационных кодов (PIN) и кодов физического доступа остаются пластиковые карты.

    Пластиковая карта представляет собой пластину стандартных размеров (85,6x53,9x0,76 мм), изготовленную из специальной устойчивой к механическим и термическим воздействиям пластмассы. Основная функция пластиковой карты – обеспечение идентификации владельца карты как субъекта системы физического доступа или платежной системы. Па пластиковую карту наносят:

    • логотип банка-эмитента (выпустившего карту);
    • логотип или название платежной системы, обслуживающей карту;
    • имя держателя карты;
    • номер его счета;
    • срок действия.

    Могут присутствовать фотография, подпись владельца и другие параметры.

    Алфавитно-цифровые данные – имя, номер счета и другие могут быть нанесены рельефным шрифтом (эмбоссированы), что позволяет при ручной обработке быстро перенести данные с карты на чек с помощью импринтера, осуществляющего "прокатку" карты.

    По принципу действия карты делятся на две группы – пассивные и активные.

    Пассивные карты только хранят информацию на носителе, но не обеспечивают ее автономной обработки. Пример – широко распространенные во всем мире карты с магнитной полосой на обратной стороне (три дорожки). Две дорожки хранят идентификационные записи. На третью можно записывать, например, текущее значение лимита дебетовой карты. Из-за невысокой надежности магнитного покрытия обычно карты используют только в режиме чтения. При работе с картой необходимо установление связи между банком и банкоматом, что возможно только там, где хорошо развита инфраструктура связи. Данный вид карт уязвим для мошенничества, поэтому системы Visa и MasterCard/Europay используют дополнительные средства защиты карт – голограммы и нестандартные шрифты для эмбоссирования.

    Активные пластиковые карты содержат встроенную микросхему и допускают разную степень обработки информации без участия банка, обслуживающего платежную систему. Типичный пример – карты-счетчики и карты с памятью. Но они уступают место интеллектуальным или смарт-картам, в состав которых входит не просто микросхема, а специализированный процессор. Сама карта представляет собой микрокомпьютер, способный при подключении к банкомату самостоятельно (без участия банка, т.е. в режиме offline) проводить не только идентификацию клиента, но и выполнение ряда финансовых операций: снятие денег со счета, безналичную оплату счетов и товаров.

    Хотя имеются случаи искажения информации, хранимой в смарт-картах, а также нарушения их работоспособности за счет воздействия высокой или низкой температуры, ионизирующих излучений, данный вид карт обладает высокой надежностью и вытесняет другие виды карт.

    Организационные (административные) меры

    Административные меры (доля 50–60%) включают:

    • разработку политики безопасности применительно к конкретной информационной системе (какие профили, какие пароли, какие атрибуты, какие права доступа);
    • разработку средств управления безопасностью (кто, когда и в каком порядке изменяет политику безопасности);
    • распределение ответственности за безопасность (кто и за что отвечает при нарушении политики безопасности);
    • обучение персонала безопасной работе и периодический контроль за деятельностью сотрудников;
    • контроль за соблюдением установленной политики безопасности;
    • разработку мер безопасности на случай природных или техногенных катастроф и террористических актов.

    Ответственность за соблюдением в организации или компании организационных (административных) мер по защите информации лежит на руководителе, начальнике службы безопасности (информационной безопасности), системном (сетевом) администраторе.

    Для обеспечения безопасности информации в офисных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации». Система защиты информации - это совокупность мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

    Традиционные меры для противодействия утечкам информации подразделяются на технические и организационные Конахович Г. Защита информации в телекоммуникационных системах. - М.: МК-Пресс, 2005.С.123..

    К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.

    К организационным мерам можно отнести охрану серверов, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности сервера после выхода его из строя, универсальность средств защиты от всех пользователей (включая высшее руководство).

    Несанкционированный доступ к информации может происходить во время профилактики или ремонта компьютеров за счет прочтения остаточной информации на носителях, несмотря на ее удаление пользователем обычными методами. Другой способ - прочтение информации с носителя во время его транспортировки без охраны внутри объекта или региона.

    Современные компьютерные средства построены на интегральных схемах. При работе таких схем происходят высокочастотные изменения уровней напряжения и токов, что приводит к возникновению в цепях питания, в эфире, в близрасположенной аппаратуре и т.п. электромагнитных полей и наводок, которые с помощью специальных средств можно трансформировать в обрабатываемую информацию. С уменьшением расстояния между приемником нарушителя и аппаратными средствами вероятность такого рода съема и расшифровки информации увеличивается.

    Несанкционированное ознакомление с информацией возможно также путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

    Традиционными методами защиты информации от несанкционированного доступа являются идентификация и аутентификация, защита паролями. Коржов В. Стратегия и тактика защиты.//Computerworld Россия.- 2004.-№14.С.26.

    Идентификация и аутентификация. В компьютерных системах сосредоточивается информация, право на пользование которой принадлежит определенным лицам или группам лиц, действующим в порядке личной инициативы или в соответствии с должностными обязанностями. Чтобы обеспечить безопасность информационных ресурсов, устранить возможность несанкционированного доступа, усилить контроль санкционированного доступа к конфиденциальной либо к подлежащей засекречиванию информации, внедряются различные системы опознавания, установления подлинности объекта (субъекта) и разграничения доступа. В основе построения таких систем находится принцип допуска и выполнения только таких обращений к информации, в которых присутствуют соответствующие признаки разрешенных полномочий.

    Ключевыми понятиями в этой системе являются идентификация и аутентификация. Идентификация - это присвоение какому-либо объекту или субъекту уникального имени или образа. Аутентификация - это установление подлинности, т.е. проверка, является ли объект (субъект) действительно тем, за кого он себя выдает.

    Классификация мер по защите информации

    В настоящее время виды компьютерных преступлений чрезвычайно многообразны. Все меры противодействия компьютерным преступлениям можно под­разделить на:

    · Нормативно-правовые

    · Морально-этические

    · Организационные

    · Технические.

    Нормативно-правовые - включают в себя законы и другие правовые акты, а также механизмы их реализации, регламентирующие информационные от­ношения в обществе. К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав про­граммистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы обще­ственного контроля за разработчиками компьютерных систем и принятие со­ответствующих международных договоров об их ограничениях, если они вли­яют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение. Только в последние годы появились работы по проблемам правовой борьбы с компьютерными преступлениями.

    Морально-этические - правила и нормы поведения, направленные на обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

    Организационные - правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих, казалось бы триви­альных правил, установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не ре­шены на должном уровне организационные вопросы. Меры обеспечения сохранности и защиты информации на каждом пред­приятии или фирме различаются по своим масштабам и формам. Они зависят от производственных, финансовых и других возможностей фирмы. Наличие большого количества уязвимых мест на любом современном пред­приятии или фирме, широкий спектр угроз и довольно высокая техническая оснащенность злоумышленников требует обоснованного выбора специальных решений по защите информации. Основой таких решений можно считать:

    · Применение научных принципов в обеспечении информацион­ной безопасности, включающих в себя: законность, экономичес­кую целесообразность и прибыльность, самостоятельность и ответственность, научную организацию труда, тесную связь тео­рии с практикой, специализацию и профессионализм, программ­но-целевое планирование, взаимодействие и координацию, до­ступность в сочетании с необходимой конфиденциальностью

    · Принятие правовых обязательств со стороны сотрудников пред­приятия в отношении сохранности доверенных им сведений (ин­формации)

    · Создание таких административных условий, при которых исключается возможность кражи, хищения или искажения информа­ции

    Для надежной защиты конфиденциальной информации целесообразно при­менять следующие организационные мероприятия:

    · Определение уровней (категорий) конфиденциальности защи­щаемой информации

    · Выбор принципов (локальный, объектовый или смешанный) ме­тодов и средств защиты

    · Установление порядка обработки защищаемой информации

    · Учет пространственных факторов: введение контролируемых (охраняемых) зон правильный выбор помещений и расположение объектов меж­ду собой и относительно границ контролируемой зоны

    · Учет временных факторов: ограничение времени обработки защищаемой информации доведение времени обработки информации с высоким уровнем конфиденциальности до узкого круга лиц

    Технические средства - комплексы специального технического и про­граммного обеспечения, предназначенные для предотвращения утечки об­рабатываемой или хранящейся у вас информации путем исключения не­санкционированного доступа к ней с помощью технических средств съема. Технические методы защиты информации подразделяются на аппарат­ные, программные и аппаратно-программные.

    Для блокирования возможных каналов утечки информации через тех­нические средства обеспечения производственной и трудовой деятельнос­ти с помощью специальных технических средств и создания системы защи­ты объекта по ним необходимо осуществить ряд мероприятий:

    · специфические особенности расположения зданий, помещений в зданиях, территорию вокруг них и подве­денные коммуникации

    · Выделить те помещения, внутри которых циркулирует конфиден­циальная информация и учесть используемые в них техничес­кие средства

    Осуществить такие технические мероприятия:

    · проверить используемую технику на соответствие величины побочных излучений допустимым уровням экранировать помещения с техникой или эту технику в поме­щениях

    · перемонтировать отдельные цепи, линии, кабели использовать специальные устройства и средства пассивной и активной защиты.

    Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудно­стью в ее создании является то, что она одновременно должна удовлетво­рять двум группам прямо противоположных требований:

    · Обеспечивать надежную защиту информации

    · Не создавать заметных неудобств сотрудникам и особенно кли­ентам.

    Кроме того, система защиты должна быть адекватна возможным угрозам, с обязательной оценкой как вероятности их появления, так и величины реального ущерба от потери или разглаше­ния информации, циркулирующей в определенном носителе.

    Защита компьютера

    В персональном компьютере в качестве вычислительных ресурсов выступают оперативная память, процессор, встроенные накопители на жестких или гибких магнитных дисках, клавиатура, дисплей, принтер, пе­риферийные устройства. Защита оперативной памяти и процессора предусматривает контроль за появлением в оперативной памяти так называемых ре­зидентных программ, защиту системных данных, очистку остатков секретной информации в неиспользуемых областях памяти. Для этого достаточно иметь в своем распоряжении программу просмотра оперативной памяти для конт­роля за составом резидентных программ и их расположением.

    Гораздо важнее защита встроенных накопителей. Существуют несколь­ко типов программных средств, способных решать эту задачу:

    Защита диска от записи и чтения

    Контроль за обращениями к диску

    Средства удаления остатков секретной информации.

    Но самый надежный метод защиты, безусловно, шифрование, так как в этом случае охраняется непосредственно сама информация, а не доступ к ней (например, зашифрованный файл нельзя прочесть даже в случае кражи дискеты). Однако в ряде случаев использование шифрования затруднитель­но либо невозможно, поэтому необходимо использовать оба метода в со­вокупности. Большинство средств защиты реализуются в виде программ или пакетов программ, расширяющих возможности стандартных операци­онных систем, а также систем управления базами данных. Более подробно о защите компьютерной информации рассказано в следующих главах.



    Методы и средства защиты информации в каналах связи

    Безопасность связи при передаче речевых сообщений основывается на использовании большого количества различных методов закрытия сооб­щений, меняющих характеристики речи таким образом, что она становит­ся неразборчивой и неузнаваемой для подслушивающего лица, перехватив­шего закрытое сообщение. При этом оно занимает ту же полосу частот, что и открытый сигнал. Выбор методов закрытия зависит от вида конкрет­ного применения и технических характеристик канала передачи.

    В зависимости от спектра передачи речевых сигналов методы защиты речевых сигналов в узкополосных каналах разделяют на следующие виды:

    · Аналоговое скремблирование

    · Маскирование сигнала специальной заградительной помехой

    · Дискретизация речи с последующим шифрованием.

    При аналоговом скремблировании изменяется характеристика речево­го сигнала, в результате чего образуется модулированный сигнал, облада­ющий свойствами неразборчивости и неузнаваемости. Полоса частот спек­тра преобразованного сигнала остается такой же, как и исходного. Анало­говое скремблирование осуществляется на базе временной и/или частотной перестановок отрезков речи.

    За счет временных перестановок преобразованное сообщение кодиру­ется, при этом расширяется спектр. Искажения спектра в узкополосном канале определяют потери в восстановленном сообщении. Аналогично, пе­рестановки отрезков спектра при частотном скремблировании приводят к интермодуляционным искажениям восстанавливаемого сообщения.

    Маскирование речевого сигнала основано на формировании аддитивной заградительной помехи с последующим ее выделением и компенсацией на при­емной стороне. Как правило, этот метод используется в сочетании с простей­шим скремблированием (наложением мультипликативной помехи на сигнал).

    Метод дискретизации речи с последующим шифрованием предполагает передачу основных компонентов речевого сигнала путем преобразования их в цифровой поток данных, который смешивается с псевдослучайной пос­ледовательностью. Полученное таким образом закрытое сообщение с по­мощью модема передается в канал связи.

    В цифровых системах компоненты речи преобразуются в цифровой поток. Дальнейшие операции преобразования включают перестановку, скремблиро­вание псевдослучайной последовательностью, временное запаздывание.

    Цифровая подпись

    Для решения задачи аутентификации информации Диффи и Хеллманом в 1976 г. предложена концепция аутентификации на основе «цифровой подписи». Она заключается в том, что каждый пользователь сети имеет свой секретный ключ, необходимый для формирования подписи, соответствующий этому секретному ключу открытый ключ, предназначенный для проверки подписи, известен всем другим пользователям сети. В предложенной схеме цифровая подпись вычисляется на основе защищаемого сообщения и секретного ключа конкретного пользователя, являющегося отправителем этого сообщения. Каждый пользователь, имеющий соответствующий открытый ключ, может аутентифицировать сообщение по подписи. Кроме того, знание открытого ключа не позволяет подделать подпись. Такие схемы аутентификации называются асимметричными.

    Вне зависимости от используемого алгоритма схема цифровой подписи включает две процедуры: процедуру формирования подписи и процедуру проверки, существенной особенностью которых является следующее. При выполнении процедуры формирования подписи используется секретный ключ, известный только лицу, осуществляющему эту процедуру. При выполнении процедуры проверки используется открытый ключ. Только в этом случае арбитр, разрешая возникший спор, может убедиться, что именно тот, кто владеет соответствующим ключом, произвел данную подпись.

    Основная область применения цифровой подписи - это информационные системы, в которых отсутствует взаимное доверие сторон (финансовые системы, системы контроля за соблюдением международных договоров, например договора о контроле за ядерными испытаниями и т.д.). Возможно применение схем цифровой подписи для создания «электронного нотариуса» с целью обеспечения охраны авторских прав на программные изделия. Что же касается цифровой подписи, то:

    1. Каждый человек использует для подписи документов свой секретный уникальный ключ.

    2. Любая попытка подписать документ без знания соответствующего секретного ключа практически не имеет успеха.

    3. Цифровая подпись документа есть функция содержания этого документа и секретного ключа. Цифровая подпись может передаваться отдельно от документа.

    4. Копия подписанного цифровым способом документа не отличается от его оригинала (нет проблемы подписи каждой копии).

    Методы построения цифровой подписи

    Наиболее часто для построения схемы цифровой подписи используется алгоритм RSA. Схема цифровой подписи, основанная на алгоритме RSA, заключается в следующем. Допустим, пользователь А желает передать несекретное сообщение Х пользователю В, предварительно его подписав. Для этого он, используя секретный ключ d, вычисляет подпись у

    И посылает (Х.у). Получатель В имеющий соответствующий открытый ключе, получив (Х.у) проверяет равенство

    И сравнивает результат этого вычисления с X. В случае совпадения полученное сообщение считается подлинным. Длина подписи в этом случае равна длине сообщения, что не всегда удобно.

    Другие методы основаны на формировании соответствующей сообщению контрольной комбинации с помощью классических криптоалгоритмов или так называемых «односторонних функций сжатия».

    Примером таких методов являются:

    1. Метод MAC (Message Authentication Codes). В нем формируется контрольная комбинация от документа (сообщения или файла) в виде свертки данного документа с секретным ключом на основе классического алгоритма типа DES.

    2. Метод MDS (Manipulation Detection Codes). Метод основан на использовании кодов, обнаруживающих обман. Производится вычисление контрольной комбинации от документа на основе использования односторонней (полислучайной) функции сжатия.

    Какой метод считать лучшим, определяется из конкретных условий работы. Для коротких сообщений типа платежных поручений или квитанций подтверждения приема, наверное лучше использовать алгоритм RSA. Для контроля целостности больших объемов информации предпочтительней методы аутентификации на основе блочных алгоритмов.

    Сравним цифровую подпись с обычной подписью. С помощью обычной подписи всегда можно доказать авторство, потому, что:

    1. У каждого человека свой только ему присущий почерк, который характеризуется определенным написанием букв, давлением на ручку и т.д.

    2. Попытка подделки подписи обнаруживается с помощью графологического анализа

    3. Подпись и подписываемый документ передаются только вместе на одном листе бумаги. Ситуаций, когда подпись передается отдельно от документа, не существует. При этом подпись не зависит от содержания документа, на котором она поставлена.

    4. Копии подписанного документа недействительны, если они не имеют своей настоящей (а не скопированной) подписи.

    Пароли, как правило, рассматриваются в качестве ключей для входа в систему, но они используются и для других целей: блокирование записи на дисковод, в командах на шифрование данных, то есть во всех тех случаях, когда требуется твердая уверенность в том, что соответствующие действия будут производиться только законными владельцами или пользователями программного обеспечения.

    Используемые пароли можно подразделить на семь основных групп:

    Пароли, устанавливаемые пользователем

    Пароли, генерируемые системой

    Случайные коды доступа, генерируемые системой

    Полуслова

    Ключевые фразы

    Интерактивные последовательности типа «вопрос - ответ» ;

    «Строгие» пароли.

    Первая группа является наиболее распространенной. Большинство таких паролей относятся к типу «выбери сам». Для лучшей защиты от несанкционированного доступа необходимо использовать достаточно длинный пароль, поэтому обычно система запрашивает пароль, содержащий не менее четырех-пяти букв. Существуют также и другие меры, не позволяющие пользователю создать неудачный пароль. Например, система может настаивать на том, чтобы пароль включал в себя строчные и заглавные буквы вперемешку с цифрами; заведомо очевидные пароли, например, internet, ею отвергаются. В разных операционных системах существует немало программ, которые просматривают файлы, содержащие пароли, анализируют пароли пользователей и опре­деляют, насколько они секретны. Неподходящие пароли заменяются.

    Когда человек впервые загружает компьютер, и тот запрашивает у него пароль, этот пароль наверняка окажется вариантом одной из общих и акту­альных для всех тем - особенно если у пользователя не хватает времени. Представьте себе состояние человека, когда его просят придумать собственный секретный пароль. Как бы то ни было, стоит запросу появиться на экра­не монитора, и человека посещает мысль о том, что надо немедленно что-то предпринимать. Не считая гениев и безнадежных тупиц, все люди, когда надо принимать быстрые решения, мыслят и действуют примерно одинаково. Им требуется время, чтобы начать мыслить творчески, поэтому начальные пред­положения и первые умозаключения в определенных группах людей оказы­ваются одинаковыми. И пользователи выдают первое, что приходит им в го­лову. А в голову приходит то, что они видят или слышат в данный момент, либо то, что собираются сделать сразу же после загрузки. В такой ситуации пароль создается в спешке, а последующая его замена на более надежный происходит достаточно редко. Таким образом, многие пароли, созданные пользователями, могут быть раскрыты достаточно быстро.

    Случайные пароли и коды, устанавливаемые системой, могут быть не­скольких разновидностей. Системное программное обеспечение может ис­пользовать полностью случайную последовательность символов - вплоть до случайного выбора регистров, цифр, пунктуации длины; или же исполь­зовать в генерирующих процедурах ограничения. Создаваемые компьюте­ром пароли могут также случайным образом извлекаться из списка обыч­ных или ничего не значащих слов, созданных авторами программы, кото­рые образуют пароли вроде onah.foopn, или ocar-back-treen.

    Полуслова частично создаются пользователем, а частично - каким-либо случайным процессом. Это значит, что если даже пользователь придумает легкоугадываемый пароль, например, «абзац», компьютер дополнит его ка­кой-нибудь неразберихой, образовав более сложный пароль типа «абзац,3ю37».

    Ключевые фразы хороши тем, что они длинные и их трудно угадать, зато легко запомнить. Фразы могут быть осмысленными, типа «мы были обеспокоены этим», или не иметь смысла - «ловящий рыбу нос». Следу­ет заметить, что в программировании постепенно намечается тенденция к переходу на более широкое применение ключевых фраз. К концепции клю­чевых фраз близка концепция кодового акронима, который эксперты по защите оценивают как короткую, но идеально безопасную форму пароля. В акрониме пользователь берет легко запоминающееся предложение, фразу, строчку из стихотворения и т. п., и использует первые буквы каждого слова в качестве пароля. Например, акронимами двух приведенных выше фраз являются «мбоэ» и «лрн». Подобные нововведения в теории паролей значительно затрудняют занятия электронным шпионажем.

    Интерактивные последовательности «вопрос - ответ», предлагают пользователю ответить на несколько вопросов, как правило, личного пла­на: «Девичья фамилия вашей матери?», «Ваш любимый цвет?», и т. д. В компьютере хранятся ответы на множество таких вопросов. При входе пользователя в систему компьютер сравнивает полученные ответы с «пра­вильными». Системы с использованием «вопросов - ответов» склонны прерывать работу пользователя каждые десять минут, предлагая отвечать на вопросы, чтобы подтвердить его право пользоваться системой. В настоящее время такие пароли почти не используются. Когда их придумали, идея казалась неплохой, но раздражающий фактор прерывания привел к тому, что данный метод практически исчез из обихода.

    «Строгие» пароли обычно используются совместно с каким-нибудь внешним электронным или механическим устройством. В этом случае компьютер обыч­но с простодушным коварством предлагает несколько вариантов приглашений, а пользователь должен дать на них подходящие ответы. Этот вид паролей часто встречается в системах с одноразовыми кодами. Одноразовые коды - это паро­ли, которые срабатывают только один раз. К ним иногда прибегают, создавая временную копию для гостей, чтобы продемонстрировать потенциальным кли­ентам возможности системы. Они также порой применяются при первом вхож­дении пользователя в систему. Во время первого сеанса пользователь вводит свой собственный пароль и в дальнейшем входит в систему лишь через него. Одноразовые коды могут также применяться в системе, когда действительный пользователь входит в нее в первый раз; затем пользователю следует поменять свой пароль на более секретный персональный код. В случаях, когда системой пользуется группа людей, но при этом нельзя нарушать секретность, прибегают к списку одноразовых кодов. Тот или иной пользователь вводит код, соответствующий времени, дате или дню недели.

    Итак, для того, чтобы пароль был действительно надежен, он должен отвечать определенным требованиям:

    Быть определенной длины

    Включать в себя как прописные, так и строчные буквы

    Включать в себя одну и более цифр,

    Включать в себя один нецифровой и один неалфавитный символ.

    Электронные ключи

    Для борьбы с компьютерным пиратством наряду со специальными программными средствами используются и аппаратно-программные средства. Они базируются на применении электронных устройств, подключаемых либо к внутренней шине компьютера, либо к его наружным разъемам. Если оценивать степень надежности защиты объемом трудозатрат, необходимых для ее «взлома», то аппаратно-программные средства «прочнее» чисто программных.

    Действительно, для вскрытия такой защиты недостаточно распутать ухищрения в программе. Необходимо восстановить протоколы и содержание обмена программ с дополнительной аппаратурой. Решение этих задач требует, как правило, применения специальных аппаратных средств типа логических анализаторов.

    Электронный ключ - это компактный прибор, который подсоединяется к параллельному или последовательному портам компьютера и не влияет на взаимодействие компьютера с внешними устройствами. Идея защиты с использованием электронного ключа состоит в применении в защищаемой программе специального алгоритма взаимодействия с ключом, который не позволяет исполнять программу без него. В этом случае каждый экземпляр программы поставляется вместе с электронным ключом. Критерии оценки качества электронного ключа: ключ должен представлять собой некоторый генератор функций, а не просто память для констант; ключ должен быть выполнен на базе заказной интегральной схемы, что исключает возможность его законного воспроизведения.

    Электронные ключи могут использоваться для решения следующих задач:

    • защита программ от несанкционированного распространения;
    • защита данных от раскрытия содержащейся в них информации;
    • защита компьютеров от доступа к ним посторонних лиц

    1. Защита программ осуществляется двумя способами. Первый способ (назовем его ручным) состоит во встраивании самим разработчиком в свою программу фрагментов, взаимодействующих с электронным ключом. Второй способ основан на автоматическом включении в защищаемый файл обменов с ключом. В этом случае поставляемая вместе с ключом специальная программа автоматически обрабатывает исполняемые файлы таким образом, что без ключа они оказываются неработоспособными. Преимуществом автоматической защиты перед ручной является практически нулевая трудоемкость этой процедуры. Кроме того, программа автоматической защиты создается высококвалифицированными специалистами, что обеспечивает ее большую надежность.

    2. Защита данных от раскрытия содержащейся в них информации достигается путем шифрования. Существуют достаточно эффективные методы шифрования, например алгоритм DES. Однако надежность шифрования не может быть выше надежного хранения и передачи шифровального ключа. В этом случае шифровальный ключ не надо запоминать или записывать и, что очень важно, вводить в компьютер с клавиатуры. Хранящиеся в компьютере данные могут быть дешифрованы только при наличии ключа. Кроме того, для повышения надежности сама программа шифрования - дешифрования может быть защищена с помощью того же самого ключа.

    3. Защита компьютера от посторонних лиц предполагает загрузку операционной системы только для санкционированных пользователей, а также обеспечение доступа каждого пользователя только к выделенным ресурсам, среди которых могут быть логические диски, каталоги и отдельные файлы. Реализация такой защиты связана с идентификацией пользователей. Для этого могут быть использованы электронные ключи. При этом возможны два подхода.

    Первый подход предполагает, что каждый санкционированный пользователь имеет в своем распоряжении уникальный электронный ключ. Распознавание пользователя осуществляется без ввода каких-либо паролей после подсоединения ключа к разъему. В этом случае можно утверждать, что ключ к тайнам пользователя хранится у них в кармане. Но, если компьютер эксплуатируется в организации, то администрация, как правило, желает иметь доступ ко всем файлам и контролировать работу всех пользователей. Для этого необходимо иметь хотя бы по два одинаковых набора ключей, причем один набор хранится у руководителя организации.

    Второй подход обеспечивает снижение стоимости защиты за счет того, что используется только один ключ для всех пользователей. Ключом распоряжается администратор системы, назначаемый руководством организации. Загрузка операционной системы возможна только при подсоединенном ключе. Идентификация пользователей осуществляется путем ввода паролей.


    Под целостностью данных понимается система правил Microsoft Access, позволяющих при изменении одних объектов автоматически изменять все связанные с ними объекты и обеспечивать защиту от случайного удаления или изменения связанных данных.

    Список значений может быть задан либо фиксированным набором зна­чений, которые вводятся пользователем при создании поля, либо спис­ком значений из ссылочной таблицы или запроса.

    Индекс - средство Microsoft Access, ускоряющее поиск и сортировку в таблице. Ключевое поле таблицы индексируется автоматически. Не допускается создание индексов для полей типа MEMO и «Гипер­ссылка» или полей объектов OLE.

    Уникальный индекс - индекс, определенный для свойства Индекси­рованное поле значением «Да (Совпадения не допускаются)». При этом ввод в индексированное поле повторяющихся значений становится невозможным. Для ключевых полей уникальный индекс создается автоматически.

    Положение о мерах по обеспечению Защиты информации.

    Общие положения

    Использование автоматизированных систем значительно повышает эффективность работы организации и одновременно создает предпосылки искажения и потери информации за счет отказов, сбоев, ошибочных или злонамеренных действий обслуживающего персонала, несанкционированных действий третьих лиц, компьютерных преступлений.

    Использование сетевых технологий в обработке информации выдвигает проблему безопасности на первый план.

    В данном документе определяются следующие аспекты обеспечения безопасности:

    • ограничение доступа к аппаратным средствам;
    • соблюдение норм безопасности на рабочих местах;
    • доступ пользователей к сетевым ресурсам;
    • разграничение прав на уровне прикладных программ;
    • безопасность при работе с электронной почтой;
    • безопасность при работе с Интернет;
    • защита информации при работе с электронными финансовыми документами;
    • обеспечение защиты при передаче финансовой информации.

    1. Защита аппаратных средств

    Компьютерное оборудование должно располагаться в местах, которые исключают возможность доступа посторонних лиц без ведома сотрудников организации. Основные серверы должны располагаться в отдельных комнатах серверных, в которые имеет доступ ограниченный круг сотрудников службы автоматизации организации. Перечень этих сотрудников должен утверждаться уполномоченным руководителем организации.

    Структура сети должна сводить к минимуму вероятность несанкционированного подключения к магистральным кабелям и/или коммутирующим устройствам.

    Для защиты компьютеров, установленных вне территории, контролируемой организацией, должны быть выполнены следующие дополнительные требования:

    • корпус компьютера должен быть опломбирован;
    • настройка BIOS компьютера должна быть защищена паролем администратора;
    • запуск компьютера должен осуществляться после ввода пароля пользователя (этот пароль контролируется BIOS );
    • пароли администратора BIOS и пользователя должны иметь длину не менее 6 знаков и не должны совпадать друг с другом;
    • если специфика работы пользователя позволяет это, то должны быть заблокированы (отключены физически или путем соответствующей настройки BIOS ) такие устройства, как CD-дисковод, дисковод гибкого диска (дискеты ), порты USB;

    2. Соблюдением норм безопасности на рабочих местах

    Каждый сотрудник обязан в течение рабочего времени обеспечить защиту от несанкционированного доступа к информации на своем компьютере. На рабочих местах пользователей системы это достигается применением аутентификации при загрузке ОС компьютера и блокировкой клавиатуры при временном уходе с рабочего места.

    В подразделениях организации должен быть обеспечен постоянный визуальный контроль сотрудников за компьютерами временно отлучившихся коллег.

    При выводе информации на печатающее устройство сотрудники обязаны контролировать процесс печати, при этом принтер не должен оставаться без присмотра. Все распечатанные документы необходимо забирать на рабочее место. Бумажные документы, необходимость дальнейшего использования которых отпала, должны уничтожаться в установленном в организации порядке, т.е. с использованием соответствующего оборудования, исключающего возможность восстановления их содержания.

    При необходимости установки на компьютере новой программы пользователь обязан обратиться в Управление автоматизации для выполнения соответствующих действий. Самостоятельная установка программ, равно как и самостоятельное изменение настроек компьютера, операционной системы и прикладных программ, изменение конфигурации компьютера не допускаются. Каждый сотрудник организации несет ответственность за наличие на своей машине посторонних программ и другой неслужебной электронной информации.

    При работе сотрудников организации с клиентами желательно исключить возможность просмотра клиентами содержимого экрана монитора. Это достигается взаимным расположением сотрудника и обслуживаемого клиента «лицом к лицу» и соответствующим разворотом монитора.

    Особую осторожность необходимо соблюдать при вводе паролей: как сетевых, так и паролей, используемых в прикладных программах. Запрещается записывать или сохранять в файлах информацию о паролях пользователей.

    3. Защита на уровне локальной вычислительной сети

    3.1. Регистрация пользователей в сети

    Система контроля доступа к локальной сети определяет:

    • какие пользователи могут работать на файловом сервере;
    • в какие дни и в какое время пользователи могут работать;
    • с каких рабочих станций пользователи могут работать.

    Регистрация учётной записи пользователя на Сервере ЛВС производится Администратором на основании заявки, подписанной руководителем подразделения, в котором работает сотрудник.

    Для контроля доступа к сети организации каждому пользователю присваивается один уникальный идентификатор (сетевое имя ), который выдается ему Администратором ЛВС при регистрации, и временный пароль для первичного подключения к сети. При первом подключении к сети система контроля доступа проверит правильность временного пароля и, при положительном результате проверки, предложит сменить пароль на постоянный. Длина пароля, выбираемого пользователем, должна быть достаточной для обеспечения разумной стойкости к подбору, как правило это 6 и более символов. Срок действия пароля должен быть ограничен и составляет, как правило, один год или менее.

    Заявка на доступ пользователя к ресурсам ЛВС подписывается руководителем подразделения.

    При увольнении сотрудника, отстранении его от работы, изменении его служебных обязанностей и функций, его непосредственный руководитель обязан своевременно письменно известить об этом администратора ЛВС. Администратор обязан немедленно произвести соответствующие изменения в настройках учетной записи и/или в наборе полномочий (прав) пользователя.

    Каждому пользователю ЛВС при его регистрации может устанавливаться ограничение на количество соединений с каждым из серверов – как правило, одно подключение к каждому из серверов, необходимых для работы пользователя. В качестве дополнительной защиты может использоваться привязка сетевых имён к MAC-адресам рабочих станций.

    В случае необходимости временной передачи полномочий одного пользователя ЛВС другому руководитель соответствующего подразделения обязан своевременно письменно известить об этом администратора ЛВС. В извещении указываются дата начала и дата отмены делегирования полномочий одного пользователя другому. Администратору запрещается делегирование полномочий пользователей по устной просьбе руководителей подразделений и сотрудников. Не допускается передача сетевого имени и/или пароля от одного пользователя другому.

    Заявки на подключение, делегирование полномочий и отключение (блокировку ) пользователей к ресурсам сети сохраняются администратором.

    Обо всех попытках несанкционированного доступа к информации в ЛВС Администратор обязан немедленно сообщать начальнику управления автоматизации.

    Администратор обязан иметь возможность оперативного получения списка пользователей, групп и структуру их доступа к сетевым ресурсам.

    3.2. Разграничение доступа к ресурсам сети

    Разграничение прав доступа к определенным базам данных и программам, расположенным на файловых серверах, производится на уровне сетевых устройств и директорий. В случае использования серверных СУБД следует использовать их внутренние механизмы аутентификации пользователей и защиты данных.

    Для организации совместной работы с ресурсами Сервера и обмена данными через Сервер создаются группы пользователей (например, по принципу административного деления, по используемым приложениям, каталогам и т.п. ). Каждая группа имеет права доступа к определённым ресурсам. Права доступа групп, как правило, не пересекаются.

    Каждый пользователь в соответствии с его функциональными обязанностями принадлежит к одной или нескольким группам пользователей.

    На Серверах должны отсутствовать учетные записи общего пользования, такие как Guest.

    4. Разграничение прав доступа на уровне прикладных программ

    Для работы с системами организации каждый пользователь должен иметь свой уникальный идентификатор и/или пароль. В зависимости от выполняемых операций пользователю дается доступ к определенным компонентам системы. При этом ограничивается доступ на уровне используемых функций и выполняемых операций. На самом низком уровне для исполнителей определяются группы доступных счетов и полномочия по работе с этими счетами.

    Заявка на доступ пользователя к программам подписывается руководителем подразделения и визируется главным бухгалтером организации.

    Функции по назначению прав доступа пользователей к прикладным системам возлагаются на Администраторов систем и программ.

    5. Использование корпоративной почтовой системы

    Каждый пользователь почтовой системы должен иметь свой уникальный идентификатор и пароль. За подключение пользователей к системе и проведение необходимых регламентных работ отвечает Администратор почтовой системы.

    Запрещается использование почтовой системы для пересылки сообщений, не относящихся к работе организации: личной переписки, спама и т.п.

    Запрещается пересылка сообщений, содержащих коммерческую и др. виды тайны, в открытом (не защищенном СКЗИ ) виде.

    При получении сообщений, содержащих присоединенные файлы, сотрудник должен обеспечить антивирусный контроль этих файлов до момента их использования в прикладных программах.

    На корпоративном почтовом сервере целесообразно использование антиспам и антивирусного фильтров.

    6. Меры безопасности при работе c Интернет

    Основной задачей при взаимодействии с Интернет является защита внутренней сети. Обязательно использование межсетевых экранов (firewall), физическое разделение ресурсов внешней сети от внутренней сети организации.

    Поскольку объединение сетей организации, филиалов и доп. офисов осуществляется посредством VPN, построенной на базе Интернет, необходимо обеспечить надежную защиту периметра объединенной сети в каждом из обособленных подразделений. Это достигается использованием соответствующих технических и/или программных средств: VPN-роутеров, брандмауэров, применением антивирусного программного обеспечения.

    Запрещается использование доступа в Интернет в личных целях или для неслужебных задач.

    В случае появления признаков нестандартного поведения или нестабильной работы компьютера при доступе в интернет, а также при сигналах о попытке заражения от антивирусной системы, необходимо немедленно известить об этом администратора ЛВС организации.

    7. Защита при передаче финансовой информации

    При обмене платежными документами должны использоваться средства криптозащиты передаваемой информации: шифрование и электронная цифровая подпись (ЭЦП ). Разрешается использовать только сертифицированные средства криптозащиты.

    Сотрудники, ответственные за формирование ключевых дискет для средств криптозащиты (администраторы безопасности ), назначаются приказом по организации. Все действия по генерации и передаче ключей должны документироваться администраторами безопасности в специальных журналах.

    8. Дополнительные требования к соблюдению норм безопасности при эксплуатации системы «Клиент-Банк»

    Требуется соблюдение мер безопасности, предписанных соответствующими документами уполномоченных органов, для обеспечения безопасности в организации, занимающейся техническим обеспечением, распространением и эксплуатацией программ защиты информации по классу «С ».

    Требуется соблюдение мер безопасности с работой в системе «Клиент-Банк ».

    Доступ в помещение, в котором установлен компьютер, который передаёт и принимает документы по системе «Клиент-Банк » должен быть предоставлен лишь ограниченному кругу лиц, список которых отражен в соответствующих приказах по организации.

    В связи с тем, что компьютер с программным обеспечением передачи и приема файлов от участников системы «Клиент-Банк » напрямую подключен к внешним вычислительным сетям, необходимо:

    1. Предпринять меры, обеспечивающие невозможность для внешнего пользователя входа с этого компьютера во внутреннюю сеть организации.

    2. Вся конфиденциальная информация, хранящаяся на этом компьютере, должна подвергаться шифрованию или иному преобразованию с целью невозможности ее несанкционированного использования.

    Все операции и действия, происходящие в системе «Клиент-Банк », должны записываться в файлы (журналы ) протоколов.

    С целью быстрого восстановления системы, необходимо ежедневное создание ее резервных копий, которые должны храниться на другом компьютере, физически расположенном в другом помещении организации.

    9. Обеспечение целостности и достоверности информации

    Периодически должны осуществляться профилактические сканирования жестких дисков компьютеров с помощью антивирусных программ. При использовании съёмных носителей электронной информации обязательна их проверка антивирусной программой при первой установке (а для перезаписываемых носителей – при каждой установке ) в компьютер.

    Резервное копирование основной информации, хранящейся в электронном виде на серверах организации, должно осуществляться ежедневно. Необходимо иметь копию баз данных операционной деятельности на начало дня.

    Архивная информация подлежит копированию в двух экземплярах на носители длительного хранения (CD-ROM, DVD-ROM магнитооптические диски и т.п. ). Хранить копии архивной информации следует в отдельно стоящих хранилищах, обеспечивающих надлежащие условия их содержания и невозможность несанкционированного доступа к ним.

    Скачать ZIP файл (20862)

    Пригодились документы - поставь «лайк»:

    С чего начинается информационная безопасность компьютерных сетей предприятия? Теория говорит об ана­лизе рисков, выработке политики и организации системы безопасности. И это правильно. Но прежде чем обратиться к теории, надо навести элементарный порядок и наладить дисциплину в информационных служ­бах предприятия.

    Вы должны уметь четко ответить на вопросы:

    Сколько компьютеров (коммуникационного, вспомогательного оборудования) установлено на вашем предпри­ятии?

    Сколько их сейчас, в данный момент, а не сколько их было вчера или месяц назад; сколько их на рабочих местах, сколько в ремонте, сколько в резерве.

    Вы сумеете узнать каждый компьютер "в лицо"? Обнаружите ли вы "маскарад" оборудования, когда какой-нибудь компьютер или его часть, или программное обеспечение подменены, так что кажущееся рабочей ло­шадкой оборудование на самом деле является троянским конем?

    Какие задачи и с какой целью решаются на каждом компьютере? Уверены ли вы в необходимости каждой единицы контролируемого вами оборудования и в том, что среди него нет ничего лишнего, установленного, скажем, для красоты и ждущего, чтобы на него обратил внимание какой-нибудь хакер из числа молодых и дерзких сотрудников? Ведь если от оборудования нет пользы, с точки зрения информационной безопаснос­ти от него можно ожидать только вреда. А вот еще несколько вопросов по оборудованию. Каков порядок ремонта и технической профилактики компьютеров?

    Как проверяется оборудование, возвращаемое из ремонта, перед установкой на штатное рабочее место? Как производится изъятие и передача компьютеров в подразделения и каков порядок приема в работу ново­го оборудования?

    Список вопросов можно продолжить... Аналогичные вопросы можно задать и относительно программного обеспечения и персонала.

    Другими словами, защита информации начинается с постановки и решения организационных вопросов. Те, кому уже приходилось на практике заниматься вопросами обеспечения информационной безопасности в автоматизированных системах, единодушно отмечают следующую особенность - реальный интерес к проблеме защиты информации, проявляемый менеджерами верхнего уровня, на уровне подразделений, отвечающих за работоспособность автоматизированной системы организации сменяется на резкое неприятие. Как прави­ло, приводятся следующие аргументы против проведения работ и принятия мер по обеспечению информа­ционной безопасности:

    Появление дополнительных ограничений для конечных пользователей и специалистов подразделений обеспечения, затрудняющие использование и эксплуатацию автоматизированной системы организации;

    Необходимость дополнительных материальных затрат как на проведение таких работ, так и на расшире­ние штата специалистов, занимающихся проблемой информационной безопасности.

    Экономия на информационной безопасности может выражаться в различных формах, крайними из которых являются:

    Принятие только организационных мер обеспечения безопасности информации в корпоративной сети (КС);

    Использование только дополнительных технических средств защиты информации (ТСЗИ).

    В первом случае, как правило, разрабатываются многочисленные инструкции, приказы и положения, призван­ные в критическую минуту переложить ответственность с людей, издающих эти документы на конкретных исполнителей. Естественно, что требования таких документов (при отсутствии соответствующей техничес­кой поддержки) затрудняют повседневную деятельность сотрудников организации и, как правило, не выпол­няются.

    Во втором случае, приобретаются и устанавливаются дополнительные ТСЗИ. Применение ТСЗИ без соответ­ствующей организационной поддержки также неэффективно в связи с тем, что без установленных правил обработки информации в КС применение любых ТСЗИ только усиливает существующий беспорядок. Рассмотрим комплекс организационных мер, необходимых для реализации защиты информации в сетях ЭВМ. С одной стороны, эти меры должны быть направлены на обеспечение правильности функционирования ме­ханизмов защиты и выполняться администратором безопасности системы. С другой стороны, руководство организации, эксплуатирующей средства автоматизации, должно регламентировать правила автоматизиро­ванной обработки информации, включая и правила ее защиты, а также установить меру ответственности за нарушение этих правил.

    К организационным мерам относятся:

    Разовые (однократно проводимые и повторяемые только при полном пересмотре принятых решений) мероприятия;

    Мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой КС или внешней среде (по необходимости);

    Периодически проводимые (через определенное время) мероприятия;

    Постоянно (непрерывно или дискретно в случайные моменты времени) проводимые мероприятия.

    Разовые мероприятия

    К разовым мероприятиям относят:

    Общесистемные мероприятия по созданию научно-технических и методологических основ (концепции и других руководящих документов) защиты КС;

    Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных цен­тров и других объектов АС (исключение возможности тайного проникновения в помещения, исключение возможности установки прослушивающей аппаратуры и т. п.);

    Мероприятия, осуществляемые при проектировании, разработке и вводе в эксплуатацию технических средств и программного обеспечения (проверка и сертификация используемых технических и программ­ных средств, документирование и т. п.);

    Проведение спецпроверок всех применяемых в КС средств вычислительной техники и проведения ме­роприятий по защите информации от утечки по каналам побочных электромагнитных излучений и наво­док;

    Разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной бе­зопасности;

    Внесение необходимых изменений и дополнений во все организационно-распорядительные документы (положения о подразделениях, функциональные обязанности должностных лиц, инструкции пользова­телей системы и т. п.) по вопросам обеспечения безопасности программно-информационных ресурсов КС и действиям в случае возникновения кризисных ситуаций;

    Оформление юридических документов (в форме договоров, приказов и распоряжений руководства орга­низации) по вопросам регламентации отношений с пользователями (клиентами), работающими в авто­матизированной системе, между участниками информационного обмена и третьей стороной (арбитра­жем, третейским судом) о правилах разрешения споров, связанных с применением электронной подпи­си;

    Определение порядка назначения, изменения, утверждения и предоставления конкретным должност­ным лицам необходимых полномочий по доступу к ресурсам системы;

    Мероприятия по созданию системы защиты КС и созданию инфраструктуры;

    Мероприятия по разработке правил управления доступом к ресурсам системы (определение перечня задач, решаемых структурными подразделениями организации с использованием КС, а также используе­мых при их решении режимов обработки и доступа к данным; определение перечня файлов и баз дан­ных содержащих сведения, составляющие коммерческую и служебную тайну, а также требования к уров­ням их защищенности от НСД при передаче, хранении и обработке в КС; выявление наиболее вероятных угроз для данной КС, выявление уязвимых мест процесса обработки информации и каналов доступа к ней; оценку возможного ущерба, вызванного нарушением безопасности информации, разработку адек­ватных требований по основным направлениям защиты);

    Организацию надежного пропускного режима;

    Определение порядка учета, выдачи, использования и хранения съемных магнитных носителей инфор­мации, содержащих эталонные и резервные копии программ и массивов информации, архивные данные и т. п.;

    Организацию учета, хранения, использования и уничтожения документов и носителей с закрытой ин­формацией;

    Определение порядка проектирования, разработки, отладки, модификации, приобретения, специссле­дования, приема в эксплуатацию, хранения и контроля целостности программных продуктов, а также порядок обновления версий используемых и установки новых системных и прикладных программ на ра­бочих местах защищенной системы (кто обладает правом разрешения таких действий, кто осуществляет, кто контролирует и что при этом они должны делать);

    Создание отделов (служб) компьютерной безопасности или, в случае небольших организаций и подраз­делений, назначение нештатных ответственных, осуществляющих единое руководство, организацию и контроль за соблюдением всеми категориями должностных лиц требований по обеспечению безопасно­сти программно-информационных ресурсов автоматизированной системы обработки информации;

    Определение перечня необходимых регулярно проводимых превентивных мер и оперативных действий персонала по обеспечению непрерывной работы и восстановлению вычислительного процесса АС в кри­тических ситуациях, возникающих как следствие НСД, сбоев и отказов СВТ, ошибок в программах и дей­ствиях персонала, стихийных бедствий.

    Периодически проводимые мероприятия

    К периодически проводимым мероприятиям относят:

    Распределение реквизитов разграничения доступа (паролей, ключей шифрования и т. п.);

    Анализ системных журналов, принятие мер по обнаруженным нарушениям правил работы,

    Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации;

    Периодически с привлечением сторонних специалистов осуществление анализа состояния и оценки эф­фективности мер и применяемых средств защиты. На основе полученной в результате такого анализа информации принимать необходимые меры по совершенствованию системы защиты;

    Мероприятия по пересмотру состава и построения системы защиты.

    Мероприятия, проводимые по необходимости

    К мероприятиям, проводимым по необходимости, относят:

    Мероприятия, осуществляемые при кадровых изменениях в составе персонала системы;

    Мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспече­ния (строгое санкционирование, рассмотрение и утверждение всех изменений, проверка их на удовлет­ворение требованиям защиты, документальное отражение изменений и т. п.);

    Мероприятия по подбору и расстановке кадров (проверка принимаемых на работу, обучение правилам работы с информацией, ознакомление с мерами ответственности за нарушение правил защиты, обуче­ние, создание условий, при которых персоналу было бы невыгодно нарушать свои обязанности и т. д.).

    Постоянно проводимые мероприятия

    Постоянно проводимые мероприятия включают:

    Мероприятия по обеспечению достаточного уровня физической защиты всех компонентов КС (противо­пожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической цело­стности СВТ, носителей информации и т. п.).

    Мероприятия по непрерывной поддержке функционирования и управлению используемыми средствами защиты;

    Явный и скрытый контроль за работой персонала системы;

    Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в строй и функционирования АС;

    Постоянно (силами отдела (службы) безопасности) и периодически (с привлечением сторонних специа­листов) осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защи­ты.

    Несколько детализируя методологию построения систем информационной безопасности относительно корпоративной сети, а также учитывая вышесказанное по возможным угрозам сети и имеющимся способам борьбы с ними, алгоритм построения системы информационной безопасности корпоративной сети может быть представлен следующим образом.

    Весь объект защиты имеет несколько направлений возможных атак. Для каждого вида атаки существуют соответствующие способы и средства борьбы с ними. Определив основные способы борьбы, мы тем самым сформируем политику информационной безопасности. Выбрав в соответствии со сформированной политикой совокупность средств обеспечения информационной безопасности, объединив их системой управления, мы получим фактически систему защиты информации.

    Аналогичным образом анализируются угрозы на уровне корпоративной сети. Она может быть представлена тремя основными составляющими – техническое обеспечение, информационное обеспечение и программное обеспечение. Каждый из этих компонент может далее детализироваться до степени, достаточной для формулировки основных угроз на этом уровне и возможных способов борьбы с ними.

    Выбор конкретных способов и средств защиты информации на уровне сети также выливается в соответствующую политику и систему информационной безопасности, которые органически вливаются в общую политику и систему информационной безопасности всего объекта (см. ниже схемы “Вероятные угрозы” ).

    Читать еще: