Автор работы: Пользователь скрыл имя, 04 Ноября 2010 в 03:21, Не определен
1.Законодательные и административные меры для регулирования вопросов защиты информации
2.Технические и программно-математические методы защиты информации
3.Методы защиты информации и их главные недостатки
Криптографическая защита - защита данных при помощи криптографического преобразования преобразования данных.
Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки.
И так Информацию достаточно условно можно разделить на сведения, отнесенные к государственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию. Рассматривать первый тип мы не будем. Согласно списку терминов и определений Гостехкомиссии России конфиденциальная информация - это информация, требующая защиты (любая, ее назначение и содержание не оговариваются). Персональные данные - это сведения о гражданах или предприятиях. В соответствии с Федеральным законом № 24 "Об информации, информатизации и защите информации" "защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб собственнику, владельцу или иному лицу". Из описанного следует, что ВЫ обязаны заботиться о сохранности своей информации. Например, никто кроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всех предприятиях, где я работал и работаю.
В данной работе не будут затронуты информация, распространяемая по каналам связи (телефония, WEB, E-mail, локальные сети и т.д.), а также проблемы, связанные с ее перехватом, блокировкой и защитой. Это связано с широтой проблемы и другими методами защиты. Основное внимание мы сосредоточим на информации, хранимой и используемой на предприятии или у граждан. От чего же необходимо защищать информацию? Ответ - в Положении "О государственном лицензировании деятельности в области защиты информации" №60, где говорится, что "защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.". Пример - в одном из РЭУ подмосковного города были похищены компьютеры, и в результате была обнародована информация о прописке граждан. Также в современных российских условиях не следует сбрасывать со счета и попытки предприятий скрыть данные от силовых ведомств. Правомочность этих действий мы не оспариваем, но каждое предприятие само решает, какие данные оно хочет обнародовать, какие - нет (по определению конфиденциальной информации). Кстати, информация, хранимая на компьютерах, не может использоваться как улики в уголовно-гражданских делах, но вполне возможно ее применение для выполнения следственных действий.
Защиту
информации следует рассматривать как
неотъемлемую часть хранения. Невозможно
обеспечить серьезную защиту, не выполняя
резервное копирование информации. К счастью,
обеспечить сохранность копий гораздо
проще, для этого достаточно административных
мер (хранение в несгораемых сейфах). Емкость
стриммеров, CD-R, CD-RW, DVD, DVD-RW, Bluray, достаточна
для составления резервных копий и восстановления
из них в кратчайшие сроки. Пренебрежение
данными мерами чревато даже по техническим
соображениям - надежность технических
средств хранения далека от 1 (а вероятность
сбоя Windows в течение рабочего дня равна
1), и потерять информацию по причине программного
сбоя или поломки накопителя очень обидно
и дорого. Известны случаи потери бухгалтерской
отчетности за три месяца, восстановление
заняло два месяца, штрафы за несвоевременное
представление отчетности превысили стоимость
сломавшегося накопителя более чем в 100
раз, не считая приостановки лицензии
и косвенных потерь4.
3.Методы
защиты информации и
их главные недостатки
Если территория (помещение) предприятия имеет охрану, персоналу можно доверять, локальная сеть не имеет выходов в глобальные сети, то такую защищенность надо признать очень высокой. Однако это идеальный случай, и в практике такое не всегда выполнимо (пример - персональная база жителей Санкт-Петербурга из ГУВД, обнародованная на CD). Пренебрегать этим методом нельзя, и он, как правило, дополняет или контролирует другие методы.
Защита информации установкой пароля BIOS, но большое количество наблюдаемых установок данного пароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это - открыть компьютер, установить перемычку и снять ее (самое большее - две минуты). Есть два (известных мне) исключения - системы с часами на базе микросхем DALLAS и переносные компьютеры. Здесь задачка не так просто решается. Помогает снятие накопителя и установка его в другой компьютер (опять же две минуты)5.
Блокировка загрузки операционной системы. По этому пути идут многие фирмы. У данного метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные платы перехватывают прерывание по загрузке, однако Setup современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства. Физическое уничтожение накопителя. Это наиболее древний и действенный метод, вспомните сжигание, съедание бумаг. Конечно, в наше время он становится более изощренным, в частности, к компьютерной безопасности можно приобщить следующие методы:
Данным методам очень тяжело что-то противопоставить, но при ложном срабатывании слишком велика стоимость потерь. Имеются в виду только материальные потери, так как грамотное ведение резервного копирования решает задачу восстановления в кратчайшие сроки. Очень интересно, конечно, кроме последнего пункта, что эти меры не требуют никакого согласования, лицензирования и сертификации, если они выполнены силами самого предприятия. Например, нельзя обвинить изготовителя окна, что он стал виновником уничтожения информации, если компьютер был с него скинут. Очень распространено использование сменных HDD или магнитооптических дисков. Однако опыт их использования, особенно при постоянном изъятии, говорит о значительном сокращении срока их службы (удары по винчестеру) и частых сбоях (характерных для магнитооптики)6.
Стирание информации. Метод имеет много общего с предыдущим и в тоже время лишен ряда его недостатков, так как теряется только информация, а не накопитель (яркий пример - стирание пленки в фильме "Гений"). Информацию восстанавливаем с резервной копии - и нет проблем. Программное стирание и комплексы, использующие данную функцию, требуют нахождения компьютера исключительно под напряжением. Это трудно выполнимо, даже мощные UPS не могут обеспечить работу компьютеров более часа. Пример: один комплекс дал сбой, так как удаляемый файл был открыт программой и блокировка операционной системы остановила дальнейшее удаление. Аппаратное стирание, выполняющее свои функции без участия компьютера, особенно при наличии резервного источника питания, устраняет эти проблемы. Скорость уничтожения, как правило, соизмерима со скоростью работы самого накопителя. Хотя для магнитной ленты возможно и мгновенное стирание. Данные устройства могут применятся не только в помещении офиса, но, например, и в кейсе, при перевозке информации.
Шифрование данных . Это одно из мощнейших методов. Начнем его рассмотрение с определения по ГОСТ 19781: Шифрование - это процесс преобразования открытых данных в зашифрованные при помощи шифра или зашифрованных данных в открытые при помощи шифра - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных данных, осуществляемых по определенным правилам с применением ключей (конкретное секретное состояние некоторых параметров алгоритма криптографического преобразования данных, обеспечивающее выбор одного преобразования). Стойкость современных шифровальных систем достаточно высока, и будем считать ее достаточной. Но - !!! Вот тут-то мы и получаем мощное сопротивление со стороны законодательства. Во-первых, разработчик, продавец и установщик должны иметь лицензию. Но и этого мало! ДАЖЕ ПОЛЬЗОВАТЕЛЬ обязан иметь лицензию ФАПСИ. В России разрешено использование только одного алгоритма и принципиально невозможно получить, а значит и использовать, импортные разработки! Например, появившаяся в печати реклама комплекса "Secret Disk" о продаже его в магазинах просто непонятна (одно из двух - или это не шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит: "В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ". Сможете ли вы применить данный метод после этих разъяснений?
Приобретаемые
технические устройства защиты информации
могут не иметь сертификации, при
условии, что они не будут использованы
в государственных и банковских учреждениях.
Однако предприятие-продавец должно иметь
лицензию на право занятия данной деятельностью.
Ответственность за использование несертифицированных
средств, как ни странно, лежит на самом
потребителе, хотя он может (или должен?
и куда?) обратиться для проверки на соответствие
данной системы.
Заключение
Итак, подведем итоги всему выше сказанному:
Наличие
норм об ответственности, в том числе
уголовной, может послужить работникам
предостережением от нарушений в данной
области, поэтому целесообразно подробно
проинформировать всех сотрудников о
последствиях нарушений. В то же время
надо отдавать себе отчет, что ущерб, причиненный
разглашением коммерческой тайны, зачастую
имеет весьма значительные размеры (если
их вообще можно оценить). Компенсировать
убытки, потребовав их возмещения с виновного
работника, скорее всего не удастся, отчасти
из-за несовершенного порядка обращения
имущественных взысканий на физических
лиц, отчасти - просто из-за отсутствия
у физического лица соответствующих средств.
Хотелось бы надеяться что создающееся
в стране система защиты информации и
формирование комплекса мер по ее реализации
не приведет к необратимым последствиям
на пути зарождающегося в России информационно
- интеллектуального объединения со всем
миром.
Список
литературы
Информация о работе Системы защиты конфиденциальной информации