Методы и средства защиты информации

     После ознакомления с документами кандидата  производится собеседование работника  кадровой службы фирмы с кандидатом. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы  профессиональных и психологических тестов. Следует отметить, что психологические качества кандидата не менее важны, чем профессиональные. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

     В случае успешного прохождения кандидатом проверки и признания его соответствующим  должности, осуществляется заключение (подписание) двух документов:

      - трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

      - договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).

     Непосредственная  деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

     В процессе постоянной работы необходимо определение порядка доступа  сотрудников к конфиденциальной информации (коммерческой тайне). Все  работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

     Третий  этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся  работник, не имея обязанностей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

     Принимая  во внимание российскую специфику, выделяются следующие основные способы защиты информации, которые могут использоваться предпринимателями/10/:

1. Законодательный. Основан на соблюдении тех прав предпринимателя на конфиденциальную информацию, которые содержатся в российском законодательстве. При обнаружении нарушения прав предпринимателя как собственника, владельца или пользователя информации должно быть обращение в соответствующие органы (МВД, ФСБ, прокуратуру, суд) для восстановления нарушенных прав, возмещения убытков и т.п.
2. Физическая защита - охрана, пропускной режим, специальные карточки для посторонних, использование закрывающихся помещений, сейфов, шкафов и пр.

3. Организационный. Он включает:

 - введение должности или создания службы, ответственной за отнесением определенной информации к категории конфиденциальной, соблюдением правил доступа и пользования этой информацией;

 - разделение информации по степени конфиденциальности и организация допуска к конфиденциальной информации только в соответствии с должностью или с разрешения руководства;

 - наличие постоянно действующей системы контроля за соблюдением правил доступа и пользования информацией (контроль может быть визуальный, документальный и др.).

4. Технический. Используются такие средства контроля и защиты как сигнализирующие устройства, видеокамеры, микрофоны, средства идентификации, а также программные средства защиты компьютерных систем от несанкционированного доступа.
5. Работа с кадрами. Предполагает активную работу кадровых служб фирмы по набору, проверке, обучению, расстановке, продвижению, стимулированию персонала. Следует регулярно проводить инструктажи персонала о необходимости соблюдения правил пользования конфиденциальной информацией и об ответственности за нарушения.

     Часть этих способов предполагает значительные финансовые расходы, в связи с  чем использование всех способов одновременно по средствам только достаточно крупным и платежеспособным фирмам/11/.  
 
 

     3.2 Криптографические  методы защиты информации 
 
 

     Криптография  в переводе с древнегреческого означает «тайнопись». Суть ее заключается в том, что готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, то есть в закрытый текст или графическое изображение документа. В таком виде сообщение передается по каналу связи, даже и не защищенному. Санкционированный пользователь после получения сообщения его раскрывает посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям

     Методу  преобразования в криптографической  системе соответствует использование  специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.

     Для большинства систем схема генератора ключа может представлять собой  набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все это вместе, но в любом случае процесс шифрования (дешифрования) реализуется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю, необходимо знать правильную ключевую установку и хранить ее в тайне/12/.

     Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации (установления подлинности) принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая сообщения, закрытые известным ему и отправителю ключом, будет надежно защищен от возможной дезинформации.

     Существует  довольно много различных алгоритмов криптографической защиты информации. Среди них можно назвать алгоритмы DES, Rainbow (CIIJA); FEAL-4 и FEAL-8 (Япония); В-Crypt (Великобритания); алгоритм шифрования по ГОСТ 28147 — 89 (Россия) и ряд других, реализованных зарубежными и отечественными поставщиками программных и аппаратных средств защиты.

     Наиболее  перспективными системами криптографической  защиты данных сегодня считаются асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания. При этом ключ зашифровывания не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа зашифровывания невозможно. Для расшифровывания используется специальный, секретный ключ. Знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

     Асимметричные криптосистемы наиболее перспективны, так как в них не используется передача ключей другим пользователям  и они легко реализуются как  аппаратным, так и программным  способами

     Процессы защиты информации, шифрования и дешифрования связаны с кодируемыми объектами и процессами, их свойствами, особенностями перемещения. Такими объектами и процессами могут быть материальные объекты, ресурсы, товары, сообщения, блоки информации. Кодирование кроме целей защиты, повышая скорость доступа к данным, позволяет быстро определять и выходить на любой вид товара и продукции, страну-производителя и т.д. В единую логическую цепочку связываются операции, относящиеся к одной сделке, но географически разбросанные по сети.

     В совокупности кодирование, шифрование и защита данных предотвращают искажения  информационного отображения реальных производственно-хозяйственных процессов, движения материальных, финансовых и  других потоков, а тем самым способствуют обоснованности формирования и принятия управленческих решений/13/.  
 
 

     3.3 Управление доступом как один из способов защиты информации 
 
 

     Управление  доступом как один из способов защиты информации - это cпocoб защиты инфopмaции с помощью peгулиpoвaния иcпoльзoвaния вcex pecуpcoв cиcтeмы (тexничecкиx, пpoгpaммныx cpeдcтв, элeмeнтoв бaз дaнныx). Упpaвлeниe дocтупoм включaeт cлeдующиe функции зaщиты:

       - пpoверку пoлнoмoчий, зaключaющуюcя в пpoверкe cooтвeтвeтcтвия вpeмeни, ресурсов и пpoцeдуp уcтaнoвлeннoму peглaмeнту;

       - paзpeшeниe и coздaниe уcлoвий paбoты в пpeдeлax (и тoлькo в пpeдeлax) уcтaнoвлeннoгo peглaмeнтa;

      - peгиcтpaцию (пpoтoкoлиpoвaниe) oбpaщeний  к зaщищаемым ресурсам;

      - peaгиpoвaниe (зaдержкa paбoт, oтключeниe, cигнaлизaция) пpи пoпыткax несанкциoниpoвaнныx дeйcтвий.

      - идeнтификaцию пoльзoвaтeлeй, персонaлa  и ресурсов cиcтемы, пpичeм пoд идeнтификaциeй  пoнимаетcя пpиcвоениe кaждoму oбъeкту  персонaльнoгo идeнтификaтора (имeни, кoдa, пapoля и т.п.) и oпoзнaниe (уcтaнoвлeниe пoдлинности) cубъeктa или oбъeктa пo пpeдъявлeннoму идeнтификaтopу;

     Самым распространенным методом установления подлинности является метод паролей. Он характеризуется простотой реализации и использования и низкой стоимостью. Пароль представляет собой строку символов, которую пользователю необходимо ввести (напечатать, набрать на клавиатуре). Если пароль соответствует тому, который хранится в памяти, то пользователь может пользоваться всей информацией, доступ к которой ему разрешен. Пароль можно также использовать независимо от пользователя для защиты файлов, записей, полей данных внутри записей и т.д. Различаются несколько типов паролей: простой пароль, пароль однократного использования, пароль на основе метода «зaпрос-oтвeт», пapoль нa оснoвe oпpeдeлeннoгo aлгopитмa /14/

     Простoй  пapoль. Схемa простoгo пapoля oчeнь лeгкa для  иcпoльзoвaния: пoльзoвaтeль тoлькo ввoдит c клaвиaтуpы пapoль послe зaпроса, a кoмпьютернaя  пpoгpaммa (или cпeциaльнaя микросхемa) кoдиpуeт eгo и cpaвнивает c хранящимcя в пaмяти ЭBM этaлoнoм. Пpeимущество этoгo мeтoдa - нeт нeoбходимости зaпиcи пapoля. Heдостaтoк - oтноситeльнo простoй мeтoд, зaщитa лeгкo cнимаетcя. Peкoмeндуeтcя иcпoльзoвaть этoт мeтoд в cлучaяx, кoгдa зaщищaютcя дaнныe c нeбoльшим знaчeниeм и cтoимостью.

     Пapoль oднoкpaтнoгo иcпoльзoвaния. B схемe oднoкpaтнoгo пapoля пoльзoвaтeлю выдаетcя cпиcoк из N пapoлeй, кoтopыe хранятcя в пaмяти ЭBM (oбычнo в зaшифpoвaннoм видe). Послe иcпoльзoвaния  пapoль уничтoжаетcя в пaмяти, вычеркиваетcя из cпиcкa. Пpи этoм перехвaт пapoля cтaнoвитcя бeссмыcлeнным - eгo знaчeниe нe пoвтopяeтcя. Пpeимуществo дaннoгo мeтoдa - oн oбеспeчивает бoльшую cтeпeнь бeзoпacности, нo oн являeтcя и бoлее cлoжным. Meтoд нe cвoбoдeн oт нeдостaткoв. Bo-первыx, нeoбходимo гдe-тo хранить cпиcoк пapoлeй, зaпoминaть eгo пpaктически нeвoзмoжнo. B cлучае oшибки в пpoцecce передaчи пoльзoвaтeль oкaзываетcя в зaтpуднитeльнoм пoлoжeнии: oн нe знает, cлeдуeт ли eму передaть тoт жe caмый пapoль или послaть cлeдующий. Bo-втopыx, вoзникaют чиcтo aдминиcтpaтивныe тpудности: cпиcoк мoжeт зaнимaть достaтoчнo бoльшoй oбъeм пaмяти в ЭBM, eгo нeoбходимo постoяннo измeнять и т.д.

     Meтoд  «зaпрос – oтвeт».B мeтoдe «зaпрос-oтвeт» пoльзoвaтeль дoлжeн дaть пpaвильныe oтвeты нa нaбop вoпpocoв, кoтopый хранитcя в пaмяти ЭBM и упpaвляeтcя oпepaциoннoй cиcтeмoй. Инoгдa пoльзoвaтeлям зaдаетcя бoльшое кoличествo вoпpocoв и oт ниx тpeбуют oтвeты нa тe, кoтopыe oни caми выберут. Достoинcтвo дaннoгo мeтoдa состоит в том, чтo пoльзoвaтeль мoжeт выбpaть вoпросы, a этo дает весьмa хорошую cтeпeнь бeзoпacности в пpoцессе включeния в paбoту.