Студенти, аспіранти, молоді вчені, які використовують базу знань у своєму навчанні та роботі, будуть вам дуже вдячні.

Розміщено на http://www.allbest.ru/

Вступ

2. Системи захисту інформації

3. Інформаційні ресурси обмеженого поширення та загрози ресурсам. Доступ персоналу до конфіденційної інформації

Висновок

Вступ

З початку людської історії виникла потреба передачі та зберігання інформації.

Починаючи з XVII століття, у процесі становлення машинного виробництва першому плані виходить проблема оволодіння енергією. Спочатку вдосконалювалися способи оволодіння енергією вітру та води, а потім людство опанувало теплову енергію.

Наприкінці XIX століття почалося оволодіння електричною енергією, було винайдено електрогенератор та електродвигун. І нарешті, в середині XX століття людство опанувало атомну енергію, в 1954 році в СРСР була пущена в експлуатацію перша атомна електростанція.

Опанування енергією дозволило перейти до масового машинного виробництва споживчих товарів. Було створено індустріальне суспільство. У цей період відбувалися також суттєві зміни у способах зберігання та передачі інформації.

В інформаційному суспільстві основним ресурсом є інформація. Саме на основі володіння інформацією про різні процеси і явища можна ефективно і оптимально будувати будь-яку діяльність.

Важливо не тільки зробити велику кількість продукції, але й зробити необхідну продукцію в певний час. З певними витратами і таке інше. Тож у інформаційному суспільстві підвищується як якість споживання, а й якість виробництва; людина, яка використовує інформаційні технології, має найкращі умови праці, праця стає творчою, інтелектуальною і так далі.

В даний час розвинуті країни світу (США, Японія, країни Західної Європи) фактично вже вступили в інформаційне суспільство. Інші ж, зокрема й Росія, перебувають на ближніх підступах до нього.

Як критерії розвиненості інформаційного суспільства можна вибрати три: наявність комп'ютерів, рівень розвитку комп'ютерних мереж та кількість населення, зайнятого в інформаційній сфері, а також використовує інформаційні та комунікаційні технології у своїй повсякденній діяльності.

Інформація сьогодні коштує дорого та її необхідно охороняти. Масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою програм, що самовідтворюються, вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди інформації, що зберігається в комп'ютері.

Інформацією володіють та використовують її всі люди без винятку. Кожна людина вирішує собі, яку інформацію їй необхідно отримати, яка інформація має бути доступна іншим тощо. Людині легко, зберігати інформацію, яка в неї в голові, а як бути, якщо інформація занесена в «мозок машини», до якої мають доступ багато людей.

1. Захист інформації та інформаційна безпека

Захист інформації

Проблема створення системи захисту включає дві взаємодоповнюючі завдання: 1) розробка системи захисту інформації (її синтез); 2) оцінка розробленої системи захисту. Друге завдання вирішується шляхом аналізу її технічних характеристик з метою встановлення, чи задовольняє система захисту інформації комплексу вимог до даних систем. Таке завдання нині вирішується майже виключно експертним шляхом за допомогою сертифікації засобів захисту інформації та атестації системи захисту інформації у процесі її впровадження.

Розглянемо основний зміст наведених методів захисту інформації, які становлять основу механізмів захисту.

Перешкоди - методи фізичного запобігання шляху зловмиснику до інформації, що захищається (до апаратури, носіїв інформації і т.д.).

Управління доступом – метод захисту інформації регулюванням використання всіх ресурсів комп'ютерної інформаційної системи (елементів баз даних, програмних та технічних засобів). Управління доступом включає такі функції захисту:

ідентифікацію користувачів, персоналу та ресурсів системи (присвоєння кожному об'єкту персонального ідентифікатора);

упізнання (встановлення справжності) об'єкта чи суб'єкта за пред'явленим ним ідентифікатором;

перевірку повноважень (перевірка відповідності дня тижня, часу доби, запитуваних ресурсів та процедур встановленого регламенту);

дозвіл та створення умов роботи в межах встановленого регламенту;

реєстрацію (протоколювання) звернень до ресурсів, що захищаються;

реєстрацію (сигналізація, відключення, затримка робіт, відмова у запиті) при спробах несанкціонованих дій.

Маскування – метод захисту інформації шляхом її криптографічного закриття. Цей метод широко застосовується там як із обробці, і при зберіганні інформації, зокрема на дискетах. При передачі інформації каналами зв'язку великої протяжності даний метод єдино надійним.

Регламентація - метод захисту інформації, що створює такі умови автоматизованої обробки, зберігання та передачі інформації, що захищається, при яких можливості несанкціонованого доступу до неї зводилися б до мінімуму.

Примус - метод захисту, при якому користувачі та персонал системи змушені дотримуватися правил обробки, передачі та використання інформації, що захищається під загрозою матеріальної, адміністративної або кримінальної відповідальності.

Побуждение - метод захисту, який спонукає користувача і персонал системи не порушувати встановлений порядок з допомогою дотримання моральних і етичних норм (як регламентованих, і неписаних).

Розглянуті методи забезпечення безпеки реалізуються практично за рахунок застосування різних засобів захисту, таких, як технічні, програмні, організаційні, законодавчі та морально-етичні. До основних засобів захисту, що використовуються для створення механізму забезпечення безпеки, відносяться такі.

Технічні засоби реалізуються у вигляді електричних, електромеханічних та електронних пристроїв. Вся сукупність технічних засобів ділиться на апаратні та фізичні. Під апаратними засобами прийнято розуміти техніку чи пристрої, які сполучаються з подібною апаратурою за стандартним інтерфейсом. Наприклад, система пізнання та розмежування доступу до інформації (за допомогою паролів, запису кодів та іншої інформації на різні картки). Фізичні засоби реалізуються у вигляді автономних пристроїв та систем. Наприклад, замки на дверях, де розміщена апаратура, ґрати на вікнах, джерела безперебійного живлення, електромеханічне обладнання охоронної сигналізації. Так, розрізняють зовнішні системи охорони («Ворон», GUARDWIR, FPS та ін.), Ультразвукові системи (Cyclops і т.д.), системи переривання променя (Pulsar 30В і т.п.), телевізійні системи (VМ216 та ін.) ), радіолокаційні системи («ВІТІМ» і т.д.), система контролю розтину апаратури та ін.

Програмні засоби є програмне забезпечення, спеціально призначене для виконання функцій захисту інформації. У таку групу засобів входять: механізм шифрування (криптографії - спеціальний алгоритм, який запускається унікальним числом або бітовою послідовністю, зазвичай званим шифруючим ключем; потім каналами зв'язку передається зашифрований текст, а одержувач має свій ключ для дешифрування інформації), механізм цифрового підпису, механізми контролю доступу, механізми забезпечення цілісності даних, механізми постановки графіка, механізми управління маршрутизацією, механізми арбітражу, антивірусні програми, програми архівації (наприклад, zip, rar, arj та ін), захист при введенні та виведенні інформації тощо.

Організаційні засоби захисту є організаційно-технічні та організаційно-правові заходи, що здійснюються в процесі створення та експлуатації обчислювальної техніки, апаратури телекомунікацій для забезпечення захисту інформації. Організаційні заходи охоплюють усі структурні елементи апаратури всіх етапах їх життєвого циклу (будівництво приміщень, проектування комп'ютерної інформаційної системи банківської діяльності, монтаж і налагодження устаткування, використання, експлуатація).

Морально-етичні засоби захисту реалізуються у вигляді всіляких норм, які склалися традиційно або складаються в міру поширення обчислювальної техніки та засобів зв'язку в суспільстві. Ці норми здебільшого є обов'язковими як законодавчі заходи, проте недотримання їх зазвичай веде до втрати авторитету і престижу людини. Найбільш показовим прикладом таких норм є Кодекс професійної поведінки членів Асоціації користувачів ЕОМ США.

Законодавчі засоби захисту визначаються законодавчими актами країни, якими регламентуються правила користування, обробки та передачі інформації обмеженого доступу та встановлюються заходи відповідальності порушення цих правил.

Усі розглянуті засоби захисту розділені на формальні (що виконують захисні функції суворо за заздалегідь передбаченою процедурою без безпосередньої участі) і неформальні (визначаються цілеспрямованої діяльністю людини чи регламентують цю діяльність).

В даний час найбільш гостру проблему безпеки (навіть у тих системах, де не потрібно зберігати секретну інформацію, та в домашніх комп'ютерах) становлять віруси. Тому тут зупинимося на них докладніше. Комп'ютерний вірус – це спеціально написана невелика за розмірами програма, яка може «приписувати» себе до інших програм (тобто «заражати» їх), а також виконувати різні небажані дії на комп'ютері (наприклад, псувати файли або таблиці розміщення файлів на диску , "засмічувати" оперативну пам'ять і т.д.).

Основним засобом захисту від вірусів є архівування. Інші методи замінити його не можуть, хоч і підвищують загальний рівень захисту. Архівування необхідно робити щодня. Архівування полягає у створенні копій файлів, що використовуються, і систематичному оновленні змінюваних файлів. Це дає можливість не тільки економити місце на спеціальних архівних дисках, але й об'єднувати групи файлів, що спільно використовуються, в один архівний файл, в результаті чого набагато легше розбиратися в загальному архіві файлів. Найбільш уразливими вважаються таблиці розміщення файлів, головного каталогу та бутсектор. Файли рекомендується періодично копіювати спеціальну дискету. Їхнє резервування важливе не тільки для захисту від вірусів, але й для страховки на випадок аварійних ситуацій або чиїхось дій, у тому числі власних помилок.

З метою профілактики захисту від вірусів рекомендується:

робота із дискетами, захищеними від запису;

мінімізація періодів доступності дискет для запису;

поділ дискет між конкретними відповідальними користувачами;

поділ дискет, що передаються та надходять;

поділ зберігання новостворених програм і експлуатованих раніше;

перевірка новоствореного програмного забезпечення на наявність у них вірусу тестуючими програмами;

зберігання програм на жорсткому диску в архівованому вигляді.

Для того щоб уникнути появи комп'ютерних вірусів, необхідно дотримуватися насамперед таких заходів:

не переписувати програмне забезпечення з інших комп'ютерів, якщо це необхідно, слід вжити перерахованих вище заходів;

не допускати роботи на комп'ютері сторонніх осіб, особливо якщо вони збираються працювати зі своїми дискетами;

не користуватись сторонніми дискетами, особливо з комп'ютерними іграми.

Можна виділити такі типові помилки користувача, що призводять до зараження вірусами:

відсутність належної системи архівації інформації;

запуск отриманої програми без її попередньої перевірки на зараженість та без встановлення максимального режиму захисту вінчестера за допомогою систем розмежування доступу та запуску резидентного сторожа;

виконання перезавантаження системи за наявності встановленої в дисководі А дискети (при цьому BIOS робить спробу завантажитися саме з цієї дискети, а не з вінчестера; в результаті, якщо дискета заражена бутовим вірусом, відбувається зараження вінчестера);

прогін всіляких антивірусних програм, без знання типів діагностики тих самих вірусів різними антивірусними програмами;

аналіз та відновлення програм на зараженій операційній системі.

В даний час найбільш популярні в Росії антивірусні засоби АТ "ДіалогНаука":

поліфаг Aidstest (поліфаг-це програма, що виконує дії зворотні тим, які виробляє вірус при зараженні файлу, тобто намагається відновити файл);

ревізор Adinf;

лікувальний блок AdinfExt;

поліфаг для "поліморфіків" Doctor Web.

Існують програми-фільтри, що перевіряють, чи є у файлах (на вказаному користувачем диску) спеціальна для цього вірусу комбінація байтів. Використовується також спеціальна обробка файлів, дисків, каталогів - вакцинація: запуск програм-вакцин, що імітують поєднання умов, у яких починає працювати і виявляє себе даний тип вірусу. Як приклад резидентної програми захисту від вірусів можна навести програму VSAFF фірми Carmel Central Point Software. В якості програм ранньої діагностики комп'ютерного вірусу можуть бути рекомендовані програми CRCLIST та CRCTEST.

Інформаційна безпека.

Інформація з точки зору інформаційної безпеки має наступні категорії: конфіденційність інформації - гарантія того, що конкретна інформація доступна тільки тому колу осіб, для кого вона призначена; порушення цієї категорії називається розкраданням або розкриттям інформації цілісність інформації - гарантія того, що інформація зараз існує в її вихідному вигляді, тобто при її зберіганні або передачі не було здійснено несанкціонованих змін; порушення цієї категорії називається фальсифікацією повідомлення автентичність інформації – гарантія того, що джерелом інформації є саме та особа, яка заявлена ​​як її автор; порушення цієї категорії також називається фальсифікацією, але вже автора повідомлення апелюваність інформації - гарантія того, що за потреби можна буде довести, що автором повідомлення є саме заявлена ​​людина, і не може бути ніхто інший; відмінність цієї категорії від попередньої у цьому, що з підміні автора, хтось інший намагається заявити, що він автор повідомлення, а за порушення апелюваності - сам автор намагається " відхреститися " від своїх слів, підписаних їм одного разу.

Щодо інформаційних систем застосовуються інші категорії: надійність – гарантія того, що система поводиться в нормальному та позаштатному режимах так, як заплановано точність – гарантія точного та повного виконання всіх команд контроль доступу – гарантія того, що різні групи осіб мають різний доступ до інформаційних об'єктам, і ці обмеження доступу постійно виконуються контрольованість - гарантія того, що у будь-який момент може бути проведена повноцінна перевірка будь-якого компонента програмного комплексу контроль ідентифікації - гарантія того, що клієнт, підключений в даний момент до системи, є саме тим, за кого себе видає стійкість до умисних збоїв - гарантія того, що при умисному внесенні помилок у межах заздалегідь обумовлених норм система поводитиметься так, як обумовлено заздалегідь.

2. Системи захисту інформації

Безпека передачі у мережі Internet. Шифрування інформації за допомогою відкритих та закритих ключів. Цифровий підпис.

У сучасному Російському Інтернет більшість його користувачів, у тому числі корпоративних, використовує глобальну мережу, в основному, як величезну базу даних, найширший інформаційний ресурс, де зручно і швидко можна знайти будь-яку інформацію, що цікавить, або надати широкій аудиторії інформацію про себе, свої товари або послуг.

Однією з причин такого стану речей є, на наш погляд, відсутність у представників бізнесу впевненості у безпеці передачі інформації через Інтернет. Саме з цієї причини часто використовується факс, або кур'єр, там, де з успіхом можуть бути використані можливості Інтернет.

Розглянемо, які напрями захисту та відповідні їм технічні засоби викликають сьогодні найбільшу увагу з боку розробників і споживачів.

Захист від несанкціонованого доступу (НСД) ресурсів автономно працюючих та мережевих ПК. Ця функція реалізується програмними, програмно-апаратними та апаратними засобами, які будуть розглянуті нижче на конкретних прикладах.

Захист серверів та окремих користувачів мережі Internet від зловмисних хакерів, що проникають ззовні. Для цього використовуються спеціальні міжмережові екрани (брандмауери), які останнім часом набувають все більшого поширення (див. «Світ ПК», №11/2000, с. 82).

Захист секретної, конфіденційної та особистої інформації від читання сторонніми особами та цілеспрямованого її спотворення здійснюється найчастіше за допомогою криптографічних засобів, що традиційно виділяються в окремий клас. Сюди можна віднести і підтвердження автентичності повідомлень за допомогою електронного цифрового підпису (ЕЦП). Застосування криптосистем з відкритими ключами та ЕЦП має великі перспективи у банківській справі та у сфері електронної торгівлі. У цій статті цей вид захисту не розглядається.

Досить широкого поширення останніми роками набув захист ПЗ від нелегального копіювання за допомогою електронних ключів. У цьому огляді її також розглянуто на конкретних прикладах.

Захист від витоку інформації по побічним каналам (ланцюгами живлення, каналу електромагнітного випромінювання від комп'ютера або монітора). Тут застосовуються такі випробувані засоби, як екранування приміщення та використання генератора шуму, а також спеціальний підбір моніторів і комплектуючих комп'ютера, що мають найменшу зону випромінювання в тому частотному діапазоні, який найбільш зручний для дистанційного уловлювання та розшифровки сигналу зловмисниками.

Захист від шпигунських пристроїв, що встановлюються безпосередньо в комплектуючі комп'ютера, так само як і вимірювання зони випромінювання, виконується спецорганізаціями, які мають необхідні ліцензії компетентних органів.

Не викликають сумнівів переваги Інтернету, пов'язані зі швидкістю інформаційного обміну, економією ресурсів при міжміському та міжнародному інформаційному обміні, зручністю при роботі прикладних програм, що автоматизують різні бізнес процеси між віддаленими офісами компанії, філіями, партнерами, клієнтами, співробітниками з переносними ПК, що знаходяться поза межами свого офісу.

Всі ці можливості, безумовно, здатні значно знизити тимчасові та фінансові витрати компанії та суттєво підвищити ефективність її бізнесу.

Ще більш вагому ефективність може принести використання Інтернету при міжкорпоративному інформаційному обміні, таких як В2В портал або торгова Інтернет-система.

На жаль, на даний момент ці можливості Інтернет потрібні не достатньо, і однією з основних причин цього є саме причина недовіри Бізнесу до Інтернету з точки зору безпеки її використання.

Дуже часто нам доводиться стикатися з двома крайніми, протилежними поглядами.

Перше, полягає в запереченні проблеми безпеки як такої, і як наслідок недостатність або відсутність відповідних засобів забезпечення безпеки при передачі через Інтернет досить важливої ​​інформації. Такий підхід нерідко закінчується серйозними неприємностями та фінансовими втратами.

Друга точка зору полягає в тому, що Інтернет надзвичайно небезпечний, і ніякі засоби забезпечення безпеки не допоможуть зберегти недоторканність інформації, що передається через Інтернет.

На мій погляд, найбільш раціональним виходом із ситуації є принцип "Золотої середини", при якому компанією здійснюється використання мережі Інтернет, для вирішення своїх телекомунікаційних завдань, при дотриманні відповідних заходів безпеки.

Такими заходами можуть бути: власний аналіз своєї телекомунікаційної інфраструктури з погляду безпеки, придбання та встановлення відповідних засобів захисту та навчання своїх фахівців. Інший підхід - залучення до організації та підтримки своєї системи безпеки професіоналів із компаній, що займаються даною проблемою.

На Російському ринку діяльність у сфері захисту регулюється Держтехкомісією РФ і ФАПСИ. І тільки компанії, що мають ліцензії від цих структур, мають право займатися інформаційною безпекою в Росії.

Що стосується продуктів, які можуть застосовуватися для захисту, то на них існує система сертифікації, яка, оцінюючи їх якість, присвоює їм відповідний клас захисту. Продукти, що використовуються для захисту мереж та комп'ютерів від проникнення безпосередньо на них сторонніх користувачів, сертифікуються Держтехкомісією та називаються продуктами захисту від несанкціонованого доступу (НСД). До таких продуктів можна віднести "Межмережевые екрани", Проксі сервера і т.д.

Використання таких систем при правильній конфігурації дозволяє значно знизити небезпеку проникнення сторонніх до ресурсів, що захищаються.

Захист від несанкціонованого доступу до ресурсів комп'ютера - комплексна проблема, яка передбачає вирішення технічними засобами наступних питань:

ідентифікація та аутентифікація користувача при вході до системи;

контроль цілісності СЗІ, програм та даних;

розмежування доступу користувачів до ресурсів ПК;

блокування завантаження ОС з дискети та CD-ROM;

реєстрація дій користувачів та програм.

Дія такого екрану можна продемонструвати на прикладі персонального мережевого екрану ViPNet виробництва компанії "ІнфоТеКС". Цей міжмережевий екран може встановлюватися як на сервер, так і на робочу станцію. Використовуючи його можливості, можна організувати роботу таким чином, що власник комп'ютера може вийти на будь-який відкритий ресурс ІНТЕРНЕТ, але при спробі доступу до його комп'ютера будь-кого із зовнішнього світу, система блокує таку спробу і сповіщає про неї власника. Далі можна отримати інформацію від системи про те, з якої IP адреси намагалися отримати доступ.

Інша категорія продуктів призначена для організації захищеного інформаційного обміну та, безумовно, є найбільш надійною з погляду безпеки. Ці продукти, як правило, будуються на основі криптографії, і регулювання у цій галузі здійснюється Федеральним Агентством Урядового Зв'язку та Інформації. Такі продукти мають можливість захищати дані шифруванням, причому дані не тільки, що зберігаються на жорсткому диску, а й дані, що передаються мережами, і в тому числі "Інтернет".

Таким чином можна захистити як поштові повідомлення, так і інформаційний обмін між абонентами в режимі on-line. Системи, що дозволяють передавати будь-які дані через Інтернет у захищеному вигляді, називають VPN (Віртуальна Приватна Мережа). VPN – це віртуальна мережа з повністю закритим від стороннього доступу інформаційним обміном через відкритий Інтернет. Саме тому її називають приватною.

Закриття інформації у таких системах здійснюється, як правило, за допомогою шифрування. Шифрування, тобто. Перетворення відкритих даних на закриті (шифровані) здійснюється за допомогою спеціальних, як правило, програмних ключів. Основним питанням з погляду безпеки таких системах є питання ключової структури. Як і де формується ключ, де зберігається, як передається, кому доступний.

На сьогоднішній день відомі лише два типи алгоритмів шифрування: симетричні (класичні) та асиметричні (алгоритми шифрування з відкритим ключем). Кожна з цих систем має свої плюси та мінуси.

При використанні симетричних алгоритмів використовується той самий ключ для шифрування та розшифрування інформації. Тобто. якщо користувачі А і Б хочуть конфіденційно обмінятися інформацією, вони повинні зробити такі дії: користувач А шифрує інформацію (відкритий текст) за допомогою ключа і передає отриманий шифртекст користувачеві Б, який за допомогою цього ключа отримує відкритий текст.

Однак у симетричних алгоритмів шифрування є один недолік: перед тим, як обмінюватися конфіденційною інформацією, двом користувачам необхідно обмінятися спільним ключем, але в умовах, коли користувачі роз'єднані і їх досить багато, виникають великі незручності щодо розсилки ключів. З іншого боку, оскільки ці ключі зазвичай формуються якимось Центром формування, всі вони свідомо відомі цьому центру. Для вирішення цієї проблеми було створено криптографія з асиметричними ключами.

Основна ідея криптографії з асиметричними ключами полягає у використанні пари ключів. Перший – відкритий асиметричний ключ (public key) – доступний усім і використовується всіма, хто збирається надсилати повідомлення власнику ключа. Другий – секретний асиметричний ключ (private key) – відомий лише власнику і за допомогою нього розшифровуються повідомлення, зашифровані на парному йому відкритому ключі. Таким чином, секретна частина ключа формується та зберігається безпосередньо у абонента, та недоступна нікому іншому. У найбільш сучасних системах використовується комбінована ключова система, яка має як високу стійкість симетричного ключа, так і недоступність для центру і гнучкість асиметричної системи. Подібними якостями володіє система створена компанією "ІнфоТеКС" під торговою маркою ViPNet. Ця система дозволяє: як передавати будь-які дані, включаючи пошту, файли, мовлення, відео тощо. через Інтернет у захищеному вигляді, так і захищати ресурси мережі організації, включаючи сервери, робочі станції і навіть мобільні комп'ютери, що виходять в Інтернет у будь-якій точці світу від стороннього доступу.

3. Інформаційні ресурси обмеженого поширення та загрози ресурсам

Інформаційні ресурси – це документи та масиви документів в інформаційних системах (бібліотеках, архівах, фондах, банках даних, депозитаріях, музейних зберіганнях та ін.).

Протягом усієї попередньої XX ст. Історія розвитку людської цивілізації основним предметом праці залишалися матеріальні об'єкти. Діяльність за межами матеріального виробництва та обслуговування, як правило, належала до категорії непродуктивних витрат. Економічна міць держави вимірювалася його матеріальними ресурсами. Ще наприкінці 70-х років голова програми з формування політики в галузі інформаційних ресурсів, професор Гарвардського університету А. Осттінгер писав, що настає час, коли інформація стає таким же основним ресурсом, як матеріали та енергія, і, отже, стосовно цього ресурсу мають бути сформульовані ті самі критичні питання: хто їм володіє, хто у ньому зацікавлений, наскільки він доступний, чи можливе його комерційне використання? Президент Академії наук США Ф. Хендлер сформулював цю думку так: “Наша економіка заснована не так на природних ресурсах, але в умах і застосування наукового знання”. Нині триває боротьба контролю над найбільш цінними з усіх, відомих до нашого часу ресурсів - національні інформаційні ресурси.

“Ми йдемо в інші країни не для того, щоб скористатися перевагами нижчих витрат. Ми впроваджуємося туди тому, що там є інтелектуальні резерви, і ми маємо їх перехопити, щоб успішно конкурувати”.

Термін "інформаційні ресурси" став широко використовуватися в науковій літературі після опублікування відомої монографії Г.Р. Громова "Національні інформаційні ресурси: проблеми промислової експлуатації". Зараз він ще не має однозначного тлумачення, незважаючи на те, що це поняття є одним із ключових у проблемі інформатизації суспільства. Тому важливою є проблема розуміння сутності інформаційного ресурсу, як форми подання даних та знань, його ролі у соціальних процесах, а також закономірностей формування, перетворення та поширення різних видів інформаційних ресурсів суспільстві.

Задля більшої активізації та ефективного використання інформаційних ресурсів суспільства необхідно здійснити “електронізацію” інформаційних фондів. На думку академіка О. Єршова саме “у завантаженні та активізації інформаційного фонду людства у глобальній комп'ютерній мережі, власне, і полягає завдання інформатизації у її технічному змісті”.

Активними інформаційними ресурсами є та частина ресурсів, яку становить інформація, доступна для автоматизованого пошуку, зберігання та обробки: формалізовані та законсервовані на машинних носіях у вигляді працюючих програм професійні знання та навички, текстові та графічні документи, а також будь-які інші змістовні дані, потенційно доступні на комерційній основі для користувачів національного парку комп'ютерів. Національні та світові інформаційні ресурси є економічними категоріями.

Звідси можна дійти невтішного висновку, що ефективність використання інформаційних ресурсів - це найважливіший показник інформаційної культури суспільства.

Основними учасниками ринку інформаційних послуг є:

Виробники інформації (producers);

Продавці інформації (vendors, Вендор);

Користувачі інформації (users) або передплатники

Сьогодні найпоширенішим засобом доступу до інформаційних ресурсів є комп'ютерні мережі, а найпрогресивнішим способом отримання інформації виступає режим онлайн (online – інтерактивний, діалоговий режим). Він надає можливість користувачу, увійшовши в комп'ютерну мережу, отримати доступ до "великого комп'ютера" (Host - комп'ютера) та його інформаційних ресурсів у режимі прямого діалогу, що реалізується в реальному часі.

До користувачів такого роду відносять як кінцевих споживачів інформації, так і проміжних, які надають своїм клієнтам послуги при вирішенні інформаційних завдань (спеціальні інформаційні центри, які мають доступ до кількох онлайн систем, або фахівці-професіонали, які займаються платним обслуговуванням клієнтів, споживачів інформації).

Ринок інформаційних онлайн послуг включає наступні основні сегменти:

Комп'ютеризовані системи резервування та фінансові інформаційні служби;

Бази даних (БД), зорієнтовані масового споживача;

Професійні БД.

Серед БД зазвичай виділяють такі типи:

Текстові (повнотекстові, реферативні, бібліографічні, словники);

Числові та табличні БД;

Дошки оголошень.

Подібні БД зберігають на CD-ROM, дискетах і магнітних стрічках. Нижче, однак, йтиметься про БД, доступ до яких здійснюється в онлайн режимі - "професійними онлайновими БД".

До виробників інформації відносять як організації, що видобувають і публікують інформацію (інформаційні агентства, засоби масової інформації, редакції газет та журналів, видавці, патентні відомства), так і організації, які професійно протягом багатьох років займаються її обробкою (відбором інформації, індексацією, завантаженням до баз даних у вигляді повних текстів, коротких рефератів тощо).

Загрози ресурсів.

Загрози інформаційним ресурсам можна загалом класифікувати:

1). З метою реалізації загроз:

· Погрози конфіденційності:

Розкрадання (копіювання) інформації та засобів її обробки (носіїв);

Втрата (ненавмисна втрата, витік) інформації та засобів її обробки (носіїв);

· Погрози доступності:

Блокування інформації;

Знищення інформації та засобів її обробки (носіїв);

· Погрози цілісності:

Модифікація (спотворення) інформації;

Заперечення справжності інформації;

Нав'язування неправдивої інформації, обман

При цьому:

Розкрадання та Знищення інформації розуміється аналогічно до застосування до матеріальних цінних ресурсів. Знищення комп'ютерної інформації - стирання інформації у пам'яті ЕОМ.

Копіювання інформації - повторення та стійке відображення інформації на машинному чи іншому носії.

Пошкодження - зміна властивостей носія інформації, при якому суттєво погіршується його стан, втрачається значна частина його корисних властивостей і стає повністю або частково непридатним для цільового використання.

Модифікація інформації - внесення будь-яких змін, крім пов'язаних із адаптацією програми для ЕОМ чи баз даних для комп'ютерної інформації.

Блокування інформації - несанкціоноване утруднення доступу користувачів до інформації, не пов'язане з її знищенням;

Несанкціоноване знищення, блокування, модифікація, копіювання інформації будь-які, не дозволені Законом, власником або компетентним користувачем зазначених дій з інформацією.

Обман (заперечення справжності, нав'язування хибної інформації) - навмисне спотворення чи приховування істини з метою ввести в оману особа, у веденні якої перебуває майно, і таким чином домогтися від неї добровільної передачі майна, а також повідомлень з цією метою свідомо неправдивих відомостей.

2) За принципом на носії інформації - систему обробки та передачі (АСОИ):

З використанням доступу порушника (зловмисника, користувача АСОІ, процесу) до об'єкта (до кімнати переговорів, до файлу даних, каналу зв'язку тощо);

З використанням прихованих каналів - із застосуванням ЗП, РЗП, шляхів передачі інформації, що дозволяють двом взаємопов'язаним процесам (легітимному та впровадженому зловмисником) обмінюватися інформацією таким способом, який призводить до утиску інформації.

3) За характером на систему обробки та передачі:

Активні загрози, пов'язані з виконанням порушником будь-яких дій (копіювання, несанкціонований запис, доступ до наборів даних, програм, розтин пароля тощо);

Пасивні загрози здійснюються шляхом спостереження користувачем будь-яких побічних ефектів процесів руху інформації та їх аналізу.

4) За фактом наявності можливої ​​для використання помилки захисту загроза може бути обумовлена ​​однією з таких причин:

Неадекватністю – невідповідністю режиму безпеки захисту зони охорони.

Помилками адміністративного управління-режиму безпеки;

Помилками в алгоритмах програм, у зв'язках між ними і т.д., які виникають на етапі проектування програм або комплексу програм і через які ці програми можуть бути використані зовсім не так, як описано в документації.

Помилками реалізації алгоритмів програм (помилки кодування), зв'язків між ними тощо, які виникають на етапах реалізації, налагодження і можуть бути джерелом недокументованих властивостей.

5) За способом впливу на об'єкт атаки (при активному впливі):

Безпосередній вплив на об'єкт атаки (у тому числі з використанням привілеїв), наприклад: безпосередній доступ до зони чутності та видимості, до набору даних, програми, служби, каналу зв'язку тощо, скориставшись будь-якою помилкою;

Вплив на систему дозволів (зокрема захоплення привілеїв). При цьому несанкціоновані дії виконуються щодо прав користувачів на об'єкт атаки, а сам доступ до об'єкта здійснюється згодом законним чином;

Опосередкований вплив (через інших користувачів):

- "Маскарад". У цьому випадку користувач привласнює якимось чином повноваження іншого користувача, видаючи себе за нього;

- "використання наосліп". При такому способі один користувач змушує іншого виконати необхідні дії (для системи захисту вони не виглядають несанкціонованими, бо їх виконує користувач, який має право), причому останній про них може і не підозрювати. Для реалізації цієї загрози може використовуватися вірус (він виконує необхідні дії та повідомляє про їхній результат тому, хто його впровадив).

Два останні способи дуже небезпечні. Для запобігання подібним діям потрібен постійний контроль як з боку адміністраторів та операторів за роботою АСОІ в цілому, так і з боку користувачів за власними наборами даних.

6) За способом впливу на АСОІ:

В інтерактивному режимі – у процесі тривалої роботи з програмою;

У пакетному режимі - після тривалої підготовки швидким використанням пакета програм спрямованого действия.

Працюючи з системою, користувач завжди має справу з якоюсь її програмою. Одні програми складені так, що користувач може оперативно впливати на хід виконання, вводячи різні команди або дані, а інші так, що всю інформацію доводиться задавати заздалегідь. До перших належать, наприклад, деякі утиліти, керуючі програми баз даних, переважно - це програми, орієнтовані працювати з користувачем. До других відносяться в основному системні та прикладні програми, орієнтовані виконання будь-яких суворо певних дій без участі користувача.

При використанні програм першого класу вплив виявляється більш тривалим за часом і, отже, має більш високу ймовірність виявлення, але гнучкішим, що дозволяє оперативно змінювати порядок дій. Вплив за допомогою програм другого класу (наприклад, за допомогою вірусів) є короткочасним, важко діагностованим, набагато небезпечнішим, але вимагає великої попередньої підготовки для того, щоб передбачити всі можливі наслідки втручання.

7) По об'єкту атаки:

АСОІ в цілому: зловмисник намагається проникнути в систему для подальшого виконання будь-яких несанкціонованих дій. Використовують зазвичай "маскарад", перехоплення або підробку пароля, зламування або доступ до АСОІ через мережу;

Об'єкти АСОИ - дані чи програми в оперативної пам'яті чи зовнішніх носіях, самі пристрої системи, як зовнішні (дисководи, мережеві пристрої, термінали), і внутрішні (оперативна пам'ять, процесор), канали передачі. Вплив на об'єкти системи зазвичай має на меті доступ до їх вмісту (порушення конфіденційності або цілісності оброблюваної або зберігається) або порушення їх функціональності (наприклад, заповнення всієї оперативної пам'яті комп'ютера безглуздою інформацією або завантаження процесора комп'ютера завданням з необмеженим часом виконання);

Суб'єкти АСОІ – процесори користувачів. Метою таких атак є або пряма дія на роботу процесора - його призупинення, зміна характеристик (наприклад, пріоритету), або зворотний вплив - використання зловмисником привілеїв, характеристик іншого процесу у своїх цілях. Вплив може чинитися на процеси користувачів, системи, мережі;

Канали передачі даних - прослуховування каналу та аналіз графіка (потоку повідомлень); підміна або модифікація повідомлень у каналах зв'язку та на вузлах-ретрансляторах; зміна топології та характеристик мережі, правил комутації та адресації.

8) За використовуваними засобами атаки:

З використанням стандартного програмного забезпечення;

З використанням спеціально розроблених програм.

9) За станом об'єкта атаки.

Об'єкт атаки зберігається на диску, магнітній стрічці, в оперативній пам'яті або будь-якому іншому місці в пасивному стані. У цьому вплив об'єкт зазвичай здійснюється з допомогою доступу;

Об'єкт атаки перебуває у стані передачі лінії зв'язку між вузлами мережі чи всередині вузла. Вплив передбачає або доступ до фрагментів інформації, що передається (наприклад, перехоплення пакетів на ретрансляторі мережі), або просто прослуховування з використанням прихованих каналів;

Об'єкт атаки (процес користувача) перебуває у стані обробки.

Наведена класифікація показує складність визначення можливих загроз та їх реалізації.

Доступ персоналу до конфіденційної інформації.

Дозвіл на доступ до конфіденційних відомостей представника іншої фірми або підприємства оформляється резолюцією повноважної посадової особи на розпорядженні (або листі, зобов'язанні), поданому заінтересованою особою. У резолюції мають бути зазначені конкретні документи чи відомості, до яких дозволено доступ. Одночасно вказується прізвище співробітника фірми, який знайомить представника іншого підприємства з цими відомостями та відповідає за його роботу - у приміщенні фірми.

Слід дотримуватись правила, за яким реєструються всі особи, які мають доступ до певних документів, комерційних секретів. Це дозволяє високому рівні здійснювати інформаційне забезпечення аналітичної роботи з виявлення можливих каналів втрати інформації.

При організації доступу співробітників фірми до конфіденційних масивів електронних документів, баз даних необхідно пам'ятати про його багатоступінчастий характер. Можна виділити такі основні складові:

* доступ до персонального комп'ютера, сервера або робочої станції;

* доступ до машинних носіїв інформації, які зберігаються поза ЕОМ;

* Безпосередній доступ до баз даних та файлів.

Доступ до персонального комп'ютера, сервера або робочої станції, які використовуються для обробки конфіденційної інформації, передбачає:

* Визначення та регламентацію першим керівником фірми складу співробітників, які мають право доступу (входу) до приміщення, в якому знаходиться відповідна обчислювальна техніка, засоби зв'язку;

* Регламентацію першим керівником тимчасового режиму знаходження цих осіб у зазначених приміщеннях; персональне та тимчасове протоколювання (фіксування) керівником підрозділу чи напрямки діяльності фірми наявності дозволу та періоду роботи цих осіб в інший час (наприклад, у вечірні години, вихідні дні та ін.);

* Організацію охорони цих приміщень у робочий та неробочий час, визначення правил розкриття приміщень та відключення охоронних технічних засобів інформації та сигналізування; визначення правил встановлення приміщень на охорону; регламентацію роботи зазначених технічних засобів у робочий час;

* Організацію контрольованого (в необхідних випадках пропускного) режиму входу в зазначені приміщення та виходу з них;

* Організацію дій охорони та персоналу в екстремальних ситуаціях або при аваріях техніки та обладнання приміщень;

* Організацію виносу із зазначених приміщень матеріальних цінностей, машинних та паперових носіїв інформації; контроль внесених у приміщення і особистих речей, що виносяться персоналом.

Незважаючи на те, що після закінчення робочого дня конфіденційні відомості мають бути перенесені на гнучкі носії та стерті з жорсткого диска комп'ютера, приміщення, в яких обчислювальна техніка, підлягають охороні. Пояснюється це тим, що, по-перше, в комп'ютер, що не охороняється, легко встановити будь-який засіб промислового шпигунства, по-друге, зловмисник може за допомогою спеціальних методів відновити стерту конфіденційну інформацію на жорсткому диску (здійснити «прибирання сміття»).

Доступ до машинних носіїв конфіденційної інформації, що зберігаються поза ЕОМ, передбачає:

* Організацію обліку та видачі співробітникам чистих машинних носіїв інформації;

* Організацію щоденної фіксованої видачі співробітникам та прийому від співробітників носіїв із записаною інформацією (основних та резервних);

* визначення та регламентацію першим керівником складу співробітників, які мають право оперувати конфіденційною інформацією за допомогою комп'ютерів, встановлених на їх робочих місцях, та отримувати у службі КД враховані машинні носії інформації;

* Організацію системи закріплення за співробітниками машинних носіїв інформації та контролю за безпекою та цілісністю інформації, обліку динаміки зміни складу записаної інформації;

* Організацію порядку знищення інформації на носії, порядку та умов фізичного знищення носія;

* Організацію зберігання машинних носіїв у службі КД у робочий і неробочий час, регламентацію порядку евакуації носіїв у екстремальних ситуаціях;

* Визначення та регламентацію першим керівником складу співробітників не здають з об'єктивних причин технічні носії інформації на зберігання в службу КД наприкінці робочого дня, організацію особливої ​​охорони приміщень та комп'ютерів цих співробітників. Робота співробітників служби КД та фірми загалом з машинними носіями інформації поза ЕОМ має бути організована за аналогією з паперовими конфіденційними документами.

Доступ до конфіденційних баз даних та файлів є завершальним етапом доступу співробітника фірми до комп'ютера. І якщо цей співробітник - зловмисник, то можна вважати, що найсерйозніші рубежі захисту електронної інформації, що охороняється, він успішно пройшов. Зрештою він може просто забрати комп'ютер або вийняти з нього і забрати жорсткий диск, не «зламуючи» базу даних.

Зазвичай доступ до баз даних та файлів передбачає:

* визначення та регламентацію першим керівником складу співробітників, що допускаються до роботи з певними базами даних та файлами; контроль системи доступу адміністратором бази даних;

* іменування баз даних і файлів, фіксування в машинній пам'яті імен користувачів та операторів, які мають право доступу до них;

* облік складу бази даних та файлів, регулярну перевірку наявності, цілісності та комплектності електронних документів;

* реєстрацію входу в базу даних, автоматичну реєстрацію імені користувача та часу роботи; збереження первісної інформації;

реєстрацію спроби несанкціонованого входу в базу даних, реєстрацію помилкових дій користувача, автоматичну передачу сигналу тривоги охороні та автоматичне відключення комп'ютера;

* Встановлення та нерегулярне за терміном зміна імен користувачів, масивів і файлів (паролей, кодів, класифікаторів, ключових слів тощо), особливо при частій зміні персоналу;

* відключення ЕОМ при порушеннях у системі регулювання доступу чи збої системи захисту;

* механічне (ключом або іншим пристроєм) блокування відключеної, але завантаженої ЕОМ при нетривалих перервах у роботі користувача. Коди, паролі, ключові слова, ключі, шифри, спеціальні програмні продукти, апаратні засоби тощо. атрибути системи захисту інформації в ЕОМ розробляються, змінюються спеціалізованою організацією та індивідуально доводяться до кожного користувача працівником цієї організації або системним адміністратором. Використання власних кодів не дозволяється.

Отже, процедури допуску та доступу співробітників до конфіденційної інформації завершують процес включення даного співробітника до складу осіб, які реально володіють таємною фірмою. З цього часу велике значення набуває поточна робота з персоналом, у розпорядженні якого знаходяться цінні та конфіденційні відомості.

Висновок

Стабільність кадрового складу є найважливішою передумовою надійної інформаційної безпеки фірми. Міграція фахівців - найважче контрольований канал втрати цінної та конфіденційної інформації. Водночас повністю уникнути звільнень співробітників неможливо. Необхідний ретельний аналіз причин звільнення, на основі якого складається та реалізується програма, яка виключає ці причини. Наприклад, підвищення окладів, оренда житла для співробітників поблизу фірми та оздоровлення психологічного клімату, звільнення керівників, які зловживають своїм службовим становищем та ін.

Список використаної літератури

інформація захист безпека

1. Забєлін Є.І. Інформаційна безпека в Інтернет - послуги для бізнесу

Оригінал статті: http://www.OXPAHA.ru/view.asp?2280.

2. Тижневик “Computerworld”, #22, 1999 // Вид-во «Відкриті системи» http://www.osp.ru/cw/1999/22/061.htm

3. А.Дмитрієв Системи захисту інформації. Журнал «Світ ПК», # 05, 2001 // Вид-во «Відкриті системи». http://www.osp.ru/pcworld/2001/05/010.htm

4. Сервіси безпеки від Novell. Модулі шифрування. http://novell.eureca.ru/

5. Паула Шерік. 10 питань про шифрування в NT 4.0 http://www.osp.ru/win2000/2001/05/050.htm

Розміщено на Allbest.ru

Подібні документи

Проблема захисту. Особливості захисту інформації у комп'ютерних мережах. Загрози, атаки та канали витоку інформації. Класифікація методів та засобів забезпечення безпеки. Архітектура мережі та її захист. Методи забезпечення безпеки мереж.

дипломна робота , доданий 16.06.2012


Безпека інформації, компоненти захисту. Дестабілізуючі фактори. Класифікація загрози безпеці інформації за джерелом появи, характером цілей. Способи реалізації. Рівень захисту інформації. Етапи створення систем захисту.

презентація , доданий 22.12.2015


Головні канали витоку інформації. Основні джерела конфіденційної інформації. Основні об'єкти захисту. Основні роботи з розвитку та вдосконалення системи захисту інформації. Модель захисту інформаційної безпеки ВАТ "РЗ".

курсова робота , доданий 05.09.2013


Види внутрішніх та зовнішніх умисних загроз безпеці інформації. Загальне поняття захисту та безпеки інформації. Основні цілі та завдання інформаційного захисту. Поняття економічної доцільності забезпечення безпеки інформації підприємства.

контрольна робота , доданий 26.05.2010


Вимоги до інформації: доступність, цілісність та конфіденційність. Модель CIA як інформаційна безпека, що будується на захисті доступності, цілісності та конфіденційності інформації. Прямі та непрямі загрози, засоби захисту інформації.

презентація , додано 06.01.2014


Структура та особливості ОС Linux, історія її розвитку. Інформаційна безпека: поняття та регламентуючі документи, напрями витоку інформації та її захисту. Розрахунок створення системи інформаційної безпеки та дослідження її ефективності.

курсова робота , доданий 24.01.2014


Система формування режиму інформаційної безпеки. Завдання інформаційної безпеки суспільства. Засоби захисту інформації: основні методи та системи. Захист інформації у комп'ютерних мережах. Положення найважливіших законодавчих актів Росії.

реферат, доданий 20.01.2014


Поняття та основні засади забезпечення інформаційної безпеки. Поняття безпеки в автоматизованих системах. Основи законодавства РФ у сфері інформаційної безпеки та захисту інформації, процеси ліцензування та сертифікації.

курс лекцій, доданий 17.04.2012


Поняття, цілі та завдання інформаційної безпеки. Загрози інформаційної безпеки та способи їх реалізації. Управління доступом до інформації та інформаційних систем. Захист мереж та інформації під час роботи в Інтернеті. Концепція електронного підпису.

контрольна робота , доданий 15.12.2015


Найважливіші сторони забезпечення інформаційної безпеки. Технічні засоби обробки інформації та її документаційні носії. Типові шляхи несанкціонованого одержання інформації. Концепція електронного підпису. Захист інформації від руйнування.

З приводу кібернетики Норберт Вінер вважав, що інформація має унікальні характеристики і її не можна віднести ні до енергії, ні до матерії. Особливий статус інформації як явища породив багато визначень.

У словнику стандарту ISO/IEC 2382:2015 «Інформаційні технології» наводиться таке трактування:

Інформація (в галузі обробки інформації)- будь-які дані, представлені в електронній формі, написані на папері, висловлені на нараді або що знаходяться на будь-якому іншому носії, що використовуються фінансовою установою для прийняття рішень, переміщення коштів, встановлення ставок, надання позик, обробки операцій тощо, включаючи компоненти програмне забезпечення системи обробки.

Для розробки концепції забезпечення інформаційної безпеки (ІБ) під інформацією розуміють відомості, які доступні для збору, зберігання, обробки (редагування, перетворення), використання та передачі у різний спосіб, у тому числі в комп'ютерних мережах та інших інформаційних системах.

Такі відомості мають високу цінність і можуть стати об'єктами зазіхань з боку третіх осіб. Прагнення захистити інформацію від загроз є основою створення систем інформаційної безпеки.

Правова основа

У грудні 2017 року в Росії прийнято Доктрини інформаційної безпеки. У документ ІБ визначено стан захищеності національних інтересів в інформаційній сфері. Під національними інтересами у разі розуміється сукупність інтересів суспільства, особистості та держави, кожна група інтересів необхідна стабільного функціонування соціуму.

Доктрина – концептуальний документ. Правовідносини, пов'язані із забезпеченням інформаційної безпеки, регулюються федеральними законами «Про державну таємницю», «Про інформацію», «Про захист персональних даних» та іншими. На основі основних нормативних актів розробляються постанови уряду та відомчі нормативні акти, присвячені приватним питанням захисту інформації.

Визначення інформаційної безпеки

Перш ніж розробляти стратегію інформаційної безпеки, необхідно прийняти базове визначення поняття, яке дозволить застосовувати певний набір способів і методів захисту.

Практики галузі пропонують розуміти під інформаційною безпекою стабільний стан захищеності інформації, її носіїв та інфраструктури, що забезпечує цілісність та стійкість процесів, пов'язаних з інформацією, до навмисних чи ненавмисних впливів природного та штучного характеру. Впливи класифікуються у вигляді загроз ІХ, які можуть завдати шкоди суб'єктам інформаційних відносин.

Таким чином, під захистом інформації розумітиметься комплекс правових, адміністративних, організаційних та технічних заходів, спрямованих на запобігання реальним або передбачуваним ІБ-загрозам, а також на усунення наслідків інцидентів. Безперервність процесу захисту інформації повинна гарантувати боротьбу з загрозами на всіх етапах інформаційного циклу: у процесі збирання, зберігання, обробки, використання та передачі інформації.

Інформаційна безпека у цьому розумінні стає однією з характеристик працездатності системи. У кожний момент часу система повинна мати вимірюваний рівень захищеності, і забезпечення безпеки системи має бути безперервним процесом, що здійснюється на всіх тимчасових відрізках в період життя системи.

У теорії інформаційної безпеки під суб'єктами ІБ розуміють власників та користувачів інформації, причому користувачів не тільки на постійній основі (співробітники), але й користувачів, які звертаються до баз даних у поодиноких випадках, наприклад, державні органи, які запитують інформацію. У ряді випадків, наприклад, у банківських ІБ-стандартах до власників інформації зараховують акціонерів – юридичних осіб, яким належать певні дані.

Підтримуюча інфраструктура, з погляду основ ІБ, включає комп'ютери, мережі, телекомунікаційне устаткування, приміщення, системи життєзабезпечення, персонал. При аналізі безпеки необхідно вивчити всі елементи систем, приділивши особливу увагу персоналу як носію більшості внутрішніх загроз.

Для управління інформаційною безпекою та оцінки шкоди використовують характеристику прийнятності, таким чином, шкода визначається як прийнятна або неприйнятна. Кожній компанії корисно затвердити власні критерії допустимості збитків у грошовій формі або, наприклад, як допустиму шкоду репутації. У державних установах можуть бути прийняті інші характеристики, наприклад вплив на процес управління або відображення ступеня шкоди для життя та здоров'я громадян. Критерії суттєвості, важливості та цінності інформації можуть змінюватися під час життєвого циклу інформаційного масиву, тому мають своєчасно переглядатись.

Інформаційною загрозою у вузькому сенсі визнається об'єктивна можливість впливати на об'єкт захисту, що може призвести до витоку, розкрадання, розголошення чи розповсюдження інформації. У ширшому розумінні до ІБ-загроз відноситимуться спрямовані впливу інформаційного характеру, мета яких - завдати шкоди державі, організації, особистості. До таких загроз відноситься, наприклад, дифамація, навмисне введення в оману, некоректна реклама.

Три основні питання ІБ-концепції для будь-якої організації

Що боронити?

Які види загроз переважають: зовнішні чи внутрішні?

Як захищати, якими методами та засобами?

Система ІБ

Система інформаційної безпеки компанії - юридичної особи включає три групи основних понять: цілісність, доступність і конфіденційність. Під кожним ховаються концепції з багатьма характеристиками.

Під цілісністюрозуміється стійкість баз даних, інших інформаційних масивів до випадкового чи навмисного руйнування, внесення несанкціонованих змін. Поняття цілісності можна розглядати як:

• статичне , що виражається у незмінності, автентичності інформаційних об'єктів тим об'єктам, які створювалися за конкретним технічним завданням і містять обсяги інформації, необхідні користувачам для основної діяльності, у потрібній комплектації та послідовності;
• динамічне, що передбачає коректне виконання складних дій або транзакцій, що не завдає шкоди безпеці інформації.

Для контролю динамічної цілісності використовують спеціальні технічні засоби, які аналізують потік інформації, наприклад фінансові, і виявляють випадки крадіжки, дублювання, перенаправлення, зміни порядку повідомлень. Цілісність як основна характеристика потрібна тоді, коли на основі інформації, що надходить або наявної, приймаються рішення про здійснення дій. Порушення порядку розташування команд або послідовності дій може завдати великої шкоди у разі опису технологічних процесів, програмних кодів та інших аналогічних ситуаціях.

Доступність- це властивість, яка дозволяє здійснювати доступ авторизованих суб'єктів до даних, які становлять їм інтерес, чи обмінюватися цими даними. Ключова вимога легітимації чи авторизації суб'єктів дає можливість створювати різні рівні доступу. Відмова системи надавати інформацію стає проблемою для будь-якої організації чи груп користувачів. Як приклад можна навести недоступність сайтів держпослуг у разі системного збою, що позбавляє безліч користувачів можливості отримати необхідні послуги чи інформацію.

Конфіденційністьозначає властивість інформації бути доступною тим користувачам: суб'єктам та процесам, яким допуск дозволено спочатку. Більшість компаній та організацій сприймають конфіденційність як ключовий елемент ІБ, проте на практиці реалізувати її повною мірою важко. Не всі дані про існуючі канали витоку відомостей доступні авторам концепцій ІБ, і багато технічних засобів захисту, зокрема криптографічні, не можна придбати вільно, часом оборот обмежений.

Рівні властивості ІБ мають різну цінність для користувачів, звідси дві крайні категорії при розробці концепцій захисту даних. Для компаній чи організацій, пов'язаних з державною таємницею, ключовим параметром стане конфіденційність, для публічних сервісів чи освітніх установ найважливіший параметр – доступність.

Дайджест інформаційної безпеки

Щомісячна добірка корисних публікацій, цікавих новин та подій зі світу ІБ. Експертний досвід та реальні кейси з практики «СерчІнформ».

Об'єкти захисту у концепціях ІБ

Відмінність у суб'єктах породжує розбіжності у об'єктах захисту. Основні групи об'єктів захисту:

• інформаційні ресурси всіх видів (під ресурсом розуміється матеріальний об'єкт: жорсткий диск, інший носій, документ із даними та реквізитами, які допомагають його ідентифікувати та віднести до певної групи суб'єктів);
• права громадян, організацій та держави на доступ до інформації, можливість отримати її в рамках закону; доступ може бути обмежений лише нормативно-правовими актами, неприпустима організація будь-яких бар'єрів, які порушують права людини;
• система створення, використання та розповсюдження даних (системи та технології, архіви, бібліотеки, нормативні документи);
• система формування суспільної свідомості (ЗМІ, Інтернет-ресурси, соціальні інститути, освітні установи).

Кожен об'єкт передбачає особливу систему заходів захисту від загроз ІБ та громадському порядку. Забезпечення інформаційної безпеки у кожному разі має базуватися на системному підході, що враховує специфіку об'єкта.

Категорії та носії інформації

Російська правова система, правозастосовна практика і сформовані суспільні відносини класифікують інформацію за критеріями доступності. Це дозволяє уточнити суттєві параметри, необхідні для забезпечення інформаційної безпеки:

• інформація, доступ до якої обмежений виходячи з вимог законів (державна таємниця, комерційна таємниця, персональні дані);
• відомості у відкритому доступі;
• загальнодоступна інформація, що надається на певних умовах: платна інформація або дані, для користування якими потрібно оформити допуск, наприклад, бібліотечний квиток;
• небезпечна, шкідлива, хибна та інші типи інформації, обіг та поширення якої обмежені або вимогами законів, або корпоративними стандартами.

Інформація з першої групи має два режими охорони. Державна таємниця, згідно із законом, це відомості, що захищаються державою, вільне поширення яких може завдати шкоди безпеці країни. Це дані у галузі військової, зовнішньополітичної, розвідувальної, контррозвідувальної та економічної діяльності держави. Власник цієї групи даних – безпосередньо держава. Органи, уповноважені вживати заходів щодо захисту державної таємниці, - Міністерство оборони, Федеральна служба безпеки (ФСБ), Служба зовнішньої розвідки, Федеральної служби з технічного та експортного контролю (ФСТЕК).

Конфіденційна інформація- Найбільш багатоплановий об'єкт регулювання. Перелік відомостей, які можуть становити конфіденційну інформацію, міститься в указі президента №188 "Про затвердження переліку відомостей конфіденційного характеру". Це персональні дані; таємниця слідства та судочинства; службова таємниця; професійна таємниця (лікарська, нотаріальна, адвокатська); комерційна таємниця; відомості про винаходи та корисні моделі; відомості, які у особових справах засуджених, і навіть відомості про примусове виконання судових актів.

Персональні дані існує у відкритому та конфіденційному режимі. Відкрита та доступна всім користувачам частина персональних даних включає ім'я, прізвище, по батькові. Відповідно до ФЗ-152 «Про персональні дані», суб'єкти персональних даних мають право:

• на інформаційне самовизначення;
• на доступ до особистих персональних даних та внесення до них змін;
• на блокування персональних даних та доступу до них;
• на оскарження неправомірних дій третіх осіб, скоєних щодо персональних даних;
• на відшкодування заподіяної шкоди.

Право на закріплено в положеннях про державні органи, федеральні закони, ліцензії на роботу з персональними даними, які видає Роскомнадзор або ФСТЕК. Компанії, які професійно працюють із персональними даними широкого кола осіб, наприклад, оператори зв'язку, мають увійти до реєстру, його веде Роскомнагляд.

Окремим об'єктом у теорії та практиці ІБ виступають носії інформації, доступ до яких буває відкритим та закритим. Під час розробки концепції ІБ методи захисту вибираються залежно від типу носія. Основні носії інформації:

• друковані та електронні засоби масової інформації, соціальні мережі, інші ресурси в Інтернеті;
• працівники організації, які мають доступ до інформації на підставі своїх дружніх, сімейних, професійних зв'язків;
• засоби зв'язку, що передають чи зберігають інформацію: телефони, АТС, інше телекомунікаційне обладнання;
• документи всіх типів: індивідуальні, службові, державні;
• програмне забезпечення як самостійний інформаційний об'єкт, особливо якщо його версія допрацьовувалась спеціально для конкретної компанії;
• електронні носії інформації, які обробляють дані автоматично.

Для цілей розробки концепцій ІБ-захисту засоби захисту інформації прийнято поділяти на нормативні (неформальні) та технічні (формальні).

Неформальні засоби захисту – це документи, правила, заходи, формальні – це спеціальні технічні засоби та програмне забезпечення. Розмежування допомагає розподілити зони відповідальності під час створення ІБ-систем: за загального керівництва захистом адміністративний персонал реалізує нормативні методи, а IT-фахівці, відповідно, технічні.

Основи інформаційної безпеки передбачають розмежування повноважень у частині використання інформації, а й у роботи з її охороною. Подібне розмежування повноважень потребує кількох рівнів контролю.

Формальні засоби захисту

Широкий діапазон технічних засобів ІБ-захисту включає:

Фізичні засоби захисту.Це механічні, електричні, електронні механізми, що функціонують незалежно від інформаційних систем та створюють перешкоди для доступу до них. Замки, у тому числі електронні, екрани, жалюзі мають створювати перешкоди для контакту дестабілізуючих факторів із системами. Група доповнюється засобами систем безпеки, наприклад відеокамерами, відеореєстраторами, датчиками, що виявляють рух або перевищення ступеня електромагнітного випромінювання в зоні розташування технічних засобів зняття інформації, закладних пристроїв.

Апаратні засоби захисту.Це електричні, електронні, оптичні, лазерні та інші пристрої, що вбудовуються в інформаційні та телекомунікаційні системи. Перед використанням апаратних засобів у інформаційні системи необхідно переконатися у сумісності.

Програмні засоби- це прості та системні, комплексні програми, призначені для вирішення приватних та комплексних завдань, пов'язаних із забезпеченням ІБ. Прикладом комплексних рішень служать і перші служать для запобігання витоку, переформатування інформації та перенаправлення інформаційних потоків, другі - забезпечують захист від інцидентів у сфері інформаційної безпеки. Програмні засоби вимогливі до потужності апаратних пристроїв, і за умови встановлення необхідно передбачити додаткові резерви.

До специфічним засобамінформаційної безпеки відносяться різні криптографічні алгоритми, що дозволяють шифрувати інформацію на диску і перенаправляти зовнішніми каналами зв'язку. Перетворення інформації може відбуватися за допомогою програмних та апаратних методів, що працюють у корпоративних інформаційних системах.

Усі засоби, що гарантують безпеку інформації, повинні використовуватися в сукупності після попередньої оцінки цінності інформації та порівняння її з вартістю ресурсів, витрачених на охорону. Тому пропозиції щодо використання коштів мають формулюватися вже на етапі розробки систем, а затвердження має проводитися на рівні управління, який відповідає за затвердження бюджетів.

З метою забезпечення безпеки необхідно проводити моніторинг усіх сучасних розробок, програмних та апаратних засобів захисту, загроз та своєчасно вносити зміни до власних систем захисту від несанкціонованого доступу. Тільки адекватність та оперативність реакції на загрози допоможе досягти високого рівня конфіденційності у роботі компанії.

Неформальні засоби захисту

Неформальні засоби захисту групуються на нормативні, адміністративні та морально-етичні. На першому рівні захисту знаходяться нормативні засоби, що регламентують інформаційну безпеку як процес діяльності організації.

• Нормативні засоби

У світовій практиці розробки нормативних засобів орієнтуються на стандарти захисту ІБ, основний - ISO/IEC 27000. Стандарт створювали дві організації:

• ISO - Міжнародна комісія зі стандартизації, яка розробляє та затверджує більшість визнаних на міжнародному рівні методик сертифікації якості процесів виробництва та управління;
• IEC – Міжнародна енергетична комісія, яка внесла до стандарту своє розуміння систем ІБ, засобів та методів її забезпечення

Актуальна версія ISO/IEC 27000-2016 пропонують готові стандарти та випробувані методики, необхідні для впровадження ІБ. На думку авторів методик, основа інформаційної безпеки полягає у системності та послідовній реалізації всіх етапів від розробки до пост-контролю.

Для отримання сертифікату, який підтверджує відповідність стандартам щодо забезпечення інформаційної безпеки, необхідно впровадити всі рекомендовані методики в повному обсязі. Якщо немає необхідності отримувати сертифікат, в якості бази для розробки власних ІБ-систем допускається прийняти будь-яку з попередніх версій стандарту, починаючи з ISO/IEC 27000-2002, або російських ГОСТів, що мають рекомендаційний характер.

За підсумками вивчення стандарту розробляються два документи щодо безпеки інформації. Основний, але менш формальний - концепція ІБ підприємства, що визначає заходи та засоби впровадження ІБ-системи для інформаційних систем організації. Другий документ, які зобов'язані виконувати всі співробітники компанії, - положення про інформаційну безпеку, яке затверджується на рівні ради директорів чи виконавчого органу.

Крім положення на рівні компанії повинні бути розроблені переліки відомостей, що становлять комерційну таємницю, додатки до трудових договорів, що закріплює відповідальність за розголошення конфіденційних даних, інші стандарти та методики. Внутрішні норми та правила повинні містити механізми реалізації та заходи відповідальності. Найчастіше заходи носять дисциплінарний характер, і порушник має бути готовий до того, що за порушенням режиму комерційної таємниці будуть суттєві санкції аж до звільнення.

• Організаційні та адміністративні заходи

В рамках адміністративної діяльності із захисту ІБ для співробітників служб безпеки відкривається простір для творчості. Це і архітектурно-планувальні рішення, що дозволяють захистити переговорні кімнати та кабінети керівництва від прослуховування, та встановлення різних рівнів доступу до інформації. Важливими організаційними заходами стануть сертифікація діяльності компанії за стандартами ISO/IEC 27000, сертифікація окремих апаратно-програмних комплексів, атестація суб'єктів та об'єктів на відповідність необхідним вимогам безпеки, отримання ліцензій, необхідних для роботи із захищеними масивами інформації.

З погляду регламентації діяльності персоналу важливим стане оформлення системи запитів на допуск до Інтернету, зовнішньої електронної пошти, інших ресурсів. Окремим елементом стане отримання електронного цифрового підпису для посилення безпеки фінансової та іншої інформації, яку передають державним органам каналами електронної пошти.

• Морально-етичні заходи

Морально-етичні заходи визначають особисте ставлення людини до конфіденційної інформації чи інформації, обмеженої обороті. Підвищення рівня знань співробітників щодо впливу загроз на діяльність компанії впливає на ступінь свідомості та відповідальності працівників. Щоб боротися з порушеннями режиму інформації, включаючи, наприклад, передачу паролів, необережне поводження з носіями, поширення конфіденційних даних у приватних розмовах, потрібно наголошувати на особисту свідомість співробітника. Корисним буде встановити показники ефективності персоналу, які залежатимуть від ставлення до корпоративної системи ІБ.

В інфографіці використано дані власного дослідження"СерчІнформ".

Об'єктивно категорія «інформаційна безпека» виникла з появою засобів інформаційних комунікацій між людьми, а також з усвідомленням людиною наявності у людей та їхніх спільнот інтересів, яким може бути завдано шкоди шляхом впливу на засоби інформаційних комунікацій, наявність та розвиток яких забезпечує інформаційний обмін між усіма елементами соціуму.

Інформаційна безпека - захищеність інформації та підтримуючої інфраструктури від випадкових чи навмисних впливів природного чи штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин. Підтримуюча інфраструктура – ​​системи електро-, тепло-, водо-, газопостачання, системи кондиціювання тощо, а також обслуговуючий персонал. Неприйнятна шкода - шкода, яку не можна знехтувати.

В той час як інформаційна безпека- це стан захищеності інформаційного середовища,захист інформаціїявляє собою діяльність щодо запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних впливів на інформацію, що захищається , тобто процес, спрямований на досягнення цього стану .

Інформаційна безпека організації- Стан захищеності інформаційного середовища організації, що забезпечує її формування, використання та розвиток.

Інформаційна безпека держави- стан збереження інформаційних ресурсів держави та захищеності законних прав особи та суспільства в інформаційній сфері.

У сучасному соціумі інформаційна сфера має дві складові: інформаційно-технічну (штучно створений людиною світ техніки, технологій тощо) інформаційно-психологічну (Природний світ живої природи, що включає і саму людину).

Інформаційна безпека- захист конфіденційності, цілісності та доступності інформації.

1. Конфіденційність: властивість інформаційних ресурсів, у тому числі інформації, пов'язана з тим, що вони не стануть доступними та не будуть розкриті для неуповноважених осіб.

2. Цілісність: властивість інформаційних ресурсів, у тому числі інформації, що визначає їх точність та повноту.

3. Доступність: властивість інформаційних ресурсів, у тому числі інформації, що визначає можливість їх отримання та використання на вимогу уповноважених осіб.

Системний підхід до опису інформаційної безпеки пропонує виділити такі складові інформаційної безпеки:

1. Законодавча, нормативно-правова та наукова база.

2. Структура та завдання органів (підрозділів), що забезпечують безпеку ІТ.

3. Організаційно-технічні та режимні заходи та методи (Політика інформаційної безпеки).

4. Програмно-технічні способи та засоби забезпечення інформаційної безпеки.

Враховуючи вплив на трансформацію ідей інформаційної безпеки, у розвитку засобів інформаційних комунікацій можна виділити кілька етапів:

Ø І етап - до 1816 року - характеризується використанням природно виникаючих засобів інформаційних комунікацій. У цей період основне завдання інформаційної безпеки полягало у захисті відомостей про події, факти, майно, місцезнаходження та інші дані, що мають для людини особисто або спільноти, до якої вона належала, життєве значення .

Ø ІІ етап - починаючи з 1816 року - пов'язаний із початком використання штучно створюваних технічних засобів електро- та радіозв'язку. Для забезпечення скритності та перешкодозахищеності радіозв'язку необхідно було використати досвід першого періоду інформаційної безпеки на вищому технологічному рівні, а саме застосування завадостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).

Ø III етап - починаючи з 1935 року - пов'язаний з появою радіолокаційних та гідроакустичних засобів.Основним способом забезпечення інформаційної безпеки у цей період було поєднання організаційних та технічних заходів, спрямованих на підвищення захищеності радіолокаційних засобів від впливу на їх приймальні пристрої активними маскувальними та пасивними радіоелектронними перешкодами, що імітують.

Ø IV етап - починаючи з 1946 року - пов'язаний з винаходом та впровадженням у практичну діяльність електронно-обчислювальних машин(Комп'ютерів). Завдання інформаційної безпеки вирішувалися, переважно, методами та способами обмеження фізичного доступу до обладнання засобів добування, переробки та передачі інформації .

Ø V етап - починаючи з 1965 року - обумовлений створенням та розвитком локальних інформаційно-комунікаційних мереж. Завдання інформаційної безпеки також вирішувалися, в основному, методами та способами фізичного захисту засобів добування, переробки та передачі інформації, об'єднаних у локальну мережу шляхом адміністрування та управління доступом до мережевих ресурсів .

Ø VI етап - починаючи з 1973 року - пов'язаний із використанням надмобільних комунікаційних пристроїв із широким спектром завдань. Загрози інформаційної безпеки стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з бездротовими мережами передачі даних була потрібна розробка нових критеріїв безпеки. Утворилися спільноти людей – хакерів, що ставлять за мету завдання шкоди інформаційної безпеки окремих користувачів, організацій та цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення її безпеки – найважливішої та обов'язкової складової національної безпеки. Формується інформаційне право - Нова галузь міжнародної правової системи.

Ø VII етап - починаючи з 1985 року - пов'язаний із створенням та розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити, що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний із широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань та глобальним охопленням у просторі та часі, що забезпечується космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідно створити макросистему інформаційної безпеки людства під егідою провідних міжнародних форумів. .

Основні складові. Важливість проблеми.

Під інформаційною безпекою (ІБ) слід розуміти захист інтересів суб'єктів інформаційних відносин. Нижче наведено основні її складові – конфіденційність, цілісність, доступність. Наводиться статистика порушень ІБ, описуються найхарактерніші випадки.

Поняття інформаційної безпеки

Словосполучення "інформаційна безпека" у різних контекстах може мати різний зміст. У Доктрині інформаційної безпеки Російської Федерації термін "інформаційна безпека" використовується у сенсі. Мається на увазі стан захищеності національних інтересів в інформаційній сфері, що визначаються сукупністю збалансованих інтересів особи, суспільства та держави.

У Законі РФ "Про участь у міжнародному інформаційному обміні" інформаційна безпека визначається аналогічним чином - як стан захищеності інформаційного середовища суспільства, що забезпечує її формування, використання та розвиток на користь громадян, організацій, держави.

В даному курсі наша увага буде зосереджена на зберіганні, обробці та передачі інформації незалежно від того, якою мовою (російською чи якоюсь іншою) вона закодована, хто або що є її джерелом і який психологічний вплив вона надає на людей. Тому термін "інформаційна безпека" буде використовуватися у вузькому значенні, так як це прийнято, наприклад, в англомовній літературі.

Під інформаційною безпекоюми розумітимемо захищеність інформації та підтримуючої інфраструктури від випадкових чи навмисних впливів природного чи штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин, у тому числі власникам та користувачам інформації та підтримуючої інфраструктури. (Тільки далі ми пояснимо, що слід розуміти під інфраструктурою, що підтримує.)

Захист інформації- Це комплекс заходів, спрямованих на забезпечення інформаційної безпеки.

Таким чином, правильний з методологічного погляду підхід до проблем інформаційної безпеки починається з виявлення суб'єктів інформаційних відносин та інтересів цих суб'єктів, пов'язаних з використанням інформаційних систем (ІС). Загрози інформаційної безпеки – це зворотний бік використання інформаційних технологій.

З цього положення можна вивести два важливі наслідки:

Трактування проблем, пов'язаних з інформаційною безпекою, для різних категорій суб'єктів може суттєво відрізнятися. Для ілюстрації досить зіставити режимні державні організації та навчальні інститути. У першому випадку "хай краще все зламається, ніж ворог дізнається хоч один секретний біт", у другому - "нехай у нас ніяких секретів, аби все працювало".

Інформаційна безпека не зводиться виключно захисту від несанкціонованого доступу до інформації, це принципово ширше поняття. Суб'єкт інформаційних відносин може постраждати (зазнати збитків та/або отримати моральну шкоду) не тільки від несанкціонованого доступу, а й від поломки системи, що спричинила перерву в роботі. Більше того, для багатьох відкритих організацій (наприклад, навчальних) власне захист від несанкціонованого доступу до інформації стоїть за важливістю не на першому місці.

Повертаючись до питань термінології, зазначимо, що термін "комп'ютерна безпека" (як еквівалент або замінник ІБ) видається нам надто вузьким. Комп'ютери – лише одна із складових інформаційних систем, і хоча наша увага буде зосереджена в першу чергу на інформації, яка зберігається, обробляється та передається за допомогою комп'ютерів, її безпека визначається всією сукупністю складових і, в першу чергу, найслабшою ланкою, якою у переважній здебільшого виявляється людина (що записала, наприклад, свій пароль на "гірчичнику", приліпленому до монітора).

Згідно з визначенням інформаційної безпеки, вона залежить не тільки від комп'ютерів, а й від інфраструктури, що підтримує, до якої можна віднести системи електро-, водо- і теплопостачання, кондиціонери, засоби комунікацій і, звичайно, обслуговуючий персонал. Ця інфраструктура має самостійну цінність, але нас цікавитиме лише те, як вона впливає на виконання інформаційною системою запропонованих їй функцій.

Звернемо увагу, що у визначенні ІБ перед іменником "шкода" стоїть прикметник "неприйнятний". Очевидно, застрахуватися від усіх видів збитків неможливо, тим більше неможливо зробити це економічно доцільним способом, коли вартість захисних засобів та заходів не перевищує розмір очікуваних збитків. Значить, з чимось доводиться миритися і захищатися слід тільки від того, з чим не можна змиритися. Іноді таким неприпустимим збитком є ​​завдання шкоди здоров'ю людей чи стану довкілля, але частіше поріг неприйнятності має матеріальне (грошове) вираження, а метою захисту інформації стає зменшення розмірів збитків до допустимих значень.

Основні складові інформаційної безпеки

Інформаційна безпека – багатогранна, можна навіть сказати, багатовимірна сфера діяльності, в якій успіх може принести лише систематичний, комплексний підхід.

Спектр інтересів суб'єктів, пов'язаних із використанням інформаційних систем, можна розділити на такі категорії: забезпечення доступності, цілісностіі конфіденційностіінформаційних ресурсів та підтримуючої інфраструктури.

Іноді до основних складових ІБ включають захист від несанкціонованого копіювання інформації, але, на наш погляд, це занадто специфічний аспект із сумнівними шансами на успіх, тому ми не станемо його виділяти.

Пояснимо поняття доступності, цілісності та конфіденційності.

Доступність – це можливість за прийнятний час отримати потрібну інформаційну послугу. Під цілісністю мається на увазі актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни.

Зрештою, конфіденційність – це захист від несанкціонованого доступу до інформації.

Інформаційні системи створюються (набуваються) для отримання певних інформаційних послуг. Якщо з тих чи інших причин надати ці послуги користувачам стає неможливо, це, очевидно, завдає шкоди всім суб'єктам інформаційних відносин. Тому, не протиставляючи доступність іншим аспектам, ми виокремлюємо її як найважливіший елемент інформаційної безпеки.

Особливо яскраво провідна роль доступності проявляється у різноманітних системах управління – виробництвом, транспортом тощо. Зовнішньо менш драматичні, але також дуже неприємні наслідки – і матеріальні, і моральні – може мати тривала недоступність інформаційних послуг, якими користується велика кількість людей (продаж залізничних та авіаквитків, банківські послуги тощо).

Цілісність можна поділити на статичну (розуміє як незмінність інформаційних об'єктів) і динамічну (що відноситься до коректного виконання складних дій (транзакцій)). Засоби контролю динамічної цілісності застосовуються, зокрема, під час аналізу потоку фінансових повідомлень з виявлення крадіжки, переупорядкування чи дублювання окремих повідомлень.

Цілісність виявляється найважливішим аспектом ІБ у випадках, коли інформація служить " керівництвом до дії " . Рецептура ліків, запропоновані медичні процедури, набір та характеристики комплектуючих виробів, перебіг технологічного процесу – усе це приклади інформації, порушення цілісності якої може бути буквально смертельним. Неприємно і спотворення офіційної інформації, чи то текст закону, чи сторінка Web-сервера будь-якої урядової організації. Конфіденційність – найбільш опрацьований у нашій країні аспект інформаційної безпеки. На жаль, практична реалізація заходів щодо забезпечення конфіденційності сучасних інформаційних систем наштовхується в Росії на серйозні труднощі. По-перше, відомості про технічні канали витоку інформації є закритими, тому більшість користувачів позбавлені можливості скласти уявлення про потенційні ризики. По-друге, на шляху користувальницької криптографії як основного засобу забезпечення конфіденційності стоять численні законодавчі перепони та технічні проблеми.

Якщо повернутися до аналізу інтересів різних категорій суб'єктів інформаційних відносин, то майже всім, хто реально використовує ІВ, першому місці стоїть доступність. Практично не поступається їй за важливістю цілісність - який сенс в інформаційній послузі, якщо вона містить спотворені відомості?

Нарешті, конфіденційні моменти є також у багатьох організацій (навіть у згадуваних вище навчальних інститутах намагаються не розголошувати відомості про зарплату співробітників) та окремих користувачів (наприклад, паролі).

Найбільш поширені загрози:

Знання можливих загроз, а також уразливих місць захисту, які ці загрози зазвичай експлуатують, необхідне для того, щоб вибирати найекономічніші засоби забезпечення безпеки.

Основні визначення та критерії класифікації загроз

Загроза- це потенційна можливість певним чином порушити інформаційну безпеку.

Спроба реалізації загрози називається атакою, а той, хто робить таку спробу, - зловмисником. Потенційні зловмисники називаються джерелами загрози.

Найчастіше загроза є наслідком наявності вразливих місць захисту інформаційних систем (таких, наприклад, як можливість доступу сторонніх осіб до критично важливого устаткування чи помилки у програмному обеспечении).

Проміжок часу від моменту, коли з'являється можливість використовувати слабке місце, і до моменту, коли пропуск ліквідується, називається вікном небезпеки, асоційованим з цим вразливим місцем Поки є вікно небезпеки, можливі успішні атаки на ІВ.

Якщо йдеться про помилки в ПЗ, то вікно небезпеки "відчиняється" з появою засобів використання помилки та ліквідується при накладенні латок, що її виправляють.

Для більшості вразливих місць вікно небезпеки існує порівняно довго (кілька днів, іноді тижнів), оскільки за цей час мають відбутися такі події:

має стати відомо про засоби використання пробілу у захисті;

мають бути випущені відповідні латки;

латки повинні бути встановлені в ІС, що захищається.

Ми вже вказували, що нові вразливі місця та засоби їхнього використання з'являються постійно; це означає, по-перше, що майже завжди існують вікна небезпеки і, по-друге, що відстеження таких вікон повинне проводитися постійно, а випуск і накладення латок – якомога оперативніше.

Зазначимо, деякі загрози не можна вважати наслідком якихось помилок чи прорахунків; вони існують через саму природу сучасних ІС. Наприклад, загроза відключення електрики або виходу його параметрів за допустимі межі існує залежно від апаратного забезпечення ІС від якісного електроживлення.

Розглянемо найпоширеніші загрози, яким піддаються сучасні інформаційні системи. Мати уявлення про можливі загрози, а також про вразливі місця, які ці загрози зазвичай експлуатують, необхідно для того, щоб обирати найбільш економічні засоби безпеки. Занадто багато міфів існує у сфері інформаційних технологій (згадаймо ту саму "Проблему 2000"), тому незнання в даному випадку веде до перевитрати коштів і, що ще гірше, до концентрації ресурсів там, де вони не особливо потрібні, за рахунок ослаблення справді вразливих. напрямів.

Підкреслимо, що саме поняття "загроза" у різних ситуаціях найчастіше трактується по-різному. Наприклад, для підкреслено відкритої організації загроз конфіденційності може просто не існувати – вся інформація вважається загальнодоступною; однак у більшості випадків нелегальний доступ є серйозною небезпекою. Іншими словами, загрози, як і всі в ІБ, залежать від інтересів суб'єктів інформаційних відносин (і від того, яка шкода для них є неприйнятною).

Ми спробуємо подивитись предмет з погляду типової (на наш погляд) організації. Втім, багато загроз (наприклад, пожежа) є небезпечними для всіх.

Загрози можна класифікувати за кількома критеріями:

за аспектом інформаційної безпеки (доступність, цілісність, конфіденційність), проти якого загрози спрямовані насамперед;

по компонентам інформаційних систем, на які погрози націлені (дані, програми, апаратура, інфраструктура, що підтримує);

за способом здійснення (випадкові/навмисні дії природного/техногенного характеру);

по розташуванню джерела загроз (всередині/поза розглянутою ІВ).

Як основний критерій ми будемо використовувати перший (за аспектом ІБ), залучаючи за необхідності інші.

Основні загрози конфіденційності

Конфіденційну інформацію можна поділити на предметну та службову. Службова інформація (наприклад, паролі користувачів) не відноситься до певної предметної області, в інформаційній системі вона відіграє технічну роль, але її розкриття особливо небезпечне, оскільки воно може призвести до отримання несанкціонованого доступу до всієї інформації, у тому числі предметної.

Навіть якщо інформація зберігається в комп'ютері або призначена для комп'ютерного використання, загрози її конфіденційності можуть мати некомп'ютерний і нетехнічний характер.

Багатьом людям доводиться виступати як користувачів не однієї, а цілої низки систем (інформаційних сервісів). Якщо для доступу до таких систем використовуються багаторазові паролі або інша конфіденційна інформація, то, напевно, ці дані зберігатимуться не тільки в голові, а й у записнику або на аркушах паперу, які користувач часто залишає на робочому столі, а то й просто втрачає. І річ тут не в неорганізованості людей, а в початковій непридатності парольної схеми. Не можна пам'ятати багато різних паролів; рекомендації щодо їх регулярної (по можливості - частої) зміні тільки посилюють положення, змушуючи застосовувати нескладні схеми чергування або взагалі намагатися звести справу до двох-трьох паролів, що легко запам'ятовуються (і настільки ж легко вгадуються).

Описаний клас вразливих місць можна назвати розміщенням конфіденційних даних у середовищі, де не забезпечена (найчастіше - і може бути забезпечена) необхідний захист. Загроза ж полягає в тому, що хтось не відмовиться дізнатися про секрети, які самі просяться до рук. Крім паролів, що зберігаються в записниках користувачів, до цього класу потрапляє передача конфіденційних даних у відкритому вигляді (у розмові, у листі, по мережі), яка уможливлює перехоплення даних. Для атаки можуть використовуватися різні технічні засоби (підслуховування або прослуховування розмов, пасивне прослуховування мережі тощо), але одна ідея - здійснити доступ до даних у той момент, коли вони найменш захищені.

Загрозу перехоплення даних слід брати до уваги як при початковому конфігуруванні ІВ, а й, що дуже важливо, за всіх змін. Дуже небезпечною загрозою є... виставки, на які багато організацій, недовго думаючи, відправляють обладнання з виробничої мережі, з усіма даними, що зберігаються на них. Залишаються колишніми паролі, при віддаленому доступі вони продовжують передаватися у відкритому вигляді. Це погано навіть у межах захищеної мережі організації; в об'єднаній мережі виставки - це дуже суворе випробування чесності всіх учасників.

Ще один приклад зміни, про який часто забувають - зберігання даних на резервних носіях. Для захисту даних основних носіях застосовуються розвинені системи управління доступом; копії ж нерідко просто лежать у шафах і отримати доступ до них можуть багато хто.

Перехоплення даних - дуже серйозна загроза, і якщо конфіденційність дійсно є критичною, а дані передаються багатьма каналами, їх захист може бути дуже складним і дорогим. Технічні засоби перехоплення добре опрацьовані, доступні, прості в експлуатації, а встановити їх, наприклад на кабельну мережу, може будь-хто, так що цю загрозу потрібно брати до уваги не тільки до зовнішніх, але й до внутрішніх комунікацій.

Крадіжки обладнання є загрозою не тільки резервним носіям, але й комп'ютерам, особливо портативним. Часто ноутбуки залишають без нагляду на роботі або в автомобілі іноді просто втрачають.

Небезпечною нетехнічною загрозою конфіденційності є методи морально-психологічного впливу, такі як маскарад -виконання дій під виглядом особи, яка має повноваження для доступу до даних (див., наприклад, статтю Айре Вінклера "Завдання: шпигунство" в Jet Info, 1996, 19).

До неприємних загроз, від яких важко захищатись, можна віднести зловживання повноваженнями.На багатьох типах систем привілейований користувач (наприклад, системний адміністратор) здатний прочитати будь-який (незашифрований) файл, отримати доступ до пошти будь-якого користувача і т.д. Інший приклад - завдання шкоди при сервісному обслуговуванні. Зазвичай сервісний інженер отримує необмежений доступ до обладнання та має можливість діяти в обхід програмних захисних механізмів.

Такими є основні загрози, які завдають найбільшої шкоди суб'єктам інформаційних відносин.

Комп'ютерні інформаційні технології, що швидко розвиваються, вносять помітні зміни в наше життя. Інформація стала товаром, який можна придбати, продати, обміняти. При цьому вартість інформації часто в сотні разів перевищує вартість комп'ютерної системи, де вона зберігається.

Від ступеня безпеки інформаційних технологій нині залежить добробут, а часом життя багатьох людей. Такою є плата за ускладнення та повсюдне поширення автоматизованих систем обробки інформації.

Під інформаційною безпекоюрозуміється захищеність інформаційної системи від випадкового чи навмисного втручання, що завдає шкоди власникам чи користувачам інформації.

На практиці найважливішими є три аспекти інформаційної безпеки:

• доступність(Можливість за розумний час отримати необхідну інформаційну послугу);
• цілісність(актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни);
• конфіденційність(Захист від несанкціонованого прочитання).

Порушення доступності, цілісності та конфіденційності інформації можуть бути спричинені різними небезпечними впливами на інформаційні комп'ютерні системи.

Основні загрози інформаційній безпеці

Сучасна інформаційна система є складною системою, що складається з великої кількості компонентів різного ступеня автономності, які пов'язані між собою та обмінюються даними. Практично кожен компонент може зазнати зовнішнього впливу або вийти з ладу. Компоненти автоматизованої інформаційної системи можна розбити на такі групи:

• апаратні засоби- комп'ютери та їх складові (процесори, монітори, термінали, периферійні пристрої - дисководи, принтери, контролери, кабелі, лінії зв'язку тощо);
• програмне забезпечення- набуті програми, вихідні, об'єктні, завантажувальні модулі; операційні системи та системні програми (компілятори, компонувальники та ін.), утиліти, діагностичні програми тощо;
• дані- зберігаються тимчасово та постійно, на магнітних носіях, друковані, архіви, системні журнали тощо;
• персонал- обслуговуючий персонал та користувачі.

Небезпечні на комп'ютерну інформаційну систему можна поділити на випадкові і навмисні. Аналіз досвіду проектування, виготовлення та експлуатації інформаційних систем показує, що інформація піддається різним випадковим впливам на всіх етапах циклу життя системи. Причинами випадкових впливівпри експлуатації можуть бути:

• аварійні ситуації через стихійні лиха та відключення електроживлення;
• відмови та збої апаратури;
• помилки у програмному забезпеченні;
• помилки у роботі персоналу;
• перешкоди лініях зв'язку через впливів довкілля.

Умисні впливи- Це цілеспрямовані дії порушника. Як порушника можуть виступати службовець, відвідувач, конкурент, найманець. Дії порушника можуть бути зумовлені різними мотивами:

• невдоволенням службовця своєю кар'єрою;
• хабарем;
• цікавістю;
• конкурентною боротьбою;
• прагненням самоствердитися за будь-яку ціну.

Можна скласти гіпотетичну модель потенційного порушника:

• кваліфікація порушника лише на рівні розробника цієї системи;
• порушником може бути як стороння особа, і законний користувач системи;
• порушнику відома інформація про принципи роботи системи;
• порушник вибирає найслабшу ланку у захисті.

Найбільш поширеним та різноманітним видом комп'ютерних порушень є несанкціонований доступ(НДС). НСД використовує будь-яку помилку в системі захисту та можливий при нераціональному виборі засобів захисту, їх некоректній установці та налаштуванні.

Проведемо класифікацію каналів НСД, якими можна здійснити розкрадання, зміну чи знищення інформації:

• Через людину:
  • розкрадання носіїв інформації;
  • читання інформації з екрана чи клавіатури;
  • читання інформації з друку.
• Через програму:
  • перехоплення паролів;
  • дешифрування зашифрованої інформації;
  • копіювання інформації з носія.
• Через апаратуру:
  • підключення спеціально розроблених апаратних засобів, які забезпечують доступом до інформації;
  • перехоплення побічних електромагнітних випромінювань від апаратури, ліній зв'язку, мереж електроживлення тощо.

Особливо слід зупинитись на загрозах, яким можуть наражатися комп'ютерні мережі. Основна особливість будь-якої комп'ютерної мережі у тому, що її компоненти розподілені у просторі. Зв'язок між вузлами мережі здійснюється фізично за допомогою мережних ліній та програмно за допомогою механізму повідомлень. При цьому керуючі повідомлення та дані, що пересилаються між вузлами мережі, передаються у вигляді пакетів обміну. Комп'ютерні мережі характерні тим, що проти них роблять так звані віддалені атаки. Порушник може знаходитися за тисячі кілометрів від об'єкта, що атакується, при цьому нападу може зазнавати не тільки конкретний комп'ютер, але й інформація, що передається по мережевих каналах зв'язку.

Забезпечення інформаційної безпеки

Формування режиму інформаційної безпеки – проблема комплексна. Заходи щодо її вирішення можна поділити на п'ять рівнів:

1. законодавчий (закони, нормативні акти, стандарти тощо);
2. морально-етичний (різні норми поведінки, недотримання яких веде до падіння престижу конкретної людини чи цілої організації);
3. адміністративний (дії загального характеру, що здійснюються керівництвом організації);
4. фізичний (механічні, електро- та електронно-механічні перешкоди на можливих шляхах проникнення потенційних порушників);
5. апаратно-програмний (електронні пристрої та спеціальні програми захисту інформації).

Єдина сукупність усіх цих заходів, спрямованих на протидію загрозам безпеці з метою мінімізації можливості шкоди, утворюють систему захисту.

Надійна система захисту має відповідати наступним принципам:

• Вартість засобів захисту має бути меншою, ніж розміри можливої ​​шкоди.
• Кожен користувач повинен мати мінімальний набір привілеїв, необхідний роботи.
• Захист тим ефективніший, чим простіше користувачеві з ним працювати.
• Можливість відключення в екстрених випадках.
• Фахівці, які мають відношення до системи захисту, повинні повністю уявляти принципи її функціонування і у разі виникнення скрутних ситуацій адекватно на них реагувати.
• Під захистом має бути вся система обробки інформації.
• Розробники системи захисту не повинні бути серед тих, кого ця система контролюватиме.
• Система захисту має надавати докази коректності своєї роботи.
• Особи, які займаються забезпеченням інформаційної безпеки, повинні нести особисту відповідальність.
• Об'єкти захисту доцільно розділяти на групи так, щоб порушення захисту в одній із груп не впливало на безпеку інших.
• Надійна система захисту має бути повністю протестована та узгоджена.
• Захист стає більш ефективним та гнучким, якщо він допускає зміну своїх параметрів з боку адміністратора.
• Система захисту повинна розроблятися, виходячи з припущення, що користувачі будуть робити серйозні помилки і взагалі мають найгірші наміри.
• Найбільш важливі та критичні рішення мають прийматися людиною.
• Існування механізмів захисту має бути приховано від користувачів, робота яких перебуває під контролем.

Апаратно-програмні засоби захисту інформації

Незважаючи на те, що сучасні ОС для персональних комп'ютерів, такі як Windows 2000, Windows XP і Windows NT мають власні підсистеми захисту, актуальність створення додаткових засобів захисту зберігається. Справа в тому, що більшість систем не здатні захистити дані, що знаходяться за їх межами, наприклад, при мережному інформаційному обміні.

Апаратно-програмні засоби захисту можна розбити на п'ять груп:

1. Системи ідентифікації (розпізнавання) та аутентифікації (перевірки автентичності) користувачів.
2. Системи шифрування дискових даних
3. Системи шифрування даних, що передаються мережами.
4. Системи автентифікації електронних даних.
5. Засоби управління криптографічними ключами.

1. Системи ідентифікації та аутентифікації користувачів

Застосовуються для обмеження доступу випадкових та незаконних користувачів до ресурсів комп'ютерної системи. Загальний алгоритм роботи таких систем полягає в тому, щоб отримати від користувача інформацію, що засвідчує його особистість, перевірити її справжність і потім надати (або не надати) користувачеві можливість роботи з системою.

При побудові цих систем виникає проблема вибору інформації, на основі якої здійснюються процедури ідентифікації та автентифікації користувача. Можна виділити такі типи:

• секретна інформація, якою володіє користувач (пароль, секретний ключ, персональний ідентифікатор тощо); користувач повинен запам'ятати цю інформацію або для неї можуть бути застосовані спеціальні засоби зберігання;
• фізіологічні параметри людини (відбитки пальців, малюнок райдужної оболонки ока тощо) або особливості поведінки (особливості роботи на клавіатурі тощо).

Системи, що базуються на першому типі інформації, вважаються традиційними. Системи, які використовують другий тип інформації, називають біометричними. Слід зазначити тенденцію випереджаючого розвитку біометричних систем ідентифікації.

2. Системи шифрування дискових даних

Щоб зробити інформацію марною противника, використовується сукупність методів перетворення даних, звана криптографією[від грец. kryptos- прихований і grapho- пишу].

Системи шифрування можуть здійснювати криптографічні перетворення даних лише на рівні файлів чи рівні дисків. До програм першого типу можна віднести архіватори типу ARJ та RAR, які дозволяють використовувати криптографічні методи для захисту архівних файлів. Прикладом систем другого типу може бути програма шифрування Diskreet, що входить до складу популярного програмного пакета Norton Utilities, Best Crypt.

Іншою класифікаційною ознакою систем шифрування дискових даних є спосіб їхнього функціонування. За способом функціонування системи шифрування дискових даних ділять на два класи:

• системи "прозорого" шифрування;
• системи, що спеціально викликаються для здійснення шифрування.

У системах прозорого шифрування (шифрування "на льоту") криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений у текстовому редакторі документ на диск, що захищається, а система захисту в процесі запису виконує його шифрування.

Системи другого класу зазвичай є утиліти, які необхідно спеціально викликати для виконання шифрування. До них відносяться, наприклад, архіватори із вбудованими засобами парольного захисту.

Більшість систем, які пропонують встановити пароль на документ, не шифрують інформацію, а лише забезпечують запит пароля при доступі до документа. До таких систем належить MS Office, 1C та багато інших.

3. Системи шифрування даних, що передаються мережами

Розрізняють два основні способи шифрування: канальне шифрування та кінцеве (абонентське) шифрування.

В разі канального шифруваннязахищається вся інформація, що передається каналом зв'язку, включаючи службову. Цей спосіб шифрування має таку перевагу - вбудовування процедур шифрування на канальний рівень дозволяє використовувати апаратні засоби, що сприяє підвищенню продуктивності системи. Однак цей підхід має і суттєві недоліки:

• шифрування службових даних ускладнює механізм маршрутизації мережевих пакетів та вимагає розшифрування даних у пристроях проміжної комунікації (шлюзи, ретранслятори тощо);
• шифрування службової інформації може призвести до появи статистичних закономірностей у шифрованих даних, що впливає на надійність захисту та накладає обмеження на використання криптографічних алгоритмів.

Кінцеве (абонентське) шифруваннядозволяє забезпечити конфіденційність даних, що передаються між двома абонентами. І тут захищається лише зміст повідомлень, вся службова інформація залишається відкритою. Недоліком є ​​можливість аналізувати інформацію про структуру обміну повідомленнями, наприклад про відправника і одержувача, про час і умови передачі даних, а також про обсяг даних, що передаються.

4. Системи автентифікації електронних даних

При обміні даними мережами виникає проблема аутентифікації автора документа і самого документа, тобто. встановлення справжності автора та перевірка відсутності змін в отриманому документі. Для автентифікації даних застосовують код автентифікації повідомлення (імітівставку) або електронний підпис.

Імітівставкавиробляється з відкритих даних за допомогою спеціального перетворення шифрування з використанням секретного ключа і передається каналом зв'язку в кінці зашифрованих даних. Імітівставка перевіряється одержувачем, що володіє секретним ключем, шляхом повторення процедури, виконаної раніше відправником над отриманими відкритими даними.

Електронний цифровий підписє відносно невеликою кількістю додаткової аутентифікуючої інформації, що передається разом з текстом, що підписується. Відправник формує цифровий підпис, використовуючи секретний ключ відправника. Отримувач перевіряє підпис, використовуючи відкритий ключ відправника.

Таким чином, для реалізації імітівставки використовуються принципи симетричного шифрування, а для реалізації електронного підпису – асиметричного. Докладніше ці дві системи шифрування вивчатимемо пізніше.

5. Засоби управління криптографічними ключами

Безпека будь-якої криптосистеми визначається криптографічними ключами. У разі ненадійного керування ключами зловмисник може заволодіти ключовою інформацією та отримати повний доступ до всієї інформації у системі чи мережі.

Розрізняють такі види функцій управління ключами: генерація, зберігання та розподіл ключів.

Способи генерації ключівдля симетричних та асиметричних криптосистем різні. Для генерації ключів симетричних криптосистем використовуються апаратні та програмні засоби генерації випадкових чисел. Генерація ключів для асиметричних криптосистем більш складна, оскільки ключі повинні мати певні математичні властивості. Докладніше на цьому питанні зупинимося щодо симетричних і асиметричних криптосистем.

Функція зберіганняпередбачає організацію безпечного зберігання, обліку та видалення ключової інформації. Для забезпечення безпечного зберігання ключів застосовують їхнє шифрування за допомогою інших ключів. Такий підхід призводить до концепції ієрархії ключів. У ієрархію ключів зазвичай входить головний ключ (тобто майстер-ключ), ключ шифрування ключів та ключ шифрування даних. Слід зазначити, що генерація та зберігання майстер-ключа є критичним питанням криптозахисту.

Розподіл- Найвідповідальніший процес в управлінні ключами. Цей процес повинен гарантувати скритність ключів, що розподіляються, а також бути оперативним і точним. Між користувачами мережі ключі розподіляють двома способами:

• за допомогою прямого обміну сеансовими ключами;
• використовуючи один чи кілька центрів розподілу ключів.

Перелік документів

1. ПРО ДЕРЖАВНУ ТАЄМНИЦЮ. Закон Російської Федерації від 21 липня 1993 № 5485-1 (в ред. Федерального закону від 6 жовтня 1997 № 131-ФЗ).
2. ПРО ІНФОРМАЦІЮ, ІНФОРМАТИЗАЦІЮ І ЗАХИСТУ ІНФОРМАЦІЇ. Федеральний закон Російської Федерації від 20 лютого 1995 року № 24-ФЗ. Прийнято Державною Думою 25 січня 1995 року.
3. ПРО ПРАВОВУ ОХОРОНУ ПРОГРАМ ДЛЯ ЕЛЕКТРОННИХ ВИЧИСЛЮВАЛЬНИХ МАШИН І БАЗ ДАНИХ. Закон Російської Федерації від 23 лютого 1992 № 3524-1.
4. ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС. Федеральний закон Російської Федерації від 10 січня 2002 року № 1-ФЗ.
5. ПРО АВТОРСЬКЕ ПРАВО І СМІЖНИХ ПРАВАХ. Закон Російської Федерації від 9 липня 1993 року № 5351-1.
6. ПРО ФЕДЕРАЛЬНІ ОРГАНИ УРЯДНОГО ЗВ'ЯЗКУ ТА ІНФОРМАЦІЇ. Закон Російської Федерації (в ред. Указу Президента РФ від 24.12.1993 № 2288; Федерального закону від 07.11.2000 № 135-ФЗ.
7. Положення про акредитацію випробувальних лабораторій та органів із сертифікації засобів захисту інформації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
8. Інструкція про порядок маркування сертифікатів відповідності, їх копій та сертифікаційних засобів захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
9. Положення з атестації об'єктів інформатизації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
10. Положення про сертифікацію засобів захисту інформації з вимог безпеки інформації: з доповненнями відповідно до Постанови Уряду Російської Федерації від 26 червня 1995 року № 608 "Про сертифікацію засобів захисту інформації" / Державна технічна комісія при Президентові Російської Федерації.
11. Положення про державне ліцензування діяльності у сфері захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
12. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
13. Концепція захисту засобів обчислювальної техніки та автоматизованих систем від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
14. Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
15. Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
16. Захист інформації. Спеціальні знаки захисту. Класифікація та загальні вимоги: Керівний документ/Державна технічна комісія при Президентові Російської Федерації.
17. Захист від несанкціонованого доступу до інформації. Терміни та визначення: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.