Система захисту цінної інформації та конфіденційних документов

| |ЗМІСТ | | |1 |Запровадження |3 | |2 |Законодавчі й адміністративні заходи для регулювання |5 | | |питань захисту | | |3 |Технічні і программно-математические засоби захисту |8 | | |інформації | | |4 |Методи захисту та його головні недоліки: |10 | |5 |Укладання |13 | |6 |Список літератури |14 |.

Ця робота є скорочений, актуалізований з урахуванням низки що відбулися в останній період змін, варіант навчального посібника книжки «Організація безпеки у сфері захисту », що у 1998 р. в МІФІ. Не проходить і снижающийся інтерес до цій проблематиці, пояснюється лише тим, що відбуваються країни процеси суттєво зачепили проблему організації системи захисту у всіх її сферах — розробки, виробництва, реалізації, експлуатації засобів захисту, підготовки відповідних кадрів. Колишні традиційні підходи до сучасних умовах не може забезпечити необхідний рівень безпеки державно значимої і приватної конфіденційної комп’ютерної інформації, що циркулювала у інформаційно-телекомунікаційних системах страны.

Істотним чинником, до нашого часу надають значний вплив на стан справ у галузі захисту інформації, і те, що на початок 90-х нормативне регулювання у сфері залишало бажати кращого. Система захисту нашій країні тоді визначалася що існувала політичної обстановкою і діяла переважно у інтересах Спеціальних служб государства,.

Міністерства оборони та Військово-промислового комплексу. Цілі захисту досягалися переважно по рахунок початку реалізації принципа.

" максимальної таємності «, відповідно до яким доступ до багатьох видам інформації був дощенту обмежений. Ніяких законодавчих та інших державних нормативних актів, визначальних захист інформаційних прав неурядових організацій і окремих особистостей, немає. Кошти криптографічного захисту використовувала лише у сфері державні органи, які розробка була прерогативою виключно спеціальних служб і небагатьох спеціалізованих державних підприємств. Зазначені підприємства суворо відбиралися і категорировались за рівнем допуску до розробки й виробництву цих коштів. Самі вироби старанно перевірялися компетентними державними органами і допускалися на експлуатацію виключно виходячи з спеціальних висновків цих органів. Будь-які роботи у сфері криптографічного захисту проводилася виходячи з затверджених Урядом країни спеціальних секретних нормативних актів, повністю регламентировавших порядок замовлення, розробки, виробництва та експлуатації шифрувальних коштів. Відомості про цих засобах, їхньої розробки, виробництві, й використанні як у країні, і там були суворо засекречені, які поширення гранично обмежена. Навіть просте нагадування про криптографічних засобах у відкритих публікаціях було запрещено.

Нині можна назвати, що правового поля у сфері захисту одержало вагоме заповнення. Звісно не можна сказати, що побудови цивілізованих правових відносин успішно завершено і завдання правового забезпечення діяльність у цій області вже решена.

Важливо інше — мій погляд, можна буде усвідомити, що вони є непогана законодавчу базу, цілком що дозволяє, з одного боку, підприємствам здійснювати своєї діяльності захисту інформації, згідно вимогами діючих нормативних актів, з другого — уповноваженим державних органів на законній підставі регулювати ринок відповідних товарів та послуг, забезпечуючи необхідний баланс інтересів окремих особистостей, суспільства взагалі і государства.

Останнім часом у різних публікаціях мусується питання, що створений механізм державного регулювання у сфері захисту використовується державними органами, уповноваженими ведення ліцензійної діяльності, для затискача конкуренції, та відповідає ні світового досвіду, ні законодавству країни. У цьому, по-перше, хотіли б зазначити, що на грудень місяць 1996 року Федеральним агентством урядового зв’язку і інформації за Президента Російської Федерації оформлена 71 ліцензія на діяльність у сфері захисту. Офіційно у видачі ліцензії відмовлено лише однієї фірмі. Ще одному підприємству, до речі, державному відмовлено у продовженні ліцензії порушення умов його дії. Серед ліцензіатів — підприємства різної форми власності і відомчої приналежності, зокрема такі приватних фірм, как:

" Авиателеком ", «Аргонавт », «Анкей », «КомФАКС », «Инфотекс «і другие.

Повний список ліцензій, виданих ФАПСИ публікується у пресі, зокрема й у виданнях фірми «Гротек » .

З іншого боку, щоб остудити бурхливі навколо цієї проблеми пристрасті, вважаю корисним докладніше ознайомитися з які є досвідом закордонного законодавства та вимогами російських нормативних актів у галузі захисту информации.

Законодавчі й адміністративні заходи для регулювання питань захисту информации.

Законодавчі й адміністративні заходи для регулювання питань захисту державному рівні застосовують у більшості науково-технічно розвинених країн світу. Комп’ютерні злочину придбали країни з розвиненою інформаційно-телекомунікаційної інфраструктурою таке стала вельми поширеною, що з боротьби з ними кримінальна законодавство запроваджені спеціальні статьи.

Перший Закон про захист інформації було ухвалено Сполучених Штатах.

Америки в 1906 року. Нині США є близько 500 законодавчих актів захисту інформації, відповідальності до її розголошення і комп’ютерні злочину. Проблеми інформаційну безпеку розглядаються американської адміністрацією як із ключових елементів національної стратегії безпеки. Національна политика.

США у сфері захисту формується Агентством національної стратегії безпеки (АНБ). У цьому найважливіші стратегічних питань, що визначають національної політики у цій сфері, зазвичай, вирішуються лише на рівні Ради національної стратегії безпеки, а рішення оформляються як директив Президента США. Серед таких директив треба сказати такі: директива PD/NSC-24 «Політика на галузі захисту систем зв’язку «.

(1977 рік, Д. Картер), у якій вперше наголошується на необхідності захисту важливою несекретной інформацією забезпеченні національної стратегії безпеки; директива SDD-145 «Національна політика США у сфері безпеки систем зв’язку автоматизованих інформаційних систем «(1984 рік, Р. Рейган), що стали юридичної підвалинами покладання на АНБ функції захисту інформації та контролю за безпекою у каналах зв’язку, а й у обчислювальних і складних информационно-телекоммуникацион-ных системах.

У період із 1967 року у зараз у США прийнято низку федеральних законів, створили правову основу на формування і проведення єдиної державної політики у сфері інформатизації та інформації з інтересами національної стратегії безпеки страны.

Це закони «Про свободу інформації «(1967 рік), «Про таємність «(1974 рік), «Про право на фінансову таємність «(1978 рік), «Про доступ до інформації про діяльність ЦРУ «(1984 рік), «Про комп’ютерних зловживаннях і шахрайстві «(1986 рік), «Про безпеку комп’ютерних систем «(1987 рік) і пояснюються деякі другие.

У Франції державному контролю підлягають виготовлення, експорт нафти й використання шифрувального устаткування. Експорт можлива лише із дозволу Прем'єр-міністра країни, що його видають після консультацій із спеціальним комітетом з військового устаткуванню. Імпорт шифрувальних коштів у територію Французької Республіки взагалі заборонено. Закон оголошує експорт нафти й постачання криптографічними засобами без спеціального дозволу злочином, яке карається штрафом у вигляді до 500 000 франків чи тюремним укладанням терміном від 1 до 3 месяцев.

Норми й підвищити вимоги російського законодавства містять у собі становища низки нормативних актів Російської Федерації різного уровня.

19 лютого 1993 року Верховною Радою Російської Федерації було ухвалено Закон «Про федеральних органах урядового зв’язку і інформації «N.

4524−1. Стаття 11 цього закону надала Федеральному агентству права з визначення порядку розробки, виробництва, реалізації, експлуатації шифрувальних коштів, надаваних послуг у сфері шифрування інформації, і навіть порядку проведення робіт з виявлення електронних пристроїв перехоплення інформацією технічних засобах і приміщеннях державними структурами. Отже, закон Российской.

Федерації «Про федеральних органах урядового зв’язку і інформації «є першою власне російським правовим нормативним актом, який вводить сертифікацію у сфері захисту й час його прийняття — 19 лютого 1996 р. — є вихідної точкою від яку слід вести відлік обмеження прав на заняття підприємницької деятельностью.

Новим кроком у справі правового забезпечення діяльність у галузі захисту інформації стало прийняття Федеральним зборами Росії Федерального закону «Про інформацію, інформатизації і захист інформації «від 20.02.95.

N 24-ФЗ. Цей закон вперше офіційно вводить понятие.

" конфіденційної комп’ютерної інформації «, яка сприймається як документована інформація, доступом до якої обмежується відповідно до законодавством Російської Федерації, й встановлює загальні правові вимоги до організації захисту такий інформацією процесі її обробки, збереження і циркуляції в технічних пристроях та інформаційних і телекомунікаційних системах і комплексах та молодіжні організації контролю над здійсненням заходів щодо захисту конфіденційної комп’ютерної інформації. У цьому слід підкреслити, що Закон поділяє державну приватну інформацію, як об'єкт захисту у тому випадку, якщо доступом до ній ограничивается.

З іншого боку, закон визначає на государственно-правовом рівні електронний цифровий підпис як захисту від несанкціонованого спотворення, підміни (имитозащиты) і підтвердження дійсності відправника і одержувача інформації (аутентифікації сторін). Відповідно до статтею 5 «юридична сила документа, закладеного, оброблюваного і переданого з допомогою автоматизованих інформаційних і телекомунікаційних систем, може підтверджуватися електронного цифрового підписом ». У цьому «юридична сила електронного цифрового підпису визнається за наявності в автоматизованої паспортної системи програмно-технічних коштів, які забезпечують ідентифікацію підписи, дотримання встановленого режиму їх використання ». Далі закон розкриває вимоги, які пред’являються спеціалізованим програмно-технічним засобам, що реалізують електронний цифровий підпис, і порядку їх використання їх у информационно-телекомму-никационных системах.

Так Стаття 20 визначає основні мети захисту. Відповідно до цієї статтею такими, зокрема, є: запобігання витоку, розкрадання, втрати, перекручування та підробки інформації; запобігання загрозам міжнародній безпеці особистості, й держави; запобігання несанкціонованих дій зі знищення, модифікації, спотворення, копіювання, блокування інформації; захист конституційні права громадян збереження особистої таємниці та конфіденційності персональних відомостей; збереження державних таємниць і конфіденційності информации.

Пункт 3 статті 21 покладає контролю над дотриманням вимог до захисту інформації, за експлуатацією спеціальних засобів захисту інформації, і навіть забезпечення організаційних заходів захисту інформаційних систем, обробних інформацію з обмеженою доступом, в недержавних структурах на органи державної власти.

Стаття 23 Закону «Про інформацію, інформатизації і захист інформації «присвячена захисту суб'єктів у сфері інформаційних процесів та інформатизації вийшов. Стаття встановлює, що захист прав суб'єктів у цій сфері здійснюється судом, арбітражний суд і третейськими судами, що потенційно можуть створюватися на постійної або тимчасовою основе.

Технічні і программно-математические засоби захисту информации.

З огляду на, що предметом даної праці є організація безпеки у сфері захисту колись треба дати ряд основних понять даної сфери деятельности.

Захист інформації - комплекс заходів, які з метою запобігти витоку, розкрадання, втрати, несанкціонованого знищення, спотворення, модифікації (підробки), несанкціонованого копіювання, блокування інформації та т.п.

Засоби захисту інформації - технічні, писав криптографічні, програмні й інші засоби, призначені за захистом інформації, кошти, у яких реалізовані, і навіть засіб контролю ефективності захисту информации.

Ефективність захисту — ступінь його відповідності досягнутих результатів дій щодо захисту інформації поставленої мети защиты.

Контроль ефективності захисту — перевірка відповідності ефективності заходів щодо захисту інформації установленим вимогам для чи нормам ефективності защиты.

Безпека інформації (інформаційна безпеку) — стан інформації, інформаційних ресурсів немає і інформаційних і телекомунікаційних систем, у якому з необхідної ймовірністю забезпечується захист информации.

Вимоги за безпеку інформації - керівні документи ФАПСИ, які регламентують якісні ці критерії безпеки інформації та норми ефективності її защиты.

Криптографічна захист — захист даних з допомогою криптографічного перетворення перетворення данных.

Криптографічне перетворення — перетворення даних з допомогою шифрування і (чи) вироблення имитовставки.

І Інформацію є досить умовним можна розділити на відомості, віднесені до державну таємницю, конфіденційну інформацію, персональну інформації і іншу інформацію. Розглядати перший тип не будемо. Згідно зі списком термінів та визначень Гостехкомиссии.

Росії конфіденційна, інформація — це, потребує защиты.

(будь-яка, її призначення та зміст не обумовлюються). Персональні дані - це інформацію про громадян чи підприємствах. Згідно з с.

Федеральним законом № 24 «Про інформацію, інформатизації і захист інформації «» захисту підлягає будь-яка документована інформація, неправомірне поводження з якій у змозі зашкодити власнику, власнику чи іншій особі «. З описаного слід, що ВИ зобов’язані турбуватися про схоронності своєї інформації. Наприклад, ніхто, крім мене немає права розголошувати мою дату народження, тоді як зберігається усім підприємствах, де працював і работаю.

У цьому роботі ні порушено інформація, що розповсюджується каналами телефонного зв’язку (телефонія, WEB, Е-mail, локальні сіті й т.д.), і навіть проблеми, пов’язані з її перехопленням, блокуванням і. Це з широтою проблеми освіти й іншими методами захисту. Чільну увагу ми зосередимо на інформації, береженої і використовуваної для підприємства або в громадян. Від що ж необхідно захищати информацию?

Відповідь — в Положенні «Про державне ліцензуванні діяльність у галузі захисту інформації «№ 60, де йдеться, що «захист информации.

— комплекс заходів, які з метою запобігти витоку, розкрадання, втрати, несанкціонованого знищення, спотворення, модифікації (підробки), несанкціонованого копіювання, блокування інформації тощо. ". Приклад — у одному з РЕУ підмосковного міста було викрадено комп’ютери, і цього було оприлюднено інформацію про прописку громадян. Також у сучасних російських умовах годі було скидати з рахунки і їх підприємств приховати дані від силових відомств. Правомочність цих дій ми оспорюємо, але підприємство саме вирішує, які дані вона хоче оприлюднити, які - немає (з визначення конфіденційної комп’ютерної інформації). До речі, інформація, збережена за комп’ютерами, неспроможна використовувати як докази в кримінальноцивільних справах, але цілком можливо її застосування виконання слідчих действий.

Захист інформації слід розглядати, як невід'ємну частину зберігання. Неможливо забезпечити серйозну захист, не виконуючи резервне копіювання інформації. На щастя, забезпечити схоронність копій набагато простіше, на те дуже адміністративних мер

(збереження до неспалених сейфах). Ємність стриммеров, CD-R, CD-RW, DVD достатня упорядкування резервних копій і відновлення їх у стислі терміни. Нехтування даними заходами загрожує за технічними міркувань — надійність технічних засобів зберігання далекою від 1 (а ймовірність збою Windows 95/98 протягом робочого дня дорівнює 1), і втратити інформацію з причини програмного збою чи поломки нагромаджувача дуже кривдно й дорого. Відомі ситуації втрати бухгалтерської звітності три місяці, відновлення зайняло 2 місяці, штрафи за невчасне уявлення звітності перевищили вартість сломавшегося нагромаджувача більш ніж 100 знову вважаючи припинення ліцензії і непрямих потерь.

Методи захисту та його головні недостатки:

Адміністративні меры.

Якщо територія (приміщення) підприємства має охорону, персоналу можна довіряти, локальна мережу немає виходів в глобальні мережі, то таку захищеність слід визнати дуже високою. Але це ідеальний випадок, й у практиці таке який завжди реально (приклад — персональна база жителів Санкт-Петербурга з ГУВС, оприлюднена на CD). Нехтувати цим методом не можна, і він, зазвичай, доповнює чи контролює інші методы.

Захист засобами операційній системы.

MS-DOS, як найпоширеніша операційна система, технічно нескладне будь-яких методів захисту. Це найбільш відкрита операційна система, і її базі розроблено багато різних апаратних і програмних засобів, зокрема — віртуальні кодируемые чи шифруемые диски, блокатори завантаження і т.ін. Проте наявні кошти дисассемблирования, отладчики, і навіть дуже багато кваліфікованих програмістів зводять нанівець всі програмні методы.

DR-DOS, як із різновидів MS-DOS, хоч і підтримує блокування файлів, але завантаження з дискети чи з іншого нагромаджувача робить непотрібної використання вбудованих систем захисту. Windows.

95/98 засновані з урахуванням MS-DOS, і це притаманні її недостатки.

Парольна система Windows 95/98 не витримує жодної критики, і навіть установка додаткових модулів системної політики не вирішує це завдання. Windows NT і Novell, хоч і вирішують завдання захисту, але… ось найпростіший приклад — у Вас викрали, чи вилучили у порядку, комп’ютер. Диск встановили другим — і всі ваше адміністрування, яким витрачено тисячі (а то й мільйони) людино-годин, — уже не помеха.

Не хотів згадуватимуть у цій роботі захист інформації установкою пароля BIOS, однак велика кількість можна побачити установок даного пароля змусило торкнутися і цей метод. Максимум що треба для блокування, це — відкрити комп’ютер, встановити перемичку й зняти ее.

(найбільше — дві хвилини). Є дві (відомих мені) винятку — системи з годинниками з урахуванням мікросхем DALLAS і переносні компьютеры.

Тут задачка непросто вирішується. Допомагає зняття нагромаджувача і установка їх у інший комп’ютер (знов-таки дві минуты).

Блокування завантаження операційній системы.

Цим шляхом йдуть багато фірм. У цього методу знов-таки недоліки спливають, якщо комп’ютера чи накопителю можна було одержати доступ. Відомі плати перехоплюють переривання із завантаження, однако.

Setup сучасних комп’ютерів дозволяє блокувати таку можливість, вилучення цієї оплати чи від нагромаджувача зводить нанівець що здається міць даного средства.

Фізичне знищення накопителя.

Це найбільш древній і дієвий метод, згадайте спалювання, съедание паперів. Звісно, нашого часу він працює більш хитромудрим, зокрема, до комп’ютерної безпеки можна прилучити такі методы:

. викинути з відкритого вікна вінчестер чи повністю комп’ютер, зламати дискету;

. електромагніт, пробивающий наскрізь нагромаджувач чи дискету (московська розробка, наслідки дуже впечатляющие);

. пиропатрон, встановлений під накопичувачем (за збереження і застосування вибухових речовин передбачено кримінальну ответственность).

Згаданою методам дуже важко щось протиставити, але за фальшивому спрацьовуванні завеликою вартість втрат. Маю на увазі лише матеріальних втрати, оскільки грамотне ведення резервного копіювання переймається тим відновлення у стислі терміни. Дуже цікаво, звісно, окрім останнього пункту, що ці заходи не потребують жодного узгодження, ліцензування і сертифікацію, якщо ці портрети виконані силами самого підприємства. Наприклад, не можна обвинуватити виготовлювача вікна, що він став винуватцем знищення інформації, якщо комп’ютер його з нього скинуть. Дуже поширена використання змінних HDD чи магнитооптических дисків. Проте досвід їх використання, особливо в постійному вилучення, говорить про значне зменшення терміну їхніх службы.

(удари по вінчестеру) і частих збої (притаманних магнитооптики).

Стирання информации.

Метод має багато з попереднім й у водночас позбавлений низки його недоліків, оскільки губиться тільки інформація, а чи не накопитель.

(яскравий — стирання плівки у фільмі «Геній »). Інформацію відновлюємо з резервної копії - і немає. Програмне стирання і комплекси, використовують цю функцію, вимагають перебування комп’ютера тільки під напругою. Це важко реально, навіть потужні UPS що неспроможні забезпечити роботу комп’ютерів понад годину. Приклад: один комплекс дав збій, оскільки удаляемый файл відкрили програмою і блокування ОС зупинила подальше удаление.

Апаратне стирання, яке виконує своїх функцій й без участі комп’ютера, особливо в наявності резервного джерела харчування, усуває ці проблеми. Швидкість знищення, зазвичай, сумірна зі швидкістю роботи самого нагромаджувача. Хоча для магнітної стрічки можливо, й миттєве стирання. Дані устрою можуть застосовується у приміщенні офісу, але, наприклад, й у кейсі, під час перевезення информации.

Шифрування данных.

Це з наймогутніших методів. Почнемо його розгляд з визначення по ГОСТ 19 781: Шифрування — це процес перетворення відкритих даних в зашифровані з допомогою шифру чи зашифрованих даних у відчинені з допомогою шифру — сукупність оборотних перетворень безлічі можливих відкритих даних силою-силенною можливих зашифрованих даних, здійснюваних за правилами із застосуванням ключей.

(конкретне секретне стан деяких параметрів алгоритму криптографічного перетворення даних, що забезпечує вибір одного перетворення). Стійкість сучасних шифрувальних систем досить висока, й вважатимемо її достатньої. Але — !!! Отут ми отримуємо потужне спротив з боку законодавства. По-перше, розробник, продавець і установник повинен мати ліцензію. Але це мало! НАВІТЬ КОРИСТУВАЧ зобов’язаний володіти ліцензією ФАПСИ. У Росії її дозволено використання лише одну алгоритму і неможливо отримати, отже, і використовувати, імпортні разработки!

Наприклад, що з’явилася друку реклама комплексу «Secret Disk «щодо продажу їх у магазинах просто незрозуміла (з двох — або ж цей не шифрування або ж цей кримінально карається). Стаття 4 указу № 334 прямо говорить: «У чиїх інтересах інформаційну безпеку РФ і через посилення боротьби з організованою злочинністю заборонити діяльність юридичних і фізичних осіб, пов’язану із розробкою, виробництвом, реалізацією і експлуатацією шифрувальних коштів, і навіть захищених технічних засобів зберігання, обробітку грунту і передачі, наданням послуг у галузі шифрування інформації, без ліцензій, виданих ФАПСИ » .

Чи ви застосувати даний метод цих разъяснений?

Об'єкти, Куплені технічні устрою захисту можуть мати сертифікації, за умови, що вона буде використані державних підприємств і банківських установах. Проте підприємство-продавець повинен мати ліцензію навчання даної деятельностью.

Відповідальність використання несертифікованих коштів, хоч як дивно, лежить на жіночих самому споживачі, але він може (чи мусить? і куди?) звернутися для перевірки щодо відповідності даної системы.

Заключение

.

Отже, підіб'ємо підсумки. Цю роботу в жодному разі слід розглядати, як повну (є що поговорити !?) і, він помилок чи протиріч. Але проте відомо безліч випадків, коли фірми (як зарубіжні !!!) ведуть між собою настоящие.

" шпигунські війни ", вербуючи співробітників конкурента для одержання них доступу до інформації, складову комерційну тайну.

Регулювання питань, що з комерційною таємницею, ще отримала Росії достатнього розвитку. Прийнятий ще в 1971 року КзпПр попри численні зміни безнадійно застарів і забезпечує відповідного сучасних реалій регулювання багатьох питань, зокрема і комерційну таємницю. Наявність норм про відповідальність, зокрема кримінальної, може бути працівникам застереженням від порушень у сфері, тому доцільно докладно проінформувати всіх співробітників про наслідки порушень. У той самий час треба віддавати усвідомлювали, що збитки, заподіяний розголошенням комерційної таємниці, найчастіше має значні розміри (якщо їх узагалі можна оцінити). Компенсувати збитки, вимагаючи їх відшкодування з винного працівника, швидше за все вдасться, почасти через недосконалого порядку звернення майнових стягнень на фізичних осіб, почасти — просто через брак у фізичної особи відповідних коштів. Хочеться сподіватися що що створюється країни система захисту процес формування комплексу заходів для його реалізації не призведе до необоротних наслідків у по дорозі зароджуваного у Росії інформаційно — інтелектуального об'єднання з всім миром.

1. Стаття «Правові засоби захисту конфіденційної комп’ютерної інформації» журнал «Банківська залежить від Москві» № 15 1998г.

2. за матеріалами «Комп'ютер Price», № 31 2000г.

3. «Організація безпеки у сфері захисту », 1998 г.

МИФИ.

4. Закони та нормативні акти уряду РФ.