Контрольна робота
з дисципліни
«Інформаційна безпека в телекомунікаційних системах»
на тему
«Комплексні заходи щодо захисту інформації (економічна доцільність, фізична, електромагнітна, криптографічний, активний захист)»
3. Фізичний захист 7
4. Електромагнітна захист 9
5. Криптографічний захист 13
Введення
Аналіз стану справ в області захисту інформації показує, що в промислово розвинених країнах світу вже склалася цілком оформилася інфраструктура захисту інформації в системах обробки даних. І, тим не менше, кількість фактів злочинних дій над інформацією не тільки не зменшується, але й має досить стійку тенденцію до зростання. Серед всіх можливих каналів витоку інформації найбільшу небезпеку в Росії найближчим часом, очевидно, будуть представляти технічні канали. Таке припущення грунтується на наступних фактах:
· Наявність у Росії великого числа технічно грамотних фахівців, знання та навички яких не затребувані внаслідок важкого економічного становища;
· Виходу на російський ринок західних фірм - виробників апаратури для технічного шпигунства;
· Недостатньої уваги, а найчастіше просто ігнорування проблем безпеки інформації з боку зароджується російського бізнесу.
Проблема забезпечення безпеки засобів і систем, пов'язаних з обробкою інформації (інформаційна безпека) обумовлена автоматизацією всієї інформаційної інфраструктури об'єктів і масового підключення систем обробки інформації до локальних і глобальних мереж, що істотно розширило можливості несанкціонованого доступу до інформаційних ресурсів підприємств. В даний час всі провідні західні країни і Росія, в тому числі, піднімаються на новий етап розвитку - етап становлення інформаційного суспільства, коли сумарна вартість інформації та інформаційних технологій, що використовуються в суспільстві, в найближчому майбутньому перевершить витрати па інші види діяльності. Інформація та інформаційні технології стають основним ринковим товаром у суспільстві. Тому найбільш важливими складовими об'єкта захисту є інформація і засоби обробки і зберігання інформації.
Головною відмінністю інформаційної інфраструктури, як об'єкта захисту, є те, що вона має розподілений характер, охоплюючи практично всі компоненти організації. Все це істотно ускладнює забезпечення безпеки об'єкта обробки інформації. Захист інформації може здійснюватися лише в комплексі; окремі заходи не матимуть сенсу. При цьому слід пам'ятати, що:
· Стійкість захисту в усіх ланках повинна бути приблизно однакова; посилювати окремі елементи комплексу при наявності більш слабких елементів - безглуздо.
· При подоланні захисту інформації зусилля прикладаються саме до слабіші ланці.
Для протистояння процесу порушення безпеки необхідно виділити однорідні елементи захисту. Оскільки вони забезпечують однотипність засобів використовуваних для протидії загрозам, то необхідно зробити системну класифікацію процесів забезпечення захищеності, виділивши в ньому однорідні підпроцеси. Сучасні системи безпеки грунтуються на реалізації комплексу заходів щодо організації захисту інформації.
Економічна доцільність
Багато рішень у сфері захисту інформації часто приймаються на інтуїтивно-понятійному рівні, без будь-яких економічних розрахунків та обгрунтувань. У результаті тільки ті начальники служб ІБ (CISO), які за рахунок своєї "ініціативності" змогли заявити і відстояти потреба в захисті інформації могли якось вплинути на планування бюджету компанії на ІБ.
Однак сучасні вимоги бізнесу, які пред'являються до організації режиму ІБ, диктують нагальну необхідність використовувати у своїй роботі більш обгрунтовані техніко-економічні методи і засоби, що дозволяють кількісно вимірювати рівень захищеності компанії, а також оцінювати економічну ефективність витрат на ІБ.
Для оцінки ефективності корпоративної системи захисту інформації рекомендується використовувати деякі показники ефективності, наприклад показники: сукупної вартості володіння (ТСО), економічної ефективності бізнесу і безперервності бізнесу (BCP), коефіцієнти повернення інвестицій на ІБ (ROI) та інші.
Зокрема, відома методика сукупної вартості володіння (TCO) була спочатку запропонована аналітичною компанією Gartner Group в кінці 80-х років (1986-1987) для оцінки витрат на інформаційні технології. Методика Gartner Group дозволяє розрахувати всю видаткову частину інформаційних активів компанії, включаючи прямі і непрямі витрати на апаратно-програмні засоби, організаційні заходи, навчання і підвищення кваліфікації співробітників компанії, реорганізацію, реструктуризацію бізнесу і т. д.
Істотно, що сьогодні методика ТСО може бути використана для доказу економічної ефективності існуючих корпоративних систем захисту інформації. Вона дозволяє керівникам служб інформаційної безпеки обгрунтовувати бюджет на ІБ, а також доводити ефективність роботи співробітників служби. Крім того, оскільки оцінка економічної ефективності корпоративної системи захисту інформації стає "вимірної", стає можливим оперативно вирішувати задачі контролю і корекції показників економічної ефективності і зокрема показника ТСО. Таким чином, показник ТСО можна використовувати як інструмент для оптимізації витрат на забезпечення необхідного рівня захищеності корпоративної інформаційної системи (КІС) та обгрунтування бюджету на ІБ. При цьому в компанії ці роботи можуть виконуватися самостійно, із залученням системних інтеграторів в області захисту інформації, або спільно підприємством і інтегратором.
Слід зазначити, що показник ТСО може застосовуватися практично на всіх основних етапах життєвого циклу корпоративної системи захисту інформації та дозволяє "навести порядок" в існуючих і плановані витрати на ІБ. З цієї точки зору показник ТСО дозволяє об'єктивно і незалежно обгрунтувати економічну доцільність впровадження та використання конкретних організаційних і технічних заходів і засобів захисту інформації. При цьому для об'єктивності рішення необхідно додатково враховувати і стану зовнішнього і внутрішнього середовища підприємства, наприклад показники технологічного, кадрового та фінансового розвитку підприємства. Так як не завжди найменший показник ТСО корпоративної системи захисту інформації може бути оптимальний для компанії.
Зрозуміло, що вміле керування ТСО дозволяє раціонально та економно реалізовувати кошти бюджету на ІБ, досягаючи при цьому прийнятного рівня захищеності компанії, адекватного поточним цілям та завданням бізнесу. Істотно, що порівняння певного показника ТСО з аналогічними показниками ТСО по галузі (аналогічними компаніями) і з "кращими в групі" дозволяє об'єктивно і незалежно обгрунтувати витрати компанії на ІБ. Адже часто виявляється досить важко або навіть практично неможливо оцінити прямий економічний ефект від витрат на ІБ. Порівняння ж "родинних" показників ТСО дозволяє переконатися в тому, що проект створення або реорганізації корпоративної системи захисту інформації компанії є оптимальним у порівнянні з деякими середньостатистичним проектом у галузі захисту інформації по галузі. Зазначені порівняння можна проводити, використовуючи усереднені показники ТСО по галузі, розраховані експертами Gartner Group або власні експертами компанії за допомогою методів математичної статистики і обробки спостережень.
Методика ТСО Gartner Group дозволяє відповісти на наступні актуальні питання:
· Які ресурси та грошові кошти витрачаються на ІБ?
· Оптимальні чи витрати на ІБ для бізнесу компанії?
· Наскільки ефективна робота служби ІБ компанії в порівнянні з іншими?
· Як ефективно управляти інвестуванням в захист інформації?
· Які вибрати напрями розвитку корпоративної системи захисту інформації?
· Як обгрунтувати бюджет компанії на ІБ?
· Як довести ефективність існуючої корпоративної системи захисту інформації та служби ІБ компанії в цілому?
· Яка оптимальна структура служби ІБ компанії?
· Як правильно оцінити аутсортінгової послуги з супроводу корпоративної системи захисту інформації?
· Як оцінити ефективність проекту в області захисту інформації?
У цілому, визначення витрат компанії на ІБ передбачає вирішення наступних трьох задач:
1. оцінку поточного рівня ТСО корпоративної системи захисту інформації та КІС в цілому;
2. аудит ІБ підприємства на основі порівняння рівня захищеності підприємства і рекомендованого рівня ТСО;
3. формування цільової моделі ТСО.
Розглянемо кожну з перерахованих завдань.
Оцінка поточного рівня ТСО. У ході робіт з оцінки ТСО проводиться збір інформації та розрахунок показників ТСО організації за такими напрямами:
· Існуючі компоненти КІС (включаючи систему захисту інформації) та інформаційні активи компанії (сервери, комп'ютери клієнтів, периферійні пристрої, мережеві пристрої);
· Існуючі витрати на апаратні і програмні засоби захисту інформації (витратні матеріали, амортизація);
· Існуючі витрати на організацію ІБ в компанії (обслуговування систем захисту інформації (СЗІ) та систем корпоративної захисту інформації (СКЗИ), а також штатних засобів захисту периферійних пристроїв, серверів, мережевих пристроїв, планування і управління процесами захисту інформації, розробку концепції та політики безпеки тощо);
· Існуючі витрати на організаційні заходи захисту інформації;
· Існуючі непрямі витрати на організацію ІБ в компанії і зокрема забезпечення безперервності або стійкості діяльності компанії.
За результатами співбесіди з TOP-менеджерами компанії і проведення інструментальних перевірок рівня захищеності організації проводиться аналіз наступних основних аспектів: політики безпеки; організації захисту; класифікації та управління інформаційними ресурсами; управління персоналом; фізичної безпеки; адміністрування комп'ютерних систем і мереж; управління доступом до систем; розробки та супроводу систем; планування безперебійної роботи організації; перевірки системи на відповідність вимогам ІБ.
На основі проведеного аналізу вибирається модель ТСО, порівнянна з середніми і оптимальними значеннями для репрезентативної групи аналогічних організацій, що мають схожі з розглянутої організацією показники за обсягом бізнесу. Така група вибирається з банку даних щодо ефективності витрат на ІБ та ефективності відповідних профілів захисту аналогічних компаній.
Порівняння поточного показника ТСО компанії, що перевіряється з модельним значенням показника ТСО дозволяє провести аналіз ефективності організації ІБ компанії, результатом, якого є визначення "вузьких" місць в організації, причин їх появи та вироблення подальших кроків щодо реорганізації корпоративної системи захисту інформації і забезпечення необхідного рівня захищеності КІС .
Формування цільової моделі ТСО. За результатами проведеного аудиту моделюється цільова (бажана) модель, яка враховує перспективи розвитку бізнесу та корпоративної системи захисту інформації (активи, складність, методи кращої практики, типи ЗЗІ та СКЗИ, кваліфікація співробітників компанії і т. п.).
Крім того, розглядаються капітальні витрати і трудовитрати, необхідні для проведення перетворень поточного середовища в цільову середу. У трудовитрати на впровадження включаються витрати на планування, розгортання, навчання і розробку. Сюди ж входять можливі тимчасові збільшення витрат на управління і підтримку.
Для обгрунтування ефекту від впровадження нової корпоративної системи захисту інформації (ROI) можуть бути використані модельні характеристики зниження сукупних витрат (ТСО), що відображають можливі зміни в корпоративній системі захисту інформації.
Витрати на операції кінцевих користувачів. Це витрати на самопідтримки кінцевих користувачів, а також на підтримку користувачів один одного в противагу офіційній ІС підтримки. Витрати включають: самостійну підтримку, офіційне навчання кінцевих користувачів, нерегулярне (неофіційна) навчання, самостійні прикладні розробки, підтримку локальної файлової системи.
Витрати на простої. Дана категорія враховує щорічні втрати продуктивності кінцевих користувачів від запланованих і незапланованих відключень мережевих ресурсів, включаючи клієнтські комп'ютери, що спільно використовуються сервери, принтери, прикладні програми, комунікаційні ресурси та програмне забезпечення для зв'язку.
Для аналізу фактичної вартості простоїв, які пов'язані з перебоями в роботі мережі і які впливають на продуктивність, вихідні дані отримують з огляду по кінцевим користувачам. Розглядаються тільки ті простої, які ведуть до втрати продуктивності. з дисципліни
«Інформаційна безпека в телекомунікаційних системах»
на тему
«Комплексні заходи щодо захисту інформації (економічна доцільність, фізична, електромагнітна, криптографічний, активний захист)»
Зміст:
1. Введення 2
2. Економічна доцільність 33. Фізичний захист 7
4. Електромагнітна захист 9
5. Криптографічний захист 13
6. Активний захист 17
7. Бібліографічний список 19
Введення
Аналіз стану справ в області захисту інформації показує, що в промислово розвинених країнах світу вже склалася цілком оформилася інфраструктура захисту інформації в системах обробки даних. І, тим не менше, кількість фактів злочинних дій над інформацією не тільки не зменшується, але й має досить стійку тенденцію до зростання. Серед всіх можливих каналів витоку інформації найбільшу небезпеку в Росії найближчим часом, очевидно, будуть представляти технічні канали. Таке припущення грунтується на наступних фактах:
· Наявність у Росії великого числа технічно грамотних фахівців, знання та навички яких не затребувані внаслідок важкого економічного становища;
· Виходу на російський ринок західних фірм - виробників апаратури для технічного шпигунства;
· Недостатньої уваги, а найчастіше просто ігнорування проблем безпеки інформації з боку зароджується російського бізнесу.
Проблема забезпечення безпеки засобів і систем, пов'язаних з обробкою інформації (інформаційна безпека) обумовлена автоматизацією всієї інформаційної інфраструктури об'єктів і масового підключення систем обробки інформації до локальних і глобальних мереж, що істотно розширило можливості несанкціонованого доступу до інформаційних ресурсів підприємств. В даний час всі провідні західні країни і Росія, в тому числі, піднімаються на новий етап розвитку - етап становлення інформаційного суспільства, коли сумарна вартість інформації та інформаційних технологій, що використовуються в суспільстві, в найближчому майбутньому перевершить витрати па інші види діяльності. Інформація та інформаційні технології стають основним ринковим товаром у суспільстві. Тому найбільш важливими складовими об'єкта захисту є інформація і засоби обробки і зберігання інформації.
Головною відмінністю інформаційної інфраструктури, як об'єкта захисту, є те, що вона має розподілений характер, охоплюючи практично всі компоненти організації. Все це істотно ускладнює забезпечення безпеки об'єкта обробки інформації. Захист інформації може здійснюватися лише в комплексі; окремі заходи не матимуть сенсу. При цьому слід пам'ятати, що:
· Стійкість захисту в усіх ланках повинна бути приблизно однакова; посилювати окремі елементи комплексу при наявності більш слабких елементів - безглуздо.
· При подоланні захисту інформації зусилля прикладаються саме до слабіші ланці.
Для протистояння процесу порушення безпеки необхідно виділити однорідні елементи захисту. Оскільки вони забезпечують однотипність засобів використовуваних для протидії загрозам, то необхідно зробити системну класифікацію процесів забезпечення захищеності, виділивши в ньому однорідні підпроцеси. Сучасні системи безпеки грунтуються на реалізації комплексу заходів щодо організації захисту інформації.
Економічна доцільність
Багато рішень у сфері захисту інформації часто приймаються на інтуїтивно-понятійному рівні, без будь-яких економічних розрахунків та обгрунтувань. У результаті тільки ті начальники служб ІБ (CISO), які за рахунок своєї "ініціативності" змогли заявити і відстояти потреба в захисті інформації могли якось вплинути на планування бюджету компанії на ІБ.
Однак сучасні вимоги бізнесу, які пред'являються до організації режиму ІБ, диктують нагальну необхідність використовувати у своїй роботі більш обгрунтовані техніко-економічні методи і засоби, що дозволяють кількісно вимірювати рівень захищеності компанії, а також оцінювати економічну ефективність витрат на ІБ.
Для оцінки ефективності корпоративної системи захисту інформації рекомендується використовувати деякі показники ефективності, наприклад показники: сукупної вартості володіння (ТСО), економічної ефективності бізнесу і безперервності бізнесу (BCP), коефіцієнти повернення інвестицій на ІБ (ROI) та інші.
Зокрема, відома методика сукупної вартості володіння (TCO) була спочатку запропонована аналітичною компанією Gartner Group в кінці 80-х років (1986-1987) для оцінки витрат на інформаційні технології. Методика Gartner Group дозволяє розрахувати всю видаткову частину інформаційних активів компанії, включаючи прямі і непрямі витрати на апаратно-програмні засоби, організаційні заходи, навчання і підвищення кваліфікації співробітників компанії, реорганізацію, реструктуризацію бізнесу і т. д.
Істотно, що сьогодні методика ТСО може бути використана для доказу економічної ефективності існуючих корпоративних систем захисту інформації. Вона дозволяє керівникам служб інформаційної безпеки обгрунтовувати бюджет на ІБ, а також доводити ефективність роботи співробітників служби. Крім того, оскільки оцінка економічної ефективності корпоративної системи захисту інформації стає "вимірної", стає можливим оперативно вирішувати задачі контролю і корекції показників економічної ефективності і зокрема показника ТСО. Таким чином, показник ТСО можна використовувати як інструмент для оптимізації витрат на забезпечення необхідного рівня захищеності корпоративної інформаційної системи (КІС) та обгрунтування бюджету на ІБ. При цьому в компанії ці роботи можуть виконуватися самостійно, із залученням системних інтеграторів в області захисту інформації, або спільно підприємством і інтегратором.
Слід зазначити, що показник ТСО може застосовуватися практично на всіх основних етапах життєвого циклу корпоративної системи захисту інформації та дозволяє "навести порядок" в існуючих і плановані витрати на ІБ. З цієї точки зору показник ТСО дозволяє об'єктивно і незалежно обгрунтувати економічну доцільність впровадження та використання конкретних організаційних і технічних заходів і засобів захисту інформації. При цьому для об'єктивності рішення необхідно додатково враховувати і стану зовнішнього і внутрішнього середовища підприємства, наприклад показники технологічного, кадрового та фінансового розвитку підприємства. Так як не завжди найменший показник ТСО корпоративної системи захисту інформації може бути оптимальний для компанії.
Зрозуміло, що вміле керування ТСО дозволяє раціонально та економно реалізовувати кошти бюджету на ІБ, досягаючи при цьому прийнятного рівня захищеності компанії, адекватного поточним цілям та завданням бізнесу. Істотно, що порівняння певного показника ТСО з аналогічними показниками ТСО по галузі (аналогічними компаніями) і з "кращими в групі" дозволяє об'єктивно і незалежно обгрунтувати витрати компанії на ІБ. Адже часто виявляється досить важко або навіть практично неможливо оцінити прямий економічний ефект від витрат на ІБ. Порівняння ж "родинних" показників ТСО дозволяє переконатися в тому, що проект створення або реорганізації корпоративної системи захисту інформації компанії є оптимальним у порівнянні з деякими середньостатистичним проектом у галузі захисту інформації по галузі. Зазначені порівняння можна проводити, використовуючи усереднені показники ТСО по галузі, розраховані експертами Gartner Group або власні експертами компанії за допомогою методів математичної статистики і обробки спостережень.
Методика ТСО Gartner Group дозволяє відповісти на наступні актуальні питання:
· Які ресурси та грошові кошти витрачаються на ІБ?
· Оптимальні чи витрати на ІБ для бізнесу компанії?
· Наскільки ефективна робота служби ІБ компанії в порівнянні з іншими?
· Як ефективно управляти інвестуванням в захист інформації?
· Які вибрати напрями розвитку корпоративної системи захисту інформації?
· Як обгрунтувати бюджет компанії на ІБ?
· Як довести ефективність існуючої корпоративної системи захисту інформації та служби ІБ компанії в цілому?
· Яка оптимальна структура служби ІБ компанії?
· Як правильно оцінити аутсортінгової послуги з супроводу корпоративної системи захисту інформації?
· Як оцінити ефективність проекту в області захисту інформації?
У цілому, визначення витрат компанії на ІБ передбачає вирішення наступних трьох задач:
1. оцінку поточного рівня ТСО корпоративної системи захисту інформації та КІС в цілому;
2. аудит ІБ підприємства на основі порівняння рівня захищеності підприємства і рекомендованого рівня ТСО;
3. формування цільової моделі ТСО.
Розглянемо кожну з перерахованих завдань.
Оцінка поточного рівня ТСО. У ході робіт з оцінки ТСО проводиться збір інформації та розрахунок показників ТСО організації за такими напрямами:
· Існуючі компоненти КІС (включаючи систему захисту інформації) та інформаційні активи компанії (сервери, комп'ютери клієнтів, периферійні пристрої, мережеві пристрої);
· Існуючі витрати на апаратні і програмні засоби захисту інформації (витратні матеріали, амортизація);
· Існуючі витрати на організацію ІБ в компанії (обслуговування систем захисту інформації (СЗІ) та систем корпоративної захисту інформації (СКЗИ), а також штатних засобів захисту периферійних пристроїв, серверів, мережевих пристроїв, планування і управління процесами захисту інформації, розробку концепції та політики безпеки тощо);
· Існуючі витрати на організаційні заходи захисту інформації;
· Існуючі непрямі витрати на організацію ІБ в компанії і зокрема забезпечення безперервності або стійкості діяльності компанії.
За результатами співбесіди з TOP-менеджерами компанії і проведення інструментальних перевірок рівня захищеності організації проводиться аналіз наступних основних аспектів: політики безпеки; організації захисту; класифікації та управління інформаційними ресурсами; управління персоналом; фізичної безпеки; адміністрування комп'ютерних систем і мереж; управління доступом до систем; розробки та супроводу систем; планування безперебійної роботи організації; перевірки системи на відповідність вимогам ІБ.
На основі проведеного аналізу вибирається модель ТСО, порівнянна з середніми і оптимальними значеннями для репрезентативної групи аналогічних організацій, що мають схожі з розглянутої організацією показники за обсягом бізнесу. Така група вибирається з банку даних щодо ефективності витрат на ІБ та ефективності відповідних профілів захисту аналогічних компаній.
Порівняння поточного показника ТСО компанії, що перевіряється з модельним значенням показника ТСО дозволяє провести аналіз ефективності організації ІБ компанії, результатом, якого є визначення "вузьких" місць в організації, причин їх появи та вироблення подальших кроків щодо реорганізації корпоративної системи захисту інформації і забезпечення необхідного рівня захищеності КІС .
Формування цільової моделі ТСО. За результатами проведеного аудиту моделюється цільова (бажана) модель, яка враховує перспективи розвитку бізнесу та корпоративної системи захисту інформації (активи, складність, методи кращої практики, типи ЗЗІ та СКЗИ, кваліфікація співробітників компанії і т. п.).
Крім того, розглядаються капітальні витрати і трудовитрати, необхідні для проведення перетворень поточного середовища в цільову середу. У трудовитрати на впровадження включаються витрати на планування, розгортання, навчання і розробку. Сюди ж входять можливі тимчасові збільшення витрат на управління і підтримку.
Для обгрунтування ефекту від впровадження нової корпоративної системи захисту інформації (ROI) можуть бути використані модельні характеристики зниження сукупних витрат (ТСО), що відображають можливі зміни в корпоративній системі захисту інформації.
Витрати на операції кінцевих користувачів. Це витрати на самопідтримки кінцевих користувачів, а також на підтримку користувачів один одного в противагу офіційній ІС підтримки. Витрати включають: самостійну підтримку, офіційне навчання кінцевих користувачів, нерегулярне (неофіційна) навчання, самостійні прикладні розробки, підтримку локальної файлової системи.
Витрати на простої. Дана категорія враховує щорічні втрати продуктивності кінцевих користувачів від запланованих і незапланованих відключень мережевих ресурсів, включаючи клієнтські комп'ютери, що спільно використовуються сервери, принтери, прикладні програми, комунікаційні ресурси та програмне забезпечення для зв'язку.
Разом з методикою ТСО можна використовувати різноманітні методи для розрахунку повернення інвестицій (ROI). Як правило, для оцінки доходної частини спочатку аналізують ті цілі, завдання і напрями бізнесу, які потрібно досягти за допомогою впровадження або реорганізації існуючих проектів в області системної інтеграції, автоматизації та інформаційної безпеки. Далі використовують деякі вимірні показники ефективності бізнесу для оцінки ефекту окремо по кожному рішенню. Припустимо, з метою скорочення операційних витрат, забезпечення прийнятної конкурентної спроможності, поліпшення внутрішнього контролю і т. д. Вказані показники не треба вигадувати, вони існують в надмірному вигляді. Далі можна використовувати методики розрахунку коефіцієнтів повернення інвестицій в інфраструктуру підприємства (ROI), наприклад, також Gartner Group.
Досить результативно використовувати таку комбінацію: ТСО як витратну частину і ROI як розрахункову. Крім того, сьогодні існують і інші різноманітні методи і технології розрахунку та вимірювання різних показників економічної ефективності
Для виключення зайвих витрат по захисту вся інформація ділиться на категорії відповідно до необхідної ступенем захисту. Цей ступінь визначається, виходячи з:
· Можливих збитків для власника при несанкціонованому доступі до інформації, що захищається;
· Економічної доцільності подолання захисту для противника.
Природно, виробляти таку оцінку для кожного документа було б дуже трудомістким. Тому склалася практика визначення категорій секретності документів, по яких документи розподіляються за формальними ознаками. Наприклад, в наших державних органах прийнято 4 категорії секретності:
· «Для службового користування»,
· «Таємно» (кат.3),
· «Цілком таємно», (кат.2)
· «Цілком таємно особливої важливості» (кат.1).
Для спрощення вирішення питань захисту слід застосовувати аналогічну схему. Видається інструкція, яка визначає, за якими ознаками документ (інформація) відноситься до тієї чи іншої категорії, і які співробітники до якої категорії мають доступ.
Фізичний захист
Рішення завдання розробки автоматизованої системи аналізу фізичної захищеності об'єкта обробки та зберігання інформації передбачає вирішення наступних завдань:
· Розгляд типів об'єктів захисту,
· Аналіз загроз на об'єктах захисту
· Класифікація можливих елементів захисту.
Під об'єктом захисту розуміють будь-яку структуру приватних, громадських, державних, і комерційних організацій, що містять інформацію, яка має певну цінність для власників.
У загальному випадку, складовими будь-якого об'єкта обробки та зберігання інформації є:
1. територія організації, будинки та приміщення, в яких зберігається та обробляється інформація і цінності;
2. засоби обробки інформації (ЕОМ, локальні і глобальні мережі) та оргтехніку, використовувану для передачі і тиражування інформації (телефони, факси, копіювальні апарати, модеми);
3. електронні та паперові носії інформації (жорсткі та гнучкі магнітні диски, оптичні накопичувачі, CD / DVD-ROM і ін);
4. співробітники і відвідувачі підприємства, які володіють інформацією.
Фізичний захист забезпечується службою охорони, основним завданням якої є попередження несанкціонованого фізичного проникнення на територію, в будівлі та приміщення об'єкта зловмисників та їх стримування протягом розрахункового часу (до прибуття міліції або сил підтримки).
Неодмінною умовою підтримки ІБ є своєчасне припинення можливих акцій порушників. Основними етапами дій потенційного зловмисника при проникненні на об'єкт обробки і зберігання інформації є: виявлення об'єкта; спостереження за об'єктом і розробка варіантів проникнення; реалізація основного або альтернативного варіанту проникнення на об'єкт; відхід з об'єкта захисту з можливою повною або частковою ліквідацією слідів проникнення. Метод проникнення через немережеві периферійні пристрої від інших методів полягає в тому, що для його виконання необхідно фізична присутність зловмисника на об'єкті обчислювальної техніки. Тому головна мета охорони природним чином може бути декомпозирована на такі приватні підцілі як:
· Запобігання несанкціонованого доступу на територію об'єкта і в його життєво важливі зони;
· Виявлення проник на об'єкт порушника до моменту, коли він може зробити акцію, та доведення інформації про вторгнення до сил охорони;
· Своєчасне припинення акції (захоплення або нейтралізація порушника, загрозливого функціонуванню об'єкта обробки та зберігання інформації), яку може зробити порушник, проник на об'єкт;
· Мінімізація збитків.
Усі існуючі механізми захисту працюють тільки на етапі реалізації загрози. Тобто по суті вони є засобами блокують, а не попереджуючими атаки. В абсолютній більшості випадків вони захищають від атак, які вже знаходяться в процесі здійснення. І навіть якщо вони змогли запобігти ту чи іншу атаку, то набагато більш ефективним було б попередження атак, тобто усунення самих передумов реалізації вторгнень.
Найбільш важливою і важкою проблемою є проблема своєчасного перетину акцій зловмисника на етапі проектування об'єкта обробки та зберігання інформації і в процесі його функціонування. На даних етапах основними завданнями є наступне: які і де ввести нові підсистеми захисту на об'єкті захисту або як задіяти старі підсистеми для підвищення рівня захищеності об'єкта в поточний період часу.
Під час впровадження засобів безпеки на об'єкті, людина може зробити помилки, які з легкістю виявить надалі зловмисник. Тому з'являється загальна задача оцінки деяких показників захищеності: час протягом, якого на об'єкт обробки та зберігання інформації не буде зроблено несанкціонованої дії, середній час і ймовірність проникнення на об'єкт, ступінь спостережливості об'єкта захисту та інші.
Електромагнітний захист
Проблема витоку інформації з обчислювальної техніки (ОТ) через побічні електромагнітні випромінювання та наведення (ПЕМВН) відома фахівцям вже протягом більш ніж 20 років.
Можливі канали витоку інформації утворюються:
· НЧ електромагнітними полями, що виникають при роботі технічних засобів передачі, обробки, зберігання, відображення інформації та допоміжних технічних засобів і систем;
· При впливі на технічні засоби передачі, обробки, зберігання, відображення інформації та допоміжні технічні засоби і систем, магнітних і акустичних полів;
· При виникненні паразитної ВЧ генерації;
· При проходженні інформативних (небезпечних) сигналів у колі електроживлення;
· При взаємному впливі ланцюгів;
· При проходженні інформативних (небезпечних) сигналів у колі заземлення;
· При паразитної модуляції ВЧ сигналу;
· Внаслідок помилкових комутацій і несанкціонованих дій.
При передачі інформації з обмеженим доступом в елементах схем, конструкцій, підвідних і з'єднують проводах технічних засобів протікають струми інформативних (небезпечних) сигналів. Виникаючі при цьому електромагнітні поля можуть впливати на випадкові антени. Сигнали, прийняті випадковими антенами, можуть призвести до утворення каналів витоку інформації.
Робота персонального комп'ютера, як і будь-якого іншого електронного пристрою, супроводжується електромагнітними випромінюваннями радіодіапазону. Для ПК ці випромінювання реєструються в діапазоні до 1 ГГц з максимумом у смузі 50 МГц - 300 МГц. Такий широкий спектр випромінювання пояснюється тим, що в пристроях ВТ інформацію переносять послідовності прямокутних імпульсів малої тривалості. Тому ненавмисне випромінювання буде містити складові з частотами, як перших гармонік, так і гармонік більш високих порядків.
До появи додаткових складових в побічному електромагнітному випромінюванні призводить і застосування в ВТ високочастотної комутації. Говорити про будь-яку діаграмі спрямованості електромагнітних випромінювань ПК не доводиться, оскільки на практиці розташування його складових частин (системний блок, монітор, сполучні кабелі та проводи живлення) відносно один одного має необмежене число комбінацій. Поляризація випромінювань ПК - лінійна. У кінцевому рахунку, вона визначається розташуванням з'єднувальних кабелів, так як саме вони є основними джерелами випромінювань в ПК, у яких системний блок має металевий кожух.
Крім випроміненого електромагнітного поля поблизу працюючого ПК існують квазистатическим магнітні й електричні поля, швидко убувають з відстанню, але викликають наведення на будь-які проводять ланцюга (металеві труби, телефонні дроти, дроти системи пожежної безпеки і т.д.). Ці поля істотні на частотах від десятків кілогерц до десятків мегагерц. Що стосується рівнів побічних електромагнітних випромінювань ВТ, то вони регламентовані з точки зору електромагнітної сумісності цілим рядом зарубіжних і вітчизняних стандартів, Так, наприклад, відповідно до публікації N22 CISPR (Спеціальний Міжнародний Комітет з радіоперешкод) для діапазону 230-1000 Мгц рівень напруженості електромагнітного поля, випромінюваного обладнанням ВТ, на відстані
Таким чином, відповідність електромагнітних випромінювань засобів ОТ норм на електромагнітну сумісність не є гарантією збереження конфіденційності оброблюваної в них інформації. Крім того, треба зауважити, що значна частина парку ПК в Росії не відповідає навіть цим нормам, тому що в гонитві за дешевизною в країну ввозилася техніка в основному «жовтої» збірки, яка не має сертифікатів якості.
Найпотужнішим джерелом випромінювання в ПК є система синхронізації. Однак перехоплення немодульований гармонік тактової частоти навряд чи зможе когось зацікавити.
При використанні для перехоплення ПЕМВН звичайного побутового радіоприймача можливо розпізнавання на слух моментів зміни режимів роботи ПК, звернення до накопичувачів інформації на жорстких і гнучких магнітних дисках, натиснення клавіш і т.д. Але подібна інформація може бути використана тільки як допоміжна і не більше.
Таким чином, не всі складові побічного випромінювання персональних комп'ютерів є небезпечними з точки зору реального перехоплення оброблюваної в них інформації. Для відновлення інформації аналіз лише рівня електромагнітних випромінювань недостатній, потрібно ще знати їх структуру. Тому в технічному плані простіше всього вирішується завдання перехоплення інформації, яка відображається на екрані дисплея ПК.
Інформація, відображена на екрані дисплея, може бути відновлена у монохромному вигляді за допомогою звичайного телевізійного приймача. При цьому на екрані телевізійного приймача зображення буде складатися з чорних літер на білому тлі, а на екрані дисплея ПК - з білих літер на чорному тлі. Це пояснюється тим, що на відміну від дисплея максимум відеосигналу в телевізійному приймачі визначає рівень чорного, а мінімум - рівень білого.
Виділення з ПЕМВН ПК інформації про сигнал синхронізації зображення являє собою досить складне технічне завдання. Набагато простіше це проблема вирішується використанням зовнішніх перебудовуються генераторів синхросигналов. Навіть при використанні звичайних кімнатних телевізійних антен (наприклад, типу «Маяк») перехоплення інформації може бути здійснено на відстанях порядку 10 -
Сучасний рівень розвитку електроніки дозволяє виготовити подібні пристрої перехоплення інформації невеликих розмірів, що забезпечить необхідну скритність їх роботи.
В якості технічних способів виключення можливостей перехоплення інформації за рахунок ПЕМВН ПК можна перерахувати такі:
· Доопрацювання пристроїв ВТ з метою мінімізації рівня випромінювання;
· Електромагнітна екранування приміщень, в яких розташована обчислювальна техніка;
Екрани приміщень виконуються у вигляді суцільнозварний металевої конструкції. На екрані приміщень передбачаються так звані технологічні отвори, які в тій чи іншій мірі знижують ефективність екранування. До таких отворів відносяться: дверні та віконні прорізи, оглядові та вентиляційні отвори, отвори для підведення електроживлення, зв'язку сигналізації та контролю, а також отвори для введення труб водопостачання, опалення та ін
Для зменшення просочування випромінювань РЕЗ всі технологічні отвори обладнуються спеціальними фільтрами та екранами.
Дверні прорізи обладнуються ущільнювальними пристроями, що забезпечують хороший контакт обшитої металом двері з екраном стін. У деяких випадках для підвищення ефективності екранування обладнуються вхідні тамбури з подвійними або потрійними дверима.
Для ослаблення випромінювань по вводах проводів ланцюгів електроживлення, зв'язку управління, сигналізації і т.д. застосовуються спеціальні фільтри (загороджувальні або поглинають). Загороджувальні фільтри являють собою індуктивно-ємнісні ланцюга з зосередженими параметрами. Поглинаючі фільтри засновані на застосуванні твердих і сипучих поглиначів: суміші піску і чавунною дробу, феритових порошків і т.д.
Екранування вентиляційних отворів виконується за допомогою діафрагм і пасток різного перетину, що представляють позамежні хвилеводи. Діафрагми використовуються в основному в діапазоні менше 10000 МГц.
На частотах понад 10000 МГц для екранування вентиляційних каналів доцільно застосовувати пастки. Пастка являє собою зигзагоподібно вигнутий по довжині металевий короб з поперечним перерізом, рівним перетину вентиляційного отвору. На внутрішню поверхню короби наноситься радіопоглинаючі матеріал з рифленою поверхнею. Ефективність пастки визначається якістю радіопоглинаючі матеріалу і числом зигзагів.
Крім сіток для екранування дверей і вікон можливе застосування металізованих штор з струмопровідної тканини. Для виготовлення штор можуть застосовуватися тканини трьох типів. Перший тип являє бавовняну тканину щільного плетіння, на яку методом розпилення нанесений тонкий шар алюмінію або цинку.
Тканини другого типу містить у своїй основі металеві нитки, які при скручуванні утворюють соленоїди. Вихрові струми, що виникають в соленоїд, перешкоджають проходженню радіохвиль через тканину.
Третій тип тканин представляє собою волокнисті матеріали з вмістом вуглецю до 98%.
Підвищення ефективності екранування стін, стелі та підлоги приміщення може бути досягнуто шляхом нанесення на них струмопровідних покриттів, проведення металізації їх поверхонь або обклеювання металевою фольгою.
Проведення часткового екранування може забезпечити (з урахуванням послабляє дії стін і перекриттів будинків) у діапазоні 0.3-10 ГГц зниження рівня випромінювання від 30 до 80дБ.
Використовуючи різні радіопоглинаючі матеріали та схемотехнічні рішення вдається істотно знизити рівень випромінювань Вт Вартість подібної доробки залежить від розміру необхідної зони безпеки і коливається в межах 20-70% від вартості ПК.
Електромагнітна екранування приміщень у широкому діапазоні частот є складним технічним завданням, вимагає значних капітальних витрат і не завжди можлива за естетичними і ергономічним міркувань.
Криптографічний захист
Криптографія-область знань, що вивчає тайнопис (криптографія) і методи її розкриття (криптоаналіз). Криптографія вважається розділом математики.
До недавнього часу всі дослідження в цій галузі були лише закритими, але в послений кілька років у нас і за кордоном стало з'являтися все більше публікацій у пресі. Почасти пом'якшення секретності пояснюється тим, що стало вже неможливим приховувати накопичене кількість інформації. З іншого боку, криптографія все більше використовується у цивільних галузях, що вимагає розкриття відомостей.
Криптографія, на відміну від заходів фізичного захисту, володіє тим унікальним властивістю, що при правильному виборі методу витрати на забезпечення захисту інформації багато менше витрат на подолання цього захисту.
Мета криптографічного системи полягає в тому, щоб зашифрувати осмислений вихідний текст (також званий відкритим текстом), отримавши в результаті абсолютно безглуздий на погляд шифрований текст (шифртекст, криптограма). Одержувач, якій він призначений, повинен бути здатний розшифрувати (кажуть також "дешифрувати") цей шифртекст, відновивши, таким чином, відповідний йому відкритий текст. При цьому противник (званий також криптоаналітиків) повинен бути нездатний розкрити вихідний текст. Існує важлива відмінність між розшифрування (дешифрованием) і розкриттям шифртекста.
Розкриттям криптосистеми називається результат роботи криптоаналітик, що приводить до можливості ефективного розкриття будь-якого, зашифрованого за допомогою даної криптосистеми, відкритого тексту. Ступінь нездатності криптосистеми до розкриття називається її стійкістю.
Питання надійності систем ЗІ - дуже складний. Справа в тому, що не існує надійних тестів, що дозволяють переконатися в тому, що інформація захищена досить надійно. По-перше, криптографія володіє тією особливістю, що на "розтин" шифру найчастіше потрібно затратити на кілька порядків більше коштів, ніж на його створення. Отже, тестові випробування системи криптозахисту не завжди можливі. По-друге, багаторазові невдалі спроби подолання захисту зовсім не означають, що наступна спроба не виявиться успішною. Не виключений випадок, коли професіонали довго, але безуспішно билися над шифром, а якийсь новачок застосував нестандартний підхід - і шифр дався йому легко. У результаті такої поганої доказовою надійності засобів ЗИ на ринку дуже багато продуктів, про надійність яких неможливо достовірно судити. Природно, їх розробники розхвалюють на всі лади свій твір, але довести його якість не можуть, а часто це і неможливо в принципі. Як правило, недоказовність надійності супроводжується ще й тим, що алгоритм шифрування тримається в секреті.
На перший погляд, збереження алгоритму служить додаткового забезпечення надійності шифру. Це аргумент, розрахований на дилетантів. Насправді, якщо алгоритм відомий розробникам, він вже не може вважатися секретним, якщо тільки користувач і розробник - не одна особа. До того ж, якщо внаслідок некомпетентності або помилок розробника алгоритм виявився нестійким, його секретність не дозволить перевірити його незалежним експертам. Нестійкість алгоритму виявиться тільки тоді, коли він буде вже зламаний, а то і взагалі не виявиться, бо противник не поспішає хвалитися своїми успіхами.
Тому криптограф повинен керуватися правилом, вперше сформульованим голландцем Керкхоффом: стійкість шифру повинна визначатися тільки секретністю ключа. Іншими словами, правило Керкхоффа полягає в тому, що весь механізм шифрування, крім значення секретного ключа апріорі вважається відомим противнику.
Всі методи шифрування можна розділити на дві групи: шифри з секретним ключем і шифри з відкритим ключем.
Перші характеризуються наявністю деякої інформації (секретного ключа), володіння якої дає можливість як шифрувати, так і розшифровувати повідомлення. Тому вони іменуються також одноключевой. Шифри з відкритим ключем на увазі наявність двох ключів - відкритого та закритого; один використовується для шифрування, інший для розшифровки повідомлень. Ці шифри називають також двохключеву.
Цей тип шифрів увазі наявність певної інформації (ключа), володіння якої дозволяє як зашифрувати, так і розшифрувати повідомлення. З одного боку, така схема має ті недоліки, що необхідно окрім відкритого каналу для передачі шифрограми наявність також секретного каналу для передачі ключа, а крім того, при витоку інформації про ключ, неможливо довести, від кого з двох кореспондентів стався витік.
З іншого боку, серед шифрів саме цієї групи є єдина в світі схему шифрування, що володіє абсолютною теоретичної стійкістю. Всі інші можна розшифрувати хоча б у принципі. Такою схемою є звичайна шифровка (наприклад, операцією XOR) з ключем, довжина якого дорівнює довжині повідомлення. При цьому ключ повинен використовуватися тільки раз. Будь-які спроби розшифрувати таке повідомлення марні, навіть якщо є апріорна інформація про текст повідомлення. Здійснюючи підбір ключа, можна отримати в результаті будь-яке повідомлення.
Шифри з відкритим ключем на увазі наявність двох ключів - відкритого та закритого; один використовується для шифрування, інший для розшифровки повідомлень. Відкритий ключ публікується - доводиться до відома всіх бажаючих, секретний ключ зберігається у його власника і є запорукою секретності повідомлень. Суть методу в тому, що зашифроване за допомогою секретного ключа може бути розшифровано лише за допомогою відкритого і навпаки. Ключі ці генеруються парами і мають однозначне відповідність один одному. Причому з одного ключа неможливо обчислити інший.
Характерною особливістю шифрів цього типу, що вигідно відрізняють їх від шифрів з секретним ключем, є те, що секретний ключ тут відомий лише одній людині, у той час як у першій схемі він повинен бути відомий принаймні двом. Це дає такі переваги:
· Не потрібно захищений канал для пересилання секретного ключа, вся зв'язок здійснюється з відкритого каналу;
· «Що знають двоє, знає свиня» - наявність єдиної копії ключа зменшує можливості його втрати і дозволяє встановити чітку персональну відповідальність за збереження таємниці;
· Наявність двох ключів дозволяє використовувати дану шифрувальну систему в двох режимах - секретна зв'язок і цифровий підпис.
Всі держави приділяють пильну увагу питанням криптографії. Спостерігаються постійні спроби накласти певні рамки, заборони та інші обмеження на виробництво, використання та експорт криптографічних засобів. Наприклад, в Росії ліцензується ввезення і вивезення засобів захисту інформації, зокрема, криптографічних засобів, згідно з Указом Президента Російської Федерації від 3 квітня 1995 р . N 334 та постановою Уряду Російської Федерації від 15 квітня 1994 р . N 331.
Криптографічний захист відносно дешева, а засоби її подолання або дуже дорогі, або взагалі не існують.
Криптосистема не може вважатися надійним, якщо не відомий повністю алгоритм її роботи. Тільки знаючи алгоритм, можна перевірити, стійка чи захист. Однак перевірити це може лише фахівець, та й то найчастіше така перевірка настільки складна, що буває економічно недоцільна.
Щоб продавати засоби інформаційного захисту, сертифікація необхідна. Такі положення діють у Росії та в більшості країн.
У нас єдиним органом, уповноваженим проводити сертифікацію, є Федеральне агентство урядового зв'язку та інформації при Президентові Російської Федерації (ФАПСИ). Орган цей підходить до питань сертифікації дуже ретельно. Зовсім мало розробок сторонніх фірм змогли отримати сертифікат ФАПСИ. Іноді можна спостерігати таку картину. Фірма торгує якимсь програмним, програмно апаратним комплексом або технічним рішенням, при цьому гордо заявляє: «Продукція має сертифікат ФСБ, Мінзв'язку, Госсвязьнадзора і т.п.» Треба усвідомлювати, що документи ці юридично нікчемні.
ФСБ уповноважена лише створювати і експлуатувати без ліцензування засоби криптозахисту (ст.20 ФЗ "Про органи федеральної служби безпеки в Російській Федерації"; п.8 Положення про Федеральну службу безпеки Російської Федерації, утв. Указом Президента РФ від 6 липня 1998 р . N 806). Також право на створення і експлуатацію криптографічних засобів надано Федеральній службі охорони (ст.30 ФЗ "Про державну охорону"). А ось Службі зовнішньої розвідки у праві розробляти кріптосредства відмовлено (ст.6 ФЗ "Про зовнішню розвідку"). Порядок сертифікації встановлений Положенням про сертифікації засобів захисту інформації (затв. постановою Уряду РФ від 26 червня 1995 р . N 608).
Крім того, ФАПСИ ліцензує діяльність підприємств, пов'язану з розробкою, виробництвом, реалізацією та експлуатацією шифрувальних засобів, а також захищених технічних засобів зберігання, обробки і передачі інформації, наданням послуг у галузі шифрування інформації (Указ Президента РФ від 03.04.95 N 334 "Про заходи щодо дотримання законності в області розробки виробництва, реалізації та експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації "; а також Закон РФ" Про федеральних органах урядового зв'язку і інформації ").
Для сертифікації необхідною умовою є дотримання стандартів при розробці систем захисту інформації. Стандарти виконують подібну функцію. Вони дозволяють, не проводячи складних, дорогих і навіть не завжди можливих досліджень, отримати впевненість, що даний алгоритм забезпечує захист достатньою мірою надійності.
Активний захист
Цей вид захисту - найефективніший в тих випадках, коли точно відомий джерело загрози для вашої інформації. Якщо це так, то робляться активні заходи проти спроб отримати доступ до вашої інформації. Наприклад, такі:
· Пошук і виведення з ладу пристроїв для прихованого зняття вашої інформації;
· Виявлення і затримання осіб, що встановлюють такі пристрої або здійснюють інші незаконні дії з доступу до вашої інформації;
· Виявлення можливих каналів витоку або несанкціонованого доступу до вашої інформації та напрям з таким каналам дезінформації;
· Створення помилкових потоків інформації з метою маскування справжніх потоків і відволікання сил супротивника на їх дешифрування;
· Демонстрації противнику можливостей вашого захисту (не обов'язково істинних) для створення в нього враження безперспективності подолати ваш захист;
· Контррозвідувальні заходи з метою отримати відомості про те, як саме противник отримує доступ до вашої інформації та відповідного протидії.
Активна радіотехнічна маскування передбачає формування і випромінювання в безпосередній близькості від ВТ маскуючого сигналу. Розрізняють енергетичних і неенергетичних методи активної маскування. При енергетичної маскування випромінюється широкосмуговий шумовий сигнал з рівнем, істотно перевищують у всьому частотному діапазоні рівень випромінювань ПК. Одночасно відбувається наводка шумових коливань в ланцюги, які відходять. Можливості енергетичної активної маскування можуть бути реалізовані тільки в разі, якщо рівень випромінювань ПК істотно менше норм на допустимі радіоперешкоди від засобів Вт В іншому разі пристрій активної енергетичної маскування буде створювати перешкоди різних радіопристроїв, розташованим поблизу від захищається кошти ВТ, і буде потрібно узгодження його установки зі службою радіоконтролю. З пристроїв активної енергетичної маскування найбільш відомі: «Гном», «Шатер», «ІнейT», «Гамма». Їх вартість досягає 25 - 30% від вартості ПК. При установці такого пристрою необхідно переконатися в достатності заходів захисту, так як в його частотній характеристиці можливі провали. Для цього буде потрібно залучення фахівців із відповідною вимірювальною апаратурою.
Пропонується неенергетичних (статистичний), метод активної маскування, що є для більшості малих і середніх фірм оптимальним способом ЗИ з точки зору ціни / ефективності захисту і простоти реалізації.
Метод активної маскування полягає у зміні ймовірнісної структури сигналу, що приймається приймачем зловмисників, шляхом випромінювання спеціального маскуючого сигналу. Вихідною передумовою в даному методі є випадковий характер електромагнітних випромінювань ПК.
Для опису цих випромінювань використовується теорія марковських випадкових процесів. В якості імовірнісних характеристик застосовуються матриці ймовірностей переходів і вектор абсолютних ймовірностей станів. Сформований за допомогою оригінального алгоритму сигнал випромінюється в простір компактним пристроєм, який може встановлюватися як на корпусі самого ПК, так і в безпосередній близькості від нього. Рівень випромінюваного цим пристроєм маскуючого сигналу не перевершує рівня інформативних електромагнітних випромінювань ПК, тому узгодження установки маскуючого пристрої з службою радіоконтролю не потрібно. Більш того, подібні пристрої на відміну від пристроїв активної енергетичної маскування не створюють відчутних перешкод для інших електронних приладів, що знаходяться поруч з ними, що також є їх незаперечною перевагою. Установка і включення пристроїв активної маскування, що реалізують статистичний метод, можуть бути проведені без будь-яких трудомістких монтажних робіт.
Пристрій не вимагає кваліфікованого обслуговування, його надійна робота гарантується вбудованою схемою контролю працездатності. Слід зазначити, що у випадках: доопрацювання пристроїв ВТ, електромагнітної екранування приміщень та активної енергетичної маскування - показником захищеності є відношення сигнал / шум, що забезпечується на кордоні мінімально допустимої зони безпеки. Максимально допустимий відношення сигнал / шум розраховується в кожному конкретному випадку за спеціальними методиками. За активної радіотехнічної маскування з використанням статистичному методу як показника, що характеризує захищеність, застосовується матриця ймовірностей переходів. У випадку ідеальної захищеності ця матриця буде відповідати матриці ймовірностей переходів шумового сигналу, всі елементи якої рівні між собою.
СПИСОК
1. Торокін А.А. Інженерно-технічний захист інформації - Вид. Геліос АРВ, 2005
2. Галкін А. П. Оцінка необхідності захисту інформації підприємства - Вісник асоціації Російська оцінка. 1999. № 1. С. 55-58.
3. Соболєв А.М., Кирилов В.М. Фізичні основи технічних засобів забезпечення інформаційної безпеки. - М.: Геліос АРВ, 2004
4. Макнамара Д. Секрети комп'ютерного шпигунства: Тактика і контрзаходи. Пер.с англ. - М.: Изд. БІНОМ, 2006.
5. Петраков А.В. Основи практичної захисту інформації. - М.: СОЛОН-Прес, 2006
6. Меньшаков Ю.К. Захист об'єктів і інформації від технічних засобів розвідки: Учеб. посібник. М.: Російський держ. гуманіт. ун-т, 2002. 309 із
На частотах понад 10000 МГц для екранування вентиляційних каналів доцільно застосовувати пастки. Пастка являє собою зигзагоподібно вигнутий по довжині металевий короб з поперечним перерізом, рівним перетину вентиляційного отвору. На внутрішню поверхню короби наноситься радіопоглинаючі матеріал з рифленою поверхнею. Ефективність пастки визначається якістю радіопоглинаючі матеріалу і числом зигзагів.
Крім сіток для екранування дверей і вікон можливе застосування металізованих штор з струмопровідної тканини. Для виготовлення штор можуть застосовуватися тканини трьох типів. Перший тип являє бавовняну тканину щільного плетіння, на яку методом розпилення нанесений тонкий шар алюмінію або цинку.
Тканини другого типу містить у своїй основі металеві нитки, які при скручуванні утворюють соленоїди. Вихрові струми, що виникають в соленоїд, перешкоджають проходженню радіохвиль через тканину.
Третій тип тканин представляє собою волокнисті матеріали з вмістом вуглецю до 98%.
Підвищення ефективності екранування стін, стелі та підлоги приміщення може бути досягнуто шляхом нанесення на них струмопровідних покриттів, проведення металізації їх поверхонь або обклеювання металевою фольгою.
Проведення часткового екранування може забезпечити (з урахуванням послабляє дії стін і перекриттів будинків) у діапазоні 0.3-10 ГГц зниження рівня випромінювання від 30 до 80дБ.
Використовуючи різні радіопоглинаючі матеріали та схемотехнічні рішення вдається істотно знизити рівень випромінювань Вт Вартість подібної доробки залежить від розміру необхідної зони безпеки і коливається в межах 20-70% від вартості ПК.
Електромагнітна екранування приміщень у широкому діапазоні частот є складним технічним завданням, вимагає значних капітальних витрат і не завжди можлива за естетичними і ергономічним міркувань.
Криптографічний захист
Криптографія-область знань, що вивчає тайнопис (криптографія) і методи її розкриття (криптоаналіз). Криптографія вважається розділом математики.
До недавнього часу всі дослідження в цій галузі були лише закритими, але в послений кілька років у нас і за кордоном стало з'являтися все більше публікацій у пресі. Почасти пом'якшення секретності пояснюється тим, що стало вже неможливим приховувати накопичене кількість інформації. З іншого боку, криптографія все більше використовується у цивільних галузях, що вимагає розкриття відомостей.
Криптографія, на відміну від заходів фізичного захисту, володіє тим унікальним властивістю, що при правильному виборі методу витрати на забезпечення захисту інформації багато менше витрат на подолання цього захисту.
Мета криптографічного системи полягає в тому, щоб зашифрувати осмислений вихідний текст (також званий відкритим текстом), отримавши в результаті абсолютно безглуздий на погляд шифрований текст (шифртекст, криптограма). Одержувач, якій він призначений, повинен бути здатний розшифрувати (кажуть також "дешифрувати") цей шифртекст, відновивши, таким чином, відповідний йому відкритий текст. При цьому противник (званий також криптоаналітиків) повинен бути нездатний розкрити вихідний текст. Існує важлива відмінність між розшифрування (дешифрованием) і розкриттям шифртекста.
Розкриттям криптосистеми називається результат роботи криптоаналітик, що приводить до можливості ефективного розкриття будь-якого, зашифрованого за допомогою даної криптосистеми, відкритого тексту. Ступінь нездатності криптосистеми до розкриття називається її стійкістю.
Питання надійності систем ЗІ - дуже складний. Справа в тому, що не існує надійних тестів, що дозволяють переконатися в тому, що інформація захищена досить надійно. По-перше, криптографія володіє тією особливістю, що на "розтин" шифру найчастіше потрібно затратити на кілька порядків більше коштів, ніж на його створення. Отже, тестові випробування системи криптозахисту не завжди можливі. По-друге, багаторазові невдалі спроби подолання захисту зовсім не означають, що наступна спроба не виявиться успішною. Не виключений випадок, коли професіонали довго, але безуспішно билися над шифром, а якийсь новачок застосував нестандартний підхід - і шифр дався йому легко. У результаті такої поганої доказовою надійності засобів ЗИ на ринку дуже багато продуктів, про надійність яких неможливо достовірно судити. Природно, їх розробники розхвалюють на всі лади свій твір, але довести його якість не можуть, а часто це і неможливо в принципі. Як правило, недоказовність надійності супроводжується ще й тим, що алгоритм шифрування тримається в секреті.
На перший погляд, збереження алгоритму служить додаткового забезпечення надійності шифру. Це аргумент, розрахований на дилетантів. Насправді, якщо алгоритм відомий розробникам, він вже не може вважатися секретним, якщо тільки користувач і розробник - не одна особа. До того ж, якщо внаслідок некомпетентності або помилок розробника алгоритм виявився нестійким, його секретність не дозволить перевірити його незалежним експертам. Нестійкість алгоритму виявиться тільки тоді, коли він буде вже зламаний, а то і взагалі не виявиться, бо противник не поспішає хвалитися своїми успіхами.
Тому криптограф повинен керуватися правилом, вперше сформульованим голландцем Керкхоффом: стійкість шифру повинна визначатися тільки секретністю ключа. Іншими словами, правило Керкхоффа полягає в тому, що весь механізм шифрування, крім значення секретного ключа апріорі вважається відомим противнику.
Всі методи шифрування можна розділити на дві групи: шифри з секретним ключем і шифри з відкритим ключем.
Перші характеризуються наявністю деякої інформації (секретного ключа), володіння якої дає можливість як шифрувати, так і розшифровувати повідомлення. Тому вони іменуються також одноключевой. Шифри з відкритим ключем на увазі наявність двох ключів - відкритого та закритого; один використовується для шифрування, інший для розшифровки повідомлень. Ці шифри називають також двохключеву.
Цей тип шифрів увазі наявність певної інформації (ключа), володіння якої дозволяє як зашифрувати, так і розшифрувати повідомлення. З одного боку, така схема має ті недоліки, що необхідно окрім відкритого каналу для передачі шифрограми наявність також секретного каналу для передачі ключа, а крім того, при витоку інформації про ключ, неможливо довести, від кого з двох кореспондентів стався витік.
З іншого боку, серед шифрів саме цієї групи є єдина в світі схему шифрування, що володіє абсолютною теоретичної стійкістю. Всі інші можна розшифрувати хоча б у принципі. Такою схемою є звичайна шифровка (наприклад, операцією XOR) з ключем, довжина якого дорівнює довжині повідомлення. При цьому ключ повинен використовуватися тільки раз. Будь-які спроби розшифрувати таке повідомлення марні, навіть якщо є апріорна інформація про текст повідомлення. Здійснюючи підбір ключа, можна отримати в результаті будь-яке повідомлення.
Шифри з відкритим ключем на увазі наявність двох ключів - відкритого та закритого; один використовується для шифрування, інший для розшифровки повідомлень. Відкритий ключ публікується - доводиться до відома всіх бажаючих, секретний ключ зберігається у його власника і є запорукою секретності повідомлень. Суть методу в тому, що зашифроване за допомогою секретного ключа може бути розшифровано лише за допомогою відкритого і навпаки. Ключі ці генеруються парами і мають однозначне відповідність один одному. Причому з одного ключа неможливо обчислити інший.
Характерною особливістю шифрів цього типу, що вигідно відрізняють їх від шифрів з секретним ключем, є те, що секретний ключ тут відомий лише одній людині, у той час як у першій схемі він повинен бути відомий принаймні двом. Це дає такі переваги:
· Не потрібно захищений канал для пересилання секретного ключа, вся зв'язок здійснюється з відкритого каналу;
· «Що знають двоє, знає свиня» - наявність єдиної копії ключа зменшує можливості його втрати і дозволяє встановити чітку персональну відповідальність за збереження таємниці;
· Наявність двох ключів дозволяє використовувати дану шифрувальну систему в двох режимах - секретна зв'язок і цифровий підпис.
Всі держави приділяють пильну увагу питанням криптографії. Спостерігаються постійні спроби накласти певні рамки, заборони та інші обмеження на виробництво, використання та експорт криптографічних засобів. Наприклад, в Росії ліцензується ввезення і вивезення засобів захисту інформації, зокрема, криптографічних засобів, згідно з Указом Президента Російської Федерації від 3 квітня
Криптографічний захист відносно дешева, а засоби її подолання або дуже дорогі, або взагалі не існують.
Криптосистема не може вважатися надійним, якщо не відомий повністю алгоритм її роботи. Тільки знаючи алгоритм, можна перевірити, стійка чи захист. Однак перевірити це може лише фахівець, та й то найчастіше така перевірка настільки складна, що буває економічно недоцільна.
Щоб продавати засоби інформаційного захисту, сертифікація необхідна. Такі положення діють у Росії та в більшості країн.
У нас єдиним органом, уповноваженим проводити сертифікацію, є Федеральне агентство урядового зв'язку та інформації при Президентові Російської Федерації (ФАПСИ). Орган цей підходить до питань сертифікації дуже ретельно. Зовсім мало розробок сторонніх фірм змогли отримати сертифікат ФАПСИ. Іноді можна спостерігати таку картину. Фірма торгує якимсь програмним, програмно апаратним комплексом або технічним рішенням, при цьому гордо заявляє: «Продукція має сертифікат ФСБ, Мінзв'язку, Госсвязьнадзора і т.п.» Треба усвідомлювати, що документи ці юридично нікчемні.
ФСБ уповноважена лише створювати і експлуатувати без ліцензування засоби криптозахисту (ст.20 ФЗ "Про органи федеральної служби безпеки в Російській Федерації"; п.8 Положення про Федеральну службу безпеки Російської Федерації, утв. Указом Президента РФ від 6 липня
Крім того, ФАПСИ ліцензує діяльність підприємств, пов'язану з розробкою, виробництвом, реалізацією та експлуатацією шифрувальних засобів, а також захищених технічних засобів зберігання, обробки і передачі інформації, наданням послуг у галузі шифрування інформації (Указ Президента РФ від 03.04.95 N 334 "Про заходи щодо дотримання законності в області розробки виробництва, реалізації та експлуатації шифрувальних засобів, а також надання послуг в області шифрування інформації "; а також Закон РФ" Про федеральних органах урядового зв'язку і інформації ").
Для сертифікації необхідною умовою є дотримання стандартів при розробці систем захисту інформації. Стандарти виконують подібну функцію. Вони дозволяють, не проводячи складних, дорогих і навіть не завжди можливих досліджень, отримати впевненість, що даний алгоритм забезпечує захист достатньою мірою надійності.
Активний захист
Цей вид захисту - найефективніший в тих випадках, коли точно відомий джерело загрози для вашої інформації. Якщо це так, то робляться активні заходи проти спроб отримати доступ до вашої інформації. Наприклад, такі:
· Пошук і виведення з ладу пристроїв для прихованого зняття вашої інформації;
· Виявлення і затримання осіб, що встановлюють такі пристрої або здійснюють інші незаконні дії з доступу до вашої інформації;
· Виявлення можливих каналів витоку або несанкціонованого доступу до вашої інформації та напрям з таким каналам дезінформації;
· Створення помилкових потоків інформації з метою маскування справжніх потоків і відволікання сил супротивника на їх дешифрування;
· Демонстрації противнику можливостей вашого захисту (не обов'язково істинних) для створення в нього враження безперспективності подолати ваш захист;
· Контррозвідувальні заходи з метою отримати відомості про те, як саме противник отримує доступ до вашої інформації та відповідного протидії.
Активна радіотехнічна маскування передбачає формування і випромінювання в безпосередній близькості від ВТ маскуючого сигналу. Розрізняють енергетичних і неенергетичних методи активної маскування. При енергетичної маскування випромінюється широкосмуговий шумовий сигнал з рівнем, істотно перевищують у всьому частотному діапазоні рівень випромінювань ПК. Одночасно відбувається наводка шумових коливань в ланцюги, які відходять. Можливості енергетичної активної маскування можуть бути реалізовані тільки в разі, якщо рівень випромінювань ПК істотно менше норм на допустимі радіоперешкоди від засобів Вт В іншому разі пристрій активної енергетичної маскування буде створювати перешкоди різних радіопристроїв, розташованим поблизу від захищається кошти ВТ, і буде потрібно узгодження його установки зі службою радіоконтролю. З пристроїв активної енергетичної маскування найбільш відомі: «Гном», «Шатер», «ІнейT», «Гамма». Їх вартість досягає 25 - 30% від вартості ПК. При установці такого пристрою необхідно переконатися в достатності заходів захисту, так як в його частотній характеристиці можливі провали. Для цього буде потрібно залучення фахівців із відповідною вимірювальною апаратурою.
Пропонується неенергетичних (статистичний), метод активної маскування, що є для більшості малих і середніх фірм оптимальним способом ЗИ з точки зору ціни / ефективності захисту і простоти реалізації.
Метод активної маскування полягає у зміні ймовірнісної структури сигналу, що приймається приймачем зловмисників, шляхом випромінювання спеціального маскуючого сигналу. Вихідною передумовою в даному методі є випадковий характер електромагнітних випромінювань ПК.
Для опису цих випромінювань використовується теорія марковських випадкових процесів. В якості імовірнісних характеристик застосовуються матриці ймовірностей переходів і вектор абсолютних ймовірностей станів. Сформований за допомогою оригінального алгоритму сигнал випромінюється в простір компактним пристроєм, який може встановлюватися як на корпусі самого ПК, так і в безпосередній близькості від нього. Рівень випромінюваного цим пристроєм маскуючого сигналу не перевершує рівня інформативних електромагнітних випромінювань ПК, тому узгодження установки маскуючого пристрої з службою радіоконтролю не потрібно. Більш того, подібні пристрої на відміну від пристроїв активної енергетичної маскування не створюють відчутних перешкод для інших електронних приладів, що знаходяться поруч з ними, що також є їх незаперечною перевагою. Установка і включення пристроїв активної маскування, що реалізують статистичний метод, можуть бути проведені без будь-яких трудомістких монтажних робіт.
Пристрій не вимагає кваліфікованого обслуговування, його надійна робота гарантується вбудованою схемою контролю працездатності. Слід зазначити, що у випадках: доопрацювання пристроїв ВТ, електромагнітної екранування приміщень та активної енергетичної маскування - показником захищеності є відношення сигнал / шум, що забезпечується на кордоні мінімально допустимої зони безпеки. Максимально допустимий відношення сигнал / шум розраховується в кожному конкретному випадку за спеціальними методиками. За активної радіотехнічної маскування з використанням статистичному методу як показника, що характеризує захищеність, застосовується матриця ймовірностей переходів. У випадку ідеальної захищеності ця матриця буде відповідати матриці ймовірностей переходів шумового сигналу, всі елементи якої рівні між собою.
СПИСОК
1. Торокін А.А. Інженерно-технічний захист інформації - Вид. Геліос АРВ, 2005
2. Галкін А. П. Оцінка необхідності захисту інформації підприємства - Вісник асоціації Російська оцінка. 1999. № 1. С. 55-58.
3. Соболєв А.М., Кирилов В.М. Фізичні основи технічних засобів забезпечення інформаційної безпеки. - М.: Геліос АРВ, 2004
4. Макнамара Д. Секрети комп'ютерного шпигунства: Тактика і контрзаходи. Пер.с англ. - М.: Изд. БІНОМ, 2006.
5. Петраков А.В. Основи практичної захисту інформації. - М.: СОЛОН-Прес, 2006
6. Меньшаков Ю.К. Захист об'єктів і інформації від технічних засобів розвідки: Учеб. посібник. М.: Російський держ. гуманіт. ун-т, 2002. 309 із