Тема 5.1 Засоби та методи захисту інформації

Системи захисту інформації у фінансових установах

Розділ 5

Питання 1. Поняття безпеки інформаційних систем [1, с.362; 2, с.554; 4; 9; 16; 18]

Будь-яка інформація, що обробляється та зберігається в інформаційних системах, чогось варта при умові її достовірності та гарантованості, а тому інформація має бути надійно захищена. Безпека інформаційних систем - це їх захищеність від випадкового чи навмисного втручання в нормальний процес функціонування, а також від спроб незаконного заволодіння, модифікації чи руйнування їх компонентів.

Безпека ІС це: безпека співробітників, безпека приміщень, матеріальних цінностей, інформаційна безпека. Розрізняють зовнішню і внутрішню безпеку ІС. Зовнішня безпека – це захист від одержання доступу сторонніх осіб до носіїв інформації, незаконного заволодіння інформацією, чи виведення ІС з ладу, пошкодження технічного забезпечення внаслідок впливу людських чи природних факторів тощо. Внутрішня безпека - це забезпечення надійної і правильної роботи системи, цілісності її програм і даних.

Метою захисту інформації є:

- запобігання незаконному заволодінню, підробки, перекручуванню інформації;

- запобігання знищенню, модифікації, блокуванню, копіюванню інформації під впливом зовнішніх та внутрішніх факторів;

- збереження конфіденційності інформації;

- забезпечення авторських прав розроблювачів ІС.

Необхідність підвищення ступеня захисту інформації викликана такими факторами: зростання кримінальності економіки, конкуренція, відсутність єдиних стандартів безпеки, відсутність законодавчого забезпечення захисту інтересів суб'єктів інформаційних відносин, розвиток комп'ютерних вірусів, широке використання однотипних стандартних обчислювальних засобів і т.ін.

Законом України "Про захист інформації в автоматизованих системах", положенням "Про технічний захист інформації в Україні" від 09.09.1994 та Кримінальним кодексом України передбачена адміністративна та кримінальна відповідальність за комп'ютерні злочини.

Питання 2. Загрози безпеці інформаційних систем, причини виникнення загроз [1, с.362; 4; 9; 16; 18].

Загрози інформації в АІС можна розділити на два класи:

- об'єктивні (природні), що характеризуються впливом на об'єкт захисту фізичних процесів або стихійних природних явищ, які не залежать від людини;

- суб'єктивні, пов'язані з діяльністю людини, серед яких можна виділити: ненавмисні, викликані помилковими діями співробітників і відвідувачів об'єкта та навмисні, що є результатом зловживань порушників.

Наведемо характеристику основних джерел загроз для функціонування інформаційних систем.

Проникнення у систему через комунікаційні канали зв'язку з присвоєнням повноважень легального користувача з метою підробки, копіювання або знищення даних. Реалізується розпізнаванням або підбором паролів і протоколів, перехопленням паролів при негласному підключенні до каналу під час сеансу зв'язку, дистанційним перехопленням паролів у результаті прийому електромагнітного випромінювання.

Підключення до каналу зв'язку в ролі активного ретран­слятора для фальсифікації платіжних документів, зміни їх змісту, порядку проходження, повторної передачі, затримання доставки.

Негласна перебудова устаткування або програмного забезпечення з метою впровадження засобів несанкціонованого доступу до апаратури, а також знищення інформації або устаткування (наприклад, за допомогою програм-вірусів, ліквідаторів із дистанційним управлінням тощо).

Вірусні атаки, що можуть знищувати інформацію та виводити з ладу деякі апаратні пристрої. Основний засіб боротьби - використання антивірусного ПЗ, що дозволяє вести профілактичні заходи та лікування у разі необхідності. Вірусні атаки можуть бути проведені ззовні через мережі передачі даних або шляхом внесення вірусів у систему в неробочий час, наприклад, використання співробітником "подарунка" у вигляді нової комп'ютерної гри.

Апаратні збої, що загрожують частковою або повною втратою інформації, програмного забезпечення, систем обробки даних. Захист інформації полягає в забезпеченні дублювання інформації на паралельно працюючому сервері, збереженні баз даних в архівах на змінних носіях інформації, як, наприклад, блоках флеш пам'яті, компакт-дисках, магнітних стрічках тощо.

Випромінювання електромагнітних хвиль, що наявне при роботі процесора на відповідних частотах і загрожує конфіденційності інформації, що обробляється. Перехоплення електромагнітного випромінювання від дисплеїв, серверів або робочих станцій для копіювання інформації і виявлення процедур доступу. Захист полягає в екранізації приміщень, де обробляється конфіденційна інформація та встановленні генераторів шуму, що працюють на резонансних частотах.

Зловживання привілеями супервізора для порушення механізмів безпеки локальної мережі.

Диверсії - зловмисне фізичне знищення апаратних засобів та комп'ютерних систем.

Зчитування інформації з жорстких і гнучких дисків (у тому числі залишків "стертих" файлів), магнітних стрічок при копіюванні даних з устаткування на робочих місцях у неробочий час.

Використання залишеного без нагляду устаткування у робочий час, підміна елементів устаткування, що були залишені без нагляду у робочий час.

Встановлення програмних закладок для передачі інформації або паролів по легальних каналах зв'язку з комп'ютерною системою (електронної пошти).

Блокування каналу зв'язку власними повідомленнями, що викликає відмову від обслуговування легальних користувачів.

Крадіжки - викрадення інформації з метою використовувати її в своїх власних цілях. Так викрадення устаткування, у тому числі окремих плат, дисководів, мікросхем, кабелів, дисків, стрічок з метою продажу призводить до втрати працездатності системи, а іноді й до знищення даних.

Внесення змін або зчитування інформації у базах даних або окремих файлах через присвоєння чужих повноважень у результаті добору паролів з метою копіювання, підробки або знищення фінансової інформації.

Використання програмних засобів для подолання захисних можливостей системи.

Несанкціонована передача конфіденційної інформації в складі легального повідомлення для виявлення паролів, ключів і протоколів доступу;

Несанкціоноване перевищення своїх повноважень на доступ або повноважень інших користувачів в обхід механізмів безпеки;

Вилучення інформації із статистичних баз даних у результаті використання семантичних зв'язків між секретною та несекретною інформацією з метою добування конфіденційних відомостей.

Заміна та викривлення інформації - переслідує власні мотиви або осіб замовників, з метою нашкодити з певних інтересів. Внесення змін у дані, записані на залишених без нагляду магнітних носіях.

Піратство - порушення авторських прав власника програмного забезпечення, незаконне копіювання та розповсюдження інформації.

Перехват - заволодіння та використання в своїх цілях чужої інформації в електронному вигляді. Захист полягає в шифруванні інформації на ділянках, де обробляється таємна та конфіденційна інформація.

Помилки маршрутизації - інформація надіслана іншому користувачеві помилково.

 

Питання 3. Методи забезпечення безпеки інформаційних систем [1, с.376; 4; 9; 16; 18].

З метою надійного захисту інформації в системах, каналах передачі даних безпечна робота забезпечується такими рівнями:

- організаційний рівень - створення відповідних умов для захисту приміщень, комп'ютерів, облік конфіденційної, таємної інформації, гримування, контроль за розповсюдженням, копіюванням, діями персоналу;

- технічний рівень - апаратно-програмний захист, розподіл доступу до баз даних, мереж: передачі, введення паролів, криптозахист, накладання електронних цифрових підписів (ЕЦП).

У фінансових установах існує два підходи до захисту інформації:

- автономний - направлений на захист конкретної дільниці або частини інформаційної системи, яка, як правило, є найбільш вразливою або може бути джерелом зловживань;

- комплексний - захищає інформаційну систему в цілому, всі її складові частини, приміщення, персонал тощо.

До основних засобів захисту інформації можна віднести такі:

- фізичні засоби;

- апаратні засоби;

- програмні засоби;

- апаратно-програмні засоби;

- криптографічні та організаційні методи.

Фізичні засоби захисту - це засоби, необхідні для зовнішнього захисту засобів обчислювальної техніки, території та об'єктів. Вони реалізуються на базі ЕОМ, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і несанкціонованого доступу до компонентів інформаційних систем, що захищаються.

Апаратні засоби захисту - це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв'язку тощо.

Програмні засоби захисту, які вмонтовані до складу програмного забезпечення системи, необхідні для виконання логічних та інтелектуальних функцій захисту.

Апаратно-програмні засоби захисту - це засоби, які основані на синтезі програмних та апаратних засобів.

Організаційні заходи захисту інформації складають сукупність заходів щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.

 

Питання 4. Захист інформації в обчислювальних мережах [1, с.376; 4; 9; 16; 18]

Останнім часом корпоративні мережі все частіше підключаються до мережі Інтернет або навіть використовують її як свою основу. З огляду на те, яку загрозу може принести незаконне вторгнення в корпоративну мережу, необхідно використовувати відповідні методи захисту.

Для захисту корпоративних інформаційних мереж використовуються брандмауери. Брандмауер - це система чи комбінація систем, що дозволяють розділити мережу на дві чи більше частин і реалізувати набір правил, що визначають умови проходження пакетів з однієї частини в іншу. Як правило, ця межа проводиться між локальною мережею підприємства та Інтернетом, хоча її можна провести і у середині мережі.

Брандмауер пропускає через себе весь трафік і для кожного пакета приймає рішення - пропускати його чи відкинути. Для того щоб брандмауер міг приймати ці рішення, для нього визначається набір правил.

Брандмауер може бути реалізований як апаратними засобами (тобто як окремий фізичний пристрій), так і у вигляді спеціальної програми, запущеної на комп'ютері.

Брандмауер звичайно складається з декількох різних компонентів, включаючи фільтри або екрани, що блокують передачу частини трафіку.

Усі брандмауери можна розділити на два типи:

- пакетні фільтри, що здійснюють фільтрацію ІP-пакетів засобами фільтруючих маршрутизаторів;

- сервери прикладного рівня, що блокують доступ до певних сервісів мережі.

Таким чином, брандмауер можна визначити як набір компонентів чи систему, що розташовується між двома мережами і має такі властивості:

- весь трафік із внутрішньої мережі у зовнішню та із зовнішньої мережі у внутрішню повинен пройти через цю систему;

- тільки трафік, визначений локальною стратегією захисту, може пройти через цю систему;

- система надійно захищена від проникнення.

 

Питання 5. Основи функціонування систем кріптографічного захисту інформації [1, с.392; 4; 9; 16; 18]

Застосування криптографічного захисту, тобто кодування тексту з допомогою складних математичних алгоритмів, завойовує все більшу популярність. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашиф­рованих повідомлень практично неможливо. Основні криптографічні методи захисту:

- шифрування з допомогою датчика псевдовипадкових чисел, яке полягає в тому, що генерується гамма шифру за допомогою датчика псевдовипадкових чисел і накладається на відкриті дані з урахуванням зворотності процесу;

- шифрування за допомогою криптографічних стандартів шифрування даних (з симетричною схемою шифрування), в основі якого використовуються перевірені і випробувані алгоритми шифрування даних з великою криптостійкістю;

- шифрування за допомогою пари ключів (з асиметричною системою шифрування), у яких один ключ є відкритим і використовується для шифрування інформації, другий ключ - закритим і використовується для розшифрування інформації.

Криптографічні методи захисту інформації широко використовуються в автоматизованих банківських системах і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методів захисту. Використовуючи шифрування повідомлень в поєднанні з правильною установкою комунікаційних засобів, належними процедурами ідентифікації користувача, можна добитися високого рівня захисту інформації.

Криптографія є одним з найкращих засобів забезпечення конфіден­ційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, є основою реалізації багатьох з них.