Методи та засоби здійснення інформаційної безпеки
Визначальним у проблематиці теорії організації інформаційної безпеки є з’ясування її напрямків на засадах комплексного підходу щодо методів захисту. Умовно можна визначити такі напрямки організації захисту: правові, управлінські, інженерно-технологічні. У складі останніх як автономні визначаються програмно-математичні (комп’ютерні програмні продукти захисту).
Формування будь-якої теорії у методологічному аспекті передбачає визначення методів пізнання предметної галузі та науково обґрунтованого впливу (організовування, управління тощо) на предметну галузь.
Аналіз науково-практичних джерел та іншого емпіричного матеріалу дав змогу сформулювати предметний метод (“метод застосування методів”, метод – принцип) – комплексне застосування управлінських, правових та інженерно-технічно та технологічних методів захисту інформації в автоматизованих комп’ютерних системах.
На основі зазначених положень можна зробити висновок про наявність потреби формування проблематики окремих аспектів (інститутів) загальної теорії і практики інформаційної безпеки щодо захисту інформації в автоматизованих комп’ютерних системах. У зв’язку з цим є можливість відокремлення двох частин теорії: загальної (фундаментальних, загальних положень) та особливої частин (відносин щодо окремих напрямків функцій на основі загальних положень).
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, комплексна система захисту інформації - це взаємопов'язана сукупність організаційних та інженерно-технічних заходів, засобів і методів захисту інформації.
Дослідники вказують на те, що для попередження несанкціонованого доступу до вказаних систем, мереж та інформації, розробники автоматизованих систем, обчислювальної техніки та засобів передачі інформації ще на стадії проектування передбачають різноманітні засоби захисту. До основних засобів захисту відносять організаційні, правові, технічні, програмні та криптографічні методи захисту інформації, комп’ютерів, комп’ютерних систем та мереж.
Організаційні заходи захисту інформації та засобів комп’ютерної техніки містять у собі сукупність організаційних заходів щодо підбору, перевірки й інструктажу персоналу, який бере участь у всіх стадіях інформаційного процесу, здійснення режиму таємності при функціонуванні комп’ютерних систем, забезпечення режиму фізичної охорони об’єктів, а саме організацію охорони обчислювальної техніки; створення особливого перепускного режиму в приміщеннях, де знаходиться комп’ютерна техніка або комп’ютерна інформація; ретельного добору персоналу; виключення випадків проведення особливо важливих робіт лише однією людиною; наявності типових планів дій керівників та обслуговуючого персоналу при виявленні порушень у роботі комп’ютерних мереж, спробах несанкціонованого доступу до інформації, пожежах, стихійному лихові тощо; розробки функціональних обов’язків робітників, допущених до роботи та обслуговування комп’ютерної техніки, комп’ютерної інформації; наявності плану відновлення працездатності обчислювального центру після виходу його з ладу; організації обслуговування та контролю за роботою сторонньої організації або особи, запрошених для обслуговування приміщень, техніки, обладнання комп’ютерних центрів; універсальності засобів захисту від усіх користувачів (в тому числі вищих посадових осіб та співробітників контрольних, правоохоронних органів); встановлення відповідальності та її розмежування між особами, які повинні забезпечувати безпеку комп’ютерної інформації; вибору місця розташування обчислювального (комп’ютерного) центру тощо; періодичного обстеження приміщень, в яких розміщена комп’ютерна техніка з метою виявлення встановлених невідомими особами пристроїв, що пристосовані для можливого зняття інформації, доступу до неї тощо.
Багатьма спеціалістами, які займаються питаннями безпеки комп’ютерних систем, організаційні заходи розглядаються як найбільш важливі та ефективні з усіх засобів захисту. Це пов’язано з тим, що згідно із дослідженням, проведеним Computer Security Institute, при розподілі комп’ютерних злочинів та інших втрат, майже в 80% причиною є людський фактор.
Під правовими заходами захисту комп’ютерної інформації та комп’ютерних технологій слід розуміти комплекс цивільно-правових і кримінально-правових норм, які регулюють суспільні відносини в сфері використання комп’ютерної інформації та передбачають відповідальність за несанкціоноване використання даних програмних та технічних засобів.
До правових заходів необхідно також віднести питання суспільного контролю за комп’ютерними розробниками. І нарешті, до правових заходів, на нашу думку, треба віднести: розробку законодавства, яке передбачало б відповідальність за комп’ютерні злочини; захист авторських прав розробників програмного забезпечення; удосконалення адміністративної, кримінальної, цивільної відповідальності в галузі надійного забезпечення функціонування комп’ютерних мереж і комп’ютерної інформації; контроль за розробками комп’ютерних систем певного характеру (правоохоронних, політичних, економічних, освітніх, військових, соціальних тощо).
Разом з тим, слід погодитися з думкою фахівців НАВСУ, які вказують, що захист від комп’ютерних злочинів неможливий сьогодні без розробки конкретної національної програми боротьби з комп’ютерною злочинністю. При цьому до складових цієї програми вони відносять розробку законодавства (адміністративного, цивільного, кримінального) про комп’ютерні правопорушення та створення активних механізмів комп’ютерної безпеки, до яких слід віднести вже розглянуті вище організаційні заходи, а також технічні, програмні та криптографічні.
Відповідно до положення “Про технічний захист інформації в Україні”, затвердженому Указом Президента, технічний захист інформації являє собою “діяльність, спрямовану на забезпечення інженерно-технічними засобами конфіденційності і цілісності інформації”. Комплекс заходів щодо технічного захисту інформації може здійснюватися тільки в інформаційній системі або на іншому об’єкті інформаційної інфраструктури. Рівень безпеки інформації, що обробляється в системах і на об’єктах інформаційної інфраструктури, визначається комплексом її властивостей, що включає три компоненти:
1) конфіденційність - властивість інформації бути захищеної від несанкціонованого ознайомлення;
2) цілісність — властивість інформації бути захищеної від несанкціонованого перекручування, злому, знищення;
3) доступність - властивість інформації бути захищеної від несанкціонованого блокування.
Тільки забезпечення захисту всіх названих характеристик інформації, є умовою ефективного і безпечного використання інформаційної інфраструктури.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, технічний захист інформації – це вид захисту інформації, спрямований на забезпечення за допомогою інженерно-технічних заходів та/або програмних і технічних засобів унеможливлення витоку, знищення та блокування інформації, порушення цілісності та режиму доступу до інформації.
Технічні заходи призначені для захисту від неправомірного доступу апаратних засобів та засобів зв’язку комп’ютерної техніки. До технічних заходів, на нашу думку, потрібно віднести: захист від несанкціонованого доступу до системи; резервування особливо важливих комп’ютерних підсистем; організація роботи обчислювальних мереж із можливістю перерозподілу ресурсів у разі порушення працездатності окремих ланок; вжиття конструктивних заходів захисту від крадіжок, шантажу тощо; встановлення резервних систем електроживлення; обладнання приміщень, в яких знаходяться комп’ютери та комп’ютерна інформація системами сигналізації; обладнання приміщень технікою захисту від спроб копіювання інформації ззовні або сторонніми особами.
Програмні заходи містять в собі розробку спеціального програмного забезпечення, яке не дозволило б сторонній людині отримувати інформацію з системи. Це засоби захисту інформаційних ресурсів, захисту від копіювання та від комп’ютерних вірусів.
Серед стандартних захисних засобів персонального комп’ютера найбільше поширення одержали:
1. засоби захисту обчислювальних ресурсів, що використовують парольну ідентифікацію й обмежують доступ несанкціонованого користувача;
2. засоби захисту від копіювання комерційних програмних продуктів;
3. захист від комп’ютерних вірусів і створення архівів.
Програмні методи захисту призначаються для безпосереднього захисту інформації з трьох напрямків: а) апаратури; б) програмного забезпечення; в) даних і керуючих команд.
Усі програми захисту, що здійснюють керування доступом до машинної інформації, функціонують за принципом відповіді на питання: хто може виконувати, які операції і над якими даними.
Доступ може бути визначений як: загальний (безумовно наданий кожному користувачу); відмовлення (безумовне відмовлення, наприклад дозвіл на видалення порції інформації); залежний від події (керований подією); залежний від змісту даних; залежний від стану (динамічного стану комп’ютерної системи); частотно-залежний (наприклад, доступ дозволений користувачу тільки один або визначене число раз); по імені чи іншій ознаці користувача; залежний від повноважень; з дозволу (наприклад, по паролю); по процедурі.
Також до ефективних заходів протидії спробам несанкціонованого доступу відносяться засоби реєстрації. Для цих цілей найбільш перспективними є нові операційні системи спеціального призначення, широко застосовувані в зарубіжних країнах і отримавших назву моніторингу (автоматичного спостереження за можливою комп’ютерною погрозою).
Моніторинг здійснюється самою операційною системою (ОС), причому в її обов’язку входить контроль за процесами введення-висновку, обробки і знищення машинної інформації. ОС фіксує час несанкціонованого доступу і програмних засобів, до яких був здійснений доступ. Крім цього, вона робить негайне оповіщення служби комп’ютерної безпеки про зазіхання на безпеку комп’ютерної системи з одночасною видачею на печатку необхідних даних (листинга).
Останнім часом у США і ряді європейських країн для захисту комп’ютерних систем діють також спеціальні підпрограми, що викликають самознищення основної програми при спробі несанкціонованого перегляду умісту файлу із секретною інформацією з аналогії дії “логічної бомби”.
При розгляді питань, що стосується програмного захисту інформаційних ресурсів особливо треба наголосити на проблемі захисту їх від комп’ютерних вірусів. Тут необхідно активно використовувати спеціальні програмні антивірусні засоби захисту (як закордонного, так і вітчизняного виробництва). Антивірусні програми вчасно виявляють, розпізнають вірус в інформаційних ресурсах, а також “лікують” їх.
Під криптографічними заходами слід розуміти спеціальні методи шифрування, кодування або іншого перетворення інформації, в результаті чого її зміст стає недоступним.
Згідно Закону України “Про захист інформації в інформаційно-телекомунікаційних системах”, криптографічний захист інформації - вид захисту інформації, що реалізується шляхом перетворення інформації з використанням спеціальних (ключових) даних з метою приховування/відновлення змісту інформації, підтвердження її справжності, цілісності, авторства тощо;
У наш час найбільш ефективними методами шифрування інформації є криптографія та стеганографія, які найчастіше застосовуються у сукупності. Мета стеганографії – сховати сам факт існування конфіденційної інформації, а мета криптографії – блокування несанкціонованого доступу до інформації.
Криптографічний захист забезпечує захист даних будь-якого типу, що зберігається в будь-якому виді на будь-якому носії, незалежно від операційної системи, формату даних та ін. Це можуть бути файли на диску, повідомлення електронної пошти, записи бази даних та інша інформація. Засоби криптографічного захисту можуть вбудовуватися в додатки (наприклад у програми електронної пошти) чи функціонувати як самостійний додаток, що шифрує файли на комп’ютері користувача. Криптографічні засоби, також можуть використовуватися для формування секретних віртуальних каналів передачі даних, забезпечуючи або апаратне, або програмне шифрування даних, переданих між двома вузлами мережі Internet.
Системи криптозахисту реалізують дві основні задачі.
- забезпечують таємність даних, дозволяючи одержати доступ до змісту файлів, повідомлень і ін., тільки особам, які мають спеціальні ключі.
- гарантують дійсність авторства інформації і підтвердження того, що інформація не була модифікована ким-небудь іншим після її опублікування.
Сучасні системи криптозахисту спираються на три базових алгоритми. Шифрування інформації може здійснюється за допомогою двох алгоритмів: шифруванням за допомогою симетричних ключів і шифруванням асиметричними ключами, також алгоритмом із використанням відкритого ключа.
Забезпечення гарантії дійсності інформації і посвідчення авторства здійснюється алгоритмом електронного підпису. Це пов’язано з тим, що на відміну від рукописного тексту, електронний документ дуже легко може піддатися різним, непомітним для одержувача документа, змінам. Тому часто виявляється необхідним не зашифровувати вміст інформаційного повідомлення, а забезпечити гарантії дійсності авторства і визначити, чи не вносилися несанкціоновані автором зміни в інформацію. Для цих цілей використовується алгоритм цифрового підпису. При використанні цифрового підпису інформація не шифрується і залишається доступною будь-якому користувачу, що має до неї доступ. Для визначення дійсності автора і змісту використовується спеціальна функція, названа ”дайджест” чи хэш-функция.
Важливий елемент організації інформаційної безпеки – захисту інформації – поділ заходів на групи щодо протидії. У теорії і практиці майже однозначно виокремлюють три такі групи: активні засоби захисту (наприклад, розвідка, дезінформація, зашумлення тощо); пасивні засоби захисту (наприклад, встановлення екранів несанкціонованому витоку інформації тощо); комплексні засоби захисту (органічне поєднання названих груп).
Саме застосування усіх вказаних заходів і методів у комплексі на даному етапі дозволяє організувати безпеку функціонування інформаційних систем, мереж, і безпосередньо інформації.