Социальные средства защиты информации

Абстрактные модели защиты информации.

 

Развитие компьютерных сетей и информационных технологий обусловило актуальность задач обеспечения информационной безопасности и защиты информационных систем от несанкционированного доступа. Модели защиты информации для информационных систем позволяют построить эффективную систему защиты информации, применить адекватные средства и методы обеспечения безопасности на всех уровнях информационных процессов. Одними из первых были опубликованы абстрактные модели защиты информации, к которым относятся следующие модели:

1. Модель Биба (Biba) опубликована в 1977 г. По этой модели все субъ­екты и объекты предварительно разделяются по нескольким уровням доступа и на их взаимодействия накладываются следующие ограничения:

- субъект не может вызывать на исполнение субъекты с более низким уровнем доступа;

- субъект не может модифицировать объекты с более высоким уровнем доступа.

2. Модель Гогена-Мезигера (Goguen-Meseguer), опубликована в 1982 г. В данной модели используется теория автоматов, т.е. система может при каждом действии переходить из одного разрешенного состояния только в несколько других. Субъекты и объекты в данной модели защиты разбиваются на группы – домены, и переход системы из одного состояния в другое выполняется только в соответствии с таблицей разрешений, в которой указано, какие операции может выполнять субъект. При переходе системы из одного разрешенного состояния в другое используются транзакции, что обеспечивает общую целостность системы.

3. Модель защиты сазерлендская (англ. Sutherland), опубликованна в 1986 г. Модель основана на взаимодействие субъектов и потоков информации. Так же как и в предыдущей модели, здесь используется машина состояний со множеством разрешенных комбинаций состояний и некоторым набором начальных позиций. В данной модели исследуется поведение множественных композиций функций перехода из одного состояния в другое.

4. Модель Кларка-Вильсона (Clark-Wilson), опубликованна в 1987 г., модифицированна в 1989 г. За основу в данной модели принято использование транзакций, тщательное оформление прав доступа субъектов к объектам, исследована защищенность третьей стороны - в данной проблеме – стороны, поддерживающей всю систему безопасности. Эту роль в информационных системах обычно играет программа-супервизор. Кроме того, в модели Кларка-Вильсона транзакции впервые были построены по методу верификации, то есть идентификация субъекта производилась не только перед выполнением команды от него, но и повторно после выполнения. Это позволило снять проблему подмены автора в момент между его идентификацией и собственно командой. Модель Кларка-Вильсона считается одной из самых совершенных в отношении поддержания целостности информационных систем.

Основное назначение моделей состоит в создании предпосылок для объективной оценки общего состояния информационных систем с точки зрения меры уязвимости или уровня защищенности информации. Необходимость в таких оценках обычно возникает при анализе общей ситуации с целью выработки стратегических решений при организации защиты информации. Модели, которые позволяют определять общие характеристики информационных систем и процессов, названы общими моделями защиты информации. К общим моделям защиты информации относятся следующие модели:

1. Общая модель процесса защиты информации в общем виде отображает процесс защиты информации как процесс взаимодействия дестабилизирующих факторов, воздействующих на информацию, и средств защиты информации, препятствующих действию этих факторов. Итогом взаимодействия будет тот или иной уровень защищенности информации.

2. Обобщенная модель системы защиты информации, являясь дальнейшим развитием общей модели, отображает основные процессы защиты информации с целью их рационализации. Указанные процессы в самом общем виде могут быть представлены как процессы распределения и использования ресурсов, выделяемых на защиту информации;

3. Модель общей оценки угроз информации – оценка угроз информации и оценка потерь, которые могут иметь место при проявлении различных угроз. В данных моделях в наибольшей степени выявляются условия, при которых такие оценки могут быть адекватны реальным процессам защиты информации.

4. Модели анализа систем разграничения доступа к ресурсам информационных систем предназначены для обеспечения решения задач анализа и синтеза систем (механизмов) разграничения доступа к различным видам ресурсов информационных систем, прежде всего к массивам данных или полям запоминающих устройств. Механизмы разграничения доступа относятся к числу наиболее существенных компонентов систем защиты информации, от эффективности функционирования которых, значительно зависит общая эффективность защиты.

Потеря конфиденциальной информации наносит компании значительный ущерб и лишает ее конкурентного преимущества, поэтому компания, которая хочет оставаться конкурентоспособной на рынке, должна проводить комплекс мероприятий по защите конфиденциальной информации. Построение сложных защищенных информационных систем связано с решением следующих проблем: защита информации от утечек, защита информации от непреднамеренного воздействия и защита информации от несанкционированного воздействия (рис. 6.7).

Для решения этих задач используются средства защиты информации, эффективное внедрение которых невозможно без проведения мероприятий организационного характера (рис 6.8). Средства защиты информации подразделяются на социальные средства и формальные средства.


Социальные средства требуют целенаправленной дея­тельностилюдей на основе государственных, ведомствен­ных ивнутрифирменных законов, положений, норма­тивных актов,уставов, инструкций и др. К со­циальным мерам защитыотносятся:

- законодательные методы защиты;

- админист­ративные методы защиты;

- финансовые методы защиты;

- морально-этические методы защиты.

1.Законодательные средства защиты используют юридическую за­щиту информа­ции:

- патент;

- авторское право;

- товарный знак;

- знак об­служивания;

- коммерческая тайна.

В России с 1997 года начали действовать новые статьи УК РФ, в ко­торых установлена уголовная ответственность, которую могут нести граждане РФ за «преступления в сфере компьютерной информации» (Глава 28 УК РФ).

Статья 272. Неправомерный доступ к компьютерной информации.

Неправомерный доступ к охраняемой законом компьютерной инфор­мации, то есть информации на машинном носителе, в электронно-вы­числительной машине (ЭВМ), системе ЭВМ или их сети, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети, - нака­зывается штрафом в размере от двухсот до пятисот минимальных раз­меров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев, либо исправительными работами на срок от шести месяцев до одного года, либо лишением свободы на срок до двух лет.

То же деяние, совершенное группой лиц по предварительному сго­вору или организованной группой, либо лицом с использованием своего служебного положения, а равно имеющим доступ к ЭВМ, системе ЭВМ или их сети, - наказывается штрафом в размере от пятисот до восьми­сот минимальных размеров оплаты труда или в размере заработной платы, или иного дохода осужденного за период от пяти до восьми ме­сяцев, либо исправительными работами на срок от одного года до двух лет, либо арестом на срок от трех до шести месяцев, либо лишением свободы на срок до пяти лет.

Статья 273. Создание, использование и распространение вредо­носных программ для ЭВМ.

Создание программ для ЭВМ или внесение изменений в существую­щие программы, заведомо приводящих к несанкционированному унич­тожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использо­вание либо распространение таких программ или машинных носителей с такими программами, - наказываются лишением свободы на срок до трех лет со штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного до­хода осужденного за период от двух до пяти месяцев.

Те же деяния, повлекшие по неосторожности тяжкие последствия, - наказываются лишением свободы на срок от трех до семи лет.

Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети ли­цом, имеющим доступ к ЭВМ, системе ЭВМ или их сети, повлекшее уничтожение, блокирование или модификацию охраняемой законом ин­формации ЭВМ, если это деяние причинило существенный вред, - нака­зывается лишением права занимать определенные должности или за­ниматься определенной деятельностью на срок до пяти лет, либо обяза­тельными работами на срок от ста восьмидесяти до двухсот сорока ча­сов, либо ограничением свободы на срок до двух лет.

То же деяние, повлекшее по неосторожности тяжкие последствия, - наказывается лишением свободы на срок до четырех лет.

2.Административные средства защиты включают организацию службы безопасности фирмы, пропускного ре­жима, работы с докумен­тами и сотрудниками фирмы. При организации обработки закрытой ин­формации на ПЭВМ це­лесообразно выполнение следующих мероприя­тий:

- сокращение до минимума числа ПЭВМ, обрабаты­вающих закрытую информацию;

- выделение специальных ПЭВМ для выхода в ком­пьютерные сети;

- применение жидкокристаллических и газоплазмен­ных дисплеев, имеющих низкий уровень электро­магнитных излучений, и безударных принтеров;

- установка клавиатур и ударных принтеров на мягкие прокладки;

- организация электропитания от отдельного блока;

- размещение ПЭВМ на расстоянии не менее трех метров от средств и линий связи, радио- и теле­визионной аппаратуры, охранной и пожар­ной сигнализации, водопроводных, отопительных и газовых труб.

3.Финансовые средства защиты включают:

- благоприятную финансовую политику государства в сфере защиты информации;

- льготное налогообложение фирм, разрабатываю­щих и поставляю­щих средства защиты информа­ции;

- страховую защиту информации.

4.Морально-этические средства защиты реализуются в виде норм, сложившихся традиционно или по мере развития вычислительной техники и средств связи. Морально-этические средства подразделяются на две группы:

- регламентированные средства: предписания, инструкции, правила поведения сотрудников по отношению к коммерческой тайне фирмы, несоблюдение кото­рых влечет применение внутрифирменных адми­нистративных взы­сканий к сотрудникам;

- нерегламентированные средства: неписанные нормы чест­ности, порядочно­сти, патриотизма, несоблюдение которых ведет к потере авторитета со­трудника, отдела или всей фирмы.