Защита и обработка документов

    Так Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: предотвращение утечки, хищения, утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; защита конституционных  прав граждан на сохранение личной тайны и конфиденциальности персональных сведений; сохранение государственной  тайны и конфиденциальности информации.

    Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах на органы государственной власти.

    Статья 23 Закона "Об информации, информатизации и защите информации" посвящена  защите прав субъектов в сфере  информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими  судами, которые могут создаваться  на постоянной или временной основе.

 

    Технические и программно-математические методы защиты информации

    Учитывая, что предметом данной работы являются организация безопасности в области  защиты информации прежде необходимо дать ряд основных понятий данной сферы деятельности.

    Защита  информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

    Средства  защиты информации - технические, криптографические, программные и другие средства, предназначенные  для защиты информации, средства, в  которых они реализованы, а также  средства контроля эффективности защиты информации.

    Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.

    Контроль  эффективности защиты информации - проверка соответствия эффективности  мероприятий по защите информации установленным  требованиям или нормам эффективности  защиты.

    Безопасность  информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, при котором с требуемой вероятностью обеспечивается защита информации.

    Требования  по безопасности информации - руководящие  документы ФАПСИ, регламентирующие качественные и количественные критерии безопасности информации и нормы  эффективности ее защиты.

    Криптографическая защита - защита данных при помощи криптографического преобразования преобразования данных.

    Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки  имитовставки.

    И так Информацию достаточно условно  можно разделить на сведения, отнесенные к государственной тайне, конфиденциальную информацию, персональную информацию и остальную информацию. Рассматривать  первый тип мы не будем. Согласно списку терминов и определений Гостехкомиссии

    России  конфиденциальная информация - это  информация, требующая защиты

    (любая,  ее назначение и содержание  не оговариваются). Персональные  данные - это сведения о гражданах  или предприятиях. В соответствии  с

    Федеральным законом № 24 "Об информации, информатизации и защите информации" "защите подлежит любая документированная информация, неправомерное обращение с которой  может нанести ущерб собственнику, владельцу или иному лицу". Из описанного следует, что ВЫ обязаны заботиться о сохранности своей информации. Например, никто кроме меня не вправе разглашать мою дату рождения, а ведь она хранится на всех предприятиях, где я работал и работаю.

    В данной работе не будут затронуты  информация, распространяемая по каналам  связи (телефония, WEB, E-mail, локальные сети и т.д.), а также проблемы, связанные с ее перехватом, блокировкой и защитой. Это связано с широтой проблемы и другими методами защиты. Основное внимание мы сосредоточим на информации, хранимой и используемой на предприятии или у граждан. От чего же необходимо защищать информацию?

    Ответ - в Положении "О государственном  лицензировании деятельности в области  защиты информации" №60, где говорится, что "защита информации

    - комплекс мероприятий, проводимых  с целью предотвращения утечки, хищения, утраты, несанкционированного  уничтожения, искажения, модификации  (подделки), несанкционированного копирования,  блокирования информации и т.п.". Пример - в одном из РЭУ подмосковного  города были похищены компьютеры, и в результате была обнародована информация о прописке граждан. Также в современных российских условиях не следует сбрасывать со счета и попытки предприятий скрыть данные от силовых ведомств. Правомочность этих действий мы не оспариваем, но каждое предприятие само решает, какие данные оно хочет обнародовать, какие - нет (по определению конфиденциальной информации). Кстати, информация, хранимая на компьютерах, не может использоваться как улики в уголовно- гражданских делах, но вполне возможно ее применение для выполнения следственных действий.

    Защиту  информации следует рассматривать  как неотъемлемую часть хранения. Невозможно обеспечить серьезную защиту, не выполняя резервное копирование  информации. К счастью, обеспечить сохранность  копий гораздо проще, для этого  достаточно административных мер

    (хранение  в несгораемых сейфах). Емкость  стриммеров, CD-R, CD-RW, DVD достаточна для составления резервных копий и восстановления из них в кратчайшие сроки. Пренебрежение данными мерами чревато даже по техническим соображениям - надежность технических средств хранения далека от 1 (а вероятность сбоя Windows 95/98 в течение рабочего дня равна 1), и потерять информацию по причине программного сбоя или поломки накопителя очень обидно и дорого. Известны случаи потери бухгалтерской отчетности за три месяца, восстановление заняло два месяца, штрафы за несвоевременное представление отчетности превысили стоимость сломавшегося накопителя более чем в 100 раз, не считая приостановки лицензии и косвенных потерь.

 

    Методы  защиты информации и  их главные недостатки: 

    Административные  меры

    Если  территория (помещение) предприятия  имеет охрану, персоналу можно  доверять, локальная сеть не имеет  выходов в глобальные сети, то такую  защищенность надо признать очень высокой. Однако это идеальный случай, и  в практике такое не всегда выполнимо (пример - персональная база жителей  Санкт-Петербурга из ГУВД, обнародованная на DVD). Пренебрегать этим методом нельзя, и он, как правило, дополняет или контролирует другие методы.

    Защита  средствами операционной системы

    Парольная система Windows 95/98 не выдерживает никакой критики, и даже установка дополнительных модулей системной политики не решает данную задачу. Windows NT и Novell, хотя и решают задачу защиты, но... вот простейший пример - у Вас похитили, или изъяли в установленном порядке, компьютер. Диск установили вторым - и все ваше администрирование, на которое потрачены тысячи (если не миллионы) человеко-часов,- уже никому не помеха.

    Совсем  другое дело нынешние ОС семейство NT 4,0 и выше. То есть Windows 7 в ней реализованы в полной мере системы защиты информации, хотя идеальных в плане безопасности ОС до сих пор не существует.

    Я не хотел упоминать в данной работе защиту информации установкой пароля BIOS, но большое количество наблюдаемых  установок данного пароля вынудило затронуть и данный метод. Максимум что надо для блокировки, это - открыть  компьютер, установить перемычку и  снять ее (самое большее - две минуты). Есть два (известных мне) исключения - системы с часами на базе микросхем DALLAS и переносные компьютеры.

    Здесь задачка не так просто решается. Помогает снятие накопителя и установка  его в другой компьютер (опять  же две минуты).

    Блокировка  загрузки операционной системы

    По  этому пути идут многие фирмы. У данного  метода опять-таки недостатки всплывают, если к компьютеру или накопителю можно получить доступ. Известные  платы перехватывают прерывание по загрузке, однако Setup современных компьютеров позволяет блокировать эту возможность, изъятие этой платы или накопителя сводит на нет кажущуюся мощь данного средства.

    Физическое  уничтожение накопителя

    Это наиболее древний и действенный  метод, вспомните сжигание, съедание бумаг. Конечно, в наше время он становится более изощренным, в частности, к  компьютерной безопасности можно приобщить  следующие методы:

      . сломать дискету, уничтожить флекшку;

    . электромагнит, пробивающий насквозь  накопитель или дискету (московская  разработка, последствия очень впечатляющие);

    . пиропатрон, установленный под накопителем  (за хранение и применение взрывчатых  веществ предусмотрена уголовная  ответственность).

    Данным  методам очень тяжело что-то противопоставить, но при ложном срабатывании слишком  велика стоимость потерь. Имеются  в виду только материальные потери, так как грамотное ведение  резервного копирования решает задачу восстановления в кратчайшие сроки. Очень интересно, конечно, кроме  последнего пункта, что эти меры не требуют никакого согласования, лицензирования и сертификации, если они выполнены силами самого предприятия. Например, нельзя обвинить изготовителя окна, что он стал виновником уничтожения информации,если компьютер был с него скинут. Очень распространено использование сменных HDD или съемных дисков. Однако опыт их использования, особенно при постоянном изъятии, говорит о значительном сокращении срока их службы (удары по винчестеру) и частых сбоях (характерных для магнитооптики).

    Стирание  информации

    Метод имеет много общего с предыдущим и в тоже время лишен ряда его  недостатков, так как теряется только информация, а не накопитель

    (яркий  пример - стирание пленки в фильме "Гений"). Информацию восстанавливаем  с резервной копии - и нет  проблем. Программное стирание  и комплексы, использующие данную  функцию, требуют нахождения компьютера  исключительно под напряжением.  Это трудно выполнимо, даже  мощные UPS не могут обеспечить работу компьютеров болee 4 часов. Пример: один комплекс дал сбой, так как удаляемый файл был открыт программой и блокировка операционной системы остановила дальнейшее удаление.

    Аппаратное  стирание, выполняющее свои функции  без участия компьютера, особенно при наличии резервного источника  питания, устраняет эти проблемы. Скорость уничтожения, как правило, соизмерима со скоростью работы самого накопителя. Хотя для магнитной ленты  возможно и мгновенное стирание. Данные устройства могут применятся не только в помещении офиса, но, например, и в кейсе, при перевозке информации.

    Шифрование  данных

    Это одно из мощнейших методов. Начнем его  рассмотрение с определения по ГОСТ 19781: Шифрование - это процесс преобразования открытых данных в зашифрованные  при помощи шифра или зашифрованных  данных в открытые при помощи шифра - совокупность обратимых преобразований множества возможных открытых данных на множество возможных зашифрованных  данных, осуществляемых по определенным правилам с применением ключей

    (конкретное  секретное состояние некоторых  параметров алгоритма криптографического  преобразования данных, обеспечивающее  выбор одного преобразования). Стойкость  современных шифровальных систем  достаточно высока, и будем считать  ее достаточной. 

    Во-первых, разработчик, продавец и установщик должны иметь лицензию. Но и этого  мало! даже пользователь обязан иметь лицензию ФАПСИ (Федеральное агентство правительственной связи и информации). В России разрешено использование только одного алгоритма и принципиально невозможно получить, а значит и использовать, импортные разработки!

    Например, появившаяся в печати реклама  комплекса "Secret Disk" о продаже его в магазинах просто непонятна (одно из двух - или это не шифрование или это уголовно наказуемо). Статья 4 Указа № 334 прямо гласит: "В интересах информационной безопасности РФ и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ".

    Сможете ли вы применить данный метод после  этих разъяснений?

    Приобретаемые технические устройства защиты информации могут не иметь сертификации, при  условии, что они не будут использованы в государственных и банковских учреждениях. Однако предприятие-продавец должно иметь лицензию на право занятия  данной деятельностью.