Защита информации в автоматизированных системах обработки данных

     Нарушители  классифицируются по уровню возможностей, предоставляемых им штатными средствами автоматизированных систем и средствами вычислительной техники. Выделяется четыре уровня этих возможностей.

     Классификация является иерархической, т.е. каждый следующий  уровень включает в себя функциональные возможности предыдущего.

• Первый уровень определяет самый низкий уровень возможностей ведения диалога в автоматизированных системах – запуск задач (программ) из фиксированного набора, реализующих заранее предусмотренные функции по обработке информации.
• Второй уровень определяется возможностью создания и запуска собственных программ с новыми функциями по обработке информации.
• Третий уровень определяется возможностью управления функционированием автоматизированных систем, т.е. воздействием на базовое программное обеспечение системы и на состав и конфигурацию её оборудования.
• Четвертый уровень определяется всем объемом возможностей лиц, осуществляющих проектирование, реализацию и ремонт технических средств автоматизированных систем, вплоть до включения в состав средств вычислительной техники, собственных технических средств с новыми функциями по обработке информации.

     В своем уровне нарушитель является специалистом высшей квалификации, знает все об автоматизированных системах и, в частности, о системе и средствах ее защиты.

     В качестве главного средства защиты от несанкционированного доступа к информации в Концепции рассматривается система разграничения доступа (СРД) субъектов к объектам доступа. Основными функциями системы разграничения доступа являются:

• реализация правил разграничения доступа (ПРД) субъектов и их процессов к данным;
• реализация правил разграничения доступа субъектов и их процессов к устройствам создания твердых копий;
• изоляция программ процесса, выполняемого в интересах субъекта, от других субъектов;
• управление потоками данных с целью предотвращения записи данных на носители несоответствующего грифа;
• реализация правил обмена данными между субъектами для автоматизированных систем и средств вычислительной техники, построенных по сетевым принципам.

     Кроме того, Концепция предусматривает  наличие обеспечивающих средств для системы разграничения доступа, которые выполняют следующие функции:

• идентификацию и опознание (аутентификацию) субъектов и поддержание привязки субъекта к процессу, выполняемому для субъекта;
• регистрацию действий субъекта и его процесса;
• предоставление возможностей исключения и включения новых субъектов и объектов доступа, а также изменение полномочий субъектов;
• реакцию на попытки несанкционированного доступа, например, сигнализацию, блокировку, восстановление после несанкционированного доступа;
• тестирование;
• очистку оперативной памяти и рабочих областей на магнитных носителях после завершения работы пользователя с защищаемыми данными;
• учет выходных печатных и графических форм и твердых копий в автоматизированной системе;
• контроль целостности программной и информационной части как системы разграничения доступа, так и обеспечивающих ее средств.

     Технические средства защиты от несанкционированного доступа, согласно Концепции, должны оцениваться по следующим основным параметрам:

• степень полноты охвата правил разграничения доступа реализованной системы разграничения доступа и ее качество;
• состав и качество обеспечивающих средств для системы разграничения доступа;
• гарантии правильности функционирования системы разграничения доступа и обеспечивающих ее средств.[2]

     Заключение 

     В современных компьютерных системах используются криптографические системы. Процесс криптографического закрытия данных может выполняться как  программно, так и аппаратно.

     В то время, когда вычислительной мощности для полного перебора всех паролей  не хватало, хакерами был придуман остроумный метод, основанный на том, что в качестве пароля человеком обычно выбирается существующее слово или информация о себе или знакомых (имя, дата рождения и т.д.). Поскольку в любом языке  не более 100 000 слов, то их перебор займет весьма небольшое время, то от 40 до 80% существующих паролей может быть угадано с помощью такой схемы, называемой «атакой по словарю». До 80% паролей может быть угадано  с использованием словаря размером всего 1 000 слов.

     С 1999 года специалисты по компьютерным технологиям пытаются обратить внимание общественности и государственных органов на новый международный стандарт ISO/IEC 15408 «Единые критерии оценки безопасности информационных технологий». Активность организаций по стандартизации ведущих государств, реально произошедшие изменения во взглядах специалистов к проблеме информационной безопасности и явились предостережением, что Украина может упустить реальный шанс вовремя освоить новейшее технологическое обеспечение информационной безопасности.

     Актуальность  решения задачи гармонизации отечественной  нормативной базы с международными стандартами, а также вопросов применения международных стандартов в отечественной  практике очень велика.

     В мире произошло переосмысление подходов к решению проблемы обеспечения  информационной безопасности. С момента  принятия международного стандарта  ISO/IEC 15408 начался новый этап развития теории и практики обеспечения информационной безопасности.

     Одновременно  с трансформацией взглядов на процессы обработки происходит и изменение  взглядов на подходы к обеспечению  безопасности информации. Широкая сфера  применения информационных технологий, расширение функциональных возможностей систем информационных технологий и  другие причины привели к тому, что существующая модель обеспечения  информационной безопасности перестала  удовлетворять как потребителя  ИТ-систем, так и их разработчика.

     Следуя  по пути интеграции, Европейские страны приняли согласованные критерии оценки безопасности информационных технологий (Information Technology Security Evaluation Criteria, ITSEC). Версия 1.2 этих Критериев опубликована в июне 1991 года от имени соответствующих органов четырех стран – Франции, Германии, Нидерландов и Великобритании. Выгода от использования согласованных критериев очевидна для всех – и для производителей, и для потребителей, и для самих органов сертификации.

     Европейские Критерии рассматривают такие составляющие информационной безопасности как конфиденциальность, целостность и доступность.

     Список  литературы 

1. В.Е. Ходаков, Н.В. Пилипенко, Н.А. Соколова / Под ред. В.Е. Ходакова.   Введение в компьютерные науки: Учеб. пособ. – Херсон: Издательство ХГТУ – 2004.
2. Герасименко В.А. Защита информации в автоматизированных системах обработки данных. – М.: Энергоиздат, 1994.
3. Мельников В.В. «Защита информации в компьютерных системах». – М.: «Финансы и статистика», 1997.
4. http://www.password-crackers.ru/articles/15/
5. http://www.kgau.ru/istiki/umk/pis/25_4.htm
6. http://gvzm-nasledie.ru/article/e-nigma-data-security.html