Семинар ДОПИNG 09-10 Защита информации

Концентрация информации в компьютерах аналогична концентрации денег в банках - заставляет всё более усиливать контроль в целях

защиты информации.

Юридические вопросы, частная тайна, национальная безопасность - всё это требует усиления внутреннего контроля в коммерческих и

правительственных организациях. Специалисты в области безопасности отвечают за разработку, реализацию и эксплуатацию системы информационной безопасности (ИБ). Вузы готовят специалистов в этой области. При рассмотрении проблем защиты информации возникает вопрос о классификации сбоев и нарушений, прав доступа, которые могут привести к уничтожению или нежелательной модификации информации. Среди основных “угроз” можно выделить:

1.Сбои оборудования

• сбои кабельной системы;
• перебои электропитания ;
• сбои дисковых систем;
• сбои систем архивации данных ;
• сбои в работе серверов, рабочих станций, сетевых карт и т.д.

2. Потери информации из-за некорректной работы программного обеспечения

• потеря или изменение данных при ошибках ПО;
• потери при заражении системы компьютерными вирусами;

3. Потери, связанные с несанкционированным доступом

• несанкционированное копирование, уничтожение или подделка информации;
• ознакомление с конфиденциальной информацией, составляющей тайну, посторонних лиц.

4. Потери информации, связанные с неправильным хранением архивных данных.

5. Ошибки обслуживающего персонала и пользователей:

• случайное уничтожение или изменение данных;
• некорректное использование программного и аппаратного обеспечения, ведущее к уничтожению или изменению данных.

В зависимости от многочисленных видов защиты информации их можно объединить в три основных класса:

1. Средства физической защиты, включающие средства защиты кабельной системы, систем электропитания, средства архивации, дисковые массивы и т.д.

2. Программные средства защиты, в том числе: антивирусные программы, системы разграничения полномочий, программные средства контроля доступа.

3. Программно-аппаратные средства, сочетание средств 1 и 2 класса.

Организационные мероприятия и процедуры, используемые для решения проблемы ИБ, решаются на всех этапах проектирования и

эксплуатации автоматизированных информационных технологий (АИТ). Существенное значение придаётся предпроектному обследованию объекта:

• Устанавливается наличие секретной (конфиденциальной) информации и её объём.
• Определяются режимы обработки информации (диалоговый, телеобработки и режим реального времени) и состав комплекса технических средств и программного обеспечения.
  

• Анализируется возможность использования сертифицированных средств защиты информации.
• Определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников в обработке информации.
• Определяются мероприятия по обеспечению режима секретности.
  

Среди организационных мероприятий по обеспечению ИБ важное место занимает охрана объекта (территория здания, помещения, хранилища

информационных носителей). От несанкционированного доступа предусматривают:

• Учёт, хранение и выдачу пользователям информационных носителей, паролей, ключей;
• Ведение служебной информации (генерация паролей, сопровождение правил разграниченного доступа);
• Контроль за функционированием систем защиты информации;
• Контроль за программной средой и т.д.

Базовая система защиты основывается на следующих принципах:

• комплексный подход к средствам защиты: программно-аппаратные и организационные меры;
• разделение и минимизация полномочий по доступу и обработке информации и
• процедуре обработки;
• контроль за несанкционированным доступом;
• обеспечение контроля за функционированием системы защиты.

Основные направления и средства защиты информации

В практической деятельности применение мер и средств защиты информации включает следующие направления:

• защита информации от несанкционированного доступа (НСД);
• защита информации в системах связи (сети);
• защита юридической значимости электронных документов;
• защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок;
• защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ;
• защита от несанкционированного копирования и распространения программ.

Для каждого направления определяются основные цели и задачи.

Под несанкционированным доступом (НСД) понимается нарушение установленных правил разграничения доступа, последовавшее в

результате случайных или преднамеренных действий пользователей. Субъекты, совершившие несанкционированный доступ, называются нарушителями.С точки зрения защиты информации НСД может иметь следующие последствия:

• утечка конфиденциальной информации;
• искажение или разрушение в результате умышленного нарушения работоспособности информационных технологий (ИТ).

Нарушителями могут быть:

• штатные пользователи ИТ;
• сотрудники-программисты, сопровождающие системное и прикладное ПО;
• обслуживающий персонал (инженеры);
• другие сотрудники, имеющие санкционированный доступ к ИТ.

Защита информации - это защита собственности прав владельцев и пользователей компьютеров. Это защита от хищений, которые могут нанести собственности экономический, материальный и моральный ущерб.

Основные методы защиты информации от НСД

• регистрация и учёт пользователей;
• разграничение полномочий (контроль доступа);
• система паролей;
• в компьютерных сетях комбинированный подход;
• пароль + идентификация пользователя по персональному “ключу”.

В качестве “ключа” может использоваться пластиковая карта и различные устройства (глаза, пальцы руки и т.д.).

Защита информации в системах связи направлена на предотвращение возможности НСД к конфиденциальной и ценной информации. Наиболее эффективным средством защиты информации является применение криптографии и специальных связанных протоколов. Криптография - это наука об обеспечении секретности передаваемых сообщений. Наряду с шифрованием используются и другие методы безопасности.

Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки,

хранения и передачи информационных объектов, содержащих в себе приказы, платёжные поручения, распорядительные, договорные, финансовые документы. Наряду с криптографией в качестве средства защиты может быть использована “цифровая подпись”.

Защита информации от утечки по каналам побочных электромагнитных излучений и наводок. Данный вид защиты направлен на секретности передаваемых сообщений. Наряду с шифрованием используются и другие методы безопасности.

предотвращение возможности утечки информационных электромагнитных сигналов за пределами охранной территории, а также возможности бесконтрольного использования специальной аппаратуры для подключения.

Защита информации от компьютерных вирусов - за последнее время приобрела особую актуальность.

В настоящее время компьютерные вирусы получили очень широкое распространение, и антивирусная борьба доставляет рядовому пользователю большую «головную боль». Поэтому важ¬о понимать способы распространения и характер проявления вирусов, а главное, научиться грамотно применять антивирусные программы для эффективной борьбы с вирусами.

Характеристика вирусов

Вирус представляет собой само воспроизводящуюся программу, которая способна внедрять свои копии в файлы, системные области,вычислительные сети и т, д. и приводить к нарушению нормального функционирования компьютера. Копии вирусной программы также сохраняют способность дальнейшего распространения. Вирусы принято классифицировать по следующим признакам: среде обитания; способу заражения среды обитания; способу активации; деструктивным возможностям: особенностям алгоритма

По среде обитания вирусы разделяют на файловые, загрузочные и сетевые. Файловые вирусы внедряются в файлы, чаще всего

выполняемые, или файлы документов текстовых процессоров и рабочих книг табличных процессоров. Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Сетевые вирусы распространяются по компьютерной сети. Существуют также файлово - загрузочные вирусы, которые заражают файлы и загрузочные секторы.

Способ заражения среды обитания зависит от самой среды. В частности, тело файлового вируса может при заражении размещаться в

конце, начале, середине или хвостовой (свободной) части последнего кластера файла. Наиболее просто реализуется внедрение вируса в конец файла типа сот. Наиболее сложна имплантация вируса в середину файла, поскольку для этого должна быть известна структура заражаемого файла, чтобы можно было внедриться, к примеру, в область стека. При внедрении загрузочного вируса (ввиду малых размеров среды обитания) используется размещение головы тела вместо загрузочного сектора диска или сектора системного загрузчика, а хвост вируса и следующий за ним загрузочный сектор размещаются в других кластерах или секторах.

По способу активации вирусы подразделяют на резидентные и нерезидентные. Резидентный вирус при заражении оставляет в

оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения — файлам, загрузочным секторам и т. п., и внедряется в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.

По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные и очень опасные. Безвредные вирусы

проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения. Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты. Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию или к неправильной печати документа. Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

По особенностям алгоритмов различают следующие вирусы; спутники, черви, или репликаторы, паразитические, студенческие,

невидимки, или стелс-вирусы, призраки, или мутанты. Вирусы-спутники файлы не изменяют, а для выполнимых программ (ехе) создают одноименные программы типа сот, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой про¬грамме. Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров." Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются. Студенческие вирусы представляют собой простейшие легко обнаруживаемые вирусы Стелс-вирусы (название происходит от STEALTH — названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют не зараженные участки диска, затрудняя тем самым их обнаружение. Вирусы-призраки представляют собой трудно обнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков ко¬да (сигнатур).

Классификация антивирусных программ

Антивирусными называются программы, предназначенные для зашиты данных от разрушения, обнаружения и удаления

компьютерных вирусов. Различают следующие разновидности антивирусных программ: фильтры, или сторожа; детекторы; доктора, или фаги; ревизоры; иммунизаторы, или вакцины.

Фильтр представляет собой резидентную программу, которая контролирует опасные действия, характерные для вирусных программ, и

запрашивает подтверждение на их выполнение. К таким действиям относятся следующие: изменение файлов выполняемых программ; размещение резидентной программы; прямая запись на диск по абсолютному адресу; запись в загрузочные секторы диска; форматирование диска.

Достоинством программ-фильтров является их постоянное отслеживание опасных действий, повышающее вероятность обнаружения вирусов

на ранней стадии их развития. С другой стороны, это же является и недостатком, так как приводит к отвлечению пользователя от основной работы для подтверждения запросов по подозрительным операциям.

Детекторы обеспечивают поиск и обнаружение вирусов в оперативной памяти и на внешних носителях. Различают детекторы

универсальные и специализированные. Универсальные детекторы в своей работе используют проверку неизменности файлов путем подсчета и сравнения с эталоном контрольной суммы. Недостаток универсальных детекторов связан с невозможностью определения причин искажения файлов. Специализированные детекторы выполняют поиск известных вирусов по их сигнатуре (повторяющемуся участку кода). Недостаток таких детекторов состоит в том, что они неспособны обнаруживать все известные вирусы Детектор, позволяющий обнаруживать несколько вирусов, называют полидетектором.

Доктором называют антивирусную программу, позволяющую обнаруживать и обезвреживать вирусы. При обезвреживании вирусов среда

обитания может восстанавливаться или не восстанавливаться.

Полифаг - программа, предназначенная для обнаружения и уничтожения компьютерных вирусов (Фаг - программа для обнаружения и

уничтожения одного вируса). Как пра¬вило, полифаги используют базу данных, содержащую данные о вирусах, с которыми умеет бороться полифаг. Кроме того, современные полифаги, как правило, имеют эвристический анализатор, который позволяет обнаруживать ВИРУСЫ, информация о КОТОРЫХ не содержится в базе данных полифага. К их числу принадлежат получившие широкое распространение программы Doctor Web, Norton Antivirus. McAffee Virusscan. АУР и др. Основной нюанс их работы, заключается в необходимости постоянного обновления базы данных, содержащей сведения об вирусах. При этом важно помнить, что каждый месяц появляется от 100 до 200 и более новых вирусов. Поэтому программа не обновленная несколько месяцев может не обеспечить Вашему ПК должную защиту от новых вирусов.

Ревизор представляет собой программу, запоминающую исходное состояние про¬грамм, каталогов и системных областей и

периодически сравнивающую текущее состо¬яние с исходным. Сравнение может выполняться по параметрам: длина и контрольная сумма файла и т. п. Достоинством ревизоров является их способность обнаруживать стелс-вирусы. К числу ревизоров относится хорошо известная программа ADinf.

Иммунизатор представляет собой резидентную программу, предназначенную для предотвращения заражения рядом известных вирусов

путем их вакцинации. Суть вакцинации заключается в модификации программ или диска таким образом, чтобы это не отражалось на нормальном выполнении программ и то же время вирусы воспринимали их как уже зараженные и поэтому не пытались внедриться. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации - является самостоятельным видом защиты имущественных прав, ориентированных на проблему охраны интеллектуальной собственности в виде программ и ценных баз данных (лицензирование программ, сертификация и т.д.).

Правовые аспекты обеспечения информационной безопасности

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления” (Закон РФ

“Об информации, информатизации и защите информации”). Информация подпадает под нормы вещного права, что даёт возможность применять к информации нормы Уголовного и Гражданского права в полном объёме.

“К объектам гражданских прав относятся ... информация, результаты интеллектуальной деятельности, в том числе исключительные права

на них (интеллектуальная собственность)) ...” (ст. 128, ч.1 ГК РФ). Данная статья даёт возможность квалифицировать посягательства на сохранность и целостность информации, как преступление против собственности. Для обеспечения чёткой правовой базы применения к информации норм вещного права в Законе “Об информации ... (ст.5, ч.1)” вводится понятие: “документированная информация (документ) - зафиксированная на материальном носителе информации с реквизитами, позволяющими её идентифицировать”.

Разрешение различных конфликтов в области информационных отношений на базе действующего законодательства возможно только для

документированной информации (ст. 4.1, ст.6.1). Информационные ресурсы, т.е. отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектами отношений физических, юридических лиц и государства, подлежат обязательному учёту и защите как материального имущества собственника. Собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним (ст.6.7).

Закон “Об информации” гласит:

• документированная информация ограниченного доступа по условиям её правового режима подразделяется на информацию, отнесённую к государственной тайне и конфиденциальную (ст.10, ч.2);
  
• конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством РФ (ст.2);
  
• персональные данные о... включаемые в состав федеральных информационных ресурсов, совместного ведения, федерального и местного самоуправления, а также получаемые и собираемые негосударственными организациями, отнесены к категории конфиденциальной информации (ст.11, ч.1);
  
• не допускается сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, тайну переписки, телефонных переговоров и т.д. физического лица без его согласия, кроме как на основании судебного решения (ст.11, ч.1).
  

Основные направления правового обеспечения ИБ

1.Права собственности, владения и распоряжения информацией.
2.Степень открытости информации.
3.Порядок отнесения информации к категории ограниченного доступа.
4.Организация работ по защите информации.
5.Государственное лицензирование деятельности в области защиты информации.

Ответственность за преступления в области информационных технологий

Составы компьютерных преступлений (перечень признаков, характеризующих общественно опасное деяние как конкретное преступление)

приведены в главе 28 УК РФ (введён 1.1.97), которая называется “Преступление в сфере компьютерной информации” и содержит 3 статьи:

1.Неправомерный доступ к компьютерной информации” (ст.272);
2.Создание, использование и распространение вредоносных программ для ЭВМ (ст.273).
3.Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети” (ст.274).

Ответственность за нарушения могут нести лица, достигшие 16 лет.

Статья 272. Предусматривает ответственность за несанкционированный доступ, если это повлекло уничтожение, блокировку, модификацию или копирование информации, нарушение работы вычислительных систем. Обычно несанкционированный доступ осуществляется умышленно (лишение свободы до 2-х лет 1 ч. и до 5-ти лет 2 ч. если группой лиц).

Статья 273. Преступление, предусмотренное ч.1 ст.273 может быть совершено умышленно и максимальным наказанием является лишение свободы до 3-х лет.