Программная и аппаратная защита информации. Классификация средств защиты информации от фстэк и фсб россии Работа с техническими средствами защиты информации

Техническими, названы такие средства защиты, в которых основная защитная функция реализуется некоторым техническим устрой­ством (комплексом, системой). К настоящему времени разработано зна­чительное количество различных технических средств, что дает достаточ­ные основания для некоторых обобщенных их оценок.

К несомненным достоинствам технических средств относятся: достаточно широкий круг решаемых задач; достаточно высокая надеж­ность; возможность создания развитых комплексны, систем защиты; гибкое реагирование па попытки несанкционированных действии; традици­онность используемых методов осуществления защитных функций.

Основные недостатки: высокая стоимость многих средств; необходимость регулярного проведения регламентных работ и контроля; возможность додачи ложных тревог.

Системную классификацию технических средств удобно произвести по следующей совокупности критериев (см. рис. 6.3): сопряженность с основными средствами АСОД; выполняемая функция защиты; степень сложности устройства.

Структуризация значения критериев интерпретируется следующим образом.

Сопряженность с основными средствами АСОД: автономные средства; выполняющие свои защитные функций независимо от функционирования средств АСОД, т, е. полностью автономно; сопряженные- средства, выполненные в виде самостоятельных устройств, но осуществляющие защитные функции в сопряжении (совместно) с основными средствами; встроенные - средства, которые конструктивно включены в состав аппаратуры технических средств АСОД,

Выполняемая функция защиты: внешняя защита - защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств АСОД; опознавание - специфическая группа средств, предназначенных для опознавания людей но различным индивидуальным характеристикам; внутренняя зашита - зашита от воздействия дестабилизирующих, факторов, проявляющихся непосредственно в средствах обра­ботки информации.

Степень сложности устройствами простые устройства - несложные приборы и приспособления, выполняющие отдельные процедуры защи­ты; сложные устройства - комбинированные агрегаты, состоящие из не­которого количества простых устройств, способные к осуществлению сложных процедур защиты; системы - законченные технические комплек­сы, способные осуществлять некоторую комбинированную процедуру защиты имеющую самостоятельное значение.

Если каждый элемент изображенной на рисунке 3 классификационной структуры представить в качестве группы технических средств защиты, то полный арсенал этих средств будет включать 27 относительно самостоятельных трупп.

Рисунок 3 – Классификация технических средств защиты

Нетрудно видеть, что в приведенной классификационной структуре определяющей (в функциональном отношении) является классификация по критерию выполняемой функции; классификация же по критериям сопряженности и степени сложности отражает, главным образом, особенности конструктивной и организационной реализации средств. Посколь­ку для наших целей наиболее важной является именно функциональная классификация, то под данным углом зрения и рассмотрим технические средства защиты.

На рисунке 3 выведены три выполняемые техническими средствами макрофункции защиты: внешняя защита, опознавание и внутренняя за­щита. Дальнейшая детализация функциональной классификации рассматриваемых средств приведена на рисунке 4. В каждой из 12 выделенных по функциональному признаку групп могут быть средства различной сложности и различного исполнения. К настоящему времени разработано большое количество различных технических средств зашиты, причем на­лажено промышленное производство многих из них.

Ниже приводится описание некоторых типовых и широко используемых технических средств защиты.

Технически средств охранной сигнализации. Названные средства предназначаются для обнаружения угроз и для оповещения сотрудников охраны или персонала объекта о появлении и нарастании угроз. Охранная сигнализация по своему построению и применяемой аппаратуре имеет много общего с пожарной сигнализацией, поэтому они обычно объединяются в единую систему охранно-пожарной сигнализации (ОГТС).

Важнейшими элементами ОПС являются датчики; их характери­стики определяют основные параметры всей системы.

По своему функциональному назначению эти датчики подразделя­ются на следующие типы:

1) объемные, позволяющие контролировать пространство поме­щений;

2) линейные или поверхностные для контроля периметров терри­торий и зданий;

3) локальные или точечные для контроля отдельных предметов.

Датчики могут устанавливаться как открыто, так и скрытно. Скрытно установленные датчики монтируются в почву или ее покрытие, под поверхности стен, строительных конструкций и т. п.

Наибольшее распространение получили следующие типы датчиков:

1) выключатели и размыкатели, действующие по принципу механического или магнитного управления размыканием электрической цепи при появлении нарушителя;

2) инфраструктурные, устанавливаемые на металлических ограждениях и улавливающие низкочастотные звуковые колебания ограждений во время их преодоления;

3) электрического поля, состоящие из излучателя и нескольких приемников, и излучатель, и приемники выполняются из электрических кабелей, натянутых между столбами. При появлении нарушителя между излучателем и приемником между ними изменяется электрическое поле, которое и фиксируется датчиком;

4) инфракрасные ,действующие по тому же принципу, что и датчики электрического поля, в качестве излучателей используются инфракрасные светодиоды или небольшие лазерные установки;

5) микроволновые , состоящие из сверхвысокочастотных передатчика де, приемника. При попытке прохода, между передатчиком и приемником изменяется электромагнитное поле, которое и регистрируется приемни­ком;

6) давления, реагирующие на механические нагрузки на среду, в которую они уложены;

7) магнитные, изготавливаемые в виде металлической сетки и реагирующие на металлические предметы, имеющиеся у нарушителя;

Рисунок 4 – Классификация технических средств защиты по функциональному назначению

8) ультразвуковые, реагирующие на ультразвуковые волны, возникающие при воздействии нарушителя на элементы конструкции охраняе­мого объекта;

9) емкостные, реагирующие на изменения электрической емкости между полом помещения и решетчатым внутренним ограждением.

Средства оповещение и связи. В качестве таких средств используются сирены, звонки и лампы, подающие достоянные или прерывистые сиг­налы о том, что датчик зафиксировал появление угрозы. Радиосвязь дополняет тревожное оповещение и дает возможность уточнить характер угрозы и ее размеры.

Каналами связи в системе охранной сигнализации могут быть специально проложенные проводные линии, телефонные линии объекта, телеграфные линии и радиосвязь.

Наиболее распространенные каналы связи многожильные экранированные кабели, которые для повышения надежности и безопасности работы сигнализации помещают в металлические или пластмассовые трубы или металлорукава.

Энергоснабжение системы охранной сигнализации должно осяза­тельно резервироваться. Тогда в случае выхода его из строя функциони­рование сигнализации не прекращается за счет автоматического подклю­чения резервного (аварийного) энергоисточника.

Охранное телевидение . Телевидение относится к одному из наиболее распространенных технических средств защиты. Главные достоинства охранного телевидения - возможность не только фиксировать факт нарушения режима охраны объекта, но и контролировать обстановку вокруг объекта, обнаруживать причины срабатывания охранной сигнализации, вести скрытое наблюдение и производства видеозапись охраняемого места или предмета, фиксирую действия нарушителя.

В отличие от обычного телевидения, в системе охранного телевиде­ния монитор принимает только определенное изображение от одной или нескольких видеокамер, установленных в известном только ограниченному кругу лиц месте. Кроме сотрудников службы охраны никто не мо­жет наблюдать эти изображения, поэтому такую систему называют закрытой.

Классическая (и простейшая) схема организации охранного телевидения представляет собой несколько камер, каждая из которых соединена кабельной линией со своим монитором, находящимся в помещении поста охраны.

Камера является наиболее важным элементом системы охранного, телевидения. В настоящее время разработано и выпускается большое количество разнообразных типов и моделей камер: видиконовые, сверхвысокочувствительные, с инфракрасной подсветкой и др.

Обязательной составной частью комплексной системы защиты лю­бого вида объектов является охранное освещение. Различают два вида охранного освещения - дежурное (или постоянное) и тревожное.

Дежурное освещение предназначается для постоянного, непрерыв­ного использования во внерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри зданий. Дежурное освещение оборуду­ется с расчетом его равномерности по всему пространству охраняемых зон объекта.

Для дежурного охранного освещения используются обычные, улич­ные (вне здания) и потолочные (внутри здания) светильники. На посту охраны объекта должен находится силовой рубильник включения внеш­него дежурного освещения или устройство автоматического включения внешнего освещения с наступлением темного временя суток.

Тревожное освещение включается сотрудниками охраны вручную или автоматически при поступлении сигнала тревоги от системы сигна­лизации. Если тревожное освещение располагается по периметру терри­тории, то по сигналу тревоги могут включаться светильники либо только в том месте, откуда поступил сигнал тревоги, либо по всему периметру территории.

Для тревожного освещения обычно используют прожектор боль­шой мощности или несколько прожекторов средней мощности до 1000 Вт.

Так же, как и сигнализация, дежурное освещение должно иметь резервное электропитание на случай аварии или выключения электросети. Наиболее распространенный способ резервирования дежурного освеще­ния - установка светильников, имеющих собственные аккумуляторы. Та­кие светильники постоянно подключены к электросети (для подзарядки аккумуляторов), а в случае ее аварии автоматически включаются от соб­ственного аккумулятора.

Рассмотренные выше средства относятся к категории средств обнаружения угрозы. Самостоятельную категорию составляют средства противодействия возникновению и распространению угроз. Сюда относятся естественные и искусственные барьеры (водные преграды, сильнопересеченная местность, заборы, ограждения из колючей проволоки и т. п.), особые конструкции помещений, сейфы и др.

В качестве иллюстрации приведен краткое описание одной из новейших систем охранно-пожарной сигнализации, разработанной отечественной фирмой МИККОМ и известной под названием МИККОМ AS101. Данная система представляет собой компьютеризованную автономную систему и предназначена для защиты от несанкционированного доступа в производственные и служебные помещения защищаемых объ­ектов. Она является новым поколением изделий подобного назначения и отличается расширенными функциональными возможностями: управле­ние работой системы может осуществлять с периферийных кодовых уст­ройств с помощью индивидуальных электронных карточек пользовате­лей, предусмотрено графическое отображение плана объекта, обеспечи­ваются повышенные сервисные возможности протоколов и баз данных системы. Значительно повышена надежность системы.

Возможности системы позволяют одновременно выполнять функ­ции охранной системы и системы доступа. В отличие от большинства зарубежных аналогов постановка и снятие с охраны зон объекта может осуществляться не по установленным временным интервалам, а пользователями непосредственно с периферийных устройств.

Система обеспечивает выполнение следующих функций:

1) автоматическую выдачу сообщений о несанкционированных попытках проникновения в охраняемые объекты, попытках хищений из шкафов и сейфов, оборудованных датчиками охранной сигнализации, возгораниях в помещениях, оборудованных датчиками пожарной сигнализации;

2) съем информации с датчиков различных типов (контактных, инфракрасных, радиотехнических и т.д.) (число датчиков, обслуживаемых системой, может составлять в зависимости от характера охраняемого объекта от 1 до 4 тысяч);

3) автоматическую постановку и снятие с охраны отдельных, зон (ворот, комнат, коридоров, гаражей и т.д.) с центрального пульта;

4) автоматическую постановку и снятие с охраны, отдельных помещений по индивидуальным кодам пользователей с использованием индивидуальных карточек) с регистрацией кода, Ф. И. О. владельца карточки, времени и места;

5) автоматическую подачу команд на внешние исполнительные устройства (разблокировку замков, включение видеокамер, сирен и т. п.);

6) организацию системы доступа в закрытые помещения (разблокировку замков) по индивидуальным карточкам владельцев;

7) экстренный вызов службы охраны в помещения объекта;

8) автоматический вывод информации на дисплей оператора, в тон числе графического плана охраняемого объекта с указанием расположе­ния датчиков, установленных иснятых с охраны, места проникновения (или попытки), выхода из строя отдельных узлов системы и т. п;

9) запись, хранение, просмотр и распечатку всей информации (время постановки той или иной зоны под охрану, время и место наруше­ния, время и место выхода из рабочего состояния датчиков, информация о работе оператора и т. д.);

10) автоматический непрерывный контроль за рабочим состоянием датчиков и узлов системы, автоматическое обнаружение попыток их несанкционированного вскрытия, повреждений линий связи;

11) автономное питание всех, периферийных узлов системы, в том числе энергопотребляющих датчиков.

Благодаря своей модульной структуре и гибкости программного обеспечения система может быть использована для охраны широкого класса объектов, различающихся по расположению и числу охраняемых зон, числу и типу используемых датчиков, необходимому набору сервис­ных функций, может совмещать функции охранной и противопожарной сигнализации.

В базовый состав системы входят:

1) центральный пульт управления (ЦПУ) на базе ПЭВМ IBM PC с принтером -1 шт.;

2) блок питания и обработки сигналов (БПОС) -1 шт.;

3) блок уплотнения (БУ) сигналов датчиков - от 1 до 256;

4) устройства вводя куда (УВК) с индивидуальных карточек - от 1 до512шт.;

5) средства обнаружения (контактные и бесконтактные датчики) - от 16 до 4096шт.;

6) четырехпроходные линии сбора/передачи информации и элек­тропитания - от 1 до 8.

При необходимости система может дополняться ретрансляторами, позволяющими увеличить протяженность пиний связи.

Система отвечает требованиям стандартов Международной электротехнической комиссии и соответствующих отечественных ГОСТов.

Питание системы осуществляется от 1Люмьппленной сети переменного тока напряжением 220 В (+10; -15 %) частотой 50 Гц (допускается питание от сети с частотой 60 Гц). Предусмотрено применение агрегата бесперебойного питания (АБП), обеспечивающего автоматическое пере­ключение на резервное питание при пропадании основного и обратно.

Диапазон рабочих температур узлов системы:

а) ЦПУ, БПОС: 4-1... +40° С;

б) БУ, УВК: 40...+40° С.

Специализированное программное обеспечение позволяет формировать базы данных о конфигурации охраняемого объекта, расположении датчиков и охранных зон, списке пользователей системы - владельцев индивидуальных карточек, с их индивидуальными кодами и полномо­чиями по установке и снятию с охраны тех или иных зон или по проходу в те или иные закрытые помещения.

При необходимости система может быть дополнена аппаратными и программными средствами, позволяющими;

1) графически отображать план объекта с поэтажной разбивкой и указанием установленных под охрану и снятых, с охраны помещений, а также сработавших датчиков и охраняемых зон;

2) анализировать базы данных пользователей;

3) обрабатывать информацию из протокола системы.

Программное обеспечение позволяет формировать или корректи­ровать конфигурацию объекта, базы данных, графический план без при­влечения специалистов предприятия-изготовителя.

Приведем также общие сведения о сертифицированных технических средствах защиты.

По состоянию на январь 1996 г. сертификаты Государственный технической комиссии при Президенте РФ имеют следующие средства:

1) устройство защиты информаций от перехвата за счет излучений, возникающих при се выводе на дисплей ПЭВМ IBM PC (шифр «Салют»), разработанное научно-производственным государственным предприя­тием «Гамма» и фирмой «Криптон»;

2) техническая доработка ПЭВМ в целях снижения уровня побоч­ных электромагнитных излучений и наводок (ПЭМИН), произведенная научно-производственным концерном «Научный центр»;

3) техническая доработка персональных ЭВМ IBM PC-1 в целях снижения уровня ПЭМИН, произведенная акционерным обществом

«Российское научное товарищество»

4) средство активной защиты - генератор шума с диапазоном частот от 0,1 до 1000 МГц (шифр «ТШ-1000»), разработанное ЦНИИ машиностроения Российской коммерческой ассоциации;

5)такое же средство (шифр ГШ-К-1000), разработанное специаль­ным конструкторским бюро Института радиоэлектроники Российской Академии наук;

6) защитное устройство подавления опасных сигналов в однофаз­ных и трехфазных сетях электропитания (шифр «ФСКП-200(100)», разра­ботанное научно-производственным предприятием «Элком»;

7) устройство запреты от прослушиваний помещения через телефонный аппарат, находящийся в режиме вызова (шифр «УЗТ»), разработанное товариществом с ограниченной ответственностью «Предприятие ЛиК»;

8) такое же устройство (РАО019301) (шифр «Корунд»), разработанное товариществом с ограниченной ответственностью «РЕНОМ»;

9)телевизионная система наблюдения (шифр «Виконт»), разработанная научно-производственным объединением «Альфа-Прибор»

10) устройство защиты ПЭВМ от перехвата ПЭМИН объектов вычислительной техники 2 и 3 категорий в диапазоне частот Ш1000 МГц (ИТСВ, 469435.006-02 ТУ), (шифр «Салют»), разработанное фирмой «Криптон».

В последнее время в особо важных АСОД (например, банковских) стали применяться системы электронных платежей на основе пластиковых идентификационных карточек (ИК), которые известны также под на­званиями кредитные карточки, смарт-карты или «пластиковые деньги» и т. п. Название ИК более всего соответствует международным стандартам и основной их функции. ИК предназначены для осуществления взаимо­действия человека с АСОД, поэтому могут быть определены как аппа­ратное средство АСОД в виде прямоугольной пластиковой карточки, предназначенное для идентификации субъекта системы и являющееся носителем идентифицирующей информации.

Практическая идентификация пользователей заключается в установлении и закреплении за каждым пользователем АСОД уникального идентификатора (признака) в виде номера, шифра, кода и т. д. Это связа­но с тем, что традиционный идентификатор вида ФАМИЛИЯ-ИМЯ-ОТЧЕСТЮ не всегда приемлем, уже хотя бы в силу возможных повто­рений и общеизвестности. Поэтому в различных автоматизированных си­стемах широко применяется персональный идентификационный номер (ПИН).

ПИН обычно состоит та 4-12 цифр и вводится идентифицируемым пользователем с клавиатуры. На практике встречаются назначаемые или выбираемые ПИН. Последний устанавливается пользователем самостоятельно. Назначаемый ПИН устанавливается уполномоченным органом АСОД.

На практике существуют два основных способа проверки ПИН: алгоритмический и неалгоритмический. Алгоритмический способ проверки заключается в том, что у пользователя запрашивается ПИН, который преобразуется по определенному алгоритму с использованием секретного ключа и затем сравнивается со значением ПИН, хранящимся на карточке с соблюдением необходимых мер защиты. Главным достоинством этого метода проверки является отсутствие необходимости интерактивного об­мена информацией в системе. При неалгоритмическом способе проверка ПИН осуществляется путем прямого сравнения ПИН на карте со значе­нием, хранимым в базе данных. Это обязывает использовать средства свя­зи, работающие в реальном масштабе времени, и предусматривать сред­ства зашиты информация в базе данных и линиях телекоммуникаций. Идентификатор, используется при построении различных подсистем раз­граничения доступа.

Любая ИК используется в качестве носителя информации, необходимой для идентификации, и информации, используемой в других целях. Эта информация представляется и различных формах: графической, сим­вольной, алфавитно-цифровой, кодированной, двоичной. Множество форм представления информации на ИК объясняется тем, что карточка служит своеобразным связующим звеном между человеком (пользова­телем) и машинной системой, для которых характерны различные формы представления информации.

Например, на карточку графически наносят специальный логотип, рисунок, фотографию, фамилию владельца, серийный номер, срокгод­ности, штрих-код и т.п.

Логотип - графический символ организации, выпускающей карточ­ку. Он служит своеобразный знаком обслуживания, т.е. обозначением, дающим возможность отличать услуги одной организации от одно­родных услуг другой организации. Очевидно, что логотип должен обла­дать различительной способностью и не повторять общеупотребительные обозначения (гербы, флаги и т. п.). Для обеспечения безопасности изображение, в ток числе голографическое или видимое только в инфракрасных лучах, наносят на специальном оборудовании, что существенно затрудняет подделку карточки.

Другим средством повышения безопасности визуальной информа­ции служит тиснение или выдавливание (эмбоссирование) некоторых идентификационных характеристик пользователя на поверхности ИК. Эти характеристики: с помощью специального устройства (импринтера) могут отпечатываться и дублироваться на бумажном носителе (слипе) доя дальнейшего учета.

В настоящее время нашли широкое применение магнитные, полу­проводниковые иоптические карточки, перечисленные в порядке сниже­ния распространенности.

ИК нашли широкое применение в различных АСОД. Самое боль­шое распространение карточек наблюдается в финансовой сфере.

Можно условно выделить три переплетающиеся области примене­ния

1) электронные документы;

2) контрольно-регистрационные системы;

3) системы электронных платежей.

Карточки как средство контроля, разграничения и регистрации до­ступа к объектам, устройствам, информационным ресурсам АСОД ис­пользуются при создании контрольно-регистрационных охранных си­стем. Например, известны разнообразные электронные замки к помеще­ниям и аппаратуре. Разграничение доступа к данным ПЭВМ реализовано на уровне предъявления ключ-карты, содержащей идентификационные данные пользователя и его электронный ключ.

ИК являются ключевым элементом различных систем электронных платежей, в которых применяется около 1 миллиарда карточек.

Похожая информация.

Основные проблемы и способы защиты баз данных

Рассмотрим общие проблемы организации доступа к инфор­мации и ее защиты в удаленных базах данных.

Защита баз данных предполагается против любых предумыш­ленных или непредумышленных угроз и заключает в себе различ­ные организационные меры, программные и технические средства.

Понятие защиты применимо не только к информации, храня­щейся в базах данных, необходимость защиты информации мо­жет возникать и в других частях информационных систем, что, в свою очередь, обусловит защиту и самой базы данных. Следова­тельно, защита базы данных является комплексной задачей и дол­жна охватывать все коммуникационные системы ЛВС предприя­тия, включая оборудование, программное обеспечение, персо­нал и собственно данные.

База данных представляет собой важнейший корпоративный ресурс, который должен быть надлежащим образом защищен с помощью соответствующих средств контроля.

Рассмотрим способы защиты базы данных от следующих по­тенциальных опасностей:

Похищение и фальсификация данных;

Утрата конфиденциальности (нарушение тайны);

Нарушение неприкосновенности личных данных;

Утрата целостности;

Потеря доступности.

Это основные направления, по которым руководство предпри­ятия должно принимать меры, обеспечивающие снижение степе­ни риска потерь или повреждения данных.

Исходя из сказанного любая угроза, нарушающая функциони­рование информационной системы, должна рассматриваться как ситуация, направленная на катастрофические результаты работы предприятия.

В табл. 12.1 показаны примеры возможных опасностей для ин­формационных систем.

Проблемы обеспечения безопасности баз данных можно под­разделить на две категории: технологическую и организационную. Однако в реальной практике эти категории неразрывны.

Рассмотрим основные факторы, определяющие технологичес­кую безопасность информационных систем.

Технологическая безопасность информационных систем опреде­ляется как алгоритмическая и программно-аппаратная, однако для краткости будем использовать термин технологическая безопас­ность, или безопасность.

Проблемы обеспечения технологической безопасности инфор­мационных систем можно свести к следующим аспектам:

Обеспечение непрерывности и корректности функциониро­вания систем, от которых зависит безопасность людей и экологи­ческой обстановки;

Обеспечение защиты имущественных прав граждан, предпри­ятий и государства в соответствии с требованиями гражданского, административного и хозяйственного кодексов (включая защиту секретов и интеллектуальной собственности);

Обеспечение защиты гражданских прав и свобод, гарантиро­ванных действующим законодательством (включая право на до­ступ к информации).

Следует еще раз отметить, что важнейшим назначением лю­бой информации является то, что она служит основой для приня­тия оптимальных решений практически в любых сферах человече­ской деятельности.

Требования по безопасности информационных систем различ­ных предприятий могут существенно отличаться, однако они все­гда должны обеспечивать следующие три основные свойства ин­формации:

целостность, т.е. информация, на основе которой принимают­ся решения, должна быть достоверной и точной, в том числе за­щищенной от возможных непреднамеренных и злоумышленных искажений;

доступность, т.е. информация и соответствующие службы ад­министрирования данных должны быть доступны и готовы к ра­боте всегда, когда в них возникает необходимость;

конфиденциальность, т.е. конфиденциальная (засекреченная) информация должна быть доступна только тому, кому она пред­назначена.

Обеспечение защиты информации включает в себя:

Разработку показателей, характеризующих технологическую безопасность информационных систем;

Разработку требований к архитектуре баз данных;

Наличие трудовых и материальных ресурсов;

Разработку организационных мероприятий для исключения влияния внутренних и внешних дестабилизирующих факторов;

Разработку методов и средств, предотвращающих влияние де­фектов программ и данных, в том числе разработку компьютерных экспертных систем оценки качества программных продуктов.

Показатели технологической безопасности информационных си­стем. Наиболее полно безопасность информационной системы характеризует ущерб, возможный при проявлении конкретной угрозы безопасности.

Однако описание и расчет возможного ущерба в достаточно общем виде является сложной задачей. Данная проблема в некото­ром смысле идентична проблеме оценки эффективности и надеж­ности сложных технических систем, основанных на вероятност­ных методах.

Понятия характеристика степени безопасности и показатели надежности информационных систем достаточно близки. Разли­чие состоит лишь в том, что показатели надежности учитывают все возникающие отказы при эксплуатации баз данных, а в харак­теристиках безопасности должны учитываться только отказы, по­влиявшие на безопасность системы.

В соответствии с теорией надежности работоспособным назы­вают состояние информационной системы (программных, аппа­ратных и трудовых ресурсов), при котором она способна выпол­нять заданные функции.

Показатели надежности баз данных оцениваются по следующим критериям: устойчивость, восстанавливаемость, коэффициент го­товности.

Устойчивость (живучесть) - критерий, наиболее широко ха­рактеризующий способность информационной системы к безот­казной работе при наличии сбоев и отказов программных и аппа­ратных средств, что обеспечивается:

Эффективным контролем за доступом к данным;

Обеспечением высокой степени конфиденциальности и целост­ности данных;

Контролем данных, поступающих из внешней среды.

Восстанавливаемость - критерий, определяемый временем и полнотой восстановления функционирования программ после перезапуска в случаях сбоя или отказа.

Коэффициент готовности - критерий, характеризующий сте­пень вероятности восстановления системы в любой произволь­ный момент времени. Значение коэффициента готовности соот­ветствует доле времени полезной работы системы на достаточно большом интервале, содержащем отказы и восстановления.

Приведенные критерии используются в основном при испыта­нии информационных систем и на завершающих фазах комплекс­ной отладки.

Требование к архитектуре информационных систем. Основное требование сводится к следующему: архитектура должна быть достаточно гибкой и допускать наращивание функций и ресурсов информационной системы без коренных структурных изменений, на­пример за счет развития используемых программных и аппаратных средств.

Для выполнения этого требования необходимо наличие про­граммной и информационной избыточности системы в виде ресур­сов внешней и внутренней памяти ЭВМ.

Кроме того, для функционирования средств защиты необхо­дима временная избыточность вычислительных ресурсов, обеспечи­ваемая высокой производительностью аппаратных средств ЛВС предприятия.

Все виды избыточности вычислительных ресурсов при обеспе­чении технологической безопасности используются для генера­ции тестовых наборов или хранения тестов контроля работоспо­собности и целостности ИС и БД при функционировании ИС, а также для оперативного контроля обнаружения и анализа дефек­тов исполнения программ.

Средства генерации тестов предназначены для подготовки ис­ходных данных при проверке различных режимов функциониро­вания информационной системы. Минимальный состав средств имитации может передаваться пользователям для контроля рабо­чих версий ИС в реальном времени и входить в комплект поставки каждой пользовательской версии. Для более глубоких испытаний версий и локализации ошибок целесообразно создавать комплек­сы средств имитации внешней среды высшего уровня, использу­емые специалистами по испытаниям и сертификации. Часть этих средств может применяться также в качестве средств имитации среды нижнего уровня (пользовательских) для обеспечения пол­ного повторения ситуаций, при которых обнаружены аномалии функционирования И С.

Средства генерации, упорядочения и каталогизации тестовых наборов должны обеспечивать возможность многократного исполь­зования тестов в течение жизненного цикла информационной системы. Для эффективного использования тестов необходима система управления базой данных, обеспечивающая их накопле­ние и хранение с тщательно продуманной идентификацией и ката­логизацией. Система каталогизации должна обеспечивать достаточ­но простой и надежный поиск имеющихся тестов, а также досто­верное выявление тестов, отсутствующих среди сохраняемых.

Средства оперативного (встроенного) контроля процесса испол­нения программ должны непрерывно контролировать промежуточ­ные и результирующие данные или включаться только по запросу при обнаружении сомнительных результатов. Они также должны обеспечивать получение информации о состоянии переменных в процессе решения конкретных задач и маршрутах исполнения программ, в которых нарушаются некоторые заданные условия. Создаваемые для эксплуатации методики и инструкции позволя­ют пользователям достаточно квалифицированно осуществлять ди­агностику состояния информационной системы. В настоящее вре­мя предприятия все чаще прибегают к созданию компьютерных экспертных систем.

Методы обеспечения технологической безопасности информа­ционных систем. В табл. 12.1 были приведены возможные опасно­сти для информационных систем. Рассмотрим основные уязвимые объекты для неумышленных угроз. Такими объектами являются:

Динамический вычислительный процесс обработки данных, автоматизированной подготовки решений и выработки управля­ющих воздействий;

Информация, накопленная в базах данных;

Объектный код программ, исполняемых вычислительными средствами в процессе функционирования ИС;

Информация, выдаваемая потребителям и на исполнитель­ные механизмы.

Возможные непредумышленные дестабилизирующие факторы можно подразделить на внешние и внутренние. Внутренние источники угроз безопасности ИС:

Системные ошибки при разработке технического задания на разработку удаленных баз данных;

Алгоритмические ошибки проектирования и эксплуатации баз данных;

Ошибки программирования;

Недостаточная эффективность используемых методов и средств оперативной защиты программ и данных;

Внешние источники угроз безопасности ИС:

Ошибки оперативного и обслуживающего персонала в про­цессе эксплуатации баз данных;

Искажения в каналах телекоммуникации информации, по­ступающей от внешних источников и передаваемой потребите­лям, а также недопустимые изменения характеристик потоков ин­формации;

Сбои и отказы аппаратуры;

Выход изменений состава и конфигурации ИС за пределы, проверенные при испытаниях или сертификации.

Полное устранение перечисленных угроз безопасности ИС прин­ципиально невозможно. Следовательно, необходимо выявлять факторы, определяющие эти угрозы, и создавать методы и сред­ства, уменьшающие их влияние на безопасность баз данных.

Современные технологии разработки удаленных баз данных определяют следующие методы и средства, позволяющие с макси­мальным эффектом обеспечить технологическую безопасность ИС:

Разработка баз данных в полном соответствии с методологией их проектирования (см. гл. 2, 7);

Систематическое тестирование программ управления базами данных на всех этапах жизненного цикла;

Применение экспертных систем в процессе сертификации СУБД и сдачи их в эксплуатацию;

Применение программно-аппаратных методов защиты инфор­мации в критических ситуациях;

Физическое уничтожение информации в критических ситуа­циях.

Комплексное скоординированное применение указанных ме­тодов и средств позволяет исключить возможные угрозы безопас­ности ИС или значительно ослабить их влияние.

К программно-аппаратным методам защиты информации в базах данных относятся авторизация пользователей, примене­ние представлений, резервное копирование и восстановление, шифрование и создание массивов независимых дисковых нако­пителей.

Авторизация пользователей - это представление прав (приви­легий), позволяющих их владельцу иметь законный доступ к ин­формации в базах данных или к системе управления базами дан­ных, или к отдельным ее объектам.

В данном определении термин владелец означает физическое лицо или программу, а термин объект - любой компонент СУБД, который может быть создан в рамках конкретной системы (табли­ца базы данных, представление, приложение, триггер и т.п.).

Аутентификация. Способ определения того, что пользователь является тем, за кого себя выдает, называется аутентификацией.

За предоставление доступа к компьютерной системе обычно отвечает системный администратор, в обязанности которого вхо­дит создание учетных записей пользователей.

Каждому пользователю присваивается уникальный идентифи­катор, используемый операционной системой для определения «кто есть кто». С каждым идентификатором связан определенный пароль, выбираемый пользователем и известный операционной системе.

При регистрации пользователь должен предоставлять системе свой пароль для выполнения аутентификации, т.е. определения, является ли он тем, за кого себя выдает.

Подобная процедура позволяет организовать контролируемый доступ к компьютерной системе, но не обязательно предоставля­ет право доступа к СУБД или какой-либо прикладной программе.

Для получения пользователем права доступа к СУБД может при­меняться отдельная процедура.

Ответственность за предоставление прав доступа к СУБД обычно несет администратор базы данных, в обязанности которого вхо­дит создание отдельных идентификаторов пользователей для ра­боты с конкретной базой данных.

В одних СУБД ведется список идентификаторов пользователей и связанных с ними паролей, отличающийся от аналогичного списка, поддерживаемого операционной системой, а в других - ведется список, записи которого сверяются с записями списка пользователей операционной системы с учетом текущего регист­рационного идентификатора пользователя. Это предотвращает воз­можность регистрации пол" ювателя в среде СУБД под идентифи­катором, отличным от того, который он использовал при регист­рации в системе.

Привилегии. Как только пользователь получает право доступа к СУБД, ему автоматически предоставляются различные привиле­гии, связанные с его идентификатором.

В частности, привилегии могут включать в себя разрешение на доступ к определенным базам данных, таблицам, представлени­ям и индексам, а также разрешение на создание этих объектов или же право вызывать на выполнение различные утилиты СУБД.

Привилегии предоставляются пользователям лишь для того, чтобы они могли выполнять задачи, которые входят в круг их непосредственных должностных обязанностей. Предоставление из­лишних привилегий может привести к нарушению защищенно­сти баз данных.

Некоторые типы СУБД функционируют как закрытые системы, и их пользователям помимо разрешения на доступ к самой СУБД требуется иметь отдельные разрешения на доступ к конкретным ее объектам. Эти разрешения выдаются администратором базы дан­ных с разрешения владельцев соответствующих объектов системы.

В" отличие от закрытых открытые системы по умолчанию пре­доставляют пользователям, прошедшим аутентификацию, полный доступ ко всем объектам базы данных.

Стандарт ISO/EC9075:2003 определяет следующий набор при­вилегий языка SQL:

SELECT - право выбирать данные из таблицы;

INSERT - право вставлять в таблицу новые строки;

UPDATE - право изменять данные в таблице;

DELETE - право удалять строки из таблицы;

REFERENCES - право ссылаться на столбцы указанной таб­лицы в описании требований поддержки целостности данных.

Привилегии INSERT и UPDATE могут ограничиваться отдель­ными столбцами таблицы и в этом случае пользователь может модифицировать значения только указанных столбцов.

Привилегия REFERENCES также может распространяться толь­ко на отдельные столбцы таблицы, что позволит использовать их имена в формулировках требований защиты целостности данных (например, в конструкциях CHECK FOREIGN REY), входящих в определения других таблиц, тогда как применение для подобных целей остальных столбцов будет запрещено.

Когда пользователь с помощью оператора CREATE TABLE создает новую таблицу, он автоматически становится ее вла­дельцем и получает по отношению к ней полный набор приви­легий.

Остальные же пользователи сначала не имеют никаких приви­легий в отношении вновь созданной таблицы и для обеспечения им доступа к этой таблице используется оператор GRANT.

Если пользователь создает представление с помощью операто­ра CREATE VIEW, он автоматически становится владельцем это­го представления, однако совсем необязательно, что получает по отношению к нему полный набор прав.

При создании представления пользователю достаточно иметь привилегию SELECT для всех входящих в данное представление таблиц и привилегию REFERENCES для всех столбцов, упоми­наемых в определении этого представления.

Привилегии INSERT, UPDATE, DELETE в отношении соз­данного представления пользователь получит только в том слу­чае, если он имеет соответствующие привилегии в отношении всех используемых в представлении таблиц.

Предоставление привилегий другим пользователям. Оператор GRANT используется для предоставления привилегий определен­ным пользователям в отношении поименованных объектов базы данных с разрешения ее владельца.

Оператор GRANT имеет следующий формат:

Параметр PrivilegeList представляет собой список, состоящий из одной или более привилегий, разделенных запятыми:

Кроме того, для упрощения в операторе GRANT можно ука­зать ключевое слово ALL PRIVILEGES, что позволит предоста­вить указанному пользователю все шесть существующих привиле­гий без необходимости их перечисления.

В этом операторе можно также указать ключевое слово PUBLIC, означающее предоставление доступа указанного типа не только всем существующим пользователям, но и всем тем пользовате­лям, которые будут определены в базе данных впоследствии.

Параметр ObjectName может представлять собой имя таблицы базы данных, представления, домена, набора символов, провер­ки или транзакции.

Конструкция WITH GRANT OPTION позволяет всем пользо­вателям, указанным в списке параметра AutohrizationldList, пере­давать другим пользователям все предоставленные им в отноше­нии указанного объекта привилегии. Если эти пользователи, в свою очередь, передадут собственные полномочия другим пользовате­лям с указанием конструкции WITH GRANT OPTION, то послед­ние также получат право передавать свои полномочия. Если же эта конструкция не будет указана, получатель привилегии не сможет передавать свои права другим пользователям. Таким образом, вла­делец объекта может четко контролировать, кто получил право доступа к принадлежащему ему объекту и какие полномочия пре­доставлены этому лицу.

Приведем пример предоставления пользователю с идентифи­катором Administrator всех привилегий доступа к таблице МК (Мар­шрутная карта):

В результате выполнения этого примера пользователь с иден­тификатором Administrator получает право выбирать данные из таблицы МК, а также вставлять, обновлять или удалять из нее строки. Кроме того, пользователь Administrator может ссылаться на таблицу МК и все ее столбцы в любой таблице, создаваемой им впоследствии. Так как в данном примере присутствует конст­рукция WITH GRANT OPTION, пользователь Administrator смо­жет передавать полученные им привилегии по своему усмотре­нию другим пользователям.

Приведем пример предоставления пользователям с идентифи­каторами Texnolog и Konstruktor только привилегий SELECT и UPDATE на столбец NaimOper таблицы МК (Маршрутная карта):

Поскольку в последнем примере отсутствует конструкция WITH GRANT OPTION, указанные пользователи не смогут передать полученные привилегии другим пользователям.

Для отмены предоставленных пользователям привилегий ис­пользуют оператор REVOKE, который имеет следующий формат:

Здесь ключевые слова ALL PRIVILEGES означают, что для указанного пользователя отменяются все привилегии, предостав­ленные ему ранее тем пользователем, который ввел данный опе­ратор. Необязательная конструкция GRANT OPTION FOR позво­ляет для всех привилегий, переданных в исходном операторе GRANT конструкции WITH GRANT OPTION, отменять возмож­ность их передачи. Назначение ключевых слов RESTRICT и CASCADE аналогично назначению, которое они имеют в опера­торе DROP TABLE (см. гл. 8).

Применение представлений. Технология создания пользовательских представлений рассмат­ривалась в гл. 8, здесь же приведем аспекты данного объекта баз данных с позиции защиты информации. Напомним, что представление является как бы виртуальным отношением (динамической таблицей) базы данных, которое со­здается в результате запроса пользователя и доступно только са­мому пользователю. Механизм представлений служит достаточно эффективным средством защиты баз данных от несанкционированного доступа, поскольку он доступен только автору представления.

1. Понятие информационной безопасности.

2. Факторы, влияющие на утечку информации.

3. Методы и технические средства обеспечения безопасности информации.

1. Понятие информационной безопасности

Современные социально-экономические условия в России характеризуются общим ростом и ухудшением качественных характеристик преступности, возникновением и развитием новых форм преступных проявлений, оснащением криминальных структур новейшими техническими средствами, предназначенными для проведения как мероприятий разведывательного характера, так и информационных атак и психологического воздействия в каналах информационного обмена.

В настоящее время в целях дезорганизации деятельности правоохранительных органов криминалитетом разрабатываются системы несанкционированного съема, добывания, анализа и обработки оперативно-служебной информации. Задача правоохранительных органов состоит в организационном обеспечении своей практической деятельности посредством осуществления стратегических и тактических мер нейтрализации противодействия криминальных элементов силам правопорядка, следовательно, информация нуждается в защите, то есть в перекрытии каналов ее утечки.

По определению С.И. Ожегова, защита – то, что защищает, служит охраной. Защищать – значит охранять, ограждать от посягательств, враждебных действий, опасности.

Если информация рассматривается как объект защиты, ее принято классифицировать: а) по формам представления; б) имущественным правам; в) категориям доступа. Информация может быть недокументированной (например, речевая) и документированной.

Содержание термина «информационная безопасность» определяется понятием «безопасность», которое в соответствии с Законом Российской Федерации «О безопасности» означает состояние защищенности жизненно важных интересов личности, общества и государства (ст. 1), а угроза безопасности – совокупность условий и факторов, создающих опасность для жизненно важных интересов личности и государства (ст. 3).

Таким образом, безопасность информации – обеспечение защиты информации от случайного или преднамеренного несанкционированного доступа к ней с целью раскрытия, изменения, уничтожения, использования в криминальных и иных целях.

Можно говорить о безопасности жизненно важных интересов личности, общества, государства в различных сферах деятельности, например экономической (экономическая безопасность), политической (политическая безопасность), военной (военная безопасность). Под информационной безопасностью понимается состояние защищенности жизненно важных интересов личности, общества, государства в информационной сфере (среде).

Основные угрозы жизненно важным интересам личности, общества, государства в информационной сфере можно разделить на три группы:

1. Угрозы воздействия недоброкачественной информации (недостоверной, ложной, дезинформации) на личность, общество, государство.

2. Угрозы несанкционированного и неправомерного воздействия посторонних лиц на информацию и информационные ресурсы (на производство информации, информационные ресурсы, системы их формирования и использования).

3. Угрозы информационным правам и свободам личности (праву на производство, распространение, поиск, получение, передачу и использование информации; праву на интеллектуальную собственность, на информацию и вещную собственность на документированную информацию; праву на личную тайну; праву на защиту чести и достоинства и т. п.).

Предотвращение и ликвидация угроз информационной безопасности личности, общества, государства основываются на разработке и реализации комплекса средств и механизмов защиты. Это могут быть организационные, технические, программные, социальные, правовые и иные механизмы, обеспечивающие локализацию и предотвращение таких угроз.

При создании и применении механизмов защиты возникают общественные отношения, связанные:

С правом на защиту государства и общества от воздействия недостоверной, ложной информации;

Правом на защиту документированной информации, информационных ресурсов и продуктов как вещной собственности;

Правом на защиту информации и иных нематериальных объектов как интеллектуальной собственности;

Правом на защиту информационных систем, информационных технологий и средств их обеспечения как вещной собственности;

Правом на защиту личности в условиях информатизации;

Ограничением права на раскрытие личной тайны, а также иной информации ограниченного доступа без санкции ее собственника или владельца;

Обязанностями по защите государства и общества от вредного воздействия информации, защите самой информации, прав личности, тайны (личной, государственной, служебной и др.);

Ответственностью за нарушение прав и свобод личности, тайны и других ограничений доступа к информации, за компьютерные преступления.

Основными функциями системы безопасности в этом механизме являются:

Выявление и прогнозирование внутренних и внешних угроз жизненно важным интересам объектов безопасности, осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;

Создание и поддержание в готовности сил и средств обеспечения безопасности;

Управление силами и средствами обеспечения безопасности в повседневных условиях и при чрезвычайных ситуациях;

Осуществление системы мер по восстановлению нормального функционирования объектов безопасности в регионах, пострадавших в результате возникновения чрезвычайной ситуации;

Участие в мероприятиях по обеспечению безопасности за пределами Российской Федерации в соответствии с международными договорами и соглашениями, заключенными или признанными Российской Федерацией.

В соответствии с Доктриной информационной безопасности Российской Федерации к наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

Информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функ-ции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

Информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

Информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

Внешними угрозами для этих объектов являются:

Разведывательная деятельность специальных служб иностранных государств, международных преступных сообществ, организаций и групп, связанная со сбором сведений, раскрывающих задачи, планы деятельности, техническое оснащение, методы работы и места дислокации специальных подразделений и органов внутренних дел Россий-ской Федерации;

Деятельность иностранных государственных и частных коммерческих структур, стремящихся получить несанкционированный доступ к информационным ресурсам правоохранительных и судебных органов.

Внутренними угрозами для объектов являются:

Нарушение установленного регламента сбора, обработки, хранения и передачи информации, содержащейся в картотеках и автоматизированных банках данных и использующейся для расследования преступлений;

Недостаточность законодательного и нормативного регулирования информационного обмена в правоохранительной и судебной сферах;

Отсутствие единой методологии сбора, обработки и хранения информации оперативно-розыскного, справочного, криминалистического и статистического характера;

Отказ технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;

Преднамеренные действия, а также ошибки персонала, непосредственно занятого формированием и ведением картотек и автоматизированных банков данных.

2. Факторы, влияющие на утечку информации

С возникновением средств передачи информации стало возможным ее получение и использование заинтересованными субъектами, не являющимися непосредственно адресатами. Перехватывались и подменялись письма, посылались ложные сообщения. Шло время, были изобретены телефон, телеграф, фотокамера, радио. Чтобы справиться со стремительно нарастающим потоком информации, госу-дарственные и коммерческие структуры были вынуждены постоянно пополнять свой информационный арсенал разнообразными техническими средствами и системами, предназначенными для приема, передачи, обработки и хранения информации, а самые прогрессивные освоили высокие технологии и сферу телекоммуникаций.

Кто владеет информацией, тот владеет миром, отмечал У. Черчилль. Но он далеко не первым понял ценность информации.

Естественно, что и криминалитет стремится овладеть информацией, например о состоянии оперативной обстановки, работающих сотрудниках, и влиять с ее помощью на деятельность правоохранительных структур, направляет свои усилия на консолидацию противоправной деятельности, подкуп должностных лиц правоохранительных и государственных органов исполнительной и законодательной власти. Негативные процессы, происходящие в криминальной среде, приобретают структурно организованные формы.

Бурное развитие техники, технологии, информатики в последние десятилетия вызвало стремительное развитие технических устройств и систем разведки. В самом деле, слишком часто оказывалось выгоднее потратить какую-то сумму на добывание уже существующей технологии, чем в несколько раз большую на создание собственной. А в политике или военном деле выигрыш в результате владения информацией иногда бывает просто бесценным.

В настоящее время развитие электроники позволило достичь значительного прогресса в разработке и применении разнообразных средств технического проникновения в личную жизнь человека или в его конфиденциальную информацию. Во всех развитых странах в создание устройств и систем ведения технической разведки вкладываются огромные средства. Сотни фирм во многих государствах активно работают в этой области, серийно производятся десятки тысяч моделей «шпионской» техники. Подобные устройства так легко установить и сложно обнаружить, что их вероятные жертвы – коммерсанты, преступники или крупные руководители – редко могут быть абсолютно уверенными, что их разговоры не прослушиваются или не записываются.

Аппаратура стала портативной, высоконадежной и нередко имеет практически неограниченный срок службы. Размещенная в часах или шариковой ручке, стакане или цветочном горшке, она устанавливается в кабинете, приемной для посетителей, спальне или автомобиле – и все разговоры можно прослушивать с достаточно большого расстояния. В последние годы появились устройства, размер которых не превышает 10–15 мм. Они накапливают и передают сигналы по сверхтонким проводникам, вплетаемым в ковры или драпировки, по волоконно-оптическим кабелям или эфиру. При этом используются различные способы передачи информации. Широко применяется дистанционное включение, а также системы с накоплением и последующей передачей сигналов кратковременными зашифрованными сериями. Кроме того, разработаны устройства, которые могут записать перехваченную информацию, хранить ее в течение суток или недели, передать в быстродействующем режиме за миллисекунду, стереть запись и начать процесс снова.

В середине 80-х годов появились изделия, передающие информацию по кабелям электропитания технических средств, в которые они могут быть оперативно вмонтированы. Эта информация может регистрироваться практически в любой части здания и даже за его пределами. Применяются и миниатюрные микрофоны, присоединяемые к металлическим элементам конструкций контролируемого помещения и обнаруживаемые только с помощью рентгеновской аппаратуры. Существуют и полностью пассивные устройства, не содержащие электронных компонентов: небольшие коробочки с точно подобранными линейными размерами, которые отражают направленные радиосигналы определенной частоты. Под воздействием акустических волн они вибрируют и модулируют отраженные волны.

В качестве примера можно привести самый маленький и самый дорогой в мире радиомикрофон, габариты которого не превышают четверти карандашной стиральной резинки. Этот миниатюрный передатчик питается от изотопного элемента и способен в течение года воспринимать и передавать на приемное устройство, расположенное от него на расстоянии до полутора километров, разговор, который ведется в помещении шепотом.

Таким образом, одной из угроз деятельности различных объектов является несанкционированный съем циркулирующей в них информации – служебной, коммерческой, личной и, что в настоящее время особенно актуально, обрабатываемой различными техническими средствами.

Естественно, ценность информации, добываемой путем негласной установки аппаратуры, определяет и масштабы операции. Они приобретают большой размах в странах, где разведывательные органы нацелены на поддержку государственных и коммерческих структур в борьбе с их конкурентами.

Нередко сотрудники разведывательных органов поставляют частным фирмам информацию, полученную оперативным путем.

Что касается фактора преступности, то, как отмечалось ранее, организованные и многонациональные преступные сообщества все в больших масштабах используют технические средства для поддержки своей деятельности. Они прослушивают юридические фирмы, правоохранительные органы, финансовые организации, потенциальных жертв похищения с целью грабежа, вымогательства и шантажа и другие интересующие их объекты.

В отношении фактора, связанного с характером конфиденциальной информации, можно утверждать, что, по признанию специалистов, определенные секторы производства и государственные структуры подвержены большему риску прослушивания, чем другие (бизнес, связанный с ценными изделиями, когда заключаются контракты на многие миллионы долларов, оборонная промышленность, компании по производству лекарств и наркотиков, военные и властные структуры и т. д.).

Рассматривая фактор потери конфиденциальной информации, связанный с простотой (сложностью) установки и снятия технических устройств контроля, еще раз отметим, что развитие научно-технического прогресса привело к тому, что электронные приборы снятия информации в настоящее время можно приобрести в любой стране мира. Совершенная аппаратура может использоваться для прослушивания обсуждения различных вопросов оперативно-служебной деятельности.

Интерес к темным сторонам жизни знаменитых людей и организаций нередко заставляет и средства массовой информации (СМИ) использовать прослушивание. Люди, близкие к СМИ, применяют специальные приборы для получения интересующих сведений, иногда в целях последующей продажи. Достижения научно-технического прогресса способствуют негласному проникновению в личную и общественную жизнь граждан и организаций. Следовательно, при отсутствии должного внимания к защите информации она может попасть к посторонним лицам.

Немаловажным является и личностный фактор утечки информации в учреждениях и органах уголовно-исполнительной системы, учитывающий такие влияющие на совершение различного рода преступлений характерные особенности человека, как скаредность, невежество, нецивилизованность, ротозейство.

Необходимо упомянуть и о влиянии на утечку информации таких факторов, как шантаж и запугивание.

С учетом изложенного к основным факторам, обусловливающим защиту информации в правоохранительных органах, можно отнести следующие:

Социально-экономические условия в стране и обществе, характеризующиеся ростом и ухудшением качественных характеристик преступности, возникновением и развитием новых форм криминальных проявлений;

Личностный (человеческий, общегражданский) фактор, обусловленный тем, что такие понятия, как «информационная война» и «информационное оружие», в настоящее время наполняются новым смыслом и становятся привычными не только в столкновении противоборствующих политических сил, но и в противостоянии правоохранительных органов и преступного мира;

Оперативно-режимный (документальный) фактор, зависящий от наличия документов, составляющих государственную и служебную тайну;

Технический (технологический) фактор, связанный с оснащением криминальных структур современными техническими средствами и использованием новых технологий обработки информации для достижения корыстных целей, извлечения максимальной выгоды из противозаконной деятельности, в том числе проведения информационных и психологических атак;

Организационный фактор, выражающийся в несовершенстве и отсутствии единой системы методического обеспечения проведения защитных мероприятий, так как большинство авторов уделяют основное внимание технической стороне этой проблемы;

Нормативно-правовой, представляющий собой некоторое несовершенство законодательной и правовой базы по защите информации от несанкционированного доступа, съема и искажения, а также обусловленный в ряде случаев недостаточными знаниями и игнорированием сотрудниками требований соблюдения норм и правил режима секретности.

3. Методы и технические средства обеспечения

безопасности информации

Каждый метод получения информации должен быть обеспечен методами ее защиты. Обеспечение защиты информации зависит: от компетентности в вопросах защиты информации лиц, которым это дело поручено; наличия соответствующего оборудования, необходимого для проведения мероприятий по защите. Наиболее важным является первое, так как очевидно, что самая совершенная аппаратура не принесет положительных результатов без профессиональной интеллектуальной деятельности сотрудников уголовно-исполнительной системы.

Рассматривая методы защиты информации в учреждениях и органах уголовно-исполнительной системы, необходимо отметить, что в настоящее время имеются большие возможности по ее несанкционированному съему, особенно с помощью прослушивания телефонных переговоров. Следовательно, при отсутствии должного внимания к защите каналов связи важная информация может стать достоянием злоумышленников.

Учитывая изложенное, отметим, что эффективная защита в уголовно-исполнительной системе конфиденциальной информации возможна лишь при условии, если соответствующие мероприятия будут носить всесторонний и непрерывный характер. Это достигается осуществлением совокупности мер по ее защите в ходе всего процесса подготовки, обсуждения, обработки, передачи и хранения такой информации.

Защита информации в целом представляет собой комплекс мероприятий организационного и технического характера. Методы защиты информации полностью зависят от факторов, обусловливающих их. К методам защиты информации можно отнести следующие:

Организационный, связанный с выработкой и применением конкретных методик проведения мероприятий по предотвращению утечки конфиденциальной информации;

Нормативно-правовой, опирающийся на соблюдение требований нормативных и правовых актов по хранению конфиденциальной информации;

Личностный, обусловленный морально-психологическими характеристиками конкретного лица;

Физический, связанный с расположением и устройством помещения или местности, где циркулирует конфиденциальная информация;

Технический, зависящий от наличия специальной техники и технологий защиты информации и владения сотрудниками навыками в их применении.

Основанием для проведения защитных мероприятий могут стать сведения об утечке информации, обсуждающиеся в конкретном помещении или обрабатывающиеся на конкретном техническом средстве.

Проводя мероприятия по защите от несанкционированного доступа к информации, не следует стремиться обеспечить защиту всего здания от технического проникновения. Главное – ограничить доступ в те места и к той технике, где сосредоточена конфиденциальная информация. Использование качественных замков, средств сигнализации, хорошая звукоизоляция стен, дверей, потолков и пола, звуковая защита вентиляционных каналов, отверстий и труб, проходящих через эти помещения, демонтаж излишней проводки, а также применение специальных устройств защиты в существенной мере затруднят или сделают бессмысленными попытки внедрения специальной техники съема информации.

Необходимо применять и личностный метод защиты, так как специфика деятельности правоохранительных органов выдвигает ряд требований к поведению сотрудников, особенно, на наш взгляд, это касается сотрудников оперативных служб.

Рассматривая технический аспект защиты информации, нужно отметить тот факт, что ряд преступлений можно было бы предотвратить, если бы своевременно были приняты меры превентивного характера, исключающие техническое проникновение к конфиденциальной информации.

Во многих организациях, действующих на территории Российской Федерации, большое внимание уделяется вопросам сохранения государственной и служебной (коммерческой) тайны. Однако недостаток сведений о возможностях технических средств разведки, простота получения с их помощью нужной информации нередко делают возможным беспрепятственный доступ к информации, нуждающейся в защите.

Надо иметь в виду, что для гарантированной защиты применение технических средств должно быть как можно более комплексным и, кроме того, обязательно сочетаться с мероприятиями организационного характера.

Организация технических мероприятий включает: поиск и уничтожение технических средств разведки; кодирование информации или передаваемого сигнала; подавление технических средств постановкой помехи; мероприятия пассивной защиты: экранирование, развязки, заземление, звукоизоляция и т. д.; применение систем ограничения доступа, в том числе биометрических систем опознавания личности.

Напомним, что утечка информации в общем виде рассматривается как непреднамеренная передача секретной информации по некоторой побочной системе связи. В классических (традиционных) системах передающая сторона заинтересована в возможно большем ухудшении передачи побочной информации, что способствует ее защите. Также в реальных условиях в окружающем пространстве присутствуют многочисленные помехи как естественного, так и искусственного происхождения, которые существенным образом влияют на возможность приема. Поэтому технические каналы утечки информации чаще всего рассматриваются в совокупности с источниками помех. На традиционные системы связи такие помехи оказывают негативное влияние, в значительной степени затрудняющее прием, однако для защиты технических средств от утечки информации по побочным каналам эти помехи оказываются полезными и нередко создаются специально, что является одним из средств обеспечения защиты информации.

Наибольших усилий требуют организационные мероприятия по поиску технических средств дистанционного съема информации. Применяется обычный физический поиск и поиск с помощью специальных технических средств, такой как обнаружение опасных излучений с помощью радиоэлектронной аппаратуры перехвата.

Во время проведения мероприятий в актовых залах, других значительных по размерам помещениях при передаче информации по линиям связи могут применяться зашумляющие генераторы – акустические генераторы шума. Они защищают условные поверхности помещения от действия радиотехнических, лазерных, акустических и других средств, а некоторые из них позволяют производить защищенное звукоусиление при озвучивании залов и других помещений на 50–250 мест при проведении закрытых мероприятий.

Для обнаружения «опасных» электромагнитных излучений и измерения их уровня применяются специальные приемники, автоматически сканирующие по диапазону. С их помощью осуществляется поиск и фиксация рабочих частот, определяется местонахождение радиозакладок, включенных в момент поиска. Для выявления радиозакладок, выключенных в момент поиска и не излучающих сигналы, по которым их можно обнаружить радиоприемной аппаратурой, а также для поиска спрятанных микрофонных систем и миниатюрных магнитофонов применяются специальная рентгеновская аппаратура, нелинейные детекторы, имеющие встроенные генераторы микроволновых колебаний и устройства приема и анализа их отклика, реагирующие на наличие в зоне поиска полупроводниковых элементов, подобно тому как металлоискатели реагируют на присутствие металла.

Наиболее сложными и дорогостоящими средствами дистанционного перехвата речи из помещений являются лазерные устройства. Один из достаточно простых, но очень эффективных способов защиты от лазерных устройств заключается в том, чтобы с помощью специальных устройств сделать амплитуду вибрации стекла много большей, чем вызванную голосом человека. При этом на приемной стороне возникают трудности в детектировании речевого сигнала.

Кроме перечисленных, в системах защиты информации используются и многие другие устройства и приборы, например: сетевые фильтры, исключающие возможность утечки информации по цепям электропитания; приборы, обеспечивающие автоматическую запись телефонных разговоров; рассмотренные ранее акустические генераторы шума, маскирующие звуковой сигнал, и многие другие.

Для защиты телефонных и радиопереговоров могут использоваться скремблеры, осуществляющие стойкие алгоритмы шифрования речевых сообщений. При этом для ведения переговоров необходимо два таких устройства. Связавшись с имеющим подобное устройство абонентом, вы договариваетесь о переходе на закрытую связь и осуществляете ее через эти устройства, которые подключены, например, путем соответствующих замен телефонных трубок.

В последнее время стали выпускаться аппаратные и программные средства, позволяющие криптографически защищать системы передачи данных, использующие в качестве элемента канала связи телефонные и радиолинии, то есть радиостанции, телетайпы, телефаксы, ПК и др. Применяются и выжигатели телефонных закладок, установленных параллельным или последовательным способом, которые при подключении к телефонной линии выводят из строя аппаратуру прослушивания, не нарушая работы телефонной сети.

В качестве защиты источников конфиденциальной информации от несанкционированного доступа используется видео- и фототехника. Системы фототехники применяются для фотосъемки посетителей административных зданий, режимных учреждений и т. п. Такие системы можно условно разделить: на системы скрытой охраны, которые обнаружить без специальной техники невозможно; системы открытого наблюдения, применение которых очевидно; отпугивающие системы.

Скрытые системы наблюдения имеют то преимущество, что с их помощью можно следить за поведением людей (сотрудников, посетителей и т.д.) в обстановке, когда они остаются в помещении одни. Это может оказать помощь в выявлении источников утечки информации.

Системы открытого наблюдения применяются тогда, когда не нужно скрывать факт наблюдения. В этом случае наличие видеокамеры сдерживает потенциального вредителя от неправомерных действий.

Отпугивающие системы предназначены для имитации систем охраны помещений, то есть это точно выполненные макеты видеокамер.

С развитием информационных технологий, широким внедрением в повседневную жизнь персональных компьютеров обостряется проблема защиты информации, обрабатываемой с их помощью. В системе защиты персональных компьютеров используются различные программные и аппаратные методы, которые значительно расширяют возможности по обеспечению безопасности хранящейся информации.

Процесс подготовки и проведения защитных мероприятий складывается из последовательных действий (этапов): 1) постановка задач поиска; 2) оценка системы защиты объекта; 3) контроль окружения объекта; 4) визуальный осмотр объекта; 5) проверка электронной техники; 6) проверка мебели, интерьера; 7) проверка коммуникаций; 8) проверка ограждающих конструкций; 9) подготовка отчетной документации.

Прежде всего рекомендуется точно оценить опасность несанкционированного съема информации. Начните с того, что определите ценность информации, на которую будет нацелена операция злоумышленника, и ответьте на следующие вопросы. Какие убытки вы потерпите, если он получит конфиденциальную информацию? Сколько будет стоить ему добывание ваших сведений? Какие выгоды он получит, если ему станет доступна ваша конфиденциальная информация? Каковы возможности злоумышленника? Соответствует ли ваша оборона той опасности, которая может исходить от ваших конкурентов?

Определив степень опасности, необходимо постараться сделать следующее:

1. Избежать опасности путем изменения местонахождения вашего рабочего помещения.

2. Обезопасить себя от средств съема информации, шифруя разговоры, используя при этом звуконепроницаемые стеклянные барьеры в нужных местах, маскирование разговоров с помощью шумов, постоянное контрнаблюдение, установку телефонов с шифрующим устройством, передачу дезинформации для обнаружения прослушивания, применение криптографической аппаратуры, строгие меры общей безопасности.

3. Воспринять утечку информации и особенно прослушивание переговоров как должное и предпринять ответные действия.

Комплексная задача по обнаружению и ликвидации угрозы съема информации решается в процессе проведения поисковых мероприятий. Необходимо определить состояние технической безопасности объекта, его помещений, подготовить и принять меры, исключающие возможность утечки информации в дальнейшем.

Нет смысла тратить средства, если через некоторое время после проведения поискового мероприятия кто-то снова сможет занести в помещение и установить аппаратуру съема информации. Поисковое мероприятие будет эффективно только при поддержании соответствующего режима безопасности и выполнении рекомендуемых мер защиты.

Отметим, что техника съема информации не может появиться на объекте сама по себе: ее должен кто-то принести и установить. Для этих целей нередко используют сотрудников объекта (или лиц, его посещающих), например монтера-телефониста, электрика, уборщицу, плотника. Люди этих специальностей периодически работают в кабинетах, где ведутся разговоры, хранится и обрабатывается разнообразная информация, и имеют достаточно времени для тщательного изучения помещения и подбора мест установки спецтехники для дистанционного съема информации, проверки эффективности ее работы, замены элементов электропитания и демонтажа после окончания работы.

Перед проведением важного совещания, переговоров или беседы на рабочем столе может быть подменен какой-либо предмет на точно такой же, но с электронной «начинкой», а затем возвращен на место. Спецтехника может быть спрятана в подарках, сувенирах, которыми часто украшают кабинеты и другие помещения, где ведутся переговоры.

Наиболее удобная ситуация для внедрения разнообразной техники – проведение капитального или косметического ремонта.

Так как классическим местом для размещения техники прослушивания переговоров, ведущихся в помещении, является телефон, в кабинетах, где проводятся конфиденциальные беседы, лучше устанавливать только те телефоны, которые рекомендованы специалистами по радиоэлектронной защите информации и предварительно ими проверены.

Чтобы капитально установить спецтехнику в ограждающих конструкциях (стены, пол, потолок), необходимо располагать достаточно большой (3–5 человек) технически подготовленной бригадой, возможностью конспиративного захода на объект и в помещение хотя бы на несколько часов. В то же время, например, радиозакладку может внедрить и неспециалист во время одного кратковременного проникновения в помещение.

Следует учесть, что аппаратуру со сложными системами кодирования и передачи информации рядовому гражданину приобрести абсолютно невозможно. Она изготавливается только по заказу спецслужб и строго учитывается, дорого стоит.

Иногда проводится специальная защита помещений методом экранирования с использованием таких материалов, как листовая сталь, проводящая медная сетка с ячейкой 2,5 мм или алюминиевая фольга. Экранированию подвергается все помещение: полы, стены, потолки, двери.

Выбирается одна наиболее удобно расположенная комната, желательно не имеющая стен, смежных с неконтролируемыми помещениями, а также без вентиляционных отверстий. На пол, например под линолеум, укладывается фольга, сетка, стены под обоями или панелями также покрываются фольгой. Потолки можно сделать алюминиевыми подвесными, а на окнах использовать алюминиевые жалюзи, специальные проводящие стекла или проводящие (из ткани с омедненной нитью) шторы. При этом не следует забывать о дверях. Необходимо обеспечить электрический контакт экранов пола, потолка, стен по всему периметру помещения.

При проведении работ по экранированию целесообразно произвести и звукоизоляцию помещения, которая уменьшит вероятность прослушивания через стены, потолки, полы акустическими средствами съема информации. Эффективным звукоизолирующим материалом является пенопласт: слой пенопласта толщиной 50 мм равен по звукоизоляции бетонной стене толщиной 50 см.

Таким образом, мы выяснили, что защита информации правоохранительных органов – довольно широкомасштабная программа. Защиту информации с помощью технических средств можно классифицировать на физическую и аппаратную.

Физическая защита информации предусматривает использование качественных замков, средств сигнализации, хорошую звукоизоляцию стен, дверей, потолков и пола, звуковую защиту вентиляционных каналов, отверстий и труб, проходящих через помещения, демонтаж излишней проводки и тому подобные действия.

Аппаратная защита информации – комплекс механических, электромеханических, электронных, оптических, лазерных, радиотехнических, радиоэлектронных, радиолокационных и других устройств, систем и сооружений, предназначенных для защиты информации от несанкционированного доступа, копирования, кражи или модификации.

К техническим средствам защиты информации в правоохранительных органах относятся: организационные, технические, криптографические, программные и другие, предназначенные для защиты конфиденциальных сведений 1 .

В заключение отметим, что решение вопросов обеспечения защиты информации возможно только при комплексном подходе к этой проблеме. И любая самая совершенная техника в руках дилетанта окажется ненужной игрушкой без соответствующих навыков в ее применении и знания организационных и правовых основ этой деятельности.

Средства защиты информации - это вся линейка инженерно-технических, электрических, электронных, оптических и других устройств и приспособлений, приборов и технических систем, а также иных изделий, применяемых для решения различных задач по защите информации, в том числе предупреждения утечки и обеспечения безопасности защищаемой информации.

В целом средства защиты информации в части предотвращения преднамеренных действий в зависимости от способа реализации можно разделить на группы:

Технические (аппаратные) средства защиты информации. Это различные по типу устройства (механические, электромеханические, электронные и др.), которые на уровне оборудования решают задачи информационной защиты, например, такую задачу, как защита помещения от прослушивания. Они или предотвращают физическое проникновение, или, если проникновение все же случилось, препятствуют доступу к данным, в том числе с помощью маскировки данных. Первую часть задачи обеспечивают замки, решетки на окнах, защитная сигнализация и др. Вторую - генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации (защита помещения от прослушивания) или позволяющих их обнаружить.

Программные и технические средства защиты информации включают программы для идентификации пользователей, контроля доступа, шифрования информации, удаления остаточной (рабочей) информации типа временных файлов, тестового контроля системы защиты и др.

Смешанные аппаратно-программные средства защиты информации реализуют те же функции, что аппаратные и программные средства в отдельности, и имеют промежуточные свойства, такие как защита помещения от прослушивания.

Организационные средства защиты информации складываются из организационно-технических (подготовка помещений с компьютерами, прокладка кабельной системы с учетом требований ограничения доступа к ней и др.) и организационно-правовых (национальные законодательства и правила работы, устанавливаемые руководством конкретного предприятия).

Техническая защита информации как часть комплексной системы безопасности во многом определяет успешность ведения бизнеса. Основная задача технической защиты информации -- выявить и блокировать каналы утечки информации (радиоканал, ПЭМИН, акустические каналы, оптические каналы и др.). Решение задач технической защиты информации предполагает наличие специалистов в области защиты информации и оснащение подразделений специальной техникой обнаружения и блокирования каналов утечки. Выбор спецтехники для решения задач технической защиты информации определяется на основе анализа вероятныхугроз и степени защищенности объекта.

Блокираторы сотовой связи(подавители сотовых телефонов), в просторечье называемые глушителями сотовых - эффективное средство борьбы с утечкой информации по каналу сотовой связи. Глушители сотовых работают по принципу подавления радиоканала между трубкой и базой. Технический блокиратор утечки информации работает в диапазоне подавляемого канала. Глушители сотовых телефонов классифицируют по стандарту подавляемой связи (AMPS/N-AMPS, NMT, TACS, GSM900/1800, CDMA, IDEN, TDMA, UMTS, DECT, 3G, универсальные), мощности излучения, габаритам. Как правило, при определении излучаемой мощности глушителей сотовых телефонов учитывается безопасность находящихся в защищаемом помещении людей, поэтому радиус эффективного подавления составляет от нескольких метров до нескольких десятков метров. Применение блокираторов сотовой связи должно быть строго регламентировано, так как может создать неудобства для третьих лиц.

Д анные в компьютерных системах подвержены риску утраты из-за неисправности или уничтожения оборудования, а также риску хищения. Способы защиты информации включают использование аппаратных средств и устройств, а также внедрение специализированных технических средств и программного обеспечения.

Способы неправомерного доступа к информации

Залогом успешной борьбы с несанкционированным доступом к информации и перехватом данных служит четкое представление о каналах утечки информации.

Интегральные схемы, на которых основана работа компьютеров, создают высокочастотные изменения уровня напряжения и токов. Колебания распространяются по проводам и могут не только трансформироваться в доступную для понимания форму, но и перехватываться специальными устройствами. В компьютер или монитор могут устанавливаться устройства для перехвата информации, которая выводится на монитор или вводится с клавиатуры. Перехват возможен и при передаче информации по внешним каналам связи, например, по телефонной линии.

ЧЕК-ЛИСТ ПРОВЕРКИ ИНФОРМАЦИОННЫХ КАНАЛОВ

Методы защиты

На практике используют несколько групп методов защиты, в том числе:

• препятствие на пути предполагаемого похитителя , которое создают физическими и программными средствами;
• управление , или оказание воздействия на элементы защищаемой системы;
• маскировка , или преобразование данных, обычно - криптографическими способами;
• регламентация , или разработка нормативно-правовых актов и набора мер, направленных на то, чтобы побудить пользователей, взаимодействующих с базами данных, к должному поведению;
• принуждение , или создание таких условий, при которых пользователь будет вынужден соблюдать правила обращения с данными;
• побуждение , или создание условий, которые мотивируют пользователей к должному поведению.

Каждый из методов защиты информации реализуется при помощи различных категорий средств. Основные средства - организационные и технические.

Технические средства защиты информации

Группа технических средств защиты информации совмещает аппаратные и программные средства. Основные:

• резервное копирование и удаленное хранение наиболее важных массивов данных в компьютерной системе - на регулярной основе;
• дублирование и резервирование всех подсистем сетей, которые имеют значение для сохранности данных;
• создание возможности перераспределять ресурсы сети в случаях нарушения работоспособности отдельных элементов;
• обеспечение возможности использовать резервные системы электропитания;
• обеспечение безопасности от пожара или повреждения оборудования водой;
• установка программного обеспечения, которое обеспечивает защиту баз данных и другой информации от несанкционированного доступа.

В комплекс технических мер входят и меры по обеспечению физической недоступности объектов компьютерных сетей, например, такие практические способы, как оборудование помещения камерами и сигнализацией.

Аутентификация и идентификация

Чтобы исключить неправомерный доступ к информации применяют такие способы, как идентификация и аутентификация.

Идентификация - это механизм присвоения собственного уникального имени или образа пользователю, который взаимодействует с информацией.
Аутентификация - это система способов проверки совпадения пользователя с тем образом, которому разрешен допуск.

Эти средства направлены на то, чтобы предоставить или, наоборот, запретить допуск к данным. Подлинность, как правила, определяется тремя способами: программой, аппаратом, человеком. При этом объектом аутентификации может быть не только человек, но и техническое средство (компьютер, монитор, носители) или данные. Простейший способ защиты - пароль.