К О Н С П Е К Т
лекцій курсів:
“Організаційно-технічне забезпечення систем захисту”
“Системи комплексної безпеки об”єктів”
Вступні зауваження
Предмет захисту
Вступ
1.2. Визначення та загальні властивості інформації
Цінність та класифікація інформації
Інформація як об”єкт власності
Інформація як комерційна таємниця
Проблеми захисту інформації
2. Державна політика забезпечення ІБ. Законодавче і правове забезпечення
2.1. Державна політика забезпечення інформаційної безпеки
Загальні поняття законодавчого і правового забезпечення інформаційної безпеки
Інформаційна безпека та Конституція України
Закон України “Про інформацію” (02.11.92)
Закон України “Про державну таємницю” (21.01.94)
Закон України “Про захист інформації в автоматизованих системах” (05.07.94)
Закон України “Про науково-технічну інформацію” (25.06.93)
Закон України “Про службу безпеки України” (25.03.92)
Закон України “Про міліцію” (20.12.90)
Закон України “Про державну податкову службу в Україні” (04.12.90)
Закон України “Про оперативно-розшукову діяльність” (12.02.92)
Закони України “Про Національний банк України”, “Про банки і банківську діяльність” та “Про платіжні системи та переказ грошей в Україні”
Закони України “ Про Національну систему конфіденційного зв”язку”
Стандарти захисту інформації
Державний стандарт України ДСТУ 3396.0-96 “Захист інформації. Технічний захист інформації. Основні положення” (01.01.97)
Державний стандарт України ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації.
Порядок проведення робіт” (01.07.97)
Державний стандарт України ДСТУ 3396.2-97 “Захист інформації. Технічний захист інформації.
Терміни та визначення” (01.01.98)
Постанова КМ України “Концепція технічного захисту інформації в Україні” (№ 1126 від 08.10.97)
Нормативний документ ТЗІ 1.1-003-99. Термінологія в галузі захисту інформаціїв комп”ютерних системах від несанкціонваного доступу;
Нормативний документ ТЗІ 1=1-002-99. Загальні положення щодо захисту інформації в комп”ютерних системах від несанкціонованого доступу. - ДСТСЗІ СБ України, Київ, 1998 р.
Нормативний документ ТЗІ 2.2-004-99. Критерії оцінки захищеності інформації в комп”ютерних системах від несанкціонованого доступу
Нормативний документ ТЗІ 3.7-001-99. Класифікація атоматизованих систем і стандартні функціональні профілі захищеності оброблювальної інформації від несанкціонованого доступу. – ДТСТСЗІ СБ України, Київ, 1998 р.
Нормативний документ ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення системи захисту інформації автоматизованої системи. – Положення про технічний захист інформації в Україні від 27.09.99, № 1299
“Положення про порядок здійснення криптографічного захисту інформації в Україні” (22.05.98)
“ Кримінальне законодавство України щодо захисту інформації
Організаційно-технічні заходи щодо забезпечення захисту інформації
3.1. Класифікація засобів забезпечення безпеки автоматизованих систем
Організаційні заходи
Служба безпеки
Технічне забезпечення безпеки інформації
Технічні канали витоку інформації
Інженерно-технічний захист інформації
4.1. Принципи охорони об”єктів, охоронні системи
Задачі захисту стаціонарних об”єктів і засобів, що застосовуються для його забезпечення
Розбиття підзахисних об”єктів інформаційної діяльності на зони безпеки
Фізичний захист стаціонарних об”єктів
Системи тривожної сигналізації
Системи телевізійного спостереження
Засоби відбиття (нейтралізації) загроз
Вибір технічних засобів захисту об”єкта
Захист мобільних об”єктів. Загальні положення
Рекомендації з підбору охоронців для забезпечення збереженості вантажів
Аналіз стану охорони вантажів
Організація процесу охорони вантажів
Особливості охорони вантажів при використанні окремих видів транспорту
Контроль доступу в зони безпеки. Засоби контролю доступу за пропускними документами
Системи автоматизованого контролю доступу
Ідентифікація осіб за біометричними ознаками
Виконавчі пристрої
Захист машинних носіїв інформації
Захист інформації в АС від несанкціонованого доступу
5.1. Методи та види НСД
Канали витоку інформації
Поняття загрози інформації
Моделі загроз та порушника
Причини порушення безпеки
Політиа безпеки
6.1. Поняття політики безпеки
Види політики безпеки
Механізми захисту інформації від НСД
7.1 Засоби контролю доступу за пропускними документами
Система автоматизованого контролю доступу
7.3. Керування доступом
Ідентифікація та автенфікація
Вступ до криптології
Окремі питання ахисту інформації від НСД
8.1. Особливості захисту інформації від НСД в локальних обчислювальних мережах
8.2. Захист інформації від НСД в базах даних
8.3. Особливості захисту інформації від НСД при організайії парольного захисту
Захист інформації при організації конфіденційного зв”язку
Захист програмного забезпечення
Побудова захищеної АС
9.1. Організаційні принципи побудови системи захисту інформації
9.2. Принципи реалізації системи захисту інформації
9.3. Методи побудови захищених АС
Передпроектні аспекти створення системи захисту інформації
Забезпечення режиму інформаційної безпеки на подальших стадіях створення АС
Аналіз захищеності інформації в системах захисту інформації
Вступ до теорії захисту інформації
10.1. Проблеми теорії захисту інформації
10.2. Допоміжні поняття
10.3. Ієрархічний метод
Потоки і цінність інформації
Доказовий підхід
Приклад гарантовано захищеної АС
Моделі безпеки систем
Загальні моделі
Вступні зауваження
Сучасне суспільство вимагає різкого підвищеня ефективності всіх сфер суспільної діяльності. Необхідною умовою такого підвищення ефективності виступає адекватне підвищеня ефективності використання інформаційних ресурсів. Іншими словами, для сучасного суспільства проблеми інформаційного забезпечення всіх сфер його діяльності за своєю значимістю та актуальністю переважають проблему подальшої індустріалізації виробництва, яка до недавна вважалася головною. А тому, зважуючи на дану обставину, кажуть, що сучасне суспільство вступає в постіндустріальний період свого розвитку, який сміливо можна назвати інформаційним..
Можна відмітити, що нинішня світова практика отримання, зберігання та розповсюдження інформації не в повній мірі задовольняє сучасним вимогам по всім перерахованим вмще параметрам. А тому проблеми вдосконалення систем інформаційного забезпечення сьогодні в сіспільстві вважаються пріорітетними. Для їх розв”язання в останні роки ведуться інтенсивні та крупномасштабні дослідження та розробки.
В свою чергу, інтенсифікаія інформаційних процесів породжує цілу низку серйозних проблем, без вирішення яких важко гворити про ефективність і дієвість інформатизації
Однією з таких проблем є надійний захист інформації, яка поширюється в системах обробки інформації, який забезпечував би захист від спотворення або знищення інформації, унеможливлював би несанкціонване її отримання, використання та модифікацію і т.д. Надзвичайної гостроти набуває проблема в зв”язку з комп”ютеризацією інформаційних процесів, створеня локальних мереж тощо.
Сучасні дослідженя проблем захисту інформації та наявний практични досвід розв”язання відповідних задач свідчать, що ефективний захист може бути забезпечений лише при взаємній узгодженостідій спеціалістів-професіоналів в області захисту та широкого кола крівників та спеціалістів, що працють з інформаційними процесами. Для цього їм необхідні відповідні знаня та практичні навички.
Матеріал, викладений в даному курсі, дозволить засвоїти послідовність етапів побудови системи комплексної безпеки об’єкту, здійснювати узгодження спроектованих засобів захисту об’єкту, давати оцінку ефективності спроектованої системи комплексної безпеки об’єкту.
І. Предмет захисту
Вступ
Забезпечення безпечної діяльності необхідне для будь-яких підприємств, установ, організацій. Це
Стосується всіх. Різниця полягає лише в тому, які засоби захисту і методи та в якому обсязі будуть потрібні для забезпечення безпеки.
Перш ніж приступити до аналізу сучасного стану проблем інформаційної безпеки, розглянемо проблеми безпеки взагалі. Спочатку визначимо, що підлягає захисту і якми основними принципами слід керуватися при організації захисту. Об”єктами захисту з урахуванням їх пріоритетів є:
Особа;
Інформація;
Матеріальні цінності.
Якщо пріорітет збереження безпеки особи є природнім, то пріорітет інформації над матеріальними цінностями вимагає більш докладного розгляду. Це стосується не лише інформації, що становить державну чи комерційну таємницю, а й відкритої інформації. Ринкові відносини з їх невідд”ємною частиною конкуренцією, вимагають протидії зовнішнім тавнутрішнім впливам. Об”єкти захисту більшою чи меншою мірою, залежно від цілей зловмисника і від конкретних умов, можуть зазанавати різних нападів чи загроз опинитися в ситуації, в якій вони з об”єктивних причин наражаються на небезпеку. Поняття “безпечна діяльність” будь-якого підприємства, організації чи установи включає:
А). Фізичну безпеку, під якою розуміється забезпечення захисту від загроз життя людей.
Б). Економічну безпеку;
В) Інформаційну безпеку (ІБ);
Г). Матеріальну безпеку, тобто збереження матеріальних ціностей від усякого роду загоз – починаючи від їх крадіжок і закінчуючи загрозам пожежі та інших стихійних лих.
Не зупиняючись детально на загрозах фізичної та матеріальної безпеки, відзначимо тісний зв”язок між економічною та інформаційною безпекою. Західноєвропейські фахівці вважають, що витік 20 % комерційної інформації в 60 випадках зі 100 призводить до банкрутства фірми. Жодна процвітаюча фірма не проіснує і трьох діб, якщо її інформація, що становить комерційну таємницю, стане відомою. Таким чином, економічна та інформаційна безпеки тісно взаємопов”язані.
Зменшеня загрози для економічної діяльності будь-якої організації передбачає одержання інформації про конкурентів. Тому, цілком природньо, зменшення загрози дя одних організацій спричиняє збільшеня загрози економічної діяльнті інших організацій. Це стало можливим через наявнісь промислового, і зокрема, економічного шпигунства. Збитки від діяльності конкурентів які використовують методи шпигунства, становлять у світі до 30 % усіх збитків. Точну цифру встановити не можна в принципі, т.я. ні потерпілі, ні зловмисники не прагнуть оприлюднювати інформацію такого роду. Одні – через страх зіпсувати свій імідж, інші – через страх відповідальності за вчинене. Тому до публіки доходить біля 1 % від усіх випадків порушень, що мають кримінальний характер і які приховати неможливо.
Таким чином, завдання безпеки будь яких видів доводиться вирішувати при розгляді різноманітних аспектів людської діяльності. Але, як бачимо, всі види безпеки тісно пов”язані з інформаційною безпекою (ІБ). Більше того, всі інші види безпеки не можливо запровадити без забезпечення ІБ. А тому предметом нашого подальшого розгляду буде, в основному, інформаційна безпека.
Зробимо зауаження відносно термінології. На сьогоднішній день термінологія щодо ІБ в основному розроблена, хоча цей процес триває і досі. Найбільш поширені та необхідні терміни зафіксовані в Українському стандарті з технічного захисту інформації ?17-20-А?. Далі будемо слідувати саме цьому стандарту.
Згідно з ?8-А? безпека інформації (інформаційна безпека) (information security) – стан інформації, в якому забезпечується збереження властвостей інформації, визначених політикою безпеки. Автоматизована система (АС) – це організаційно-технічна система, що об”єднує обчислювальну систему, фізичне середовище, персонал і оброблювальну інформацію. Захист інформації в АС (infjrmation protection, information security, computer system security) – діяльність, яка спрямована на забезпечення безпеки оброблювальної в АС інформації та АС у цілому і дозволяє запобігти або ускладнити можливість реалізації загроз, а також знизити величину потенційних збитків унаслідок реалізації загроз. Комплексна система захисту інформації (КСЗІ) – сукупність організаційних та інженерних заходів, програмно-апаратних засобів, що забезпечують захист інформації в АС.
Визначення та загальні властивості інформації
Інформація – це результат відображення та обробки в людській свідомості різноманіття навколишнього
світу, відомостей про предмети, які отчують людину, явища природи, діяльність інших людей і т.п. ?1-А?. З такого визначення випливає, що будь-яка інформація може бути важливою. Однак якщо обмежитися поняттям комп”ютерної системи (КС), то можна дати більш просте визначення інформації – це все, що може бути представлене в КС. Виникає питання про форми та види представлення інформації в КС.
Виділяють такі види представлення інформації, як букви, символи, цифри, слова, тексти, малюнки, схеми, формули, графіки, таблиці, плани, кресленя, алгоритм і т.п. З цих видів можут створюватися більш складні види та структури представленя інформації: команди, повідомлення, довідки, рішеня, інструкції, масиви, файли, томи і т.п.
Інформація, що втілена і зафіксована в певній матеріальній формі, називається повідомленям. Поідомлення можуть бути безперервними (аналоговими) та дискретними (цифровими).
Безперервне повідомлення представляється деякою фізичною величиною (електричною напругою, струмом і т.п.), зміни якої відображають перебіг певного процесу. Фізична величина, що передає безперервне повідомлення, може набувати будь-яких значень і змінюватися в довільні момети часу. Таким чином, у безперервному повідомленні скінченої довжини може міститися велика кількість інформації.
Для дискретних повідомлень характерна наявність фіксованого набору окремих елементів, з яких у дискретні моменти часу формуються різні послідовності елементів. Важливою є не фізична природа елементів, а те, що набір елементів скінчений, і тому будь-яке дискретне повідомлення скінченої довжини передає скінчене число значень деякої величини, а отже, кількість інформації в такому повідомленні сінчена. При дискретній формі представлення інформації окремим елементам її можуть бути присвоєні числові (цифрові) значення. У таких випадках маємо цифрову інформацію.
Елементи, з яких складаєтся дискретне повідомлення, називають буквами чи символами. Набір цих букв (символів) утворює алфавіт. Дискретне повідомлення можна розбити на групи символів, що називаються словами. Зі слі можуть формуватися більш складні структури (записи, файли, томи і т.п.), але тут ці поняття ми не будемо розглядати, бо вони для нас не носять принципового значення. Зауважимо лише, що найбільш простим є двійковий алфавіт.
Звичайно в КС інформація представляється двійковим алфавітом, що фізично реалізується сигналом, здатним приймати два добре помітних значення, наприклад електричну напругу високого та низького рівня, протилежні значення наруженості магнітного поля і т.п. Найважливішою вимогою до фізичних аналогів двійкового алфавіту є можливість надійного розпізнавання двох різних значень сигналу, що при описі функціонування схем позначають символами 0 (нуль) та 1 (одиниця).
Інформація в КС піддається різним процесам: введення, збереження, обробка, виведення. Введення інформації у КС може здійснюватися з перфокарт, перфострічкою, диссків, дискет, клавіатури, спеціальних пультів і т.п. Збереження інформації здійснюється на запам”ятовуючих пристроях – оперативних запам”ятовуючих пристроях, різних регістрах пам”яті, магнітних стрічках, барабанах, дискетах і т.п. Обробляється у КС інформація відповідно до прийнятого в даній системі порядку. Для виведення інформації є багато кналів (візуальний, звуковий, друк і т.п.).
Найбільш загальними інформаційними процесами, що відбуваються в АСОД, є наступні:
інформаційно-довідкове забезпечення;
інформаційне забезпечення;
обслуговування інформаційних баз.
Всі вони реалізуються персоналом за допомогою апаратних засобів.
Цінність та класифікація інформації
Важливим є розгляд інформації з іншої точки зору. Виявляється, що інформація – це товар і, отже, є
об”єктом товарних відносин. В Україні інформаційні відносини регулюються кількома законами, в тому числі і законом “Про інформацію” ?21-А?. Зокрема, у цьому законі в ст. 18 подано класифікацію видів інформації:
статистична інформація;
масова інформація;
інформація про діяльність державних органів влади та органів місцевого самоврядування;
правова інформація;
інформація про особу;
інформація довідково-енциклопедичного характеру;
соціологічна інформація.
Оскільки інформацію можна продати, купити, імпортувати, фальсифікувати, красти і т.п., то з цього
випливає, що вона повинна якимось чином оцінюватися. Далі, інформація, якою обмінюється людина через машину з іншою людиною чи машиною, може бути важливою і, отже, є предметом захисту. Однак захисту підлягає не будь-яка інформація, а ише та, яка має ціну, тобто цінна інформація. Цінною ж стає інформація, володіння якою дасть змогу її дійсному чи потенційному власнику одержати який-небудь виграш: моральний, матеріальний, політичний і т.п. Оскільки в суспільстві завжди існують люди, які бажають мат якісь переваги над іншими, то у них може винкнути бажання незаконим шляхом одержати цінну інформацію, а в її власника виникає необхідність її захищати. Цінність інформації є її критерієм при прийнятті будь-якого рішеня про її захист. Хоч було багато спроб формалізувати процес оцінки інформації з використанням методів теорії інформації та аналізу рішень, цей процес залишається суб”єктивним.
Для оцінки потрібен розподіл інформації по категріях не лише відповідно до її цінності, але й за її важливістю. За рівнем важливості можна розділити інформацію на категорії таким чином:
життєво важлива інформація, наявність якої необхідна для функціонування системи;
важлива інформація – інформація, що може бути замінена чи відновлена, але процес її відновлення важкий і пов”язаний з значними витратами;
коисна інформація – інформація, яку важко відновити, однак система може досить ефективно функціонувати і без неї;
несуттєва інформація – інформація, без якої система продовжує існувати.
Хоч здається, що такий розоділ легко застосувати, на практиці віднесення інформації до однієї з категрій може явлти собою дуже важливе завдання, тому що сама система може бути використана багатьма підрозділами системи, кожний з яких може віднести цю інформацію до різних категрій важливості. Категорія важлиості, як і цінність інформації, змінюється з часом в залежності від рівня її значущості для різних споживачів та потенційних порушників.
Існують визначення груп осіб, пов”язаних з обробкою їнформації: власник – організація чи особа, що володіє інформацією; джерело – організація чи особа, що постачає інформацію; зловмисник – організація чи особа, що прагне незаконно одержати інформацію. Для цих груп значущість однієї і тієї ж інформації може бути різною. Наприклад:
оперативна інформація деякого підприємства (список замовлень і графік виробництва) важлива для власника, а для джерела (замовника) чи порушника не має цінності;
інформація про перспективи розвитку ринку може бути важливою для порушника, а для джерела
чи власника, що завершили її аналіз, уже неважлива.
Наведені категорії важливості цілком узгоджуються з існуючим принципом розподілу інформації за рівнями таємності (або секретності). Рівень таємності – це адміністративні чи законодавчі заходи, що відповідають мірі відповідальності особи за витік конкретної інформації, регламентованої спеціальними документами, з урахуванням державних, військово-стратегічних, комерційних, службових чи осоьистих інтересів. Такою інформацією може бути державна, військова, комерційна, службова чи особиста таємниця. У нашій країні, як і за рубежем, охороняються також таємниця голосування, усиновлення, листування, лікарська таємниця та інші, захист яких спрямований на забезпечення закріплених у Правах людини і Конституцєю прав і свобод людей. Рівень таємності визначається грифом, що присвоюється тій чи іншій інформації. В Україні в державних структурах встановлено такі рівні (грифи) таємності ?24-А?: несекретно, для службового користування, таємно, цілком таємно (Н, ДСК, Т, ЦТ). Аналогічна термінологія існує в більшості країн світу: unclassified, confidential, secret, top secret secret (U, C, S, TS). Така класифікація дає можливість визначити просту лінійну порядкову шкалу цінності інформації: Н?ДСК?Т?ЦТ (U?C?S?TS). За цією шкалою відразу видно, до якої категорії інформації необхідно висунути більшш високі вимоги щодо її захисту.
Слід додати, що, як показує практика, у багатьох випадках захищати потрібно не лише секретну інформацію. І несекретна інформація, що піддана несанкціонованим ознайомленням чи модифікації, може привести до витоку чи втрати з нею секретної інформації, атакож до невиконання АС функцій обробки секретної інформації. Існує також можливість витоку секретної інформації шляхом аналізу сукупності несекретних відомостей. Усе це лише підтверджує тезу про складність класифікції інформації, яку необхідно захищати.
Як було раніше зазначено, останім часом інформація стала найважливішим ресурсом, випереджаючи за важливістю сировинні та енергетичні ресурси. Але для ефективного її використання необхідно вміти оцінювати значимість її для виконання відповідної діяльності, тобто оцінювати інформацію як об”єкт праці. Для такої оцінки необхідні показники двох видів ?3-А?:
що характеризують інформацію як ресурс забезпечення процесу отримання розв”язків різних задач;
що характеризують інформацію як об”єкт звичайної праці.
Зміст показників першого виду визначається важливістю інформації в процесі розв”язання задач, а також
кількістю та складом інформації, яка використовується. Під кількістю інформації тут розуміється об”єм відомостей , які використовуються в процесі розв”язання задач, причому не абсолютний їх об”єм, а їх достатність для інформаційного забезпечення конкретних задач, їх адекватність задачам. Отже показники першого виду можуть бути такими:
важливість – це узагальнений показник, який характеризує значимість інформації з точки зору
задач, для якої вона використовується, а також їз точки зору організації її обробки. Тут оцінка може здійснюватися за:
а) важливістю самих задач для даної діяльності;
б) ступенем важливості інформації для ефективного використання відповідних завдань;
в) рівнем витрат при небажаних змінах інформації;
г) рівнем витрат на відновлення порушень інформації.
Слід зазначити, що для деяких видів інформації важливість можна досить точно оцінювати за коефіцієнтом важливості, обчислення якого здійснюється на оснві математичних, лінгвістичних аьо неформально-еврвстичних моделей;
повнота – це показник, що характеризує міру достатньості інформації для розв”язання відповідної
задачі. Для кількісного вираження цього показника також відомі формальні і неформальні моделі обчислення коефіцієнта повноти;
адекватність – це ступінь відповідності інформації дійсному стану тих об”єктів, які вона
відображає. Адекватність алежить від об”єктивності генерування інформації про об”єкт, а також від тривалості часу між моментом генерування та моментом оцінки адекватності. Зазначимо, що для оцінки адекватності також відомі формальні та неформальні підходи, які дозволяють отримати її кількісні оцінки;
релевантність – це показник, що характеризує відповідність її потребам задачі, яка
розв”язується. Відомий коефіцієнт релевантності – це відношення обсягу релевантної інформації до загального її обсягу. Існують моделі його обчислення;
толерантність – показник, що характеризує зручність сприйняття та використання інформації в
прцесі розв”язання відповідної задачі. Це поняття є дуже широким, невизначеним і суб”єктивним, а отже формальних методів його оцінки немає;
Якщо повернутися до показників другого виду, то слід зазначити, що для них інформація виступає як:
сировина, яку добувають та обробляють;
напівфабрикат, що виникає в процесі обробки сировини;
продукт для використання.
Тобто маємо виробничий ланцюжок: добування сировини – переробка для отримання напівфабрикатів – їх
переробка для отримання кінцевого продукту. Нагадаємо, що при цьому всі стадії переробки інформації мають задавольняти показники першого виду. Зрозуміло, що тут найбільш важливими є форма або спосіб представлення інформації, а також її об”єм. Отже, як показники другого виду можуть виступати: 1) спосіб або система кодування інформації, тобто ефективність кодування; 2) об”єм кодів, що відображають дану інформацію. Відзначимо, що методи визначення цих показників досить повно розроблені в теорії інформації.
Таким чином, необхідний рівень захисту інформації слід визначати з урахуванням значень усіх розглянутих вище показників, а також грифів таємності. Звернемо також увагу на розбіжність між визначеною вище таємністю та безпекою інформації ?8-А?. Безпека інформації – це захист інформації від негативних впливів на неї, і вона має відношення до технологічних процедур забезпечення захисту. Таємність інформації – це статус інформації, який фіксується залежно від її важливості і вимагає певного рівня її захищеності. Отже, це поняття має відношення до людей, окремих осіб, які відповідають за інформацію і вирішують, фку інформацію можна розкрити, а яку приховати від людей.
Інформація як об”єкт власності
Фактично, сфера безпеки інформації – не захист інформації, а захист прав власності на неї. Щоб
переконатися в цьому, розглянемо особливості інформаційної власності. Історично традиційним об”єктом права власності є матеріальний об”єкт, а це означає, що фактично право власності було речовим правом. Інформація не є матеріальним об”єктом, інформація – це знання, тобто відображення дійсності у свідомості людини (причому правильне чи помилкове це відображення – неістотно, важливо, що у свідомості). І лише згодом інформація може втілюватися в матеріальні об”єкти навколишнього світу. Однак не будучи матеріальним об2єктом, інформація нерозривно пов2язана з матеріальним носієм: це – мозок людини чи відчужені від людини матеріальні носії, такі як книги, дискети та інші види “пам”яті”.
З філософської точки зору можна говорити про інформацію як про деяку абстрактну субстанцію, що існує сама по собі. Але з конкретної, матеріальної точки зору ні збереження, ні передача інформації поки що без матеріального носія неможлива. В результаті цього можемо сформулювати такі особливості інформації як об”єкта власності:
інформація як об”єкт права власності може копіюватися (тиражуватися) за допомогою матеріального носія. Матеріальний об”єкт права власності, як відомо, копіювати неможливо. Справді, якщо розглянути дві однакові речі (одяг, автомобіль), то вонискладаються з одинакових структур, але все-таки вони різні (чим детальніше їх розглядати, тим більше вони будуть відрізнятися). Тим часом інформація при копіюванні залишається тю ж, це те саме знання.
Інформація як об”єкт права власності легко переміщується до іншого суб”єкта права власності без очевидного порушення права власності на інформацію. Переміщення ж матеріального об”єкту від одного суб”єкта (без його згоди) до іншого енминуче спричиняє втрату первісним суб”єктом права власності на цей об”єкт, обто відбуваєтья очевидне порушення його права власності.
Небезпека копіювання і переміщення інформації збільшується тим, що врна, як правило, відчужувана від власника, тобто зберігається та обробляється в сфері доступності великого числа суб”єктів, що не є суб”єктами права власності на цю інформацію.
Крім визначенихособливостей інформації як об”єкта власності в іншому вона нічим не відрізняється від
традиційних об”єктів права власності. Дійсно, право власності, як відомо, включає три правомочності вланика, що становлять в цілому права власності: право розпорядження, право володіння, право користування. Стосовно інформації можна сказати, що суб"”кт права власності на інформацію може передати частину своїх прав (право розпорядження), не втрачаючи їх сам, іншим суб"”ктам, наприклад, власнику матеріального носія інформації (це – володіння чи користування) чи користувачу )це – користування і, можливо, володіння).
Для інформації право розпорядження передбачає виключне право визначати, кому ця інформація може бути надана (у володіння чи користування). Право володіння передбачає володіння цією інформацією в незмінному виді. Право користування передбачає право використовувати цю інформацію у своїх інтересах.
Таким чином, до інформації, крім суб”єкта права власності на неї, можуть мати доступ і інші суб”єкти права власності як законно, санкціоновано, так і незаконно. Тому виникає дуже складна система взаємин між різними суб”єктами права власності. Ці взаємини повинні регулюватися та охоронятися, тому що відхилення від них тягнуть порушення прав власності на цю інформацію. Реалізацією прав власності на інформацію займаються певна інфраструктура. Така інфраструктура складається з ланцюжка: законодавча влада – судова влада – виконавча влада (закон – суд – покрання). Тому інформація сьогодні розглядається як об”єкт права власності.
Будь-який закон про власність з метою захисту прав власника, зафіксувавши суб”єкти та об”єкти права власності, повинен регулювати відносини між ними. Особливості регулювання цих відносин залежать від специфіки об”єктів права власності. У випадку інформаційної власності закон повинен регулювати відносини суб”єктів, а також суб”єктів та об”єктів права власності на інформацію з метою захисту прав як власника, так і законних власників та користувачів інформації для захисту інформаційної власності від розголошення, витоку, обробки (копіювання, модифікації чи знищення) інформації.
В Україні прийнято занок “Про інформацію” і “Про захист інформації в автоматизованих системах” ?21,23-А?. У першому законі в ст.39 установлено, що інформаційна продукція та інформаційні послуги громадян та юридичних осіб, що займаються інформаційною діяльністю, можуть бути об”єктами товарних відносин, регульованих цивільним і іншим законодавством. Інакше кажучи, інформація – це товар. Інформаційна продукція (ст. 40) це матеріальний результат інформаційної діяльності, призначений для задоволення інформаційних потреб громадян, державних органів, підприємств, закладів та організацій. Інформвційна послуга (ст. 41) – це здатність у визначеній законом формі інформаційної діяльності з доставки інформаційної продукції до споживачів з метою задоволення їхніх інформаційних потреб.
Інформація як комерційна таємниця
Поняття “комерційної таємниці” у нашій країні поки що в законодавчих актах не визначено. До розуміння
Цього поняття подамо його визначення, що використовується в нормативних актах інших країн. Зокрема, ст. 33 закону “Про підприємства в СРСР” від 01.01.91 дається таке визначення:
“1. Під комерційною таємницею підприємства розуміються відомості,щ не є державними секретами і пов2язані з виробництвом, технологією, керуванням, фінвнсами та іншою діяльністю підприємства, розголошення (передача, витік) яких може завдати шкоди його інтересам.
Склад і обсяг відомостей, що становлять комерційну таємницю, визначається крівником підприємства”.
Сутність поняття комерційної таємниці полягає в наступних критріальних положеннях:
це будь-яка ділова інформаія, що має дійсну чи потенційну цінність для підприємства з комерційних причин, витік якої може завдати шкоди підприємству;
ця інформація не є загальновідомою на законних підставах;
ця інформація не є державним секретом і не захищається авторським чи патентним правом;
ця інформація не стосується негативної діяльності підприємства, здатної завдати шкоди суспільству (порушень законів, неефективної роботи, забруднення довкілля і т.д.);
У багатьох країнах існують закони, що регламентують банківську діяльність. У них визначене поняття
“банківської таємниці”. Під банківською таємницею (БТ) мають на увазі обов”язок кредитної установи зберігати таємницю про операції клієнтів, убезпечення банківських операцій від ознайомлення з нми сторонніх осіб, насамперед конкурентів того чи іншого клієнта, таємницю щодо операцій, рахунків і внесків своїх клієнтів і кореспондентів. По іншому БТ можна визначити як особисту таємницю вкладника. У підсумку комерційна таємниця банку включає комерційну таємницю самого банку та особисту таємницю вкладника.
1.6. Проблеми захисту інформації
Житя сучасного суспільства неможливе без постіного застосування інформаційних технологій.
Комп”ютери обслуговують банківські системи, контролюють роботу атомних реакторів, розподіляють енергію, стежать за рухом літаків, поїщдів, ерують космічними кораблями. Комп”ютерні системи та телекомунікації визначають надійність та потужність систем оборони та безпеки країни. Комп”ютери забезпечують збереження інформації, її обробку і надання споживачам, реалізуючи в такий спосіб інформаційні технології.
Однак найвищий ступінь інформатизації ставить суспільство в залежність від ступеня безпеки використання ним інформаційних технологій, з якими пов”язані благополучч та життя людей. Технічний прогрес має одну неприємну особливість – у кожному його досягненні завжди криється щось, що обмежує його розвиток і на якомусь етапі обертає його досягнення не на користь, а на шкоду людству.
Стосовно інформаційних технологій це означає, що штроке використання комп”ютерних технологій робить їх надзвичайно вразливими щодо деструктивних впливів. Безліч прикладів, що підтверджують поширеність цього явища, можна знайти сьогодні на сторінках Інтернету. В США в 1998 р. в середньому кожні 20 секунд (зараз, можливо і частіше) відбувався комп”ютерний злочин з використанням програмних засобів. Понад 80 % комп”ютерних злочинів відбувається за допомогою Інтернету. Точних оцінок не існує, бо не всі навіть і підозрюють, що в їхні інформаційні ресурси мало місце несанкціоноване вторгнення.
Досвід останніх років свідчить, що постіно винаходяться все нові і нові види та форми обробки інформації і паралельно винаходяться все нові й нові види і форми її захисту. Однак цілком її ніяк не вдається захистити і, напевно, не вдасться взагалі. Інакше кажучи, можна говорити про деяке кризове становище в забезпеченні безпеки в інформаційних технологіях.
Які ж передумови кризи мають місце на сьогоднішній день? Не зупиняючись на соціальних, правових, економічних аспектах проблеми, систематизуємо наукові та технічні передумови ситуації із забезпеченням інформаційних технологій ?9-А?.
Збільшення обсягів інфрмації, що накопичується, зберігається та обробляється за допомогою ЕОМ та інших
засобів обчислювальної техніки (ЗОТ). Мова йде не тільки і не стільки про різке збільшення самих обсягів, а й про розширення арсеналу методів, способів і можливостей її зосередження та збереження (наприклад, коли в єдиних базах даних може зосереджуватися інформація різного призначення і належності. Фактично, проникнувши в могутню базу даних, можна отримати інфорацію буквально про все на світі.
Сучасні комп”єтери, ставши набагато потужнішими, стали набагато простішими в експлуатації. Це означає,
що користуватися ними стало набагатопростіше і все більша кількість користувачів одержала доступ до них. Середня кваліфікація користувачівзнижується, що значною мірою полегшує задачу зловмисників, бо більшість користувачів мають власні робочі станції і самі здійснюють їх адміністрування. Більшість з них не в змозі підтримувати безпеку своїх систем, оскільки це вимагає відповідних знань, навичок, а також часу та коштів. Поширення мережевих технологій об”єднало комп”ютери в локальні мережі, що спільно використовують загальні ресурси, а застосування технології “клієнт-сервер” перетворило такі мережі в розподілені обчислювальні середовища. Тепер безпека мережі починає залежати від безпеки її компонетів, і зловмиснику досить порушити роботу однієї з них, щоб скомпроментувати всю мережу.
Сучасні телекомунікаційні технології об”єднали локальні мережі в глобальні, зокрема Internet. Саме розвиток Internet викликав великий сплеск до проблеми безпеки і змусив переглянути її основні положення. Справа в ому, що, крім усіх плюсів користуваня, Internet забезпечує широкі можливості для здійснення порушень безпеки систем обробки інформації уього світу. І якщо комп”ютер підключений до мережі Internet, то для ЗЛ не має ніякого значення, де він знаходиться – у сусідній кімнаті чи на іншому кінці світу.
Прогрес у сфері апаратних засобів супроводжується ще більш бурхливим розвитком програмного
забезпечення (ПЗ). Досвід показує, що більшість розповсюджених програмних засобів (в першу чергу – операційних систем (ОС)) не відповідають мінімальним вимогам безпеки. Це означає, що більшість систем надають ЗЛ широкі можливості для здійснення порушень.
Зникає розходження між даними і програмами, що використвуються, за рахунок появи і поширення
віртуальних машин і різних інтерпритаторів. Тепер будь який розвинутий додаток від текстового процесора до браузера не просто обробляє дані, а інтнрпритує інтегровані в них інструкції спеціальнї мови програмування, тобто по суті є окремою машино. Це значно збільшує можливості ЗЛ зі сворення засобів проникнення в чужі системи й ускладнює захист, бо вимагає здійснення контролю взаємодії ще на одному рівні – рівні віртуальної машини чи інтерпритатора.
Має місце істотний розрив між теоретичними моделями безпеки, що оперують абстрактними поняттями типу
об”єкт, суб”єкт і т.п. Це призводить до невідповідності між моделями безпеки і їх упровадженням у засобах обробки інформації. Крім того, багато засобів захисту, наприклад засоби боротьби з комп”ютерними вірусами взагалі не мають системної наукової бази. Таке становище склалося через відсутність загальної теорії захисту інформації, комплекних моделей безпеки обробки інформації, що описують механізми дії ЗЛ в умовах реальних систем, а також відсутність систем, що дозволяють ефективно перевірити адекватність тих чи інших рішень у сфері безпеки. Наслідком є те, що практично всі системи захисту грунтуються на аналізі результатів успішних атак, що заздалегідь визначає їх відставання від реальної ситуації. Крім іншого, у цій сфері (особливо в Україні) відсутня загальноприйнята термінологія. Теорія і практика діють в різних площинах, що мало пересікаються.
У сучасних умовах важливим є обгрунтування вимог безпеки, створення нормативної бази, яка не ускладнює
задачі розроблювачів, а, навпаки, встановлює обов”язковий рівень безпеки. У різних країнах, в тому числі і в Україні, розроблено документи, що являють собою лише наслідування закордонних стандартів десятирічної давності. В умовах повальної інформатизації та комп”ютеризації всіх сфер суспільного життя необхідні нові рішення у цій сфері.
Має місце важке становище в україні в галузі інформаційних технологій. Україна з 48-мільйонним населенням
має один з найвищих в світі індексів освіченості (98 %) і величезний потенціал, але залишається країною з низькотехнологічною промисловістю та слаборозвинутою інфраструктурою.
Розроблені українською школою кібернетики напрями, такі як штучний інтелект, нові підходи до розробки ЕОМ тощо, характеризувалися як новий рубіж у світовій кібернетиці. Саме вони були покладені в основу Національної програми інформатизації ?25,26 -А?. На жаль, сьогодні виконання Національної програми втратило інтелектуальну складову і звелося переважно до впровадженя систем транспортування інформації, тобто систем зв”язку. Важливі завдання, як розробка стратегії розвитку України, розробка держбюджету та інші питання державного будівництва – це складові інтелектуальних кібернетичних програм. Однак саме цієї складової в державній політиці інформатизації немає.
Нарешті, глобальна безпека. В світі постійно виникають різні негативні явища – локальні войни, прояви
міжнародного тероризму тощо. А тому різко ускладнилася проблема забезпечення економічної, матеріальної, фізичної безпеки людини. Забезпечення перелічених видів безпеки виявилося прямо пов”язаним з інформаційною безпекою внаслідок широкого використання інформаційних технологій практично вусіх сферах людської діяльності.
В результаті сукупної дії перерахованих факторів перед розроблювачами сучасних інформаційних систем, призначених для обробки важливої інформації, постають такі завдання, що вимагають негайного та ефективного вирішення ?5,9-А?:
Забезпечення безпеки нових типів інформаційних ресурсів. Оскільки коап”ютерні системи тепер прямо
інтегровані в інформаційні структури сучасного суспільства, засоби захисту повинні враховувати сучасні форми представлення інформації (гіпертекст, мультимедіа і т.д.). Це означає, що системи захисту повинні забезпечувати безпеку на рівні інформаційних ресурсів, а не окремих документів, файлів, повідомлень.
Організація довірчої взаємодії сторін в інформаційному просторі. Розвиток локальних мереж і Internet диктує
необхідність здійснення ефективного захисту при віддаленому доступі до інформації, а також взаємодії користувачів через загальнодоступні мережі.
Захист від автоматичних засобів захисту. Досвід експлуатаії існуючих систем показав, що сьоодні від систем
захисту вимагаються зовсім нові функції, а саме – можливість забезпечення безпеки в умовах будь-якої їх взаємодії з подібними засобами, в тому числі і при появі усередині цих програм, що здійснюють деструктивні дії, - комп”ютерних вірусів, автоматизованих засобів злому, агресивних агентів. На перший погляд здається, що ця проблема вирішується засобами розмежування доступу, однак це не так, що підтверджується відомими випадками поширення комп”ютерних вірусів у “захищених” системах.
Інтеграція захисту інформації в процесі автоматизації обробки як обов”язковий елемент. Для того, щоб бути
затребуваними сучасним ринком інформаційних систем, засоби безпеки не повинні вступати в конфлікт з існуючими додатками і сформованимитехнологіями обробки інформації, а, навпаки, повинні стати невід”ємною частиною цих засобів та технологій.
Розробк сучасних надійних, адекватних та ефективних математичних моделей безпеки.
Якщо ці завдання не будуть вирішені, то подальше поширення інформаційних технологій у сфері критичних
систем, що обробляють важливу інформацію, незабаром опиняться під загрозою. Наша країна внаслідок того, що починає “з нуля”, є полігоном для застосування останніх досягнень інформаційних технологій, тому для нас вирішення завдання створення захищенних інформаційних систем є актуальним як ніде у світі.
Для більш поввного розуміння проблем інформаційної безпеки корисно простежити історичний шлях розвитку і створення систем захисту інформації (СЗІ). Проблема захисту інформації (ЗІ) в автоматизованих системах обробки даних (АСОД) з моменту її оформлення наприкінці 60-х років до сучасного етапу пройшла багато в чому суперечливий шлях. Спочатку виникли два напрямки розв2язання задачі підтримки конфіденційності:
використання криптографічних методів ЗІ в середовищах передачі і збереження даних;
програмно-технічне розмежування доступу до даних і ресурсів обчислювальних систем.
Слід зауважити, що в той час АСОД були слабо розділеними, технології глобальних та локальних
обчислювальних мереж перебували на початковій стадії свого розвитку. Тому зазначені напрямки успішно реалізовувались і були ефективними. Тоді і виробилася “інтуїтивно” зрозуміла термінологія ЗІ (супротивник, ресурс, дані і т.п.).
Ці особливості характеризують перший етап створення СЗІ, в якому центральною ідеєю було забезпечення надійного захисту механізмами, що містять технічні і програмні заходи. Технічними називалися засоби, що реалізувалися у вигляді електричних, електромеханічних, електронних пристроїв. При цьому вони поділялися на апаратні (що вбудовувалися в апаратуру АСОД) і фізичні (що реалізувалися у вигляді автономних пристроїв – електронно-механічне устаткування, охоронна сигналізація, замки, грати тощо). Вважалося, що основними засобами ЗІ є програми і що програми ЗІ працюватимуть ефективн, якщо вонибудуть вбудовуватися в загальносистемне ПЗ. Була сформована концепція ядра захисту – спеціального ПЗ, що включало мінімально необхідний набір захисних механізмів і залежно від конкретних умов доповнювалося різними засобами. Виявилося, що цього недостатньо.
У 70-ті роки починається другий етап в історії створення СЗІ. З розвитком тенденцій до розподіленості АСОД з”ясувалося, що ці напрямки себе вичерпали, і на перше місце почали виходити проблеми автентифікації взаємодіючих елементів АСОД, а також способи керування криптографічними механізмами в розподілених системах. Стало зрозуміло, що механізм криптографічного захисту не є головним і його слід розглядати нарівні з іншими механізмами ЗІ.
Здавалося, що, ствоивши ядро безпеки і доповнивши його організаційними та іншими заходами доступу, вдасться створити надійну СЗІ. Зокрема, для перевірки надійності СЗІ створювалися спеціальні бригади з висококласних фахівців, що займалися перевіркою СЗІ шляхом їхнього злому (часто анонімного). Створювалися також нові технічні та криптографічні засоби захисту. Однак кількість проколів у захисті не зменшувалося. На початку 70-х років був ориманий важливий теоретичний результат (теорема Харісона), суть якої зводилася до того, що неможливо розв”язати задачу абсолютного захисту для довільної системи при загальному завданні на доступ. З”явилися думки, про неможливість створення надійного захисту узагалі.
Наступним третім кроком став поділ проблематики власне засобів захисту (криптографічні, засоби керування доступом і т.п.) і засобів забезпечення їх коректної роботи. Тепер центральною ідеєю стала системність підходу і дл самої інформації, адже раніше інформація захищалася лише побічно – фактично захищалося її оточення (носії, системи обробки і т.п.). Стало зрозуміло, що потрібно не лише шукати механізми ЗІ, а й розглядати весь процес створення СЗІ на всіх етапах життєвого циклу системи. Тепер усе (засоби, методи, заходи) поєднувалися найбільш раціональним чином у систему захисту – саме тоді виник цей термін. Більше того, активно почали розроблятися і застосовуватися на практиці математичні моделі захисту. Слід також зазначити, що нацьому етапі загостреня проблеми захищеного ПЗ, оскільки, по-перше, воно все-таки відіграє вирішальну роль у якісній оробці інформації, по-друге, програмні засоби (ПЗ) дедалі більше стают предметом комерційної таємниці. По-третє, це найбільш вразливе місце в усіх компонентах АСОД.
Нині ми є свідками четвертого етапу, що характеризується:
високими темпами розвитку елементної бази, тобто електроніки;
інтенсивним розширенням як ушир, так і углиб мережевих конфігурацій;
розвиток спеціалізованого ПЗ, у тому числі й атакуючих програмних засобів;
розробкою нових криптосистем;
високим ступенем інтегрованості різних механізмів і засобів.
На сьогоднішній день проблему ЗІ можна охарактеризувати рядом таких основних положень:
чітка практична спрямованість, тобто теорія теорією, але більшість положень спочатку реалізуються як конкретні схеми і рекомендації, що лише потім узагальнюються у вигляді теоретичних положень чи методичних рекомендацій;
багатоаспектність, тобто забезпечення безпеки відбувається у багатьох напрямках;
невизначеність як наслідок наявності “людського фактора” – невідомо, хто, коли, де і яким чином може порушити безпеку об”єктів захисту;
розуміння неможливості створення ідеального (абсолютного захисту);
застосування оптимізаційного підходу – мінімальність ризику і можливого збитку, що випливають з того що зараз вибирається лише певний ступінь захищеності, якийвизначається конкретними умовами (моживі витрати на захист, можливі загрози і т.д.);
наявність безпечного часу, тобто завжди враховується, що існує час життя інформації і час, необхідний для подолання ЗЛ захисту;
захист від усього і від усіх.
Додамо ще кілька думок щодо ЗІ. Багато хто з користувачів ЕОМ ототожнює ЗІ з криптографією. Зараз криптографія може забезпечити лише певний рівень конфіденційності інформації і не забезпечить інформаційну безпеку в цілому. Справа в тому, що в сучасних інформаційних системах інформаційна безпека має забезпечувати не лише конфіденційність інформації, а передусім її цілісність та доступність. Причому іноді останні властивості інформації є головними. Досить поширеною є думка, що всі загрози пов”язані з хакерами. Насправді ж основна частина загроз інформації (понад 90 %) реалізується в самій системі – йдеться про тривіальні некомпетентність, некваліфікованість, недбалість персоналу системи. Тобто ЗІ – це не тільки технічні заходи, набагато важливішими є кадри, їх навчання та правильний підбір.
Ще одна думка стосується уявлень про статичність засобів ЗІ, яке полягає в такому: захист організовано, і всі можуть спати спокійно. Те, що сьогодні забезпечує надійний захист, завтра, в силу стрімкого розвитку інформаційних технологій, уже не забезпечує, а отже, слід постійно мати на увазі один з найважливіших принципів організації ЗІ – безперервний захит у часі та просторі.
Державна політика забезпечення ІБ. Законодавче і правове забезпечення
2.1. Державна політика забезпечення інформаційної безпеки
Державна політика забезпечення інформаційнї безпеки визначена в законі України “Про основи державної політики в сфері науки і науково-технічної діяльності” (13.12.1991 р). В ст. 19 даного закону констатується, що з метою створення науково-технічної інформації держава забезпечує можливість поширення і підвищення якісного рівня інформаційної продукції. Загальний зміст державної політики інформатизації викладається в законі “Про концепцію національної програми інформатизації України” (04.02.1998 р). В загальних положеннях цього закону констатується нинішнє інформаційне становище України.
В першому розділі визначається, що інформатизація – це сукупність взаємопов”язаних організаційних, правових, політичних, соціально-економічних, науково-технічних, виробничих процесів, що спрямовані на створення умов для задоволення інформаційних потреб, реалізації прав гомадян і суспільства на основі створення, розвитку, використання інформаційних систем, мереж, ресурсів та інформаційних технологій, побудованих на основі застосування сучасної обчислювальної та комунікаційної техніки. Обчислювальна та комунікаційна техніка, телекомунікаційні мережі, бази і банки даних та знань, інформаційні технології (ІТ), система інформаційно-аналітичних центрів різного рівня, виробництво технічниїх засобів інформатизації, систем науково-дослідних установ та підготовки висококваліфікованих фахівців є складовими національної інформаційної інфраструктури й основними чинниками, що забезпечують економічне піднесення. Як показує досвід інших країн, інформатизація сприяє забезпеченню національних інтересів, поліпшенню керованості економікою, розвитку наукоємних виробництв та високих технологій, зростанню продуктивності праці, вдосконаленню соціально-економічних відносин, збагаченню духовного життя та подальшій демократизації суспільства. Національна інформаційна інфраструктура, створена з урахуванням світових тенденцій і досягнень, сприятиме рівноправній інтеграції України у світове співтовариство. Концепція Національної програми інформатизації включає характеристику сучасного стану інформатизації, стратегічні цілі та основні принципи інформатизації, очікувані наслідки її реалізації.
Другий розділ присвячено інформаційній ситуації в Україні. Там зазаначається, що “загальна ситуація в Україні інформатизації на сьогодні не може бути визнана задовільною і не лише через кризові явища в економіці. Рівень інформатизації українського суспільства порівняно з розвинутими країнами Заходу становить лише 2–2,5 %. Загальна криза та технологічне відставання поставили в скрутне становище галузі, які займаються створенням і використанням засобів інформатизації та відповідної елементної бази.
Україна з виробника сучасних машин перетворился на споживача застарілих іноземних моделей засобів обчислювальної техніки (ЗОТ), що спричинило падіння вітчизняного науково-технічного потенціалу і неспроможність виробляти конкурентні зразки ЗОТ і елементної бази. За п”ять останніх років електронна промисловість України як галузь, залежить від електронного приладобудування, зазнала втрат обсягів виробництва. Падіння виробництва мікроелектроніки в 1992-1996 рр. становило 90% рівня 1991 р. Якщо в 1991 р. заводи мікпроелектроніки України виробляли і реалізовували 316,4 млн. інтегральних схем на суму 500 млн. крб (у СРСР – 2,2 млрд. крб), то в 1996 р. випуск інтегральних схем становив 8,1 млн. шт. на суму 8,7 млн. грн (2,6 %), тоді як інформаційна техніка на 90% вартості базується на досягненнях мікроелектроніки, а засоби зв”язку – на 80 %.
Має місце технічне відставання телекомунікаційних систем,мереж передачі даних, які відзначаються недостатньою пропускною здатністю, надійністю зв”язку, низькою якістю та незначним обсягом послуг. Переважна більшість установ користується для передачі даних комутованими каналами загального користування. В Україні існує розвинута мережа аналогових ліній передачі, які на сьогоднішній день вичерпали свої технічні можливості. Сучасні системи зв”язку, що базуються на методах передачі цифрової інформації, забезпечують більш якісний та надійний зв”язок. Такі системи дозволяють організувати стандартні канали передачі зі швидкістю 64 кбіт/сек, а більш потужні потоки – 2 Мбіт/сек. У 1996 рю в Україні була введена в експлуатацію цифрова мережа з інтегрованими послугами (мережа ISDN). Ведуться роботи із прокладання волоконно-оптичних ліній зв”язку, які можуть забезпечити передачу даних зі швидкістю 155 Мбіт/сек.
Складовою стратегічних ресурсів країни й одночасно національної інфраструктури є державні інформаційні ресурси. За останні роки були створені такі державні інформаційні ресурси: бази даних “Законодавчі та нормативні акти України”, “Податки України”, “Ресурси України”, “Єдиний державний реєстр підприємств та організацій України” та інші.
Важливим фактором подолання відставання України в галузі інформатизації має бути державна політика інформатизації України, відповідна Національна програма інформатизації та ефективні механізми її реалізації.
В третьому розділі подаються загальні принципи державної політики у сферв інформатизації. Державна політика інформатизації формується як складова соціально-економічної політики держави в цілому і спрямовується на раціональне використання промислового та фінансового ресурсів для створення сучасної інформаційної інфраструктури в інтересах вирішення комплексу поточних та перспективних завдань розвитку України як незалежної демократичної держави з ринковою економікою. Для прискорення процесу інформатизації в основу державної політики повинно бути покладене державне регулювання процесів інформаизації на основі поєднання принципів централізації і децентралізації, саморозвитку, самофінансування та самоокупності, державної підтримки.
Державне регулювання має забезпечити системність, комплексність і узгодженість розвитку інформатизації країни з використанням традиційних та нетрадиційних форм і методів супроводу та контролю. Пріорітетними повинно бути:
створення нормативно-правової бази інформації, включаючи систему захисту авторських прав і особистої інформації;
розробці національних стандартів у галузі інформатизації;
формуванню телекомуніеаційної інфраструктури, перш за все оптимізації діючої мережі магістралей передачі даних, будівництву нових каналів, включаючи волоконно-оптичні та супутникові системи зв”язку;
формуванню комп”ютерної мережі освіти, науки та культури як частини загальноосвітньої мережі Internet;
здійснення заходів інформаційної безпеки.
Інщим важливим інформаційним законом України є закон “Про національну програму інформатизації
України” (04.02.1998 р.) ?25-А?. Цей закон визначає загальні засади формування, виконання та коригування Національної програми інформатизації. Незважаючи на труднощі, держава зобов”язана займатися забезпеченням інформаційної безпеки. Найважливішим в цьому напрямку є “Закон про захист інформації в автоматизованих системах”, про який ми нижче зупинемось більш детальніше, а тут лише зауважимо основні поняття та напрямки розвитку захисту інформації в Україні, користуючись системою нормативних документів із захисту інформації ?17-20-А?.
Нагадаємо, що одним з основних понять нашого розгляду є автоматизована система (АС). АС – це організаційно-технічна система, що об”єднує обчислювальну систему, фізичне середовище, персонал і оброблювальну інформацію (мал. 1 –С).
Розрізняють два основні напрямки захисту інформації в АС – це захист АС і оброблювальної інформації від несанкціонованого доступу (НСД) і захист інформації від витоку технічними каналами (оптичними, акустичними, захист від витоку каналами побічних електромагнітних випромінювань і наведень (ПЕМВН)). З точки зору методології в прблемі захисту від НСД виділяють два напрямки:
забезпечення й оцінка захищеності інформації в АС, щофункціонують;
реалізація та оцінка засобів захисту, що входять до складу компонентів, з яких будується обчислювальна система АС (програмних продуктів, засобів обчислювальної техніки і т.і.) поза конкретним середовищем експлуатації.
Кінцевою метою всіх заходів щодо захисту інформації є забезпечення безпеки інформації під час її обробки
в АС. Захист інформації повинен забезпечуватись на всіх стадіях життєвого циклу АС, на всіх технологічних етапах обробки інформації і в усіх режимах функціонування. Життєвий цикл АС включає розробку, впровадження, експлуатацію та виведення з експлуатації.
У випадку, якщо в АС планується обробка інформації, порядок обробки і захисту якої регламентується законами України або іншими нормативно-правовими актами, то для обробки такої інформації в цій АС необхідно мати дозвіл відповідного уповноваженого державного органу. Підставою для видачі такого дозволу є висновок експертизи АС, тобто перевірки відповідності реалізованої СЗІ встановленим нормам.
Подамо також основні властивості інформації, що безпосередньо визначають її цінність. Тким фундаментальними властивостями захищеної інформації є конфіденційність (confidentiality), цілісність (integrity), доступність (availability) та спостережність (accountability).
Конфіденційність визначається як властивість інформації, яка полягає в тому, що вона не може бути доступною для ознайомлення користувачам і/або процесам, що не мають на це відповідних повноважень.
Цілісність інформації – це властивість, що полягає в тому, що вона не може бути доступною для модифікації користувачам і/або процесам, що не мають на це відповідних повноважень. Цілісність інформації може бути фізичною і/або логічною.
Доступність інформації – це властивість, що полягає в можливості її використання на вимогу користувача, який має відповідні повноваження.
Спостережність – це властивість інформації, яка полягає в тому, що процес її обробки повинен постійно перебувати під контролем певного керуючого захистом органу.
Потенційно можливі несприятливі впливи на інформацію, що призводять до порушення хоча б однієї з перерахованих властивостей, називають загрозами інформації (information threat). Рівень захищеності інформації в системі – це певна міра (наприклад, імовірнісна) можливості виникнення на якому-небудь етапі життєдіяльності системи такої події, наслідком якої можуть бути небажані впливи на інформацію, тобто на порушення хоча б одного із зазначених фундаментальних властивостей захищеної інформації. Безпосередньо пов”язані з інформацією фундаментальні поняття конфіденційність, цілісність і доступність характеризуються такими важливими особливостями:
незалежність – кожне з введених понять не залежать від інших; це дозволяє при моделюванні ЗІ визначати деякий простір, вважаючи їх сукупність базисом у цьому просторі;
консруктивність – чітке виділення певної сторони проблеми ЗІ дає можливість при її реалізації використовувати конкретні механізми і засоби;
можливість багаторазового їх дублювання при використанні різних механізмів і засобів захисту (практика показує, будь-які з механізмів і засобів ЗІ завжди підтримують відразу декілька з відзначених властивостей), що дозволяє істотно підвищити рівень захищеності інформації в системі;
можливість враховувати конкретні загрози інформації при формуванні конкретних цілей захисту;
можливість визначати послуги для забезпечення кожної з фундаментальних властивостей захищеної інформації залежно від ріня інформації, очікуваних загроз інформації, цілей і завдань ЗІ.
Не слід путати конфіденційність та безпеку. Конфіденційність встановлює певний статус захисту щодо
Інформації, в той час як безпека стосується механізмів, які використовуються для підтримки цього статусу. Крім того, на відміну від конфіденційності, цілісність характеризує лише ступінь відповідності певних представлень інформації в ситемі.
2.2. Загальні поняття законодавчого і правового забезпечення інформаційної безпеки
Законодавче і правове забезпечення ЗІ повинне являти собою високовпорядковану сукупність
організаційних рішень, законів, нормативів і правил, що регламентують як загальну організацію робіт із ЗІ, так і створення і функціонування систем ЗІ в конкретних умовах. З цього визначення випливає, по-перше, що організаційно-правове забезпечення ЗІ є багатоаспектним поняттям, що включає рішення, нормативи, закони і правила, а по-друге, що припускає реалізацію перерахваних аспектів як стосовно до конкретних умов (об”єктам), так і до систем відомства, регіону, країни.
Виходячи зі стану досліджень і розробок розглянутої проблеми, уявляється, що в якості найбільшактуальних доцільно виділити наступні три групи питань (мал. 2.1-С):
організаційно-правова основа ЗІ;
технічні аспекти організаційно-правового забезпечення;
юридичні аспекти організаційно-правового забезпечення захисту.
Під складом організаційно-правового забезпечення розуміється перелік і зміст тих складових частин (питань,
аспектів), що повинні представляти організаційно-правову основу захисту інформації. Якихось формальних методів формування розглянутої організаційно-правової основи в даний час не існує. Неформально-евристичними методами сформований наступний склад організаційно-правового забезпечення, що приведений на мал. 2.2.(С).
Мал. 2.1. Структура законодавства в області захисту інформації. (С)
Під технічними аспектамиорганізаційно-правового забезпечення розуміється сукупність технічних засобів, математичнихметодів та моделей, алгоритмів і програм, за допомогою яких у системі можуть бути дотримані всі умови, необхідні для юридичного дозволу прав і відповідальності щодо регламентів поводження з інформацією, що захищається.
Під юридичними аспектами організаційно-правового забезпечення ЗІ розуміється сукупність законів і інших нормативно-правових актів, за допомогою яких ставилися б наступні цілі:
усі правила ЗІ були б обов”язкові для дотримання всіма особами;
узаконюються (набувають юридичної чинності) міри відповідальності за порушення правил захисту;
узаконюються техніко-математичні рішення питань організаційно-правового забезпечення ЗІ;
узаконюються процесуальні процедури дозволу ситуацій, що складаються в процесі фукціонування системи захисту.
Сьогодні основними проблемами в області ЗІ в Україні є:
незавершеніть організаційно-правової і нормативно-юридичної бази; до тепер не вийшли урядові матеріали по ліцензуванню робіт із секретною інформацією, а також цілком не довершене створення нормативних та правових документів по ЗІ від витоку по всіх технічних каналах і т.д.
незавершеність роботи над керівним матеріалом по типовий комплексний СЗІ та об”єктів, еталонній системі, порівняння з якою повинно давати підставу для висновку про відповідність (невідповідність) експертуємого підприємства вимогам ЗІ й об”єктів;
різка зміна кадрового та науково-технічного потенціалів підприємств, організацій у частині розглянутої проблеми. Під цим мається на увазі відхід фахівців в комерційні структури;
значне зниження рівня захищеності за рахунок скорочення фінансування робіт на підтримку засобів захисту;
різке підвищення розвідзлочинності підприємств через розміщення на охоронних територіях різних комерційних структур;
підвищення числа контактів фахівців з інофірмами;
зниження об”єктів секретних робіт, пов”язаних зі скороченням оборонних замовлень і розсекреченням значного обсягу відомостей, що раніше носили гриф таємності.
До проблем другого плану, пов”язаних з ЗІ й об”єктів відносяться:
відпрацьованість матеріально-технічної бази проведення робіт, особливо контрольно-вимірювальної апаратури, засобів обчислвальної техніки, зв”язку, оргтехніки і т.п.;
різке скорочення обсягів підготовки і перепідготовки, а то і відсутність фахівців у даній області;
відсутність фінансування на створення сучасних засобів і СЗ, і контролю.
Відомо, що правові проблеми визначають основну діяльність в будь-якій області. Нашому негативному
досвіду, коли інтереси держави були вищими за інтереси людини, слід протиставити правову захищеністьособистості, максимальне забезпечення прав і волі людини, відповідальність не лише громадянина перд державою, але і держави перед громадянином. Необхідність виконання цієї вимоги особливо гостро виступає в сучасних умовах інформаційного суспільства, суспільства інформаційних технологій, коли гарантом його успішного розвитку можуть виступати лише принципи правової держави, як то:
верховенство закону, зв”язок між законодавчими актами (їх непротиставлення);
непорушність свободи особи, її прав і законних інтересів;
взаємна відповідальність держави й особистості;
ефективний контроль за здійсненням закону.
Найбільш ефективним способом рішення правових проблем захисту інформаційних ресурсів є відповідне
законодавче забезпечення права відносин в інформаційній сфері.
Важливим в захисті інформації представляється сполучення принципів таємності з внутрішньою політикою в економіці по впровадженню науково-технічного прогресу, реалізація прав громадян на інформацію в усіх сферах життя суспільства. При цьому необхідний чіткий механізм визначення і збереження державної і комерційної таємниці, установлення політичної і юридичної відповідальності за правильність і правомірність використання засобів збереження секретів.
Усе це викликає необхідність єдиної суспільної політики в питанні захисту секретів, для чого потрібний відкритий закон по захисту різного рівня секретної і комерційної інформації, що забезпечує адекватність систем захисту державної, військової і комерційної таємниці.
Нині діючі системи ЗІ регламентуються підзаконними актами, постановами і розпорядженнями Кабінету Міністрів Украхни, інструкціями і положеннями міністерств і відомств, галузевими документами. Законодавство повинне охоплювати правовим регламентуванням усі найважливіші проблеми в сфері інформатизації суспільства, захисту інтересів громадян і держави, у сфері звернення з документованою інформацією, а також визначитиосновні концепції органів інформатизації суспільства, що забезпечують одержання, збереження і обробку інформації, напрямків їхньої діяльності, установити права та контролю в області інформатизації.
Законодавство повинне забезпечити інформаційний суверенітет і розширення спектру могутності держави за рахунок формування і керування розвитком інформаційного потенціалу України, забезпечити необхідні організаційно-правові умови для цього і створити необхідні умови вітчизняних технологій у відповідності зі світовими стандартами. Рішення цих проблем можливе лише комплексом взаємопов”язаних, заснованих на єдиному понятійно-термінологічному апараті законів. До них можна віднести ряд основних законів;
про власність;
про основи державної політики в сфері науки і науково-технічної діяльності
про підприємства усіх видів власності;
про наукову і інтелектуальну власність;
про інформацію і захист інформації;
про захист комерційної інформації;
про електронний контроль;
про інформаційне забезпечення економічного і соціального розвитку;
про зв”язок;
про статистику;
про архівну справу;
про захист прав і волі громадян у зв”язку з комп”ютерною обробкою інформації в них;
про відповідальність за порушення в області інформації.
Мал. 2.2.(С) Загальний зміст організації законодавчо-правового забезпечення
Вивчаючи проблеми інформатизації суспільства і з огляду на міжнародний досвід в цій області, можемо зробити висновок, що розглянута структура законодавства Украхни має потребу в комплексній взаємопов”язаній обробці й у дійсному законодавчо-виконавчому механізмі. Для його створення необхідно доповнити карний, адміністративний і цивільний кодекси відповідними розділами.
2.2.1. Інформаційна безпека та Конституція України
Законодавча база захисту інформації, по-перше, спирається на Конституцію України, яка у ст. 8 стверджує,
що в Україні визначається і діє принцип верховенства права. Конституція України має найвищу юридичну силу. Закони та інші нормативно-правові акти приймаються на основі Конституції України і відповідають їй. Крім того, норми Конституції України є нормами прямої дії.
Згідно зі ст. 17 “Захист суверенітету і територіальної цілісності України, забезпечення її економічної та інформаційної безпеки є найважливішими функціями держави, справою всього українського народу”. Конституція України також відмічає, що згідно ст. 21 “Усі люди є вільні у своїй гідності та правах. Права і свободи людини є невідчужуванними та непорушними”.
Ст. 22: “Права і свободи людини і громадянина, закріплені цією Конституцією, не є вичерпаними. Конституційні права і свободи гарантуються і не можуть бути скасовані. При прийнятті нових законів або внесення змін до чинних законів не допускається звуження змісту та обсягу існуючих прав та свобод”.
Згідно зі ст. 23: “Кожна людина має право на вільний розвиток своєї особистості, якщо при цьому не порушуються права і свободи інших людей, та має обов”язки перед суспільством, в якому забезпечується вільний ї всебічний розвиток її особистості”.
Безпосередньо до захисту інформації відносяться ст. 30, 31, 32 та 107 Конституції і вони встановлюють законодавчу базу.
Ст. 30: “Кожному гарантується недоторканість житла. Не допускається проникнення до житла чи до іншого володіння особи, проведення в них огляду чи обшуку інакше як за вмотивованим рішенням суду.
У невідкладних випадках, пов”язаних із врятуванням життя людей та майна чи з безпосереднім переслідуванням осіб, які підозрюються у вчиненні злочину, можливий інший, встановлений законом, порядок проникнення в них огляду і обшуку”.
Ст. 31: “ Кожному гарантується таємниця листування, телефонних розмов, телеграфної та іншої кореспонденції. Винятки можуть бути встановлені лише судом у випадках, передбачених законом, з метою запобігання злочинові чи з”ясувати істину під час розслідування кримінальної справи, якщо іншими способами одержати інформацію неможливо”.
Ст. 32: “Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
Не допускається збирання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Кожний громадянин має право в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.
Кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім”ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням такої недостовірної інформації”.
Також до питання захисту інформації відноситься перша частина ст. 107, а саме, “Рада Національної безпеки і оборони України є координаційним органом з питань національної безпеки і оборони при Президентові України.
Рада Національної безпеки і оборони України координує і контролює діяльність органів виконавчої влади у сфері національної безпеки і оборони”
В нинішній час законодавча база України з питань захимту інформації спирається на дії наступних законодавчих актів та нормативних документів:
“Про основи державної політики в сфері науки і науково-технічної діяльності”;
“Про інформацію” від 02.09.92;
“Про державну таємницю” від 21.01.94;
“Про захист інформації в автоматизованих системах” від 05.07.94;
“Про науково-технічну інформацію” від 25.06.93;
“Про національну програму інформатизації” від 04.02.98;
“Про Концепцію Національної програми інформатизації” від 04.02.98;
Концепція технічного захисту інформації в Україні від 27.09.99;
НД ТЗІ 1.1-003-99. Термінологія в галузі захисту інформації в комп”ютерних системах від несанкціонованого доступу;
НД ТЗІ 1.1-002-99. Загальні положення щодо захисту інформації в комп”ютерних системах від несанкціонованого доступу. – ДСТСЗІ СБ України, Київ, 1998;
НД ТЗІ 2.2-004-99. Критерії оцінки захищеності інформації в комп”ютерних системах від несанкціонованого доступу;
НД ТЗІ 3.7-001-99. Класифікація автоматизованих систем і стандартні функціональні профілі захищеності оброблюваної інформації від несанкціонованого доступу. –ДСТСЗІ СБ України, Київ, 1998.
НД ТЗІ 3.7-001-99. Методичні вказівки щодо розробки технічного завдання на створення системи захисту інформації автоматизованої системи. – Положення про технічний захист інформації в Україні від 27.09.99 р. № 1299.
“Про Службу безпеки України”;
“Про міліцію”;
“Про державну податкову службу України”;
“Про оперативно-розшукову діяльність”
Розглянемо білш детально кожний з перерахованих законів.
Закон України “Про інформацію” (02.11.92)
Основним інформаційним законом є закон України “Про інформацію”. Він містить 54 статті в шести
розділах. Цей закон закріплює право громадян України на інформацію, закладає правові основи інформаційної діяльності. Закон складається з наступних розділів:
основні положення;
інформаційна діяльність;
області, види, джерела інформації і режими доступу до неї;
учасники інформаційних відношень, їх права і обов”язки;
охорона інформації, відповідальність за порушення законодавства про інформацію;
міжнародна інформаційна діяльність, співробітництво з іншими державами, зарубіжними і міжнародними організаціями в області інформації.
Насамперед слід зазначити, що у ст.1 даєтьяс офіційне визначення інформації. Під інформацією цей закон
розуміє документовані чи првселюдно оголошені відомості про подіїі явища, що відбуваються в суспільстві, державі і навколишньому природньому середовищі. Закон встановлює загальні правові основи отримання, використання, розповсюдження і збереження інформації, закріплює право власності на інформацію в усіх сферах суспільного та державного життя України, а також систему інформації, її джерела, визначає статус учасників інформаційних відносин, регулює доступ до інформації та забезпечує її охорону, захищає особу та суспільство від неправдивої інформації (Розділ 1, ст.2). Далі визначаються мета закону, сфери його дії, основні принципи інформаційних відносин, а саме:
відкритість;
доступність інформації і свобода обміну;
об”єктивність і правдивість інформації;
повнота і точність інформації;
законність одержання, використання, поширення і збереження інформації.
Стаття 4: “Законодавство про інформацію” визначає, що законодавство України про інформацію складають
Кнституція України, цей закон, законодавчі акти про окремі галузі, види, форми і засоби інформації, міжнародні договори та угоди, ратифіковані Україною, тапринципи і норми міжнародного права.
Дуже важливою для вирішення питання захисту інформації є ст. 6 “Державна інформаційна політика”. Державна інформаційна політика – це сукупність основних напрямків і способів діяльності держави по одержанню, використанню, поширенню і збереженню інформації. Головними напрямками і способами державної інформаційної політики є:
забезпечення доступу громадян до інформації;
створення національних систем і мереж інформації;
посилення технічних, фінансових, організаційних, правових і наукових основ інформаційної діяльності;
забезпечення ефективного використання інформації;
сприяння постійному відновленю, збільшенню і збереженню національних інформаційних ресурсів;
створення загальної системи охорони інформації;
сприяння міжнародному співробітництву в галузі інформації і гарантування інформаційного суверенітету України.
У ст. 12 дається визначення інформаційної діяльності як сукупності дій, спрямованих на задоволення
інформаційних потреб громадян, юридичних осіб і держави. Визначено також основні напрямки інформаційної діяльності (ст. 13), основні види інформаційної діяльності (ст.14). Галузі інформації – це сукупність документованих або публічно оголошених відомостей про відносно самостійні сфери життя і діяльності суспільства та держави (ст.17). Основними галузями інформації є:
політична;
економічна;
духовна;
науково-технічна;
соціальна;
екологічна;
міжнародна.
Основними видами інформації є (ст.18):
статистична інформація;
масова інформація;
інформація про діяльність державних органів влади та органів місцевого і регіонального самоврядування;
правова інформація;
інформація про особу;
інформація довідково-енциклопедичного характеру;
соціологічна інформація.
Джерелами інформації є передбачені або встановлені законом носії інформації (ст. 26): документи та інші
носії інформації, які являють собою матеріальні об”єкти, що зберігають інформацію, а також повідомлення засобів масової інформації,публічні виступи.
Ст. 27 визначає поняття документа в інформаційних відносинах. Документ – це передбачена законом
матеріальна форма одержання, збереження, використання і поширення інформації шляхом її фіксації на папері, магнітній, кіно-, відео-, фотоплівці чи на іншому носії.
Крім того,закон встановлює режим доступу до інформації (ст. 28) – це передбачений правовими нормами порядок одержання, використання, поширення і збереження інформації. За режимом доступу вона поділяється на відкриту інформацію та інформацію з обмеженим доступом. Держава здійснює контроль за режимом доступу до інформації.
Ст. 28 описує шляхи доступу до відкриої інформації, а ст. 30 присвячена інформації з обмеженим доступом. Інформацію з обмеженим доступом за своїм правовим режимом поділяється на конфіденційну та таємну.
Конфіденцйна інформація – це відомості, якими володіють чи користуються та розпоряджаються окремі фізичні чи юридичні особи і які поширюються за їхнім бажанням відповідно до передбачених ними умов. Наголосимо, що у сфері захисту інформації поняття конфіденційності має інший зміст і визначається по-іншому.
Таємна інформація – це інформація, яка містить відомості, що складають державну або іншу передбачену законом таємницю, розголошення якої завдає шкоди особі, суспільству і державі.
Дуже важливою є ст 37 “Документи і інформація, що не підлягають наданню для ознайомлення за запитом”. Не підлягають обов”язовому наданню для ознайомлення за інформаційними запитами офіційні документи, які містять у собі:
інформацію, визнану у встановленому порядком державною таємницею;
конфіденційну інформацію;
інформацію про оперативну і слідчу роботу різних органів;
інформацію, що стосується особистого життя громадян;
документи, що становлять внутрівідомчу службову кореспонденцію;
інформацію, що не підлягає розголошенню згідно з іншими законодавчими або нормативними актами;
інформацію фінансових установ, підготовлену для контрольно-фінансових відомств.
Розділ IV присвячений опису прав та обов2язків учасників інформаційних відносин.
П”ятий розділ “Охорона інформації. Відповідальність за порушення законодавства про інформацію”.
Найбілш важливими для захисту інформації є ст. 45 “Охорона права на інформацію” та ст. 47 “Відповідальність за порушення законодавства про інформацію”. Ричому право на інформацію охороняєтьяс законом. Держава гарантує всім учасникам інформаційних відносин рівні права і можливості доступу до інформації. Порушення законодавства про інформацію тягне за собою дисциплінарну, цивільно-правову, адміністративну або кримінальну відповідальність згідно з законодавством України.
Шостий розділ присвячений міжнародній інформаційній діяльності.
2.2.3. Закон України “Про державну таємницю” (21.01.94)
Даний закон регулює сіспільні відносини, пов”язані з відношенням інформації до державної таємниці, її
засекркчуванням і охороною з метою захисту життєво важливих інтересів України у сфері оборони, економіки, зовнішніх відносин, державної безпеки і охорони правопорядку.
Даний закон містить наступні основні розділи:
загальні положення;
віднесення інформації до державної таємниці;
засекречування та розсекречування матеріальних носіїв інформації;
охорона державної таємниці;
контроль за забезпеченням охорони державної таємниці, та нагляд за додержанням законодавства про державну таємницю;
відповідальність за порушення законодавства про державну таємницю.
До найбільш важливих статей закону для виконання задач по захисту інформації слід віднести наступні
статті. Ст. 1 “Визначення термінів”, яка присвячена вивченню основних понять державна таємниця, ступені секретності, віднесення інформації до державної таємниці, гриф секретності, допуск до державної таємниці, категорія режиму секретності та інші. Згідно з законом, державна таємниця – вид таємної інформації, що охоплює відомості у сфері оборони, економіки, науки і техніки, зовнішніх відносин, державної безпеки та охорони правопорядку, розголошення яких може нанести шкоди національній безпеці України, та які визнані в порядку, встановленому цим законом, державною таємницею і підлягають охороні державою.
Ступінь секретності – категорія, яка характеризує важливість секретної інформації “особливої важливості”, таємно”, ступінь обмеженя доступу донеї та рівень її охорони державою.
Згідно зі ст. 2 “Законодавство України про державну таємницю” базується на законі “Про інформацію” і складається з цього закону та інших законодавчих актів України, прийнятих відповідно до нього.
Ст. 3 “Сфера дії закону” декларує, що дія цього закону поширюється на органи законодавчої, виконавчої та судової влади, органи прокуратури України, інші органи державної влади, органи місцевого самоврядування, підприємства, установи та організації усіх форм власності, об”єднання громадян, що проводять діяльність, пов”язану з державною таємницею, громадян України, іноземців та осіб без громадянства, яким у встановленому порядку наданийдоступ до державної таємниці.
Другий розділ занону встановлює правила віднесення інформації до державної таємниці, а ст. 8 встановлює, яка інформація може бути віднесена до державної таємниці. Згідно з цією статтею у сфері оборони до державної таємниці відносяться:
відомості щодо змісту стратегічних і оперативних планів бойового управління підготовки та проведення військових операцій, стратегічне та мобілізаційне розгортання військ, а також про інші найважливіші показники;
про напрямки розвитку окремих видів озброєння і військової техніки, їх кількість, техніко-тактичні характеристики, організацію ітехнологію виробництва, науково-дослідні і дослідно-конструкторські роботи та інше;
про сили і засоби Цивільної оборон України;
про геодезичні, гравіаметичні, картографічні, гідрографічні та гідрометеорологічні дані і характеристики, які мають значення для оборони країни.
У сфері економіки до державної таємниці відносяться:
мобілізаційні плани і мобілізаційні потужності народного господарства, запаси і обсяги постачань стратегічних видів сировини і матеріалів;
про використання транспорту, зв”язку, інших галузей та об”єктів інфраструктури країни в інтересах забезпечення її безпеки;
про зміст, обсяг, фінвнсування та виконання державного оборонного замовлення;
про плани, обсяги та інші найважливіші характеристики добування, виробництва та реалізації окремих стратегічних видів сировини і продукції;
про державні запаси дорогоцінних металів монетної групи, валюти та інших цінностей, а також про інші особливі заходи фінансової діяльності держави.
До державної таємниці у сфері зовнішніх відносин відноситься інформація:
про директиви, плани, вказівки делегаціям і посадовим особам з питань зовнішньополітичної та зовнішньоекономічної діяльності України;
про військове науково-технічне та інше співробітництво України з іноземними державами, якщо розголошення відомостей про це завдаватиме шкоди інтересам України;
про експорт та імпорт озброєння, військової техніки, окремих стратегічних видів сировини і продукції.
У сфері державної безпеки і охорони правопорядку до державної таємниці згідно цього закону може бути віднесена інформація:
про зміст, плани, організацію, фінансуваннята матеріально-технічне забезпечення, засоби, форми, методи і результати розвідувальної, контрозвідувальної та оперативно-пошукової діяльності;
про організацію та порядок здійснення охорони вищої законодавчої та виконавчої влади, державних банківських установ і вищих посадових осіб держави;
про систему урядового та спеціального зв”язку;
про розробку та використання шифрів, проведення наукових досліджень в галузі криптографії;
про інші засоби, форми і методи охорони державної таємниці.
Забороняється віднесення до державної таємниці будь-яких відомостей, якщо цим будуть порушуватися
конституційні права людини і громадянина, завдаватиметься шкода здоров”ю і безпеці населення. Не може бути віднесена до державної таємниці інформація:
про стан довкілля, про якість харчових продуктів і предметів побуту;
про аварії, катастрофи, небезпечні природні явища та інші надзвичайні події, які сталися, або можуть статися і загрожують безпеці громадян;
про стан зоров”я населення, його життєвий рівень, вимагаючи харчування, одяг, житло, медичне обслуговування та соціальне забезпечення, а також про соціально-демографічні показники, стан правопорядку, освіту і культуру населення;
про факти порушень прав і свобод людини і громадянина;
про незаконні дії органів державної влади, органів місцевого самоврядування та їх посадових осіб;
інша інформація, яка відповідно до законів та міжнародних договорів, згда на обов”язковість яких надана ерховною Радою України, не може бути засекречена;
Щодо ст. 10 “Порядок віднесення інформації до державної таємниці”, то у ній описуються наступні дії:
віднесення інформації до державної таємниці здійснюється мотивованим рішенням дердавного експетра з питань таємниць;
інформація важається державною таємницею з часу включення її до Зводу відомостей, що становлять державну таємницю, до якого включена ця інформація, чи зміни до нього у порядку, встановленому цим законом.
Ст. 12 “Звіт відомостей, що становлять державну таємницю” дає інформацію щодо Зводу. Звід відомостей,
що становлять державну таємницю, формує та публікує в офіційних виданнях Служби безпеки України на підставі рішень державних експертів з питань таємниць. Зміни до Зводу відомостей, щостановлять державну таємницю, публікуються на протязі трьох місяців з дня одержання СБ України відповідного рішення чи висновку держексперта з питань таємниць.
На підставі та в межах зводу відомостей з метою конкретизації та систематизації даних про інформацію,яка внесена до державної таємниці, органи державної влади України можуть створювати відповідні розгорнути переліки вфдомостей, що становлять держтаємницю. Розгорнуті пеерліки відомостей, що становлять держтаємницю, не можуть суперечити Зводу відомостей.
Ст. 13 “Строк дії рішення про віднесення інформації до державної таємниці” встановлює строк, протягом якого діє рішення про віднесення інформації до державної таємниці. Цей строк встановлюється дерєекспертом з ритань таємниці з урахуванням ступеня секретності інформації, критерії визначення якого встановлюється СЬ України. Він не може перевищувати для інформації ступенем секретності “особливої важливості” – 30 років, для інформації “цілком таємно” – 10 років, для інформації “таємно” – 5 років. Після закінчення передбаченого частиною першою цієї статті строку дії рішення про віднесення інформації до державної таємниці держексперт робить висновок про скасування рішення про внесення її до держтаємниці або прийма\є рішення про продовження строку дії зазначеного рішення в межах строків, встановлених частиною першою цієї статті.
Ст. 14 “Зміна ступеня секретності інформації та скасування рішення про віднесення її до державної тажмниці” встановлює, що інформація вважається держтаємницею з більшим чи нижчим ступенем секретності або такою, що не становить держтаємниці, з часу опублікування відповідних змін до Зводу відомостей, що становлять держтаємницю.
Підвищення або зниження секретності інформації та скасування рішення про віднесення її до державної таємниці здійснюється на підставі висновку держексперта або на підставі рішення суду у випадках, передбачених ст. 12 цього закону, та оформлюється СБ України шляхом внесення відповідних змін до Зводу відомостей.
Розділ III “засекречення та розсекречення матеріальних носіїв інформації” висвітлює порядок проведення засекречування та розсекречування носіїв інформації. Найбільш важливою статтею у цьому розділі є ст. 15 “Засекречення та розсекречення матеріальних носіїв інформації”. Згідно з цією статет.ю засекречування матеріальних носіїв інформації здійснюється шляхом надання документу, виробу або іншому матеріальному носю інформації грифу секретності. Гриф секкретності є обов”язковим реквізитом кожного матеріального носія інформації, що віднесена додержавної таємниці. Він має містити відомості про ступінь секретності цієї інформації (“особливох важливості”, “цілком таємно”, “таємно”), дату та строк засекречування матеріального носія інформації що встановлюється з врахуванням передбачею ст 13 цього закону строків дії рішення про віднесення інформації до держтаємниці, та інформація про посадову особу, яка надала зазначений гриф.
Заборонено надавати грифи секретності, передбачені цим законом, носіям іншої таємної інформації, яка не становить держтаємниці або конфіденційної інформації.
Перелік посад, які дають право посадовим особам, що їх займають, надавати матеріальним носіям секретної інформаціїгрифи секретнсті, затверджується керівником органу держвлади, органу місцевого самоврядування, підприємства, устанви, організації, що проводять діяльність, пов”язану з держтаємницею.
Після закінчення встановлених строків засекречування матеріальних носіїв інформації та у разі підвищення чи зниження визначеного держекспером з питань ступеня секретності такої інформації або скасування рішення про її віднесення до державної таємниці керівники усіх рівнів, у яких здійснювалися засекречування матеріальних носіїв інформації, або керівники, які є їх правонаступниками, чи керівники вищого рівня зобов”язані протягом шести місяців забезпечити зміну грифа секретності або розсекречування цих матеріальних носіїв секретної інформації.
Розділ IV “Охорона державної таємниці” прсв”ячений охороні державної таємниці. Головними статтями у цьому розділі є:
18 “Основні організаційно-правові заходи щодо охорони державної таємниці”;
20 “Дозвільний порядок провадження діяльності, пов”язаної з державною таємницею, та режимом секретності”;
21 “Режимно-секретні органи”;
22 “Допуск громадян до державної таємниці”;
35 “Технічний та криптографічний захист секретної інформації”;
36 “Оперативно-розшукові заходи щодо охорони державної таємниці”
Охорона державної таємниці вимагає комплекс організаційно-правових, крисптографічних та оперативно-
розшукових заходів, спрямованих на запобігання розголошенню інформації, що становить державну таємницю. Згідно з основними організаційно-правовими заходами щодо охорони державної таємниці всиановлюються:
єдині вимоги до виговлення, користування, зберігання, передачі, транспортування та обліку матеріальних носіїв секретної інформації;
дозвільний порядок провадження органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями, діяльність яких пов”язана з держтаємницею;
обмеження оприлюднення, передачі іншій державі або поширення іншим шляхом секретної інформації;
обмеження щодо перебування та діяльності в Україні іноземців, осіб без громадянства та іноземних юридичних осіб, їх доступу до державної таємниці, а також розташування і переміщення об”єктів і технічних засобів що їм належать;
особливості здійснення органами державної влади їх функцій щодо органів державної влади, органів місцевого самоврядування, підприємств, установ і організацій, діяльність яких пов"”зана з державною таємницею;
режим секретності лрганів державної влади, ррганів місцевого самоврядування, підприємств, установ і організацій, що проводять діяльність, пов”язаною з державною таємницею;
спеціальний порядок допуску громадян до державної таємниці;
технічний та криптграіфічний захист інформації.
Органи державної влади, органи місцевого самоврядування, підприємства, установи, організації мають
право проводити діяльність, пов”язану з державною таємницею, після подання їм СБ України спеціального дозволу на проведення діяльності, пов”язаної з державною таємницею.
Надання дозволів здійснюється на підставі заявок різних установ та результатів спеціальної експертизи щодо наявності умов для проведення діяльності, пов”язаної з державною таємницею. З метою визначення наявності умов для проведення діяльності, пов”язаної з державною таємницею, СБ України може створити спеціальні експертні комісії. Дозвіл на провадження діяльності пов”язаної з державною таємницею, надається за результатами спеціальної експертизи за умови, що вони:
відповідно до компетенції, державних завдань, програм, замовлень, договорів беруть участь у
діяльності, пов”язаній з державною таємницею;
мають приміщення для проведення робіт, пов”язаних з державною таємницею, що відповідають вимогам щодо забезпечення секретності зазаначених робіт;
додержуються передбачених законодавством вимог режиму секретності робіт та інших заходів, пов”язаних з використанням секретної інформації, використання державних шифрів та криптографічних засобів щодо інформації;
мають режимно-секретний орган, якщо інше не передбачено цим законом;
Термін дії дозволу на провадження діяльності, пов”язаної з державними таємницею, встановлюється СБ
України і не має перевищувати 5 років.
Органи державної влади, органи місцевого самоврядування, підприємств, установ і організацій, яким надано зазначений у цій статті дозвіл, набувають права доступу до конкретної секретної інформації згідно з рішенням органів державної влади. В органах державної влади, місцевого самоврядування, на підприємствах, в установах, що проводять жіяльність, пов”язану з державною таємницею, з метою розроблення та здійснення заходів щодо забезпечення режиму секретності, постійного контролю за їх додержанням створюються на правах окремих структурних підрозділів режимно-секретні органи (РСО). Створення, реорганізація чи ліквідація РСО здійснюються за погодженням із СБ України. У своїй роботі РСО взаємодіють з органами СБ України. Основними завданнями РСО є:
недопущення необгрунтованого допуску та доступу осіб до секретної інформації;
своєчаснерозроблення та реалізація разом з іншими структурними підрозділами заходів, що забезпечують охорону державної таємниці;
запобігання розголошенню секретної інформації;
виявлення та закриття каналів просочення секретної інформації в процесі діяльності органів державної влади, органів місцевого самоврядування, підприємств, установ, організацій;
забезпечення запровадження заходів режиму секретності;
здійснення контролю за станом режиму секретності.
Залежно від ступеня секретності інформації встановлюються такі форми допуску до державної таємниці:
форма 1 – для роботи з секретною інформацією, що має ступені секретності “особливої важливості”, “цілком таємно” та “таємно”, термін дії 5 років;
форма 2 – для роботи з секретною інформацією, що має ступені секретності “цілком таємно” та “таємно”, термін дії 10 років;
форма 3 – для роботи з секретною інформацією, що має ступінь секретності “таємно”, термін дії 3-15 років.
Технічний та криптографічний захисти секретної інформації здійснюються в порядку, встановленому
Президентом України.
Оперативно-пошукові заходи щодо охорони державної таємниці здійснюються відповідно до закону України
“Про оперативно-рохшукову діяльність”.
Розділ V “Контроль за забезпеченням охорони державної таємниці на нагляд за додержанням законності про державну таємницю” має дві статті: 37 “Контроль за забезпеченням охорони державної таємниці” та 38 “Нагляд за додержанням законодавства про державну таємницю”. У цьому розділі встановлено, що керівники органів державної влади, органів місцевого самоврядування, підприємств, установ, організацій зобов”язані здійснювати постійний контроль за забезпеченням охорони державної таємниці.
СБ України має право контролювати стан охорони державної таємниці в усіх органах державної влади, а також у зв”язку з виконанням цих повноважень одержувати безоплатно від них інформації з питань забезпечення охорони державної таємниці. Висновки СБ України, викладені в актах офіційних перевірок за результатами контролю стану охорони державної таємниці, є обов”язковими для виконання посадовими особами підприємств, установ та організацій незалежно від їх форми власності. Нагляд за додержанням законодавства про державну таємницю здійснюється в порядку, визначеному законом.
Розділ VI “Відповідальність за порушення законодавства про державну таємницю” має єдину ст. 38, яка має ту ж саму назву, що і розділ. В ній наведені основні положення, за порушення яких посадові особи і громадяни несуть відповідальність згідно з законом:
розголошення державної таємниці;
втраті документів та інших матеріальних носіїв секретної інформації;
засекречування інформації, зазначеної в частині третій та четвертій ст. 8 цього закону;
недодержанні встановленого законом законодавством порядку передачі державної таємниці іншій державі;
невмисному не віднесенні до державної таємниці секретної інформації, а також необгрунтованому зниженні ступеня секретності;
безпідставному засекречуванні інформації;
порушення встановленого законодавством порядкутнадання допуску до державної таємниці, та інші несуть дисциплінарну, адміністративну та кримінальну відповідальність згідно з законом.
2.2..4. Закон України “Про захист інформації в автоматизованих системах” (05.07.94)
Метою цього закону є встановлення основ регулювання правових відношень по захисту інформації в автоматизованих системах за умови дотримання права власності громадян України і юридичних осіб на інформацію і права доступу до неї, право власника інформації на її захист, а також встановленого законодавством обмеження до доступу до інформації. Чинність закону розповсюджується на будьяку інформацію, що обробляється в автоматизованих системах. Закон містить наступні розділи:
загальні положення;
відношення між суб”єктами в процесі обробки інформації в автоматизованих системах;
загальні вимоги по захисту інформації;
організація захисту інформації в автоматизованих системах;
відповідальність за порушення закону про захист інформації;
міжнародна діяльність в області захисту інформації в автоматизованих системах.
До основних статей, що важливі для служби захисту інформації, відносяться:
ст. 2 “Об”єкт захисту”;
ст. 5 “Гарантії юридичного захисту”;
ст. 6 “Доступ до інформації”;ст. 10 “Забезпечення захисту інформації в АС”;
ст. 11 “Встановлення вимог і правил щодо захисту інформації”;
ст. 13 “Політика в області захисту інформації”;
cт. 14 “Державне керування захистом інформації в АС”;
ст. 15 “Служба захисту інформації в АС”;
ст. 17 “Відповідальність за порушення порядку і правил захисту інформації”;
ст. 19 “Взаємодія в питаннях захисту інформації в АС”.
В цих статтях закону в першу чергу визначено, що об”єктами захисту є інформація, що обробляється в АС, права власників цієї інформації і власників АС, права коистувача. Захисту підлягає будь-яка інформація в АС, необхідність захисту якої визначена її власником або чинним законодавством. При цьому необхідно врахувати, що суб”єктами відношень, зв”язаних з обробкою інформації в АС, є:
власники інформації або уповноважені ними особи;
власники АС або уповноважені ними особи;
користувачі інформації і АС.
Закон визначає, що суб”єкти права власності, певним авторським правом або договірними відношеннями,
мають право на юридичний захист від заподіяння збитків власнику інформації або АС внаслідок навмисної або ненавмисної втрати, знищення, підробки інформації та інших не правоправних дій. Причому доступ до інформації, що зберігається, обробляється і передається в АС, здійснюється тільки за згодою і правилами розмежування доступу, встановленим власником інформації або уповноваженою ним особою.
Найбільш важливими розділами закону є позиції захисту інформації є розділ III “Загальні вимоги по захисту інформації” і розділ IV “Організація захисту інформації в АС”. Статті цих розділів 10, 11, 12, 13, 14 та 15 визначають загальні вимого і основні принципи по організації захисту інформації в АС. Захист інформації забезпечується шляхом:
дотримання суб”єктами правових відношень, норм, вимог, і правил організаційного і технічного характеру по захисту інформації;
використання засобів обчислювальної техніки, програмного забезпечення, засобів зв”язку і автоматичних систем в цілому, засобів захисту інформації, що відповідають встановленим вимогам по захисту (мають сертифікат);
перевірки відповідності засобів обчислювальної техніки, програмного забезпечення, засобів зв”язку і автоматичних систем в цілому встановленим вимогам по захисту (сертифікація всіх засобів);
здійснення контролю по захисту інформації.
Крім того, вимоги і правила по захисту інформації, що є власністю держави, або інформація, захист якої
гарантується державою, встановлюється державним органом, уповноваженим Кабінетом Міністрів Ураїни. Інформація, що є власністю держави, або інформація, захист якої гарантується державою, повинна оброблятися в АС, на які видано відповідний сертифікат захищеності, в порядку, що визначається уповноваженим КМ України органом. В процесі сертифікації цих АС здійснюється також перевірка, сертифікація розроблених засобів захисту інформації.
Політика в області захисту інформації в АС визначається Верховною Радою України. Все управління захистом інформації здійснюється органом, уповноваженим КМ України у відповідності з чинним законодавством і нормативною базою.
Міністерства, відомства й інші виборчі органи державної виконавчої влади забезпечують рішення питань захисту інформації в АС в рамках своїх повноважень. В державних установах і організаціях можуть створюватися підрозділи служби, що організують роботу, пов”язану з захистом інформації, підтриманням рівня захисту інформації в автоматизованих системах, і що несуть відповідальність за ефективність захисту інформації згідно цього закону.
2.2.5. Закон України “Про науково-технічну інформацію” (25.06.93)
Цей закон визначає оснви державної політики в області науково-технічної інформації, порядок її
формування і реалізації в інтересах соціального прогресу в Україні. Метою закону є створення в Україні правової бази для отримання і використання науково-технічної інформації. Законом регулюються правові і економічні відносини громадян, юридичних осіб, держави, що виникають при створенні, отриманні, використанні і розповсюдженні науково-технічної інформації, а також визначаються правові норми міжнародного співробітництва в цій області. Чинність закону розповсюджується на підприємства, установи, організації незалежно від форм власності, а також громадян, мати право на отримання, використання і розповсюдження науово-техніної інформації. Чинність закону не розповсюджується на інформацію, що містить державну й іншу охороняєму законом таємницю. Закон містить наступні розділи:
загальні положення;
правовий режим науокво-технічної інформації;
раціональна система науково-технічної інформації;
ринок науково-технічної інформації;
державна політика у сфері науково-технічної інформації;
міжнародне співробітництво у сфері науково-технічної інформації.
Основні статті закону, що необхідно враховувати в діяльності служби захисту інформації:
ст. 3 “Суб”єкти відношень у сфері НТІ”;
ст. 4 “Законодавство України у сфері НТІ”;
ст. 5 “Право на НТІ”;
ст. 10 “Інформаційні ресурси національної системи НТІ”;
ст. 18 “Державне управління у сфері НТІ”;
ст. 23 “Забезпечення суверенітету України у сфері НТІ”.
2.2..6. Закон України “Про службу безпеки України” (25.03.92)
Закон складається з наступних розділів:
загальні положення:
система і організація діяльності Служби безпеки України;
кадри Служби безпеки України;
повноваження Служби безпеки України;
соціальний і правовий захист військовослужбовців і працівників Служби безпеки України;
контроль і нагляд за діяльністю Служби безпеки України;
відповідальність за правопорушення у сфері діяльності Служби безпеки України.
Найбільш важливими є наступні статті:
ст. 2 “Завдання Служби безпеки України;
ст. 24 “Обов”язки Служби безпеки України;
ст. 25 “Права Служби безпеки України.
У ст. 24 наведені основні обов”язки СБ України, але деякі завдання в них мають пряме відношення до
захисту інформації:
п. 2 - здійснювати заходи конррозвідувального забезпечення дипломатичних представництв, консульських та інших державних установ, а також захлди, пов”язані з охороною державних інтересів у сфері зовнішньополітичної та зовнішньоекономічної діяльності, безпекою громадян України за кордоном;
п. 7 - брати участь у розробці і здійсненні заходів щодо захисту державних таємниць України, сприяти у порядку, передбаченому законодавством, підприємствам, установам, організаціям та підприємцям у збереженні комерційної таємниці, розголошення якої може завдати шкоди важливим інтересам України;
п. 12 – надавати наявними силами і засобами, в тому числі і технічними, допомогу органам внутрішніх справ, іншим правоохоронним органам у боротьбі із злочинністю;
Ст. 25 говорить, що СБ України, її органам і співробітникам для виконання покладених на них обов”язків
надається право:
п. 2 – подавати органам державного управління обов”язкові для розгляду пропозиції з питань національної безпеки України, в тому числі про припинення роботи, пов”язаної з державними таємницями, яка виконується з порушенням встановлених правил;
п. 8 – проводити гласні та негласні оперативні заходи у порядку, визначеному законом України “Про оперативно-розшукову діяльність”.
Закон України “Про міліцію” (20.12.90)
Закон України “Про міліцію” включає наступні розділи:
загальні положення;
обов”язки і права міліції;
застосування заходів фізичного впливу, спеціальних засобів і вогнепальної зброї;
служба в міліції;
правовий і соціальний захист, відповідальність працівників іліції;
контроль і нагляд за діяльністю міліції.
Важливими статтями закону є ст. 2 “Основні завдання міліції” та ст. 11 “Права міліції”. З позиції захисту
інформації головним пунктом ст. 11 є:
п.10 – здійснення на підставах і в порядку, встановлених законом, гласні і негласні оперативно-розшукові заходи, фото-, кіно-, відео зйомку і звукозапис, прослуховування телефонних розмов з метою розкриття злочинів;
п. 12 – проводити кіно-, фото- і звукофіксацію як допоміжний засіб попередження протиправних дій та розкриття правопорушень.
Закон України “Про державну податкову службу в Україні” (04.12.90)
Закон складається з наступних розділів:
загальні положення;
функції органів державної податкової служби;
права, обов”язки і відповідальність органів державної податкової служби;
посадові особи органів державної податкової служби та їх правовий і соціальний захист;
податкова міліція.
Важливими статтями цього закону у рамках положень захисту інформації є:
ст. 2 “Завдання органів державної податкової служби”;
ст. 19 “Податкова міліція та її завдання”;
ст. 21 “Повноваження податкової міліції”. Головними розділами цієї статті є те, що податкова міліція відповідно до покладених на неї завдань:
п. 2 – здійснює відповідно до закону оперативно-розшукову діяльність;
п. 6 – збирає, аналізує, узагальнює інформацію щодо порушень податкового законодавства.
Закон України “Про оперативно-розшукову діяльність” (12.02.92)
Найбільш важливим щодо положень захисту інформації є закон України “Про оперативно-розшукову
діяльність”, який визначає головні положення діяльності попередніх законів. Тому більш детально розглянемо деякі статті закону. Головними статтями щодо задач захисту інформації є статті 1, 4, 5, 8 та 9.
Стаття 1 “Завдання оперативно-розшукової діяльності”. Вона формулює, що завданням оперетивно-розшукової діяльності є пошук і фіксація фактичних даних про протиправну діяльність окремих осіб та груп, розвідувально-підривну діяльність спеціальних служб іноземних держав та організацій з метою припинення правопорушень та в інтересах кримінального судочинства, а також отримання інформації в інтересах безпеки громадян, суспільства і держави.
У дані статті коментується сукупність завдань, що вирішуються оперативно-розшуковими підрозділами у ході здійснення оперативно-розшукової діяльності (ОРД), спрямованої на виявлення, розкриття, попередження і припинення протиправної діяльності окремих сіб і груп та розвідувально-підривної діяльності спеціальних служб іноземних держав та організацій, розшук осіб.
Стаття формулює завдання, що стоять перед оперативними підрозділами при виконанні службових повноважень. Ці завдання становлять одну з основних правових категорій, яка створює єдиний механізм законодавчого врегулювання ОРД. Коментована стаття розкриває зміст завдань, які властиві діяльності оперативних підрозділів – складових частин силових відомств, у контексті загальних завдань, що стоять перед ними.
Стаття 4 “Принципи оперативно-рохзшукової діяльності” визначає, що ОРД грунтується на принципах законності, дотримання прав і свобод людини, взаємодії з органами управління і населенням. Мета статті – показати, що ОРД базується на конституційних загальновизнаних принципах права. Ця стаття містить нормуприпис, тобто підкреслює її обов”язковість для всіх.
Під принципами ОРД слід розуміти керівні ідеї, вихідні положення вироблені практикою, закріплені в законодавчих та нормативних актах, що регулюють суспільні відносини у сфері ОРД і відображають політичні, економічні, соціальні закономірності розвиткц суспільства, а також моральні й етичні уявлення громадян стосовно змісту, мети, завдань та механізму здійснення ОРД. Як і інші галузі права, цю діяльність характеризують консттуціні та галузеві принципи.
Стаття 5 “Підрозділи, які здійснюють оперативно-розшукову діяльність”. ОРД здійснюється оперативними підрозділами:
органами внутрішніх справ – кримінальною та спеціальною міліцією, спеціальними підрозділами по боротьбі з організованою злочинністю, оперативно-розшуковими підрозділами ДАІ;
органі Служби безпеки – розвідкою, контррозвідкою, військовою контррозвідкою, підрозділами захисту національної державності, боротьби з корупцією та організованою злочинною діяльністю, оперативно-технічним, оперативним документуванням, розшуковою роботою;
прикордонних військ – підрозділами по оперативно-розшуковій роботі;
управління державної охорони – підрозділом оперативного забезпечення охорони;
органів державної податкової служби – оперативними підрозділами податкової міліції;
органів і установ Дежавного департаменту України з питань виконання покарань –оперативними підрозділами.
Стаття 6 “Підстави для проведення оперативно-розшукової діяльності”. Підставами для проведення оперативно-розшукової діяльності є наявність достатньої інформації про:
злочини, що готуються або вчинені невстановленими особами;
осіб, які готують або вчинили злочин;
осіб, які переховуються від органів розслідкування або ухиляються від відбування кримінального покарання;
осіб, які безвісті зникли;
розвідувально-підривну діяльність спецслужб іноземних держав, організацій та окремих осіб проти України;
реальну загрозу життю, здоров”ю, житлу, майну працівників суду і правоохоронних органів у зв”язку з їх службовою діяльністю, а також особам, які беруть участь у кримінальному судочинстві, членам їх сімей та близьким родичам, з метою необхідних умов для належного відправлення правосуддя;
запити повноважних державних органів, установ та організацій про перевірку осіб у зв”язку з їх допуском до державної, військової та службової таємниці;
потреба в отриманні розвідувальної інформації в інтересах безпеки суспільства і держави.
Стаття 8 “Права підрозділів, які здійснюють оперативно-розшукову діяльність”. Оперативним підрозділам для
виконання завдань ОРД при наявності передбаченого ст.6 цього закону підстав надається право проводити заходи по 18 пунктам. Щодо заходів з застосування технічних методів здобуття інформації найбільш важливими є:
зніманя інформації з каналів зв”язку, застосування інших технічних засобів отримання інформації;
контролювання шляхом підбору за окремими ознаками телеграфно-поштовими відправленнями;
застосування візуального спостереження в громадських місцях із застосуванням фото-, кіно- і відео зйомки, оптичних та радіоприладів, інших технічних засобів;
створення і застосування автоматизованих інформаційних систем.
Негласне проникнення в жилі приміщення, візуальне спостереження в них може мати місце лише з санкції
Генерального прокурора України та його заступників. Зняття інформації з каналу зв”язку, застосування інших технічних засобів отримання інформації та контроль телеграфно-поштових відправлень проводяться як вийняткові заходи з санкції Генерального прокурора України, його заступників, прокурорів республіки Крим, областей, міста Києва та прирівняних до них прокурорів у разі, якщо іншим способом неможливо здобути фактичні дані для забезпечення захисту суспільства і держави від злочинних посягань.
Виключно з метою отримання розвідувальної інформації для забезпечення зовнішньої безпеки України, запобігання і припинення розвідувально-підривних посягань спеціальних служб іноземних держав та іноземних організацій зазначені заходи можуть здійснюватися в порядку, узгодженому з Генеральним прокурором України.
Зняття інформації з каналів зв”язку – отримання інформації шляхом контролю технічними засобами за електромагнітними полями, що виникають при її передачі по електронних комп”ютерних мережах зв”язку, баз даних, телекомунікаційних, інформаційних систем, які здійснюють збирання, обробку, накопичення, збереження, пошук і розповсюдження інформації. Зняття інформації з технічних каналів здійснюється на підставі подання, оформленого керівником органу, уповноваженого на проведення ОРД за постановою суду.
Контроль поштових відправлень, телеграфних та інших повідомлень – отримання інформації шляхом перлюстрації кореспонденції, яка проводиться за завданням оперативних працівників спецпідрозділами правоохоронних органів у порядку, визначеному міжвідомчими нормативними актами чи угодами між органами, що здійснюють ОРД. Результати проведеного контролю оформляються відповідними процесуальними документами.
Візуальне спостереження – це здійснюване в процесі ОРД цілеспрямоване, безпосереднє візуальне чи опосередковане (з використанням ОТЗ) сприйняття й фіксація яіищ, подій та фактів, що становлять оперативний інтерес. Візуальне спостереження може здійснюватися безпосередньо оперативним працівником чи за його завданням співробітниками спецпідрозділів правоохоронних органів чи особами, які співробітничають з ними, в тому числі й на конфіденційній основі. Результати візуального спостереження оформляються довідкою, до якої додаються фотограйії, кіно-, відео-, аудіоплівки, отримані в процесі його здійснення.
З метою реалізації завдань ОРД органи, уповноважені на її здійснення, наділені правом створювати й використовувати інформаційні системи. Вони створюються для:
збирання, збереження і поширення необхідних відповідним підрозділам відомостей, зокрема, про ознаки підготовлюваного, вчинюваного протиправного діяння;
способи, засоби і знаряддя вчинення злочину;
вогнепальну зброю;
осіб, які переховуються від органів дізнання, слідства та суду;
осіб, що пропали безвісти;
інші факти, предмети й особи.
Підстави і порядок використання інформаційних систем регламентуються відомчими та міжвідомчими
нормативними актами.
Стаття 9 “Гарантії законності дії ІС для здійснення ОРД”. У даній статті розкриваються окремі положення, що випливають із принципів ОРД. Одні з них являють собою загальні правила меж ОРД й конкурують з вимогами ст. 12 цього закону, інші встановлюють норми, пов”язані з відновленням порушень прав і свобод людини.
Право здійснювати необхідні оперативно-розшукові заходи згідно зі ст. 103 Кримінально-процесуального кодексу України виступає правовою підставою для застосування в ОРД оперативно-технічних засобів.
Згідно з цим законом ОРД визначається як система гласних і негласних пошукових, розвідувальних та конррозвідувальних заходів, що здійснюються із застосуванням оперативних та оперативно-технічних засобів. Закон, встановлюючи допустимість застосування оперативно-технічних засобів, не визначає їх конкретні найменування, а лише вказує на дії, що виконуються за допомогою цих засобів. Так, згідно зі ст. 8 цього закону оперативним підрозділам надається право;
знімати інформацію з каналів зв”язку, застосовувати інші технічні засоби оримання інформації;
контролювати шляхом відюору за окремими ознаками телеграфно-поштові відправлення;
здійснювати візуальне спостереження в громадських місцях із застосуванням фото-, кіно- і відео зйомки, оптичних та радіоприладів, інших технічних засобів.
Закони України “Про Національний банк України”, “Про банки і банківську діяльність” та “Про платіжні системи та переказ грошей в Україні”
Закон України “Про Національний банк України” був опублікований у Відомостях ВР України № 29, 1999 р.
Згідно з положеннями закону Національний банк України (НБУ) є центральним банком України, особливим центральним органом державного управління, юридичний статус, завдання, функції, повноваження і принципи організації якого визначаються Конституцією України, цим законом та іншими законами України. З точкизору захисту інформації у цьому законі діє ст. 7 “Інші функції”. Згідно п. 16 ст.7, НБУ виконує такі функції: реалізує державну політику з питань захисту секретів у системі Національного банку.
Заокн України “Пробанки та банківську діяльність” визначає структуру банківської системи, економічні, організаційні і правові засади створення, діяльності, реорганізації і ліквідації банків. Метою цього закону є правове забезпечення стабільного розвитку і діяльності банків в Україні і створення належного конкурентного середовища на фінансовому ринку, забезпечення захисту законних інтересів вкладників і клієнтів банків, створення сприятливих умов для розвитку економіки України та підтримки вітчизняного товаровиробника. Цей закон регулює відносини, що виникають під час застосування, реєстрації, діяльності, реорганізації та ліквідації банків.
Стаття 60 “Банківська таємниця” вирішує питання, пов”язані з забезпеченням інформаційної безпеки. Інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку і розголошення якої могло завдати матеріальної чи моральної шкоди клієнту, є банківською таємницею. Банківською таємницею, зокрема, є:
відомості про стан рахунків клієнтів, у тому числі стан кореспонденських рахунків банків у НБУ;
операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди;
фінансово-економічний стан клієнтів;
системи охорони банку та клієнтів;
інформація про організаційно-правову структуру юридичної особи-клієнта, її керівників, напрями діяльності;
відомості стосовно комерційної діяльності клієнтів чи комерційної таємниці, будь-якого проекту, винаходів, зразків продукції та інша комерційна інформація;
інформація щодо звітності по окремому банку, за винятком тієї, що підлягає опублікуванню;
коди, що використовуються банками для захисту інформації.
Інформація про банки, чи клієнтів, що збирається під час проведення банківського нагляду, становить банківську таємницюю. Перелік інформації, що підлягає обов”язковому опублікуванню, встановлюється регіональним банком України та додатково самим банком на його розсуд.
Стаття 61 “Зобов”язання щодо збереження банківської таємниці” визначає зобов”язання, які повинні збезпечити банки щодо збереження банківської таємниці шляхом:
обмеженя кола осіб, що мають доступ до інформації, яка становить банківську таємницю;
організації спеціального діловодства з документами, що містить банківську таємницю;
застосування технічних засобів для запобігання несанкціонованому доступу до електронних та інших носіїв інформації;
застосування застережень щодо збереження банківської таємниці та відповідальності за її розголошення у договорах і угодах між банком і клієнтом.
Службовці банку при вступі на посаду підписують зобов”язання щодо збереження банківської таємниці.
Керівники та службовці банків зобов”язані не розголошувати та не використовувати з вигодою для себе чи для третіх осіб конфіденційну інформацію, яка стала відома їм при використанні службових обов”язків. У разі заподіяння банку чи його клієнту збитків шляхом витоку інформації про банки та їх клієнтів з органів, які уповноважені здійснювати банківський нагляд, збитки відшкодовуються винними органами.
Стаття 62 “Порядок розкриттябанківської таємниці” визначає дуже важливі положення щодо розкриття
таємниць, які має банк. Інформація щодо юридичних та фізичних осіб, яка містить банківську таємницю, розкрвається банками:
на письмовий запит або з письмового дозволу власника інформації;
на письмову вимогу суду або за рішенням суду;
органами прокуратури, СБУ, МВС України – на їх письмову вимогу;
органами ДПА України на їх письмову вимогу з питань оподаткування або валютного контролю.
Вимога відповідного державного органу на отримання інформації, яка містить банківську таємницю,
повинна:
бути викладена на бланку державного органу встановленої форми;
бути видана за підписом керівника державного органу, скріпленого гербовою печаткою;
містити передбачені цим законом підстави для отримання цієї інформації;
містити посилання на норми закону, відповідно до яких орган має право на отримання інформації.
Банку забороняється надавати інформацію про клієнтів іншого банку, навіть якщо їх імена зазначені у
документах, угодах та операціях клієнта. Банк має право надати загальну інформацію, що становить банківську таємницю, іншим банкам в обсягах, необхідних при наданні кредитів, банківських гарантій.
Національний банк України має право відповідно до міжнародного договору, згода на обов”язковість якого надана ВР України, або за принципом взаємності надавати інформацію про банк органу банківського нагляду іншої країни, якщо:
це не порушує державні інтереси та банківську таємницю;
є гарантії того, що отримана інформація буде використана виключно з метою банківського нагляду;
є гарантія того, що отримана інформація не буде передана за межі органу банківськогонагляду.
Особи, винні в порушенні порядку розкриття та використання банківської таємниці, несуть відповідальність
згідно із щаконами України.
Наступним законом, що регламентуютьбанківську діяльність є закон України “Про платіжні системи та переказ грошей в Україні”. З позицій інформаційної безпеки нас стосується Розділ VIII “Захист інформації при проведенні переказу”. До цього розділу входять статті 38, 39 та 40, які встановлюють вимоги щодо захисту інформації, відповідальність суб”єктів переказу за забезпечення захисту інформації та порядок надання інформаційних послуг. Система захисту інформації повинна забезпечити безперервний захист інформації щодо переказу грошей на усіх станах її формування, обробки, передачі та збереження. Порядок захисту та використання засобів захисту інформації щодо переказу визначається законами України, нормативно-правовими актами НБУ та правилами платіжних систем.
Захимт інформації забезпечується суб”єктами переказу грошей шляхом обов”язкового впровадження захисту, що складається з:
законодавчих актів України та інших нормативно-правових актів, а також внутрішніх нормативних актів суб”єктів переказу, що регулюють порядок доступу та роботи з відповідною інформацією, а також відповідальність за порушення цих правил;
заходів охорониприміщень, технічного обладнання відповідної платіжної системи та персоналу суб”єкта переказу;
технологічних та програмно-апаратних засобів криптографічного захисту інформації, що обробляється в платіжній системі.
Електронні документи, що містять інформацію, яка відноситься до банківської таємниці або є
Конфіденційною, повинні бути зашифрованими під час передавання їх за допомогою телекомунікаційних каналів зв”язку. Система захисту інформації повинна забезпечувати:
цілісність інформації, що передається в платіжній системі, та компонентів платіжної системи;
конфіденційність відмови ініціатора від факту передавання та отримувачем від факту прийняття документа на переказ, документа за операціями із застосуванням засобів ідентифікації, документа на відкликання;
забезпечення постійного та безперешкодного доступу до компонентів платіжної системи особами, які маютьна це право або повноваження, визначені законодавством України.
Розробка заходів охорони, технологічних та програмно-апаратних засобів криптографічного захисту
здійснюються платіжною організацією відповідної платіжної системи або іншою установою на її замовлення відповідно до законодавства України та вимог, встановлених НБУ. Суб”єкти переказу зобов2язані виконувати встановлені законодавством України та правилами платіжних систем вимоги щодо захисту інформації, яка обробляється за допомогою цих платіжних систем. Правила платіжних систем мають передбачати відповідальність за порушення цих вимог з урахуванням вимог законодавства України.
При проведенні переказу його суб”єкти мають здійснювати в межах своїх повноважень захист відповідної інформації від:
несенкціонованого доступу інформації – доступ до інформації щодо переказу, що є банківською таємницею або є конфіденційною інформацією, осіб, які не мають на це прав або повноважень, визначених законодавством України;
несанкціонованих змін інформації – внесення змін або повного знищення інформації щодо переказу особам, які не мають на це права або повноважень, визначених законодавством України;
несанкціонованих операцій з компонентами платіжних систем – використання або внесення змін до компонентів платіжної системи протягом її функціонування.
До банківської таємниці належить інформація, визначена законом України “Про банки і банківську
діяльність”, а до конфіденційної інформації – інформація, що визначається іншими законами.
Працівники суб”єктів переказу повинні виконувати вимоги щодо захисту інформації при здійсненні переказів, зберігати банківську таємницю та підтримувати конфіденційність інформації, що використовується в системі захисту цієї інформації.
Закони України “ Про Національну систему конфіденційного зв”язку”
Вказаний закон, є останній закон України, який регламентує інформаційну безпеку України. Цей закон
регулює суспільні відносини, пов”язані із створенням, функціонуванням, розвитком та використанням Національної системи конфіденційного зв”язку. Дія цього закону поширюється на відносини між суб”єктами Національної системи, що виникають у зв”язку з її створенням, функціонуванням, розвиткомта використанням.
Закон має 11 статей, які регламентують усі сфери діяльності у цій галузі. Складовими частинами Національної системи є спеціальні мережі зв”язку, їх стаціонарні та мобільні компоненти, централізовані системи захисту інформації та оперативно-технічного управління. Централізовані системи захисту інформації та оперативно-технічного управління перебувають у державній власності і не підлягають приватизації.
Управління Національною системою, її функціонування, розвиток, використання та захист інформації забезпечується спеціально уповноваженим центральним органом виконавчої влади у сфері конфіденційного зв”язку відповідно до законодавства.
Послуги конфіденційного зв”язку надаються органам виконавчої влади, іншим державним органам та органам місцевого самоврядування, підприємствам, установам, організаціям, іншим юридичним та фізичним особам на платній основі. Надання послуг конфіденційного зв”язку іншим юридичним та фізичним особам здійснюється відповідно до законодавства на підставі договору між споживачем та оператором.
Послуги конфіденційного зв”язку надаються операторами, які є юридичними особами та мають ліцензії на право надання послуг телефонного та (або) радіозв”язку,а також надання послуг у галузі криптографічного та (або) технічного захисту інформації відповідно до законодавства.
Особи, винні в порушенні законодавства у сфері конфіденційного звязку, несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність згідно із законодавством.
Стандарти захисту інформації
2.3.1. Державний стандарт України ДСТУ 3396.0-96 “Захист інформації. Технічний захист інформації. Основні положення” (01.01.97)
Державний стандарт України ДСТУ 396.0-96 установлює об”єкти захисту, мету, основні організаційно-
технічні положення технічного захисту інформації, неправомірний доступ до якої може завдати шкоди громадянам, організаціям, державі. Вимоги стандарту обов”язкові для підприємств та установ всіх форм власності і підпорядкування, громадян, органів державної влади, органів місцевого самоврядування, військових частин усіх військових формувань, представництв України за кордоном, які володіють, користуються та розпоряджаються інформацією, що підлягає технічному захисту.
Цей стандарт складається із слідуючих частин:
галузь використання;
нормативні посилання;
загальні положення;
побудова системи захисту інформації;
нормативні документи з технічного захисту інформації.
Загальні положення стандарту установлюють важливі положення щодо технічного захисту інформації.
Об”єктом технічного захисту є інформація, що становить державнк або іншу передбачену закнодавством України таємницю, конфіденційна інформація, що є державною власністю чи передана державі у володіння, користування, розпорядження.
Носіями інформації з обмеженим доступом (ІзОД) можуть бути фізичні поля, сигнали, хімічні речовини, що утворюються в процесі інформаційної діяльності, виробництва й експлуатації продукції різного призначення.
Середовищем поширення носіїв ІзОД можуть бути лінії зв”язку, сигналізації, керування, енергетичні мережі,інженерні комунікації і споруди, повітряне, водне та інше середовище, грунт, тощо.
Витік або порушення ціліснсті ІзОД можуть бути результатом реалізації загрози безпеці інформації. Мета технічного захисту інформації може бути досягнута побудовою системи захисту інформації, що є організованою сукупністю методів та засобів забезпечення технічного захисту інформації. Технічний захист інформації здійснюється поетапно:
1 етап – визначення й аналіз загроз;
2 етап – розробка системи захисту інформації;
3 етап – реалізація плану захисту інформації;
4 етап – контроль функціонування та керування системою захисту інформації.
Розділ “Побудова системи захисту інформації” складається з наступних підрозділів:
визначення й аналіз загроз;
розроблення системи захисту інформації;
крнтроль функціонування та керування системою захисту інформації.
На першому етапі необхідно здійснити аналіз об”єкту захисту, ситуаційного плану, умов функціонування
підприємства, установи, організації, оцінити ймовірність прояву загроз та очікувану шкоду від їх реалізації, підготувати засадничі дані для побудови окремої моделі загроз. Загрози можуть здійснюватися:
технічними каналами, що включають канаи побічних електромагнітних випромінювань і наводок акустичні, оптичні, радіо-, радіотехнічні, хімічні та інші канали;
канали спеціального впливу шляхом формування полів і сигналів з метою руйнування системи захисту бо порушення цілесності інформації;
несанкціонованим доступом шляхом підключення до апаратури та ліній зв”язку, маскування під зареєстрованого користувача, подолання заходів для використання інформації або нав”язування хибної інформації, застосування підкладних пристроїв чи програм та вкорінення комп”ютерних вірусів.
На другому етапі слід здійснити розроблення плану технічного захисту інформації, що містить
організаційні, первинні технічні та основні технічні заходи захисту ІзОД, визначити зони безпеки інформації.
Організаційні заходи регламентують порядок інформаційної діяльності з урахуванням норм і вимог технічного захисту інформації для всіх періодів життєвого циклу об”єкта захисту.
Первинні технічні заходи передбачають захист інформації блокуванням загроз без використання засобів технічного захисту інформації.
Основні технічні заходи передбачають захист інформації з використанням засобів забезпечення технічного захисту інформації. Заходи захисту інформації повинні:
бути відповідними загрозам;
бути розробленими з урахуванням можливої шкоди від їх реалізації і вартості захисних заходів та обмежень, що вносяться ними;
забезпечити задану ефективність захисту інформації на встановленому рівні протягом часу обмеження доступу до неї або можливості здійснення загроз.
Рівень захисту інформації означується системою кількісних та якісних показників, які забезпечують
розв”язання завдання захисту інформації на основі норм та вимог технічного захисту інформації.
На третьому етапі слід реалізувати організаційні, первинні технічні та основні технічні заходи захисту ІзОД, установити необхідні зони безпеки інформації, провести атестацію технічних засобів забезпечення інформаційної діяльності, приміщень на відповідність вимогам безпеки інформації.
Засоби технічного захисту інформації можуть функціонувати автономно або спільно з технічними засобами
спільно з технічними засобами забезпечення інформаційної діяльності і у вигляді самостійних пристроїв або вбудованих в них складових елементів.
На четвертому етапі слід провести аналіз функціонування системи захисту інформації, перевірку
виконання заходів технічного захисту інформації, контроль ефективності захисту, підготувати та видати засадничі дані для керування системою захисту інформації.
Керування системою захисту інформації полягає у адаптації заходів технічного захисту інформації до поточного задання захисту інформації. За фактами зміни умов здійснення або виявлення нових загроз заходи технічного захисту інформації реалізуються у найкоротший строк.
У разі потреби підвищення рівня захисту інформації необхідно виконати роботи, передбачені 1, 2 та 3 етапами побудови системи захисту інформації.
Розділ “Нормативні документи з ТЗІ” визначає, які нормативні документи повинні забезпечувати:
проведення єдиної технічної політики;
створення і розвиток єдиної термінологічної системи;
функціонування багаторівневих систем захисту інформації на основі взаємно погоджених положень, правил, методик, вимог та норм;
функціонування систем сертифікації, ліцензування і атестації згідно з вимогами безпеки інформації;
розвиток сфери послуг у галузі ТЗІ;
встановлення порядку розроблення, виробництва, експлуатації засобів забезпечення ТЗІ;
організацію проектування будівельних робіт у частині забезпечення ТЗІ;
підготовку та перепідготовку кажрів у системі ТЗІ.
Нормативні документи з ТЗІ поділяються на:
нормативні документи із стандартизації у галузі ТЗІ;
державні стандарти та прирівняні до них нормативні документи;
нормативні акти міжвідомчого значення, що реєструються у Міністерстві юстиції України;
нормативні документи міжвідомчого значення технічного характеру, що реєструються органом, уповноваженим КМ України;
нормативні документи відомчого значення органів державної влади та місцевого самоврядування.
Крім того, стандарт визначає порядок проведення робіт із стандартизації та нормування у галузі ТЗІ,
порядок розроблення, оформлення, погодження, затвердження, реєстрації, видання, впровадження, перевірки, перегляду, зміни та скасування нормативних документів.
Державний стандарт України ДСТУ 3396.1-96 “Захист інформації. Технічний захист інформації. Порядок проведення робіт” (01.07.97)
Даний стандарт установлює вимоги до порядку проведення робіт з ТЗІ. Стандарт складається з наступних
розділів:
галузь використання;
нормативні посилання;
загальні положення;
організація проведення обстеження;
організація розроблення систем захисту інформації;
реалізація організаційних заходів захисту;
реалізація первинних технічних заходів захисту;
реалізація основних технічних заходів захисту;
приймання, визначення повноти та якості робіт.
Стандарт також має додаток, у якому наведений склад засобів забезпечення ТЗІ.
У розділі “Загальні положення” визначається здатність системи захисту інформації протистояти впливу
загроз. Можливі такі варіанти постановки задач ЗІ:
досягнення необхідного рівня захисту ІзОД за мінімальних затрат і допустимого рявня обмежень видів інформаційної діяльності;
досягнення найбільш можливого рівня захисту ІзОД за доступних затрат і заданого рівня обмежень видів інформаційної діяльності;
досягнення максимального рівня захисту ІзОД за необхідних затрат і мінімального рівня обмежень видів інформаційної діяльності.
Захист інформації, яка не є державною таємницею, забезпечується, як правило, застосуванням першого чи
другого варіанту. Захист інформації, яка становить державну таємницю, забезпечується застосуванням третього варіанту.
Зміст та послідовність робіт з протидії загрозам або їхньої нейтралізації повинні відповідати зазначеним в ДСТУ 3396.0-96 етапамфункціонування системи ЗІ і полягають в:
проведенні обстеження підприємства, установи, організації;
розробленні і реалізації організаційних, первинних технічних, основних технічних заходів з використанням засобів забезпечення ТЗІ;
прийманні робіт у ТЗІ
атестації систем забезпечення інформаційної діяльності на відповідність вимогам нормативних документів системи ТЗІ.
У розділі “Організація проведення обстеження” визначені мета та що необхідно здійснити у ході
обстеження. Метою обстеження об”єкта є вивчення і визначення його інформаційної діяльності, визначення об”єктів захисту – ІзОД, виявлення загроз, їхній аналіз та побудова окремої моделі загроз. У ході обстеження необхідно:
провести аналіз умов функціонування об”єкта, його розташування на місцевості для визначення можливих джерел загроз;
дослідити засоби забезпечення інформаційної діяльності, які мають вихід за межі контрольованої території;
вивчити схеми засобів і систем життєзабезпечення об”єкта, а також інженерних комунікацій та металоконструкцій;
дослідити інформаційні потоки та технологічні процеси оброблення інформації;
визначити наявність та технічний стан засобів забезпечення ТЗІ;
перевірити наявність на об”єкті нормативних документів, які забезпечують функціонування системи захисту інформації, організацію проектування будівельних робіт з урахуванням вимог ТЗІ, а також нормативної та експлуатаційної документації, яка забезпечує інформаційну діяльність;
виявити наявність транзитних, незадіяних кабелів, кіл і проводів;
визначити технічні засоби і системи, застосування яких не обгрунтовано службовою чи виробничою необхідністю і які підлягають демонтуванню;
визначити технічні засоби, що потребують переобладнання та встановлення засобів ТЗІ.
Розділ “Організація розроблення системи захисту інформації” вимагає визначити головні задачі захисту
Інформації і скласти технічне завдання на розроблення системи ЗІ на підставі матеріалів обстеження та окремої моделі загроз. Технічне завдання повинно включати основні розділи;
вимоги до систем захисту інформації;
вимоги до складу проектної та експлуатаційної документації;
етапи виконання робіт;
порядок внесення змін і доповнень до розділів технічного завдання;
вимоги до порядку проведення випробування систем захисту.
Основною функціонування системи захисту інформації є план ТЗІ, що повинен містити такі документи:
перелік розпорядчих, організаційно-методичних НД ТЗІ, а також вказівки щодо їхнього застосування;
інструкції про порядок реалізації організаційних, первинних технічних та основних технічних заходів захисту;
інструкції, що встановлюють обов”язки, права та відповідальність персоналу;
календарний план ТЗІ.
Шостий розділ “Організація організаційних заходів захисту” визначає, що організаційні заходи ЗІ –
комплекс адміністративних та обмежувальних заходів, спрямованих на оперативне вирішення задач захисту шляхом регламентації діяльності персоналу і порядку функціонування систем забезпечення інформаційної діяльності та систем забезпечення ТЗІ. У процесі розроблення і реалізації організаційних заходів потрібно:
визначити окремі задачі захисту ІзОД;
обгрунтувати структуру і технологію функціонування системи захисту інформації;
розробити і впровадити правила реалізації заходів ТЗІ;
визначити і встановити права та обов”язки підрозділів та осіб, що беруть участь в обробленні ІзОД;
придбати засоби забезпечення ТЗІ та нормативні документи і забезпечити ними підприємство;
установити порядок впровадження захщених засобів обробки інформації, програмних і технічних засобів інформації, а також засобів контролю ТЗІ;
установити порядок проведення атестації системи технічного захисту інформації, її елементів і розробити програми атестаційного випробування;
забезпечити керування системою захисту інформації.
Сьомий розділ – це розділ “Реалізація первинних технічних заходів захисту”. У процесі реалізації первинних
технічних заходів потрібно забезпечити:
блокування каналів витоку інформації;
блокування несанкціонованого доступу до інформації чи її носіїв;
перевірку справності та працездатності технічних засобів забезпечення інформаційної діяльності.
Усі заходи здійснюються відповідно до нормативних та експлуатаційних документів, а також згідно діючих
вказівок, методик та цього розділу стандарту.
Розділ “Реалізація основних технічних заходів захисту” вказує, що у процесі реалізації основних технічних заходів захисту потрібно:
встановити засоби виявлення та індикації загроз і перевірити їх працездатність;
встановити захищені засоби оброблення інформації, засоби ТЗІ та перевірити їхню працездатність;
застосувати програмні засоби захисту в засобах обчислювальної техніки, автоматизованих системах, здійснити їх функціональне тестування на відповідність вимогам захищеності;
застосувати спеціальні інженерно-технічні споруди, засоби та системи.
Вибір засобів забезпечення ТЗІ зумовлюється фрагментним або комплексним способом захисту інформації.
Засоби ТЗІ застосовують автономно або спільно з механічними засобами забезпечення інформаційної діяльності для пасивного або активного приховування ІзОД
Спеціальні інженерно-технічні споруди, засоби та системи застосовують для оптичного, акустичного, електромагнітного та іншого сканування носіїв інформації.
Останній дев”ятий розділ “Приймання, визначення повноти та якості робіт” визначає, що виконується на останньому етапі проведення робіт по ТЗІ. Для визначення повноти та якості робіт з ТЗІ слід провести атестацію. Атестація виконується організаціями, що мають ліцензії на право діяльності в галузі ТЗІ. У ході атестації необхідно:
встановити відповідність об”єкту, що атестується, вимогам ТЗІ;
оцінити якість та надійність заходів захисту інформації;
оцінити повноту та достатність технічної документації для об”єкта атестації;
визначити необхідність внесення змін і доповнень до орпгнізаційно-розпорядчих документів;
Порядок атестації встановлюється НД ТЗІ.
Державний стандарт України ДСТУ 3396.2-97 “Захист інформації. Технічний захист інформації. Терміни та визначення” (01.01.98)
Даний стандарт встановлює терміни та визначення понять в сфері ТЗІ. Терміни, регламентовані в даному
стандарті, обов”язкові для використання в усіх видах організаційної та нормативної документації, а також для робіт з стандартизації і рекомендовані для використання в довідковій та навчально-методичній літературі, що належить до сфери ТЗІ.
Для кожного з понять встановлено один стандартний термін. Терміни-синоніми подано як довідкові, вони є стандартизованими. У стандарті як довідкові подано переклади термінів англійською та російською мовами, визначень – російською мовою.
Сьандарт склаждається з наступних розділів:
галузь використання;
основні положення;
нормативні посилання;
види інформації, які підлягають технічному захисту;
загроза для інформації;
технічний канал витоку інформації;
технічний захист інформації;
організація технічного захисту інформації;
абеткові скорочення українських, англійських та російських термінів.
Постанова КМ України “Концепція технічного захисту інформації в Україні” (№ 1126 від 08.10.97)
Дана концепція визначає основи державної політики у сфері захисту інформації інженерно-технічними
Заходами. Концепція має забезпечити єдність принципів формування і проведення такої політики в усіх сферах життєдіяльності особи, суспільства та держави і служити підставою для створення програм розвитку сфери ТЗІ.
Напрямки розвитку ТЗІ обумовлюються необхідністю своєчасного вжиття заходів, адекватним масштабам загроз для інформації, і грунтуються на засадах правової демократичної держави відповідно до прав суб”єктів інформаційних відносин на доступ до інформації та її захист. Концепція складається з наступних розділів:
Загальні положення;
Загрози безпеці інформації та стан її технічного захисту;
Система ТЗІ;
Основні напрямки державної політики у сфері ТЗІ;
Загрози безпеці інформації та стан її технічного захисту.
Витік інформації, яка становить державну та іншу передбачену законом таємницю, конфіденційної інформації,
що є власністю держави, - це одна з основних можливих загроз національній безпеці України в інформаційній сфері. Загрози безпеці інформації в Україні зумовлені:
не виваженістю державної політики в галузі інформаційних технологій;
діяльністю інших держав, спрямованою на одержання переваги в зовнішньополітичній, військовій, економічній та іншій сферах;
діяльністю політичних партій, суб”єктів підприємницької діяльності, окремих фізичних осіб, спрямованою на отримання переваги у політичній боротьбі та конкуренції;
злочинною діяльністю, спрямованою на протизаконне отримання інформації;
використання інформаційних технологій низького рівня якості;
недостатністю документації на засоби забезпечення ТЗІ іноземного виробництва, а також низькою кваліфікацією технічного персоналу у сфері ТЗІ.
Стан ТЗІ зумовлюється:
недосконалістю правовогорегулювання в інформаційній сфері, зокрема у сфері захисту таєимниць;
недостатністю нормативно-правових актів і нормативних документів з питань проведення досліджень, розроблення та виробництва засобів забезпечення ТЗІ;
незавершеністю створення системи сертифікації засобів забезпечення ТЗІ;
недосконалістю системи атестації на відповідність вимогам ТЗІ об”єктів;
недостатньою узгодженістю чинних в Україні нормативно-правових актів та нормативних документів з питань ТЗІ з відповідними міжнародними угодами України.
У розділі “Система ТЗІ” зазначено, що система ТЗІ – це сукупність об”єктів, об”єднаних цілями та
завданнями захисту інформації інженерно-технічними заходами, нормативно-правова та матеріально-технічна база. Принципами формування і проведення державної політики у сфері ТЗІ є:
дотримання балансу інтересів особи, суспільства та держави, їх взаємна відповідальність;
єдність підходів до забезпечення ТЗІ, які визначаються загрозами безпеці інформації та рнжимом доступу до неї;
комплексність, повнота та безперервність заходів ТЗІ;
відкритість нормативно-правових актів та нормативних документів з питань ТЗІ, які не містять відомостей, що становлять державну таємницю;
обов”язковість захисту інженерно-технічними заходами інформації, яка становить державну та іншу передбачену законом таємницю;
виконання на власний розсуд суб”єктами інформаційних відносин вимог щодо технічного захисту конфіденційної інформації;
покладення відповідальності за формування та реалізацію державної політики у сфері ТЗІ на спеціально уповноважений центральний орган виконавчої влади;
ієрархічність побудови організаційних структур системи ТЗІ та керівництво їх діяльністю;
координованість дій та розмежування сфер діяльності організаційних структур системи ТЗІ;
фінансова забезпеченість системи ТЗІ за рахунок Держбюджету України.
У цьому ж розділі наведені основні функції організаційних структур системи ТЗІ.
У розділі “Основні напрямки державної політики у сфері ТЗІ” визначається пріорітетність національних
інтересів. Основними напрямками державної політики у сфері ТЗІ є:
нормативно-правове забезпечення;
організаційне забезпечення;\науково-технічна та виробнича діяльність.
Крім того, у цьому розділі сформульовані також першочергові заходи щодо реалізації державної політики у
сфері ТЗІ. Значучість забезпечення ТЗІ, його наукоємність вимагає концентрації зусиль науково-технічного та виробничого потенціалу міністерств, інших центральних органів виконавчої влади, Національної академії наук.
2.4.1.
2.4.2.
2.4.3.
2.4.4.
2.4.5. “Положення про технічний захист інформації в Україні” (27.09.99)
Дане Положення визначає правові та організаційні засади технічного захист важливої для держави,
суспільства і особи інформації, охорона якої забезпечується державою відповідно до законодавства України.
Технічний захист інформації (ТЗІ) здійснюється щодо органів державної влади, органів місцевого самоврядування, органів управління збройних сил України та інших військових формувань, утворених згідно чинного законодавства відповідних підприємств, установ, організацій. Державна політика ТЗІ формується згідно з законодавством і реалізується Департаментом СТС та ЗІ СБУ у взаємодії з органами, щодо яких здійснюється ТЗІ. Організація ТЗІ в органах, щодо яких здійснюється ТЗІ, покладається на їх керівників.
Організаційно-технічні принципи, порядок здійснення заходів з ТЗІ, порядок контролю у цій сфері, характеристики загроз для інформації, норми та вимоги з технічного захимту, порядок атестації та експертизи комплексів ТЗІвизначаються нормативно-правовими актами, прийнятими в установленому порядку відповідними органами. Суб”єктами системи захисту інформації є:
департамент спеціальних телекомунікаційних систем за захисту інформації СБУ;
органи, щодо яких здійснюється ТЗІ;
державні наукові, науково-дослідні та науково-виробничі підприємства, установи та організації, що належать до системи СБУ і виконують завдання технічного захисту інформації;
військові частини, підприємства, установи та організації усіх форм власності і громадяни-підприємці, які проводять діяльність з технічного захисту інформації за відповідними дозволами або ліцензіями;
навчальні заклади з підготовки, перепідготовки та підвищення кваліфікації фахівців з технічного захисту інформації.
Основними завданнями Департаменту є:
підготовка пропозицій щодо формування державної політики ТЗІ;
створення та розвиток системи ТЗІ в Україні;
здійснення контролю за функціонуванням систем ТЗІ.
Департамент відповідно до покладени на нього завдань:
готує для надання Президентові України, КМ України, РНБО спеціальні довідки про стан технічнго захисту інформації в державі, пропозиції щодо перспектив і пріорітетних нарямків розвитку систем цього захисту;
розробляє проекти концепцій, загальнодержавних програм розвитку з ТЗІ, узгоджу\ програмиорганів, щодо яких здійснюється ТЗІ, з питаннями захисту інформації;
видає нормативно-правові акти з питань ТЗІ, визначає порядок хз впровадження (крім державних стандартів);
погоджує нормативно-правові акти з питань ТЗІ, які розробляються для власних потреб органами, щодо яких здійснюється ТЗІ;
визначає основні напрями стандартизації та організовує розроблення стандартів з ТЗІ;
забезпечує виявлення і прогнозування загроз для інформації,формування супроводження моделей технічних розвідок і загроз;
координує діяльність органів, щодо яких здійснюється ТЗІ, спрямовану на протидію технічним розвідкам на особливо важливих державних об”єктах військово-промислового комплексу, ЗС України, інших військових формувань, оцінює стан та ефективність цієї протидії;
визначає види діяльності суб”єктів з ТЗІ, що здійснюються за відповідними дозволами та надає такі дозволи;
видає перелік технічних засобів загального призначення, які дозволені для ТЗІ;
визначає за погодженням з Міністерством освіти і науки України перелік спеціальностей та спеціалізації, за якими здійснюється підготовка, перепідготовка та підвищення кваліфікації фахівців з ТЗІ, та погоджує перелік відповідних навчальних заходів;
здійснює методичне забезпечення підготовки та підвищення кваліфікації кадрів з ТЗІ;
контролює виконання вимог нормативно-правових актів з питань технічного захисту інформації та стан захищеності інформації інженерно-технічними заходами і засобами.
Основними завданнями органів, щодо яких здійснюється ТЗІ, є:
забезпечення ТЗІ згідно з вимогами нормативно-правових актів з питань технічного захисту;
видання в межах своїх повноважень нормативно-правових актів із зазначених питань;
здійснення контролю за станом ТЗІ.
Органи, щодо яких здійснюється ТЗІ, відповідно до покладених на них завдань:
створюють або визначають підрозділи, на які покладається забезпечення ТЗІ та контроль за його станом, узгоджують основні завдання та функції цих підрозділів;
видають за погодженням з Департаментом та впроваджують нормативно-правові акти з питань ТЗІ;
погоджують з Департаментом проведення підприємствами, установами, організаціями тих науково-дослідних, дослідно-конструкторських та дослідно-технічних робіт, спрямованих на розвиток нормативно-правової та матеріально-технічної бази ТЗІ, які здійснюються за рахунок коштів державного бюджету;
створюють або визначають за погодженням з Департаментом підприємства, установи і організації, що забезпечують ТЗІ;
забезпечують підготовку, перепідготовку та підвищення кваліфікації кадрів з ТЗІ;
надають Департаменту за його запитами відомості про стан ТЗІ.
Основними завданнями інших об”єктів ТЗІ є:
дослідження загроз для інформації на об”єктах, функціонування яких пов”язано з інформацією, що підлягає охороні;
створення та виробництво засобів забезпечення ТЗІ;
розробка, впровадження, супроводження комплексів ТЗІ;
підвищення кваліфікації фахівців з ТЗІ.
Матеріально-технічна база системи ТЗІ складається з технічних засобів загального призначення та
спеціальних технічних засобів.
Технічні засоби загального призначення повинні мати документ, що засвідчує їх відповідність вимогам нормативно-правових актів з ТЗІ, одержаній в порядку, що встановлюється Департаментом та Держкомстандатрту.
Під час розроблення і впровадження заходів з ТЗІ використовуються засоби, дозволені Департаментом для звстосування та включені до відповідних переліків.
Контроль в сфері ТЗІ полягає в перевірці виконання вимог положення, інших нормативно-правових актів з питань ТЗІ та в оцінюванні захищеності інформації на об”єкті, де вона циркулюватиме або циркулює.
Оцінювання захищеності інформації здійснюється шляхом атестації або експертизи комплексів ТЗІ та інспекційних перевірок. За результатами атестації або експертизи комплексів ТЗІ визначається можливість введення в експлуатацію об”єкта, де циркулюватиме інформація, охорона якої забезпечується державою.
“Положення про порядок здійснення криптографічного захисту інформації в Україні” (22.05.98)
Положення визначає порядок здійснення криптографічного захисту інформації, розголошеня якої може
завдати шкоди державі, суспільству або особі. Державну політику щодо криптографічного захисту інформації відповідно до цього Положення реалізує департамент спеціальних телекомунікаційних систем та захисту СБ України.
Державні органи, підприємства, установи і організації купують, ввозять в Україну, вивозять з України, використовують криптосистеми і засоби криптографічного захисту інформації за погодженням з вищезгаданим департаментом та СБУ.
З метою визначення рівня захищеності від несанкціонованого доступу до інформації з обмеженим доступом проводять сертифікаційні випробування криптосистем і засобів криптографічного захисту.
Для криптографічного захисту інформації, що становить державну таємницю, та службової інформації, створеної на замовлення державних органів або яка є власністю держави, використовуються криптосистеми і засоби криптографічного захисту, допущені до експлуатації. Ці криптосистеми і засоби перебувають у державній власності. Деякі засоби криптографічного захисту службової інформації та криптосистеми можуть перебувати в недержавній власності з відповідного дозволу.
Для криптографічного захисту інформації використовуються засоби криптографічного захисту та криптосистеми, які мають сертифікат відповідності. До користування криптосистемами та засобами криптографічного захисту секретної інформації допускаються особи, які у встановленому законом порядку отримали допуск до державної таємниці.
Порядок розроблення, виготовлення, розповсюдження, експлуатації, збереження, використання, випробування, сертифікації та допуску до експлуатації сриптосистем і засобів криптографічного захисту інформації, контролю за дотриманням вимог безпеки при проведенні цих робіт визначається відповідним положенням.
Діяльність, пов”язана з створенням і експлуатацією систем криптографічного захисту секретної інформації, забезпеченням безпеки інформації, що циркулює в цих системах, регламентується Інструкцією.
Діяльність, пов”язану з розробкоюЮ виготовленням, ввезенням, вивезенням, реалізацією та використанням засобів криптографічного захисту інформації, а також з надання послуг із криптографічного захисту інформації, можуть здійснювати суб”єкти підприємницької діяльності, зареєстровані в порядку, встановленому законодавством України.
2.6. Кримінальне законодавство України щодо захисту інформації (05.04.2001)
Кримінальний кодекс України (05.04.2001) ставить перед собою задачу – охорони суспільного ладу
України, його політичної й економічної систем, власності, особистості, прав і свобод громадян і всього правопорядку від злочинних зазіхань. Кримінальний Кодекс України (надалі – Кодекс) – це систематизована сукупність юридичних норм, установлених вищим органом законодавчої влади, щовизначають, як суспільно небезпечні діяння є злочинними і які покарання слід застосовувати до осіб, що їх вчинили. Кодекс напралений на забезпечення захисту життя, здоров”я, гідності, прав і свобод громадян, екологічної безпеки виробництва, державного суверенітету і конституційного устрою України від злочинних зазіхань. Він також регулює суспільні відносини, що виникають між державою і особою у випадку здійснення останнім злочину.
Кодекс 2001 р. враховує особливості сучасного стану розвитку держави, для якого характерними є яе виникнення нових, раніше не відомих форм суспільно-небезпечної поведінки, так і нові підходи до оцінки рівня небезпечності тих її форм, що вже відомі.
Згідно з Загальною частиною Кодексу підставою кримінальної відповідальності (ст. 2) є вчинення особливого суспільно небезпечного діяння, яке містить склад злочину, передбаченого цим Кодексом. Слід врахувати, що особа вважається невинною у вчинені злочину і не може бути піддана кримінальному покаранню, доки її вину не буде доведено в законному порядку і встановлено обвинувачувальним вироком суду. Крім того, не може бути притягнений до кримінальної відповідальності за той самий злочин більше одного разу.
Стаття 11 “Поняття злочину” визначає, що злочином є передбачене цим Кодексом суспільно небезпечне винне діяння або бездіяльність, вчинене суб”єктом злочину.
Стаття 12 класифікує злочини залежно від ступеня тяжкості та поділяє їх на злочини невеликої тяжкості, середньої тяжкості та особливо тяжкі.
Відповідно до чинного законодавства та Кодексу на злочинні дії з метою одержання інформації незаконним шляхом чи її змінення, знищення, розголошення, поширюються наступні статті Кодексу:
111 “Державна зрада”;
113 “Диверсія”;
114 “Шпигунство”;
162 “Порушення недоторканості житла”;
163 “Порушення таємниці листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передається засобами зв”язку або через комп”ютер”;
182 “Порушення недоторканості приватного життя”;
200 “Незаконні дії з документами на переказ, платіжними картками та іншими засобами доступу до банківських рахунків, обладнанням для їх виготовлення”;
202 “Порушення порядку зайняття господарською та банківською діяльністю”
231 “Незаконне збирання з метою використання або використання відомостей, що становлять комерційну таємницю”;
232 “Розголошення комерційної таємниці”;
328 “Розголошення державної таємниці”;
329 “Втрата документів, що містять державну таємницю”;
330 “Передача або збирання відомостей, що становлять конфіденційну інформацію, яка є власністю держави;
359 “Незаконне використання спеціальних технічних засобів негласного отримання інформації”;
360 “Навмисне пошкодження ліній зв”язку”;
361 “Незаконне втручання в роботу електронно-обчислювальних машин (комп”ютерів, систем та комп”ютерних мереж”;
362 “Викрадення, привласнення, вимагання комп”ютерної інформації або заволодіння нею шляхом шахрайства чи зловживання службовтм становищем”;
363 “Порушення правил експлуатації аавтоматизованих електронно-обчислювальних машин”;
422 “Розголошення відомостей військового характеру, що становлять державну таємницю або втрата документів чи матеріалів, що містять такі відомості”
3. Організаційно-технічні заходи щодо забезпечення захисту інформації
3.1. Класифікація засобів забезпечення безпеки автоматизованих систем
За способами реалізації всі заходи забезпечення безпеки АС поділяються на правові (законодавчі), морально-етичні, організаційні (адміністративні), фізичні й технічні (програмні та апаратурні) ?2,3-А?.
До правових заходів захисту належать чинні в Україні закони, укази Президента, постанови КМ України та нормативні акти, які регламентуюит правила поводження з інформацією, закріплюють права та обов”язки учасників інформаційних відносин у процесі обробки і використання, а також встановлюють відносини в процесі її обробки і використання, а також встановлюють відповідальність за порушення цих правил, перешкоджаючи таким чином неправомірному використанню інформації, тобто вистуаючи фактором стримування для потенційних порушників.
До морально-етичних заходів протидії належать норми поведінки, які традиційно склалися або складаються паралельно розповсюдженню ЕОМ у країні або суспільстві. Ці норми переважно не є обов”язковими, як, наприклад, законодавчо затверджені нормативи, однак їх недотримання веде звичайно до падіння авторитету, престижу людини, групи осіб чи організацій. Морально-етичні норми бувають як неписані (наприклад, загальновідомі норми чесності, патріотизму і т.п.), так і писані, тобто оформленні у звід (устав) правил або розпоряджень.
Законодавчі та морально-етичні заходи протидії є універсальними в тому сенсі, що принципово можуть застосовуватися для всіх каналів прониклнення і НСД до АС та інформації. В деяких випадках вони є єдиними, як наприклад, захист відкритої інформації від незаконного тиражування або при захисті від зловживань службовим становищем при роботі з інформацією.
Організаційні (адміністративні) засоби захисту – це заходи організаційного характеру, які регламентують процеси функціонування системи обробки даних, використання її ресурсів, діяльність персоналу, а також порядок взаємодії користувачів із системою таким чином, щоб наскільки можливо ускладнити або виключити можливість реалізації загроз безпеці.
Очевидно, що в організаційних структурах з низьким рівнем правопорядку, дисципліни і етики ставити питання про захист інформації немає сенсу. Спочатку необхідно вирішити правові та організаційні питання.
За даними закордонних фахівців організаційні заходи становлять до 50 % від усієї системи захисту. Вони використовуються тоді, коли КС (комп”ютерна система) не може безпосередньо контролювати процес обробки інформації. Крім того, в деяких важливих випадках з метою підвищення ефективності захисту дуже корисно технічні заходи продублювати організаційними. Це, однак, не означає, що систему необхідно будувати виключно на їх основі, як це іноді намагаються робити люди, далекі від технічного прогресу. До того ж орагнізаційним заходам притаманні деякі вади:
низька на дійність без відповідної підтримки фізичними, технічними та програмними засобами (людина є схильною до порушень обмежень і правил, якщо є можливість їх порушити);
додаткові незручності, які пов”язані з великим обсягом рутинної формальної діяльності.
Взагалі, організаційні заходи є ефективними, коли справа стосується саме людини.
Фізичні заходи базуються на застосуванні різного роду механічних, електро- або електронно-механічних
пристроїв, спеціально призначених для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонент системи та інформації, а також технічних засобів візуального спостереження, зв”язку та охоронної сигналізації.
Технічні (апаратно-програмні) заходи захисту базуються на використанні різних електронних пристроїв і спеціальних програм, що входять до складу АС і виконують (самостійно або в комплексі з іншими засобами) функції захисту.
Звичайно, всі заходи використовуються комплексно, причому вони іноді дуже тісно пов”язані один з одним, тобто:
організаційні заходи забезпечують виконання нормативних актів і будуються з урахуванням уже існуючих правил поведінки в організації;
виконання організаційних заходів вимагає створення нормативних документів;
ефективне використання організаційних заходів досягається обов”язковою підтримкою фізичних та технічних заходів;
використання технічних засобів захисту вимагає відповідної організаційної підтримки.
Надалі для позначення цілої групи заходів буде використовуватияс термін організаційно-технічні заходи.
3.2. Організаційні заходи
Застосування організаційно-технічних заходів запобігає значній частині загроз безпеці інформації і блокує їх та поєднує в єдину систему всі заходи захисту. Організаційні заходи повинні включати:
визначення технологічних процесів обробки інформації;
обгрунтування та вибір завдань захисту;
розробку та впровадження правил реалізації заходів ЗІ;
визначення та встановлення обо”язків підрозділів і осіб, що беруть участь в обробці інформації;
вибір засобів забезпечення ЗІ;
оснащення структурних елементів АС нормативними документами і засобами забезпечення ЗІ;
встановлення порядку впровадження засобів обробки інформації, програмних і технічних засобів захисту інформації та контролю їх ефективності;
визначення зон безпеки інформації;
обгрунтування структури та технології функціонування систем ЗІ;
розробка правил та порядку контролю функціонування СЗІ;
встановлення порядку проведення атестації технічних засобів та систем обробки інформації, систем зв”язку та передачі даних, технічних засобів та систем, що розташовані в приміщеннях, де вона циркулює, приміщень для засідань, а також усієї АС у цілому на відповідність вимогам безпеки інформації.
Організаційні заходи щодо ЗІ в АС полягають у розробці і реалізації адміністративних та організаційно-
технічних заходів при підготовці та експлуатації системи.
Організаційні заходи щодо захисту системи в процесі її фкнкціонування та підготовки до нього охоплюють рішення та процедури, які приймаються керівництвом організації – користувачем системи. Хоч деякі з них можуть визначатися зовнішніми факторами, наприклад законами або урядовими постановами, більшість проблем вирішується в самій організації в конкретних умовах.
Складовою будь-якого плану заходів захисту має бути чітке визначення цілей, розподіл відповідальності та перелік організаційних заходів захисту. Конкретний розподіл відповідальності та функцій щодо реалізації захисту від одної організації до іншої може змінюватися, але ретельне планування і точний розподіл відповідальності є необхідними умовами створення ефективної та життєздатної системи захисту.
Організаційні заходи щодо ЗІ в АС повинні охоплювати наступні етапи:
проектування;
розробки;
виготовлення;
випробувань;
підготовки до експлуатації;
експлуатації системи;
виведення з експлуатації.
Відповідно до вимог технічного завдання організація-проектувальник поряд з технічними заходами та
способами розробляє організаційні заходи на етапі створення системи. Під етапом створення розуміється проектування, розробка, виготовлення та випробування системи. При цьому слід чітко розрізняти заходи щодо ЗІ, які проводяться організацією-проектувальником і розраховуються на захист від витоку в даній організації, і заходи, що закладаються в проект та документацію на систему і торкаються принципів організації захисту в самій системі. Саме з них випливають необхідні організаційні заходи щодо ЗІ. До організаційних заходів щодо ЗІ в процесі створення системи слід віднести:
проведення на необхідних ділянках робіт з режимом секретності;
розробка посадових інструкцій щодо забезпечення режиму секретності відповідно до чинного законодавства;
виділення у разі потреби окремих приміщень з охоронною сигналізацією та пропускною системою;
розмежування завдань між виконавцями щодо випуску документації;
присвоєння грифів секретності матеріалам та документації і збереження їх під охороною у виділенних приміщеннях з урахуванням та контролем доступу виконавців;
постійний контроль за дотриманням виконавцем режиму та відповідних інструкцій;
встановлення і розподіл відповідальних осіб за витік інформації;
інші заходи, що встановлюються в конкретних системах.
В процесі підготовки системи до експлуатації з метою ЗІ необхідно:
при виділенні території, будинків та приміщень визначити контрольовану зону навколо об”єктів АС;
встановити охоронну сигналізацію в межах контрольованої зони;
сворити контрольно-пропускну систему;
перевірити схеми розміщеннята місця установки об”єктів АС;
перевірити стан системи життєзабезпеченя людей, умов функціонування системи та збереження документації;
підібрати кадри для обслуговування об”єктів АС, її захисту і створити централізовану службу безпеки (СБ) при керівництві;
провести навчання кадрів;
організувати розподіл функціональних обов”язків і відповідальності посадових осіб;
встановити повноваження посадових осіб щодо доступу до об”єктів та інформації АС;
розробити посадові інструкції щодо виконання функціональних обов”язків персоналу всіх категорій, включаючи СБ.
З точки зору способів реалізації основні організаційно-технічні заходи щодо створення і підтримки
функціонування системи ЗІ включають:
одноразові заходи (проектування АС, створення СЗІ, розробка нормативних документів, створення СБ та інше);
заходи, що проводяться при винекнинні певних змін у самій АС, яка захищається, або зовнішньому середовищі (у разі потреби) (ремонти, модифікації АС, кадрові зміни та інше);
періодичні заходи (розподіл паролів, ключів шифрування, аналіз системних журналів тощо);
постійні заходи (контроль за роботою персоналу, підтримка функціонування Систем ЗІ, забезпечення фізичного захисту тощо).
У процесі експлуатації системи повинен здійснюватися централізований контроль доступу до інформації за
допомогою технічних та організаційних заходів. Основна частина цих заходів входить до функцій СБ.
3.3. Служба безпеки
Служба безпеки є штатним або позаштатним (найнятим в охоронної структури) підрозділом, який створюється для організації кваліфікованої розробки систем ЗІ і забезпечення її функціонування. Основні завдання СБ є наступними:
формулювання вимог до систем захисту (СЗ) у процесі створення АС;
участь у проектуванні СЗ, її випробуваннях і прийманні в експлуатацію;
планування, організація і забезпечення функціонування СЗІ в процесі функціонування АС;
розподіл між користувачами необхідних реквізитів захисту;
спостереження за функціонуванням СЗ і її елементів;
організація перевірок надійності функціонування СЗ;
навчання користувачів і персоналу АС правилам безпечної обробки інформації;
контроль за дотриманням користувачами і персоналом АС встановлених правил поводження з інформацією, яка захищається, в процесі її автоматизованої обробки;
вживання заходів при спробах НСД до інформації і при порушеннях правил функціонування системи захисту.
Організаційно-правовий статус СБ визначається таким чином:
чисельність СБ повинна бути достатньою для виконання всіх перерахованих вище завдань;
СБ повинна підпорядковуватися тій особі, що у даний момент несе персональну відповідальність за дотримання правил користування інформацією, що захищається;
штатний підрозділ СБ не повинен мати інших обов”язків, пов”язаних із функціонуванням АС;
співробітники СБ повинні мати право доступу в усі приміщення, де встановлена аппаратура АС, і право припинити автоматизовану обробку інформації за наявності безпосередньої загрози для інформації, яка захищається;
керівнику СБ повинно бути надане право забороняти включення до числа діючих нових елементів АС, якщо вони не відповідають вимогам захисту інформації;
СБ мають бути забезпечені всі умови, необхідні для виконання їхніх функцій.
В основу створення СБ та організації її функціонування традиційно кладеться простий та наочний принцип
створення замкнутих, послідовних рубежів, що починаються за межами контрольованої зони і концентрично стягуються до особливо важливих виділених об”єктів захисту, тобто так звана рубіжна система захисту.
На кожному рубежі загрози порушень безпеки мають бути по можливості виявлені і ліквідовані, а у випадку неможливості їх ліквідації їх розповсюдженню повинні перешкоджати наступні рубежі. Основу планування та устаткування контрольованих зон складають принципи рівнопотужності і комплексності.
Використання рубіжної системи ЗІ зумовлене тим, що вона дозволяє забезпечити безпеку:
від широкого спектру різнорідних загроз;
при використанні різних технологій обробки інформації шляхом глобального контролю;
за рахунок оптимального розподілу ресурсів з урахуванням пріорітету загрози.
Очевидно, що чим складнішим є захист кожного рубежу, тим більше часу буде потрібно зловмиснику (ЗЛ)
для його подолання і тим імовірніше його виявлення. Звідси випливає, що захист кожного рубежу повинен взаємно доповнювати один одного й ефективність усієї системи захистів буде оцінюватися як мінімальний (безпечний) час, який ЗЛ повинен затратити на подолання всіх її рубежів.
Врешті-решт, джерелом навмисних загроз є людина – ЗЛ. Можливе порушення інформаційної безпеки залежить від його можливостей, що аналізуються на основі:
невизначеності процесу захисту, викликаної наявністю людського фактору;
рубіжної системи захисту;
можливостей ЗЛ вплинути на діяльність самої організації.
Тому з точки зору рубіжної моделі ЗЛ можна класифікувати у такий спосіб:
ЗЛ перебуває за межами контрольованої зони;
ЗЛ знаходиться в межах контрольованої зони, але без доступу у виділенні приміщення;
ЗЛ має доступ у виділенні приміщення і працює в них;
ЗЛ – співробітник організації, має доступ у виділенні приміщення і працює в них;
ЗЛ – співробітник СБ.
Знаючи можливі загрози, можна припустити, яким чином кожен вид ЗЛ може порушити безпеку об”єктів
захисту на тому чи іншому рубежі. Це дає змогу диференційовано підходити до комплексу засобів і методів захисту, визначаючи необхідні заходи і засоби захисту стосовно кожного виду ЗЛ.
Історично вже склалася світова практика забезпечення безпеки об”єктів захисту. Вона визначає взаємозв”язок об”єктів захисту з можливою формою ЗЛ і середовищем, цу якому він здійснює свої дії. З огляду на специфічні особливості середовища можна формувати основні напрямки захисту, що зумовлюють таку структуру функціональних підрозділів СБ:
група режиму;
служба охорони;
пожежна охорона;
аналітична група;
детективна група;
група протидії технічним розвідкам (ПДТР);
група захисту від НСД;
криптографічна група.
Залежно від конкретних потреб додатково можуть організовуватися допоміжні підрозділи: консультанти з
різних питань діяльності СБ, юридична служба, служба навчання та інше. Зауважимо, що тут представлено всі підрозділи, які можуть входити до складу СБ в принципі. Ясно, що цей список може змінюватися залежно від розмірів організації, рівня конфіденційності оброблюваної інформації, можливого обсягу фінансування тощо. В деяких випадках різні підрозділи можуть об”єднуватися залежно від конкретних завдань.
Діяльність СБ дуже різноманітна: від роботи із забезпечення безпеки персоналу до вирішення чисто технічних питань, що включають в себе перевірку та атестацію технічних і програмних засобів на відповідність спеціальним вимогам. У цілому основні найбільш загальні функції СБ можна визначити таким чином:
попередження;
контроль за поточною ситуацією;
реєстрація;
аналіз результатів атестації.
Існують положення про СБ, що регламентують її діяльність. Не вдаючись до детального розгляду цього
аспекту, коротко опишемо лише основні завдання кожного з підрозділів СБ.
Група режиму є самостійним підрозділом СБ, підпорядковується начальнику СБ і в своїй діяльності керується “Інструкцією з режиму і охорони”. В основні функції групи режиму входить:
організація пропускного і внутріоб”єктового режиму;
організація і ведення конфіденційного діловодства;
розробка відповідних положень та інструкцій;
розробка нормативів з бкзпеки і перевірка їх виконання;
контроль за режимом доступу до документів;
забезпечення користування і збереження документації;
контроль за порядком засекречування і розсекречування документів;
періодичний контроль вхідних і вихідних документів;
регламентне знищення носіїв інформації;
участь у кадровій діяльності.
В загальному можна сказати, що основний об”єкт діяльності групи режиму – це персонал організації, а
метою є створення робочої атмосфери в організації.
Служба охорони традиційно спрямована в основному на забезпечення пропускного і внутріоб”єктного режиму.
Головним завданням пожежної охорони є створення протипожежної обстановки на основі роботи з персоналом, використання засобів протипожежної сигналізації, роботи з органами держтехнагляду, пожежно-технічними службами.
Аналітична група займається збором, аналізом і оцінкою ступеня небезпеки для організації. Основна функція аналітичної служби полягає в роботі на перспективу, тобто в прогнозуванні можливих негативних та інших подій.
Детективна група займається проведенням заходів щодо спостереження за окремими співробітниками, бере участь у перевірці кадрів при прийомі на роботу, підтримує контакти з правоохоронними органами, сприяє забезпеченню повернення протермінованих кредитів тощо.
Перш ніж описати основні функції групи ПДТР, звернемо увагу на те, що в будь-якій організації існують технічні канали витоку інформації, які зумовлені властивостями технічних засобів і навколишнього середовища. Це і електромагнітне випромінювання, і акустичні коливання, і візуальні спостереження. Тому загалом цей напрямок захисту інформації представляється схемою: “джерело інформації–середовище–сигнал–приймач ЗЛ”. Виходячи з цієї схеми визначаються основні завдання групи ПДТР:
визначення джерел інформації;
визначення середовищ, де може існувати інформація;
визначення небезпечних сигналів у виявлених середовищах;
вимірювання величини небезпечного сигналу;
зменшення чи приховування величини небезпечного сигналу відповідно до існуючих нормативних документів.
Група захисту від НСД має своєю метою захист інформації, яка обробляється в самій комп”ютерній системі
(КС) і передається по лініях зв”язку. В групу можуть входити співробітники з різними функціональними обов”язками щодо КС. Звичайно виділяють чотири групи співробітників (за зростанням ієрархії):
співробітник групи безпеки. У його обов”язки входить забезпечення належного контролю за захистом наборів даних і програм, допомого користувачам і менеджменту у своїй зоні відповідальності.
Адміністратор безпеки системи. У його обов”язки входить щомісячне опублікування нововведень у сфері захисту, нових стандартів, а також контроль за виконанням планів безперервної роботи і відновлення (якщо в цьому виникає необхідність) і за зберіганням резервних копій.
Адміністратор безпеки даних. У його обо┴зки входить реалізація і зміна засобів захисту даних, контроль за станом захисту набору даних, жорсткість захисту у разі потреби, а також координування роботи з іншими адміністраторами.
Керівник (начальник) групи керування обробкоюінформації і захистом. У його обов”язки входить розробка і підтримка ефективних заходів захисту при обробці інформації для забезпечення цілісності даних, устаткування і програмного забезпечення; контроль за виконанням плану відновлення і загальне керівництво адміністративними групами в підсистемах АС.
Група криптографічного захисту забезпечує захист інформації при передачі її по каналах зв”язку шляхом
криптографічних перетворень інформації.
До інших функцій СБ належить також протидія терористичній діяльності щодо державних та комерційних організацій. В даний час стають все більш актуальними прблеми, пов”язані з захистом діяльності державних і комерційних об”єктів від тероризму. В 60-70-ті роки такий захист був обов”язковим лише для особливо важливих військових об”єктів і дипломатичних представництв в країнах з нестабільними режимами, у місцях дії екстремістських партій і рухів. Однак вже у 80-ті роки об”єктом дій терористичних груп стають і комерційні та державні структури, що змушує їх власників приділяти підвищену увагу інженерно-технічному захисту – посилені двері, грати на вікнах, вхідні тамбури тощо. Звичайним явищем стає цілодобова охорона об”єктів, контроль за допуском відвідувачів і персоналу, приховані відеокамери і постійний відеозапис обстановки як навколо об”єкту, так і всередині нього.
Доцільно виділити чотири основних напрямки боротьби з тероризмом:
формування програм забезпечення безпеки персоналу і власності організації (фірми);
запровадження методів управління та кадрової політики з врахуванням ризику функціонування організації (фірми) в районах (місцях) підвищенної диверсійно-терористичної небезпеки;
вироблення рекомендацій з тактики дії адміністрації, СБ і поводження персоналу при зіткнені з небезпекою терористичних акцій;
зменшення обсягів важливої інформації, розмірів власності організації (фірми) і чисельності персоналу в зонах (районах) підвищенної небезпеки.
Програма забезпечення безпеки СБ в цілому може складатися з таких розділів:
забезпечення охорони керівництва;
забезпечення безпеки інших категорій службовців і збереження матеріально-технічних цінностей (валюта, цінні папери, устаткування, сировина тощо);
збір даних про можливідиверсійно-терористичні прояви;
тактика дій адміністрації і СБ підприємства у випадку виникнення надзвичайного стану, критичної ситуації.
Практична діяльність сучасної СБ нерозривно пов”язана з двома основними факторами – людським та
технічним. При цьому визначальним є наявність людського фактору, тому що ніякі технічні засоби без відповідної організації їх використання працівниками охорони не можуть гарантувати її надійність і захищеність.
3.4. Технічне забезпечення безпеки інформації
Кожний з наведених підрозділів СБ оснащується засобами забезпечення безпеки інформації відповідно до своїх основних функцій, завдань та обов”язків. Наведемо відомості про технічгне забезпечення деяких підрозділів СБ.
Виходячи з основних функцій групи режиму можна визначити основні напрямки її матеріально-технічного забезпечення:
Запобігання несанкціонованому проникненню у виділені приміщення. Воно досягається укріпленням дверей та установкою на них замків різних типів (з ключем, кодовий, з програмним пристроєм тощо).
Забезпечення збереження конфіденційної інформації. Для цього необхідно забезпечити підрозділи, де потрібно, необхідною кількістю сейфів та металевих шаф різного виду.
Системи забезпечення захисту носіїв інформації – документів, справ, фотографій, дискет тощо. Проблема збереження носіїв інформації є традиційною і найбільш відповідальною. Звичайно при проектуваннях сховищ носіїв виділяють два етапи. На першому етапі проводиться аналіз властивостей об”єкта (сховища) і виявлення загроз для нього. Тут є багато специфічних вимог – наявність двох кімнат (перша для каталогів носіїв, друга – для стелажів, шаф для носіїв), наявність ліній зв”язку, протипожежної та охоронної сигналізації, розміщення не на першому та останньому поверхах (найкраще в підвалі), спеціальна вентиляція і т. інше. Крім того, аналізуються можливі канали витоку інформації: візуальне спостереження і фотографування, крадіжка носіїв, копіювання носіїв, підслуховування, псування механізмів захисту. На другому етапі здійснюється підбір обладнання й апаратури.
Знищення конфіденційної інформації. Зазвичай вона (інформація) зберігається на паперових та магнітних носіях. Знищення паперових носіїв здійснюється шляхом їх спалювання або подріблення в спеціальних пристроях. Однак знищення інформації на магнітних носіях становить деякі труднощі. Тут виникають два завдання: знищення носія цілком і знищення окремих файлів. Хоча знищення магнітного носія не дуже складне, але воно пов”язане з помітними (порівняно з паперовими) економічними витратами. Тому частіше використовують програмні засоби. Іншим способом знищення інформації на магнітних носіях є їх розмагнічення магнітним полем не менш як 1500 ерстед. Таке потужне поле важко отримати, а, крім того, дискету не можна знімати з рахукну, оскільки невідомо, як вона розмагнітилась. Використовують також форматування носіїв. Однак при цьомк слід пам”ятати, що фізично на магнітному носії можна відновити інформацію, на яку зверху переписувалася до п”яти разів інша інформація.
Спеціальні технічні засоби. Вони необхідні для проведення вибіркового контролю телефонних розмов (КТР). Особи, які здійснюють КТР, повинні мати можливість підключатися до будь-якого телефону, причому абонент, що розмовляє, не повинен цього помітити. Крім того, вони повинні забезпечуватися магнітофоном, а також мати можливість перевірити будь-яку розмову, якщо вона стосується конфіденційної інформації. Суттєву допомогу тут може надати поліграф – прилад, що дає можливість визначити психологічний портрет особи.
Для забезпечення аналітичної групи достатньо потужної ЕОМ, яка має необхідний ПЗ та надійний доступ до
баз даних.
З огляду на основні прийоми детективної служби (підслуховування та спостереження) неважко зрозуміти, що її слід забезпечити засобами доя підслуховування розмов (мікрофони, магнітофони тощо), візуального спостереження (біноклі, стереотруби і т.д.) та фото- і відеозапис.
Пожежна та охоронна сигналізації за своєю побудовою та застосованою апаратурою мають багато спільного – канали зв”язку, прийом та обробка інформації, подача сигналів тривоги. Тому в сучасних системах захисту ці дві сигналізації зазвичай об”єднуються в єдину систему охоронно-пожежної сигналізації (ОПС). А тому охоронна служба та пожежна охорона мають спільне технічне забезпечення. Найважливішими елементами ОПС є датчики – пристрої для виявлення змін стану середовища та формування сигналу про це. Контроль та управління ОПС здійснюється з центрального поста охорони. Критерієм ефективності апаратури ОПС є число помилок та хибних спрацьовувань. Іншим важливим елементом ОПС є тривожне оповіщення, яке залежно від конкретних умов має передавати інформацію за допомогою звукових, оптичних або мовних (можливі комбінації) сигналів. У багатьох випадках ОПС є елементом управління для інших засобів системи захисту, наприклад, при виникненні пожежі за сигналом приводяться в дію автоматичне пожежогасіння, система димовидалення та вентиляції. Каналами зв”язку в системі ОПС можуть бути спеціально прокладені провідні лінії, телефонні лінії, телеграфні лінії, радіоканали. Технічні засоби ОПС включають датчики, канали зв”язку, приймально-контрольні прилади, оповісники.
Одним з найбіль розповсюдженних технічних засобів охорони є охоронне телебачення. Воно відрізняється простотою настройки, надійністю, можливістю не лише фіксувати порушення режиму охорони об”єкта, а й контролювати обстановку навколо об”єкта, визначати причини порушень, приховано вести спостереження і здійснювати відеозапис ситуації.
3.5. Технічні канали витоку інформації
Проблема надійного та ефективного ЗІ від витоку в сучасних умовах з використанням різних технічних засобів дуже актуальна, що зумовлено різними причинами, пов”язаними як із загальним технічним прогресом в усьому світі, так і внутрішними політичними, економічними і соціальними факторами. Сьогодні має місце підвищена уразливість інформації, оброблюваної, переданої, прийнятої, що копіюється, відображуваної і т. інше із застосуванням засобів і систем обчислювальної техніки, зв”язку, звуко- і відеозапису, звукопідсилення мови, телевізійної і множної техніки та інших технічних засобів та систем, якими в даний час інтенсивно оснащуються будь-які державні та комерційні структури, а також підвищена вразливість мовної інформації, яка циркулює в різних службових приміщеннях, і візуальної інформації, зафіксованої у всіляких документах, що є насамперед наслідком бурхливого розвитку як самих перерахованих засобів та систем, так і методів і засобів перехоплення цієї інформації
Сучасні засоби перехоплення інформації дають змогу на відстані в десятки і сотні метрів реєструвати різної природи побічні інформативні сигнали, що виникають при роботі зазначених вище технічних засобів, і за результатами цієї реєстрації відновлювати оброблювану, передану, прийняту, копійовану інформацію. Побічні інформативні сигнали можуть бути віброакустичними (звукові коливання) або електромагнітними. Але в будь-якому випадку вони жорстко прив”язані з інформаційними фізичними процесами, що відбуваються в технічних засобах при їх функціонуванні.
Інформацію можна одержати не лише шляхом перехоплення побічних інформаційних сигналів, а й за результатами прямої реєстрації сигналів, що циркулюють в інформаційних ланцюгах технічних систем (насамперед у лініях зв”язку). Реалізувати засоби перехоплення тут, як правило, легше, ніж для випадків побічних вмпромінювань і наведень.
Для несанкціонованого отримання інформації, оброблюваної, передаваної і т. ін. За допомогою технічних засобів, можуть викоистовуватися і спеціальні технічні пристрої активного перехоплення, що на відміну від засобів пасивного перехоплення самі створюють певні робочі сигнали. На них впливають сигнали, що циркулюють в інформаційних ланцюгах технічних засобів, чи побічні інформаційні сигнали, що виникають при функціонуванні цих заслбів. В результаті виникає більш складний “небезпечний” сигнал, і за ним відновлюється інформація, носієм якої він є (звичайно, за допомогою спеціального приймального пристрою).
Оскільки канали витоку інформації, що утворюються при розглянутому перехопленні, пов”язані з тим чи іншим джерелом інформації, а для їх створення використовуються технічні засоби перехоплення, вони називаються технічними каналами витоку інформації. До такого роду каналів належать також перехоплення мовної інформації, візуальної з різних документів, але лише у випадку використання для цих цілей технічних засобів. Тут також можливе як пасивне, так і активне перехоплення. Найбільш розповсюдженні основні технічні канали витоку інформації можна класифікувати за такою схемою (мал. 2 –А).
Технічні канали витоку інформації
Під терміном “канали витоку інформації за рахунок інформативних побічних випромінювань і наведень” розуміють кілька типів технічних каналів витоку інформації. Вони відрізняються фізичними явищами, через які інформативні сигнали надходять у середовище їх поширення і з якого вони потім перехоплюються, а за ними відновлюється інформація, оброблювана за допомогою даного технічного пристрою. Такі канали можуть виникати за рахунок сигналів:
викликаних паразитними інформативними електричними і магнітними полями розсіювання самих технічних засобів;
викликаних паразитними інформативними сигналами, наведеними в різні струмопровідні середовища;
викликані паразитною модуляцією інформативними сигналами високочастотних генераторів.
При роботі деяких технічних засобів поряд з електромагнітними полями розсіювання можуть виникати
інформативні акустичні і вібраційні поля, що, поширюючись внавколишньомк середовищі чи по твердих конструкціях, можуть впливати на елементи і вузли інших технічних пристроїв. Під впливом таких полів у цих елементах створюється інформативний сигнал, щоза наявністю підключених до них ліній створює умови витоку інформації. Розглянемо деякі приклади.
Телефонний аппарат, навіть якщо його трубка знаходиться на відведеному їй місці, може служити причиною виникнення каналу витоку інформації, тому що в його складі є дзвінок виклику і телефон. В останніх приладах під впливом акустичних коливань індукується електромагнітне поле інформативного сигналу. Аналогічні властивості можуть мати також елементи інших технічних засобів (елементи електричних годинників, електродинамічні гкчномовці, деякі датчики пожежної і охоронної сигналізації).
Таким чином, перехоплення конфіденційних розмов може здійснюватися за допомогою подібних технічних пристроїв. У найпростішому варіанті створюється прихована провідна лінія (чи використовується існуюча лінія), до якої підключається мікрофон, який оснащений підсилювачем та фільтром. Мікрофон приховано розміщуєтьяс всередині (поблизу) цього приміщення. Крім мікрофонів, що реагують на коливання повітря, існують мікрофони, що сприймають коливання будівельних конструкцій будинку, що виникають внаслідок коливань повітря при розмовах. Ці мікрофони, які називаються, стетоскопами, використовуються для підслуховування крізь стіни, двері і т.п.
Нині існують ефективні оптичні системи,що дозволяють з космосу розрізняти номерні знаки автомобілів, тому сфотографувати документ з відстані кількох сотень метрів не є проблемою.
Найдорожчими засобами перехопленнч є лазерні системи, що забезпечують посилання зондованого сигналу на скло вікон. Скло під дією коливань повітря, викликаних розмовою, вібрує, що легко вловлюється на відстані кількох сотень метрів лазерним променем і розшифровується.
Технічні закладки (“жучки”) являють собою малогабаритні пристрої для збору і передачі на досить великі відстані як інформації, оброблюваної технічними пристроями (апаратурні закладки), так і мовної інформації (мовні закладки). Найчастіше мовні закладки мають три основних елементи: мікрофон, радіопередавач, джерело живлення. Є цілий ряд способів маскування їх роботи, суть кожного зрозуміла з їх назв:
імпульсний режим передачі інформації;
режим скачкової зміни частоти передачі інформації;
зменшення потужності передачі інформації до допустимої межі;
розміщення частоти передачі поряд з частотою потужної радіостанції;
дистанційне управління передачею інформації.
Слід зауважити, що на сьогодні завдання виявлення технічних закладок не вирішене. Це означає, що навіть
після ретельної перевірки об”єкта за спеціальними методиками та за допомогою високоякісної сучасної апаратури не можна бути впевненим, що технічної закладки немає.
4. Інженерно-технічний захист інформації
4.1. Принципи охорони об”єктів, охоронні системи
Принципи, що визначають загальні вимоги до засобів охорони об”єктів (способів та засобів захисту інформації):
безперервність охорони об”єктів (захисту інформації) характеризує постійну готовність системи і засобів охорони об”єктів до відбиття загрози несанкціонованого доступу на об”єкти (до інформації);
активність перодбачає прогнозування дій зловмисника, розробку і реалізацію випереджаючих заходів охорони (захисту);
скритність виключає ознайомлення сторонніх осіб з засобами і техннологією охорони об”єктів (захисту інформації);
цілеспрямованість передбачає зосередження зусиль по запобіганню загрозам найбільш важливим об”єктам (найбілш цінній інформації);
комплексність використання засобів охорони об”єктів, що дозволяє компенсувати недоліки одних засобів достоїнствами іншими.
Розглянемо питання застосування інженерно-технічних засобів охорони. При ухваленні рішення про використання технічних засобів охорони і про архітектуру системи загалом необхідно поставити собі два питання: чи спрацює техніка і чи можна вивести її з ладу ?
Недостатньо знати, що техніка і система вцілому буде працювати задовільно. Необхідна ще і впевненість, що її нелегко буде вивести з ладу.
Крім того, слід враховувати залежність надійності системи безпеки від її вартості. Фактор вартості системи безпеки змушує іти на певний компроміс. Для забезпечення більш низької вартості необхідно, щоб розробка системи охорони велася з урахуванням відомих і доступних методів, устаткування та елементів. У кінцевому рахунку стадія проектування повинна дати відповідь на питання: що потрібно робити і як потрібно робити ?
Відповідно до розробленого проекту проводяться роботи з впрвадження системи на об”єкті – придбання і монтаж устаткування, прокладка кабельних мереж, організаційне забезпечення роботи системи, навчання персоналу. Таким чином, процес створення та вдосконалення системи забезпечення безпеки об”єкта складається з трьох важливих стадій: обстеження об”єкта, проектування і впровадження.
Як правило, системи безпеки комплектуються з устаткування різних підприємств і фірм, проектування і монтаж можуть проводитися також різними організаціями, тобто відповідальність за працездатність та надійність усієї системи розподіляється між проектувальниками, виробниками та монтажниками. Тому дуже важливо для користувача правильно орієнтуватися на сучасному ринку пропонованих послуг із забезпечення безпеки фізичних об”єктів. Об”єкт, що охороняється, може являти собою:
комплекс будинків, будівель, споруд, відкритих майданчиків з матеріальними цінностями, розташований на одній загальній охоронюваній території;
окремі будинки, будівлі, споруди, відкриті майданчики з матеріальними цінностями;
одне чи кілька приміщень, розташованих у будинку, будівлі, споруді з матеріальними цінностями.
Як будь-яка система, система охорони являє собою сукупність організаційних заходів з інженерно-
технічним оснащенням. Щоб впіймати порушника на місці злочину, його дії слід виявити, а інформацію про нього передати людям, які здатні прибути вчасно на місце і затримати ЗЛ. Як бачимо, тут присутні два аспекти оперативної діяльності: активний, що стосується людини, і пасивний, що стосується технічних засобів. Незважаючи на безліч супутніх проблем, використання електронних технічних засобів у системах охоронної сигналізації цілком виправдовує себе. Краще одержати сигнал про напад, ніж взагалі нічого не підозрювати. Але якщо навіть система спроекирвана та встановлена на об”єкті, її недоліком залишається залежність від людей. Про це не слід забуати при впровадженні системи охорони об”єктів, і, поряд з питаннями оснащеності об”єкта технічними засобами охорони, повинні розглядатися питання організації охоронної служби. Зупинимося на загальних принципах побудови охорони з погляду використання технічних засобів.
Охорона об”єктів здійснюється по периметру території (зовнішня периметрова) та всередині (внутріоб”єктна). Крім того, система охорони об”єктів повинна передбачати використання індивідуальних засобів захисту, що забезпечують безпеку фізичних осіб, які зайняті в сфері охорони об”єкта і можуть піддаватися нападу ЗЛ.
Першою перешкодою на шляху ЗЛ, що зменшує фактор ризику, є інженерні засоби охорони. Крім функцій фізичної перешкоди, інженерні засоби охорони виконують функції психологічної перешкоди, попереджаючи можливість здійснення порушення. Крім того, фізичні бар”єри збільшують час, необхідний ЗЛ для їх подолання, що робить більш імовірною можливість його затримки. Інженерні засоби призначаються для:
утруднення дій ЗЛ при проникненні на об”єкт чи з об”єкта;
полегшення працівникам охорони виявлення слідів і затримки ЗЛ;
створення працівника охорони необхідних умов для виконання завдань щодо охорони об”єкта;
позначення меж постів і заборонених зон об”єктів.
До периметрових інженерних засобів відносяться:
основне огородження;
огородження забороненої зони;
контрольно-слідова смуга;
дорога охорони і стежка нарядів;
дротові загородження;
спостережні вишки, постові грибки, постові будинки; вказівні, попереджувальні і розмежувальні знаки; окопи і укриття;
устаткування постів вартових собак.
Як огородження по периметру території перспективно використовувати вироби з коючої стрічки. Вона за
своїм призначенням умовно може розглядатися як елемент, аналогічний колючому дроту. При цьому стрічка є більш міцною в порівнянні з дротом.
Як фізичні бар”єри в окремих будинках, спорудах, приміщеннях використовуються спеціальним чином укріплені двері, грати, замки, засуви, засуви на вікнах і дверях тощо.
Усі підземні і надземні комунікації об”єктів, що мають входи і виходи у вигляді колодязів, люків, шахт, відкритих трубопроводів, каналів і подібних споруд, через які можна проникнути на об”єкт, обладнуються постійними чи знімними металевими гратами, кришками, що зачиняються, дверми і т.д.
Фізичною перешкодою на шляху проникнення ЗЛ на рб”єкт є і контрольно-пропускний пункт (КПП), спеціально встановлені та обладнанні місця для здійснення пропуску людей і транспорту, виносу (внесенню) чи вивозу (ввозу) матеріальних цінностей і документів. КПП поділяються на контрольно-прохідні ті контрольно-проїздні. Контрольно-прохідні пункти, в свою чергу, поділяються на зовнішні (доступ на територію) і внутрішні (доступ у будинок, приміщення). Як інженерні засоби для облаштування КПП використовуються засоби для збереження і видачі пропусків, бар”єри, що ізолюють проходи, турнікети, двері, кабіни для працівників охорони та ін.
Контрольно-проїздні пункти облаштовуються проїздними воротами, майданчиками чи естакадами для огляду транспорту, шлагбаумами чи допоміжними воротами, оглядовими вишками та оглядовими ямами, постовими будками тв ін.
На мал. 3.1-С представлено варіант розташування зон безпеки підзахисного об”єкта.
До електронних технічних засобів охорони належать:
засоби виявлення ЗЛ;
засоби виявлення пожежі;
засоби оперативного зв”язку та оповцщення;
засоби спостереження та телеконтролю;
засоби забезпечення пропускного режиму;
електроживильні установки;
охоронне освітлення;
лінії зв”язку (сполучні і живильні);
Технічні засоби охорони повинні забезпечувати:
своєчасну подачу сигналу тривоги у вартове приміщення;
при спробі порушників проникнути на охороняєму територію, в будинок чи приміщення із вказівкою місця, часу порушення (пожежі), а також напрямку руху порушника, включення сирени, дзвінків, гучномовного зв”язку з метою змусити порушника відмовитися від своїх намірів;
отримання достовірної інформації про стан охороняємого об”єкту без виходу на місце особового складу охорони;
двосторонній зв”язок аварти з постами для керування нарядами охорони;
автоматизацію і механізацію контрольно-пропускного режиму;
подачі сигналу про виникнення пожежі;
ведення охорони об”єкта мінімальною кількістю людей;
забезпечення особистої безпеки і поліпшення умов праці особовому складу варти.
Залежно від мети і поставлених завдань технічні засоби охорони можуть компонуватися різним чином,
утворюючи одно- чи багаторубіжні системи охорони (охоронно-пожежної сигналізації). Термін “охоронно-пожежна сигналізація” означає отримання, обробку, передачу і представлення в заданому вигляді споживачам інформації про проникнення на охороняємі об”єкти і про пожежу на ниї за допомогою технічних засобів. Кількість рубежів і тип використовуваних електронних технічних засобів визначаються в кожному конкретному випадку проектом залежно від важливості, категорійності об”єктів.
Рубіж – це система охоронної сигналізації, що складається, як правило, з датчиків одного типу і розміщена на шляхах можливого руху ЗЛ таким чином, що будь-яке порушення охороняємої зони викликає спрацьовування датчиків. Наприклад, периметри об”єктів, охороняємих відомчою воєнізованою охороною, обладнуються технічними засобами різного принципу дії не менше, ніж у два рубежі. Перший рубіж – обладнується по козирьку основного огородження. Зазвичай по козирьку основного огородження встановлюються ємнісні, інфрачервоні (оптико-електронні) та індуктивні датчики. Другий рубіж обладнується в забороненій зоні. Для нього рекомендується використовувати радіовипромінювальні датчики.
Обов”язковому обладнанню технічними засобами охорони підлягають дахи одно- та двоповерхових будинків, розташованих на межі охороняємої території об”єкта, а також вікна цих будинків. Кількість рубежів охорони при цьому має відповідати кільеості рбежів охорони по периметру.
Подібно до того, як окрема ділянка периметра блокується технічними засобами охорони, ворота контрольно-проїзних пунктів – перший рубіж обладнується по верху основних воріт, другий – по забороненій зоні чи полотні воріт в огорожі забороненої зони. Додатково ворота блокуються на їх відчинення електроконтактними датчиками, що включаються послідовно в сигнальні лінії кожного рубежу.
Технічними засобами оснащуються також підземні і надземні комунікації, що виходять за межі охороняємої території об”єкту.
Лінійна частина засобів сигналізації по периметру об”єктів розбивається на ділянки, причому кожній ділянці кожного рубежу присвоюється окремий номер прийомної станції. Межі ділянок, обладнані технічними засобами охорони, повинні бути загальними для всіх типів пристроїв і охоронного освітлення. Технічні засоби, що використовуються для охорони периметру, повинні працювати цілодобово.
В середині об”єктів технічними засоьами охорони блокуються:
різноманітні конструктивні елементи будинків (вікна, двері, ворота, підлоги, стіни, світлові ліхтарі, перегородки, люки, виходи на дахи і т.д.);
приміщення чи його частина, підходи і проходи, коридори і сходові клітки;
різноманітні трубопроводи, сходи, елементи конструкції козлових кранів, люки та ін., що дозволяють проникнути в охороняєме приміщення;
сейфи, стенди, стелажі, технологічне устаткування, окремі предмети;
місця стоянки чи збереження виробів.
Перший рубіж охорони тут являє собою систему з різних типів датчиків і шлейфів блокування,
встановлюваних на шляхах можливого проникнення порушника в охороняєме приміщення (будинок), а саме на діючих і запасних воротах, дверях,вікнах, світлових ліхтарях, горищних люках і т.ін.
Другий рубіж сигналізації являє собою систему з датчиків, що забезпечують блокування або всього об”єму приміщення, або окремих його ділянок чи конструкцій, або окремих предметів, сейфів, стендів, шаф і т.п., що знаходяться в приміщеннях.
Кожен рубіж сигналізації повинен мати свій номер на табло прийомної станції у вартовому приміщенні.
Схеми включення датчиків у шлейфи охоронної сигналізації повинні забезпечувати контроль за працездатністю цих датчиків ті їх ліній зв”язку з вартового приміщення. Під шлейфом охоронної (пожежної, охоронно-пожежної) сигналізації розуміється електричний ланцюг, що з”єднує вихідні ланцюги датчиків, які включають допоміжні (виносні) елементи і з”єднувальні дроти та призначені для передачі на приймально-контрольний прилад повідомлень про проникнення, спробу проникнення (пожежу) і несправності, а в деяких випадках і для подачі електроживлення на датчики.
Системи охорони можуть будуватися як автономні або як централізовані.
При розробці чи вдосконаленні системи охорони слід пам”ятати, що правильний вибір технічних засобів, правильно спроектована система визначають ступінь надійності охорони об”єкта. При цьому слід враховувати ряд факторів, такихяк:
режимність підприємства;
конструктивні особливості будинків, споруд;
час реагування працівників охорони;
рельєф і кліматичні умови;
рівень шумів, радіо- та електроперешкод;
час, режим та змінність роботи;
насиченість приміщеннь технологічним устаткуванням;
категорію вибухонебезпечності;
наявність вентиляційних і опалювальних приладів;
наявність матеріальних цінностей і т.п.
Необхідно також додати, що вразі потреби для вирішення питань проектування та розробки систем охорони
обов”язково слід звертатися до спеціально визначених для цього організацій.
Задачі захисту стаціонарних об”єктів і засоби, що застосовуються для його
забезпеченняахист машинних носіїв інформації
Задачі, які повинні вирішуватися в процесі захисту стаціонарних об”єктів:
Запобігання несанкціонованому доступу на об”єкти ( і до інформації, що обробляється і /або зберігається на об”єкті).
Виявлення пожежі на підохоронному об”єкті і сигналізація про це.
Організація санкціонованого доступу на об”єкти.
Засоби, що використовуються для захисту стаціонарних об”єктів
А) Для запобігання несанкціонованому доступу на об”єкти (до інформації, що обробляється і /або зберігається на об”єкті) та ліквідації його наслідків (якщо порушення мало місце) повинні бути виконані наступні дії:
Розбиття підохоронного об”єкта на зони безпеки (контрольні зони): територія, будівля, поверх, приміщення і т.д.
Перешкоджання проникненню в зони безпеки.
Виявлення факту проникнення в зону (на контрольований об”єкт) або перебування у ній і сигналізація про це.
Виявлення і впізнання порушника (зловмисника).
Усунення загрози.
Для запобігання несанкціонованому доступу на об”єкти інформаційної діяльності застосовуються
наступні засоби захисту:
для перешкоджання проникненню в контрольовані зони – огородження, двері, грати;
для виявлення факту проникнення в контрольовану зону або перебування в ній і сигналізації про це – системи охоронної сигналізації, до складу яких входять сповіщувачі охоронної сигналізації, системи зв”язку, приймально-контрольні прилади;
для виявлення і впізнання порушника (зловмисника) – системи відеоспостереження;
для усунення загрози – засоби відбиття загроз.
Б. Для виявлення пожежі на підохоронному об”єкті, визначення місця і ліквідації пожежі повинні бути виконані наступні дії:
Розбиття підохоронного об”єкта на зони: територія, будівля, поверх, приміщення і т.д.
Виявлення пожежі і сигналізація про це.
Виявлення і уточнення місця пожежі.
Усунення загрози (гасіння пожежі).
Для виявлення і ліквідації пожежі застосовуються наступні засоби:
для виявлення пожежі і сигналізації про це – системи пожежної сигналізації;
для виявлення (уточнення) місця пожежі – системи відеоспостереження;
для усунення загрози – виконавчі пристрої.
В. Для організації санкціонованого доступу на об”єкти повинні бути виконані наступні дії:
Ідентифікація осіб (виявлення осіб, доступ яким дозволений).
Здійснення пропускання на об”єкт осіб, доступ яким дозволений.
Для організації санкціонованого доступу на об”єкти застосовуються наступні засоби:
для ідентифікації осіб і виявлення осіб, доступ яким дозволений, - системи допуску “пристрій ідентифікації – контролер”, ідентифікаційні карти, засоби біометричної ідентифікації;
для здійснення пропускання на об”єкт осіб, доступ яким дозволений – виконавчі пристрої;
Широко використовуються також, так звані, інтегровані системи, під якими розуміють системи, здвтні
управляти всім спектром сучасних охоронних пристроїв. Інтегрована система – це програмно-апаратний комплекс, до складу якого входять:
персональний комп”ютер з комплексом прогрпмного забезпечення;
приймальна станція;
адресні блоки;
Інтегровані системи забезпечують:
Точне визначення місця спрацювання засобу виявлення, подачу звукового, світлового сигналу, вказування типу пристрою, що спрацював;
Реєстрацію місцезнаходження і часу спрацювання засобів виявлення і тривожних кнопок;
Контроль за станом комунікаційних ліній і працездатність засобів виявлення;
Постановку і зняття охорони окремих пристроїв або їх груп;
Реєстрацію всіх подій, що відбулися в системі, і можливість їх перегляду за певний проміжок часу;
Управління різними пристроями реагування (блокування дверей, вмикання телекамер, систем пожежогасіння, вентиляції і інш.).
Використання в системі персонального комп”ютера дозволяє:
Отримати поетапні графічні плани об”єкта охорони. На плані можна відобразити об”єкт з прилеглою до нього
територією, під”їзди до нього, поверхові плани об”єкта, входи і виходи на поверхах, план приміщення;
Вивести довідкову інформацію про засіб виявлення, рекомендації по ліквідації ситуації, що створилася, та будь-яку іншу корисну інформацію;
Ввести і зберегти інформацію про виконані заходи і дії персоналу при виникненні тривожної ситуації;
Автоматично управляти різними пристроями реагування без участі оператора;
Записати, обробити і проаналізувати відеозображення.
Максимальна кількість підохоронних приміщень залежить від числа адресних сенсорів, що встановлені в них.
Під адресним сенсором мають на увазі власне сенсор і адресний пристрій, що забезпечує його ідентифікацію в мережі.
Інженерно-технічні засоби захисту можна поділити на дві групи: фізичні (механічні) та електронні. Фізичні інженерно-технічні засоби захисту застосовують для перешкоджання проникненню зловмисника в контрольовані зони, - огородження, двері, грати.
Електронні інженерно-технічні засоби захисту застосовують для виявлення і впізнання зловмисника, що незаконно проник в зону (системи сигналізації і системи спостереження), а також для організації санкціонованого доступу на об”єкти (системи “зчмтувач-контролер”). Системи “зчитувач-контролер” поділяються на ті, що ідентифікують людей за ідентифікаційними картами і за біометричними ознаками.
4.3. Розбиття підзахисних об”єктів інформаційної діяльності на зони безпеки
Багатозональність забезпечує диференційований санкціонований доступ різних категорій співробітників і відвідувачів до джерел інформації і реалізується щляхом розділення простору, що займає об”єкт захисту (організація, фірма тощо). Типовими зонами є:
територія, яку займає організація і що обмежується огорожею або умовним зовнішнім кордоном;
будівля на території;
кордон або його частина;
приміщення (службове, кабінет, і т.і.);
шафа, сейф, сховище.
Варіант розташування зон безпеки підзвітного об”єкта показаний на рис. (3.1 С).
Варіант системи забезпечення безпеки (охорони) території об”єкта показаний на рис. (3.2-С).
Засоби протидії рекомендується розміщувати на концентричних колах, що перетинають всі можливі шляхи противника до будь-якого з об”єктів. Кожний рубіж охорони потрібно створити таким чином, щоб затримати нападника на час, достатній для прийняття персоналом охорони дії у відповідь.
В тому випадку, якщо всередині будівлі розташовуються об”єкти з істотно різними вимогами до безпеки, застосовують розділення будівлі на відсіки, що дозволяє виділити внутрішні периметри всередині загального контрольованого простору і створити внутрішні захисні засоби від несанкціонованого доступу. Периметр звичайно виділяється фізичними перешкодами, прохід через які контролюється електронним способом або за допомогою спеціальних процедур.
Зони можуть бути: незалежними (будівлі організації, приміщення будівель), зони, що перетинаються, і вкладеними зонами (сейф всередині кімнати, кімната всередині будівлі, будівля на території організації).
З метою перешкоджання проникненню зловмисника в зону на її кордоні створюють, як правило, один або декілька рубежів охорони. Особливістю захисту кордону зони є вимога рівної міцності рубежів на кордоні і наявність контрольно-пропускних пунктів або постів, що забезпечують управління доступом в зону людей і автотранспотру.
Приклад вибору зон безпеки і побудови рубежів охорони приведений на рис. (3.3 –С).
Рубежі охорони створюють і всередині зони на шляху можливого руху ЗЛ або поширення інших носіїв, передусім, електромагнітних та акустичних полів. Наприклад, для захисту акустичної інформації від підслуховування в приміщенні може бути встановлений рубіж захисту у вигляді акустичного екрану.
Кожна зона характеризується рівнем безпеки інформації, що знаходиться в ній. Безпека інформації в зоні залежить від:
відстані від джерела інформації (сигналу) до ЗЛ або його засобу добування інформації;
кількості і рівня захисту рубежів на шляху руху ЗЛ або поширення іншого носія інформації (наприклад, поля);
ефективності способів і засобів управління допуском людей і автотранспорту в зону;
заходів захисту інформації всередині зони.
Чим більша віддаленість джерела інформації від місцезнаходження ЗЛ або його засобу добування і чим більше
рубежів охорони, тим більше час руху ЗЛ до джерела і ослаблення енергії носія у вигляді поля або електричного струму. Кількість і просторове розташування зон і рубежів вибирають таким чином, щоб забезпечити необхідний рівень безпеки інформації, що захищається, як від зовнішніх (що знаходяться поза територією організації), так і внутрішніх (ЗЛ, що проникли на територію, і спвробітників) загроз. Чим більш цінною є інформація, що захищається, тим більшою кількістю рубежів і зон доцільно оточувати її джерело і тим складніше ЗЛ забезпечити контакт з її носіями. Варіант класифікації зон по ступеню захищеності наведений в таблиці___:
Таблиця___
Безпека інформації в і-й зоні оцінюється імовірністю Qi(?) забезпечення заданого рівня безпеки інформації протягом певного часу. Для незалежних зон значення цих імовірностей незалежні, для вкладених - Q1(?)?Q2(?)?Q3(?)?...?Q5(?) (Q1…Q5 – імовірності забезпечення заданого рівня безпеки інформації відповідно для території, будівлі, поверху, приміщення і сейфа). Якщо безпека інформації в кожній зоні забезпечується тільки рубежем на її кордоні, то для доступу ЗЛ, наприклад, до документа, що зберігається в сейфі, йому необхідно подолати 5 рубежів: кордон території, увійти в будівлю, в коридор потрібного поверху, в приміщення і відкрити сейф. В цьому випадку безпека інформації в к-ій зоні Qк оцінюється величиною:
k k
Qk(?k) = 1 - ?Pi(?i), a ?k = ? ?i ,
i=1 i=1
де Pi(?i) – імовірність подолання ЗЛ і-го рубежа за час ?i .
Наприклад, якщо для всій і-ва імовірність Рі = 0,2 за час ?i = 5 хвилин, то Q5 = 0,99968 забезпечується протягом 25 хвилин. За більший час значення імовірності Q5 зменшується, бо збільшиться імовірність подолання ЗЛ рубежів захисту.
Фізичний захист стаціонарних об”єктів
Огорожа засосовується для заваджання проникненню на територію (охорони території по периметру).
Огорожі можуть бути стаціонарними та монтованими. З стаціонарних найбільш поширеними є бетонні огорожі. Недоліки – дорого коштують, вимагають багато часу для встановлення.
Нині найчастіше використовуються швидко монтовані огорожі. Вони складаються з металевих сіток або секцій різного типу. Висота таких огорож може досягати 2 м. Переваги монтованих огорож: порівняно малий час встановлення, можуть бути використані багато разів.
Як основною, так і додатковою завадою може бути колючий дріт. Як додаткова завада він може прикріплюватися у нижній і верхній частинах огородження будь-якої конструкції.
Двері застосовуються для заваджання проникнення в будівлю, на поверх, в приміщення. Серйозною завадою, при спробах проникнення в приміщення, є стальні двері. На зовнішній вигляд вони можуть не відрізнятися від пластмасових чи дерев”яних, що досягається використанням декоративних покриттів.
При виборі дверей необхідно перевірити жорстку фіксацію елементів затвора призакритому замку. Відповідальні дільниці стальних дверей в місці розташування петель і замка повинні захищатися додатково.Тут можуть використовуватися матеріали із вмістом вольфраму для заваджання висвердлюванню. Полотно стальних дверей не повинне містити зовнішніх зварних швів.
Міцність дверей залежить також від типу замка, що застосовується для їх замикання. Замки за способом встановлення поділяють на накладні та врізні. Накладні замки встановлюють зовні на полотні дверей, врізні – в тілі полотна дверей. Накладні замки менше послаблюють полотно дверей, ніж врізні, і вимагають менше часу на встановлення. Виключення складають багаторігельні врізні замки. При замиканні дверей багаторігельним замком механізм замка висуває замикаючі рігелі в чотирьох напрямках. Таке замикання дверей, при достатній їх міцності, забезпечує високу стійкість проти злому. При виробництві замків підвищеної надійності використовують матеріали, що не піддаються свердлінню, що досягається застосуванням вольфраму.
Грати захищають приміщення від проникнення через вікна, вентиляційні канали, освітлювальні шахти підвалів, інші комунікації.
В приміщеннях, обладнаних охоронною сигналізацією, грати рекомендується ставити з внутрішьої і зовнішньої сторони вікна з тим, щоб ЗЛ не могли швидко проникнути в приміщення, не порушивши цілісність сигналізації. Для захисту вікон, вентиляційних каналів і т.д. використовують каркасні та безкаркасні грати.
Вікна комор і інших приміщень в будівлях старої споруди слід захищати посиленими безкаркасними гратами, вікна підвалів – міцними стальними безкаркасними гратами. У каналах, що використовуються як аваріні виходи, грати повинні закриватися. При цьому замки гратів повинні розташовуватися зсередини.
Безкаркасні грати закладаються безпосередньо в стіну. Товщина лозин гратів часто вибирається з естетичних міркувань. При цьому слід враховувати, що подвійними важельними ножицями без надмірних зусиль перекушується стальна лозина діаметром 10 мм. Тому діаметр лозин стальних безкаркасних гратів повинен бути не менший 20 мм. Відстань між лозинами – не більше 120 мм. Малюнок розташування лозин може бути довільним, однак найбільш захищеними є грати, лози яких розташовуються хрестом або ромбом. Грати необхідно встановлювати так, щоб їх не можна було зняти або розігнути. При вікнах, що відкриваються назовні, не можна розташовувати грати близько до вікна.
Лози гратів, які розташовуються перпендикулярно, повинні розбвоюватися і не менше, ніж на 100 мм, закладатися в стіну. При цьому кожна з лозин закладається окремо. Місця перетину лозин (вузли гратів) повинні зварюватися або охоплюватися нерозрізними кільцями.
При закладанні безкаркасних гратів відстань від зовнішнього краю стіни до гратів повинна бути не менше за 120 мм. Місце закладання гратів в стіну потрібно зміцнювати арматурою, що розташовується із зовнішньої сторони лозин гратів. При цьому не вдається вирвати лози по одній із стіни. Переріз лозин може бути довільним.
Каркасні грати мають основу у вигляді рами. Вона виготовляється з металевого кутка із шириною полиці не менше за 30 мм. Розміри рами повинні відповідати розмірам отвору, в який вона вставляється. Чим менша відстань між рамою гратів і стіною отвору, тим важче її виламати.
Діаметр лозин каркасних гратів повинен бути не менше за 15 мм. Лози приварюються до рами з внутрішньої сторони. В цьому разі їх важче обламати в місцях зварювання. Розташовуватися лози гратів повинні хрестом або ромбом з розміром осередку не більше за 120 ?120 мм.
Обов”язкова фіксація вузлів і замкненість всіх контурів гратів. На гратах можуть розміщуватися декоративні елементи, додатково завужуючи осередки. Ці елементи можуть кріпитися консольно. Для ускладнення відгинання консольно приварених елементів за допомогою обрізків труб обклепуються їх вільні кінці у вигляді декоративних елементів (наприклад, декоративного листя).
Каркасні грати кріпляться до стіни штирями діаметром не менше за 20 мм. При цьому штирі захищаються стальними накладками. Накладки заваджають доступу до штирів, перерізанню штирів і приварюються до рами гратів. Штирі закладаються в стіну на глибину не менше за 100 мм з одного боку, і приварюються до гратів з іншого. Відстань між штирями повинна бути не більшоб за 500 мм. Розташовувати штирі необхідно по всьому периметру гратів з тим, щоб забезпечити максимальну жорсткість конструкції. Кріплення внутрішніх гратів може бути менш міцним, ніж зовнішніх.
Внутрішні грати в приміщенні повинні закриватися на замок і відкриватися для забезпечення доступу до вікна. Розмір осередку внутрішніх гратів, як і зовнішніх, повинен бути не більше за 120 ?120 мм.
Замикаючі пристрої гратів. Для замикання гратів застосовують замки з мінімально протяжними скобами. Вони найменш зручні для взлому. Крім того, металевий лист, приварений в місці розташування замка, ускладнює доступ до замка з одного боку гратів. При висоті гратів більше за 1,5 м на них встановлюють два замки на відстані не менше за 50 см.
Системи тривожної сигналізації
Ссистеми тривожної сигналізації фіксують факт несанкціонованого доступу в підохоронну зону (системи
охоронної сигналізації) або наявність пожежі (системи пожежної сигналізації), передають сигнал тривоги на приймально-контрольний прилад (пульт-концентратор) і далі, якщо передбачено, на пульт централізованого спостереження, вмикають виконуючі пристрої. Системи тривожної сигналізації складаються з :
сповіщувачів;
приймально-контрольного приладу;
системи зв”язку між сповіщувачем і приймально-контрольним пунктом.
При конструюванні системи сигналізації однією з центральних задач є вибір сповіщувачів.
А. Сповіщувачі систем охоронної сигналізації
Для реєстрації змін параметра, що контролюється, в системах охоронної сигналізації використовуються
сповіщувачі (детектори). У відповідності до ДСТУ ІЕС 839-1-1:2001 сповіщувач (детектор) – це пристрій для формування стану тривоги в разі виявлення небезпеки. Сповіщувач – це пристрій, що формує певний сигнал про зміну того або іншого контрольованого параметру навколишнього середовища.
Сповіщувач складається з чутливого елемента (сенсора), схеми обробки сигналів і схеми прийняття рішення. Прості сповіщувачі виконують аналогову обробку сигналів, що не завжди забезпечує необхідну надійність їх роботи. Підвищення надійності роботи сповіщувачів забезпечується застосуванням цифрових методів обробки сигналів.
У відповідності до ДСТУ ІЕС 839-1-1:2001чутливий елемент (сенсор) – це частина сповіщувача, призначена для виявлення зміни стану, що вказує на наявність небезпеки. Сенсор перетворюєпараметр, що контролюється, в електричний сигнал. Сенсори систем охоронної сигналізації фіксують, в основному, неелектричні величини.
Сповіщувачі є основними елементами охоронної сигналізації, які багато в чому визначають ефективність її використання. Вони призначені для:
фіксації (виявлення) факту порушення безпеки підохоронного об”єкту;
передачі тривожного повідомлення на приймально-контрольний прилад.
Існують сповіщувачі (сенсори), що сигналізують про:
проникнення ЗЛ на територію (охорона периметра);
перелізання ЗЛ через огородження;
проникнення ЗЛ в будівлю через двері або проходження через ворота;
проникнення в будівлю через вікно;
знаходження ЗЛ на підохоронній території;
знаходження ЗЛ в підохоронному приміщенні.
Для сигналізації про несанкціоновані дії ЗЛ в різних підохоронних зонах застосовують сповіщувачі
(сенсори) різних видів (табл. __).
Таблиця ___ . Класифікація сповіщувачів за призначенням
Сьогодні розроблені і використовується велика кількість самих різноманітних сповіщувачів (сенсорів) сигналізації). Розглянемо стисло принципи дії, відмінні особливості і способи застосування найбільш поширених сенсорів.
Периметральні сенсори натяжної дії.
Сенсори цього типу складаються з декількох рядів натянутого дроту, приєднаного до механічних мимикачів. Найменше відгинання дроту спричиняє спрацювання сигналізації. Для монтажу сенсорів натяжної дії використовується, як правило, колючий дріт. Вимикачі встановлюються на спеціальних стойках, які відстоять одна від однієї приблизно на 60 см. Дріт натягується із зусиллям до 45 кг, механізм вимикача спрацьовує при відгинанні дроту понад 2 мм. Подолання таких сенсорів можливе за рахунок перелізання на стойках, на яких вони встановлюються.
Периметральні інфраакустичні сенсори встановлюються на металевих огорожах і вловлюють низькочастотні звукові коливання огорож під час їх подолання. Можливі помилкові спрацювання таких сенсорів на вуличні шуми від близько розташованих доріг.
Периметральні сенсори електричного поля складаються з випромінювача і кількох приймачів. Всі частини сенсора виконані з електричних кабелів, натягнених між стовпами. Під час проходження порушника між випромінювачем і приймачем має місце зміна електричного поля між ними, яка і є сигналом тривоги.
Периметральні вібраційні сенсори являють собоюконтактні вимикачі різних видів, з”єднані послідовно або паралельно. Сенсори кріпляться на стовпах або сітках огорожі і спрацьовують від гойдання, струсу чи вібрацій. Такі сенсори обладнуються, як правило, мікропроцесорами для обробки сигналів від контактних вимикачів, формування і посилання команд тривоги на приймально-контрольні прилади. Контактні вимикачі вібраційних сенсорів за принципом дії бувають ртутними, кульковими, п”єзоелектричними і маятниковими.
Периметральні електретні сенсори виготовляються з коаксіального кабелю з радіально поляризованим діелектриком. Такий кабель натягується через огорожу периметра об”єкта. В момент подолання огородження відбувається струс кабеля і, відповідно, зміна електричного сигналу, що проходить через кабель.
Як і вібраційні, електретні сенсори оснащуються мікропроцесорами для контролю порогового рівня спрацювання і можуть бути відрегульовані на розпізнання впливів, що викликаються вітром, кинутим камінням або іншими предметами, тваринами, птахами, вібрацією грунту від рухомих транспортних засобів, градом або снігом, землетрусом тощо.
Периметральні вібраційні і електретні сенсори можна подолати шляхом глибокого підкопу або зверху без торкання до инх.
Інфрачервоні сенсори контролю простору.
Принцип дії сенсорів полягає в зміні сигналу від випромінювача до приймача при попаданні порушника між ними. Як випромінювачі використовуються ІЧ світлодіоди або невеликі лазерні установки. Відстань між випромінювачем і приймачем не більше 100 м. На спеціальні стовпи встановлюють кілька таких пристроїв для створення вертикальної смуги виявлення необхідної висоти. Для підвищення надійності іноді використовується частотна модуляція сигналу випромінювання. Сенсори можуть втрачати свою працездатність при густому тумані чи снігопаді.
Мікрохвильові сенсори контролю простору складаються з двох частин: надчастотних передавача та приймача, які встановлюються на відстані до 150 м один від одного. У цьому просторі між ними створюється електромагнітне поле, зміна якого при спробі проходу реєструється приймачем. Для ефективної роботи таких сенсорів необхідно, щоб висота нерівностей грунту не перевищувала 5-7 см, а в зоні дії не було рослинності.
Сейсмічні сенсори в наш час виготовляються двох видів. Перший, рідинний, складається з двох укладених поряд в грунт шлангів з рідиною. Спрацювання таких сенсорів відбувається при зміні тиску в одному з шлангів при проходженні порушника. Принцип дії сенсорів другого виду заснований на п”єзоелектричному ефекті, при якому відбувається зміна електричного сигналу при тиску на п”єзоелемент. Обидва види сейсмічних сенсорів чутливі до стороніх вібрацій, що викликаються, наприклад, проїзджаючим автотранспортом або вітром.
Сейсмічні сенсори використовуються для охорони периметрів територій і будівель, встановлюються потйки в грунт, під стіни і будівельні конструкції.
Сейсмомагнітні сенсори виконуються у вигляді електричного кабеля, укладеного в грунт. Електричний сигнал змінюється під впливом як сейсмічних, так і магнітних подразнень, наприклад, при проході людини і спробі пронести зброю. Наявність металу викликає індукційні зміни електричного поля дротяної сітки, що і викликає сигнал тривоги.
Сейсмомагнітні сенсори не ефективні поблизу автомобільних і залізничних доріг. Можливі помилкові спрацювання від грозових розрядів, потужних електродвигунів і реле.
Контактні сенсори відносяться до найпростіших. Зазвичай вони встановлюються на двері і вікна підохоронного приміщення. Контактні сенсори поділяються на електроконтактні, магнітні (магнітоконтактні) і механічні.
Електроконтактні сенсори являють собою стрічку з тонкої алюмінієвої фольги. Вона наклеюється на скло, двері, стіни і т.п. При руйнуванні основи, на яку наклеєна стрічка, вона рветься і розриває електричне коло. Для підключення до шлейфа охоронної сигналізації стрічка затискується в утримувачі (клеми), які приклеюються до тієї ж основи, що і стрічка.
Магнітний (магнітоконтактний) сенсор складається з двох частин: гаркона (герметичний контакт), що встановлюється на нерухому частину конструкції, і магнітна, що встановлюється на її частину, що відкривається. Коли конструкція (двері, ворота, вікно і т.п.) зачинена, магніт знаходится поблизу геркона і контакти геркона знаходяться в замкненому стані. При відкриванні магніт віддаляється від геркона, контакти геркона розмикаються і розривається електричне коло.
При застосуванні магнітного сповіщувача для сигналізації про зламування гратів геркон закладають в стіну, а на гратах, навпроти геркона, закріпляють замаскований магніт. У раз зняття гратів контакт геркона розмикається.
Магнітні (магнітоконтактні) сенсори випускаються двох типів: для зовнішнього і прихованого встановлення.
Системи телевізійного спостереження
Засоби відбиття (нейтралізації) загроз
Вибір технічних засобів захисту об”єкта
Захист мобільних об”єктів. Загальні положення
Рекомендації з підбору охоронців для забезпечення збереженості вантажів
Аналіз стану охорони вантажів
Організація процесу охорони вантажів
Особливості охорони вантажів при використанні окремих видів транспорту
Контроль доступу в зони безпеки. Засоби контролю доступу за пропускними документами
Системи автоматизованого контролю доступу
Ідентифікація осіб за біометричними ознаками
Виконавчі пристрої
Захист машинних носіїв інформації
4.3. Захист машинних носіїв інформації
Проблема захисту машинних носіїв інформації (МНІ) в АС вирішується в основному за рахунок організаційно-режимних заходів, що унеможливлюють або істотно обмежують доступ ЗЛ до МНІ і документальних матеріалів АС. Методи НСД до МНІ, по суті, збігаються з методами подолання звичайних засобів захисту від фізичного проникнення в локалізований простір, що захищається. В зв”язку з цим одним з найбільш надійних підходів до захисту МНІ є їх фізичний захист. Однак захист МНІ має певну специфіку, зумовлену їх реалізацією та організацією ?6-А?.
Незалежно від типу носія дані на носіях зберігаються блоками (секторами, кластерами і т.п.). Як відомо, до доступу до даних МНІ існують два основні способи:
послідовний доступ, коли блоки записуються один за одним і для читання наступного потрібно пройти всі попередні;
прямий (довільний) доступ, який відрізняється тим, що блоки записуються і читаються в довільному порядку.
Крім цього, МНІ характеризуються:
різними фізичними принципами реалізації;
широким спектром обсягів збереженої інформації – від одиниць до десятків тисяч мегабайт;
різноманіттям конкретної реалізації носіїв різними виробниками.
З огляду на ці умови завдання отриманням ЗЛ доступу до інформації на машинному носії може бути представлене як послідовність наступних підзавдань:
вибір відповідного заданому носію приводу – найбільш значущого для забезпечення доступу;
запуск відповідного даному приводу комплексу програм (ОС, драйвери приводу і т.п.);
забезпечення порядку використання програм і приводу для зчитування в пам”ять комп”ютерної системи вмісту носія інформації.
Зловмисник не може отримати доступ до інформації на машинних носіях у двох випадках:
коли зловмисникові недоступний сам носій;
коли зловмисникові доступний носій, але відсутні засоби взаємодії з носієм.
Слід зазначити, що на сьогодні розроблено МНІ (наприклад, Zip фірми Lomega) із вбудованими в сам носій (!)
засобами захисту, тобто для звертання до такого накопичувача задається пароль доступу, і в результаті прочитати чи взагалі отримати доступ до вмісту носія не можна ні на якому іншому приводі.
Однак поки що найбільш типовою є ситуація, коли в захищеній АС використовуються розповсюджені МНІ, а значить, у потенційного ЗЛ існує можливість отримати на своєму приводі доступ до бітового представлення даних носія, що захищається. В цьому випадку практично єдиним виходом є організаційні заходи захисту – заходи загального характеру, що утруднюють доступ ЗЛ до конфіденційної інформації незалежно від способу обробки інформації і каналів витоку (кналів впливу).
Основними завданнями забезпечення інформаційної безпеки АС від загрози конфіденційності на рівні МНІ є ?6-А?:
виключення проходження носіїв по технологічних ділянках, не зумовлених виробничою необхідністю;
попередження безпосереднього доступу до ноіїв персоналу, що не відповідає за операції з носіями (мінімізація доступу), попередження втрати чи розкрадання носіїв інформації.
Перше завдання вирішується за рахунок раціональної організації виробничого процесу руху носіїв
інформації, що забезпечує цілеспрямований розподіл носіїв по технологічних ділянках, другий – за рахунок чіткої та обгрунтованої рекомендації порядку поводження з носіями. Регламентація поводження з носіями передбачає виконання комплексу заходів:
запис інформації (створення носіїв з інформацією) на робочих місцях, що забезпечує умови для запобігання витоку по технічних каналах і фізичного збереження носіїв;
постановку на облік МНІ з проставленням відповідного маркування на зареєстрованому носієві. Одним з елементів маркування повинен бути гриф таємності інформації, що зберігається на даному носію;
передачу МНІ між підрозділами організації, що експлуатує АС, під розписку;
винос МНІ за межі організації лише з дозволу уповноважених осіб;
збереження МНІ в умовах, що виключають НСД сторонніх. Для збереження рекомендується використовувати шафи, що надійно замикаються та опечатуються. Належні умови зберігання повинні бути забезпечені для всіх врахованих носіїв, незалежно від того, перебувають вони в експлуатації чи ні;
Знищення МНІ, що втратили свої експлуатаційні характеристики чи не використовуються через перехід на новий тип носіїв, спеціально організованими комісіями відповідно до актів, затверджених уповноваженими особами. Знищення носіїв інформації повинно проводитися шляхом їх фізичного знищення, яке не допускає відновлення і повторного використання носіїв. Перед знищенням конфіденційна інформація повинна бути по можливості гарантовано вилучена.
Передачу в ремонт засобів обчислювальної техніки без МНІ, що можуть містити конфіденційну інформацію (без накопичувачів на твердих лисках і т.п.). У випадку ремонту МНІ конфіденційна інформація повинна бути гарантовано вилучена. Якщо видалити інформацію неможливо, рішення про ремонт здійснюється в присутності особи, відповідальної за збереження інформації на даному носію;
Періодичний контроль контролюючими підрозділами дотримання правил поводження з носіями та їх фізичного збереження.
Відповідно до даних умов можна встановити вимоги, які слід висунути до обслуговуючого персоналу АС.
Особам, що експлуатують і обслуговують АС, забороняється:
будь-кому і будь-якій формі повідомляти, якщо це не викликане службовою необхідністю, відомості про характер роботи, що виконується в АС, про порядок захисту, обліку та збереження МНІ, про систему охорони і пропускний режим об”єкту;
використовувати для роботи з конфіденційною інформацією незареєстровані МНІ;
зберігати на МНІ інформацію з більш високим ступенем таємності, ніж визначено для для нього на момент реєстрації;
працювати з неврахованими екземплярами конфіденційних документів, отриманих у ході звернень в АС, і передавати їх іншим співробітникам;
виносити з приміщень, де встановлені ЗОТ АС, без дозволу відповідальних за режим у цих приміщеннях: МНІ, що містять конфіденційні дані, підготовлені в АС документи, а також іншу документацію, окремі блоки, апаратуру та інше обладнаня;
вносити в приміщення, де розташовані ЗОТ АС, стороннє майно і матеріали, в тому числі кінофотоапаратуру і радіоапаратуру;
приймати і передавати МНІ і документи без відповідної розписки в опублікованих документах, знайомити з ними інших співробітників без дозволу відповідних посадових осіб;
робити на етикетках МНІ чи на інших упаковках позначки і написи, що розкривають вміст цих носіїв;
знищувати МНІ і документи і документи без санкції відповідної посадової особи і оформлення у встановленому порядку;
проводити в АС обробку конфіденційної інформації і виконувати інші роботи, не обумовлені завданнями, запитами, що надходять, та інструкціями з експлуатації АС, атакож знайомитися із вмістом МНІ і документами з питань, що немають відношення до службових обов"я”ків.
Крім наведених заходів захисту для забезпечення конфіденційності інформації виділяються також
організаційні заходи для збереження цілісності інформації на МНІ:
створення резервних копій інформації, збереженої на МНІ;
забезпечення правильних умов зберігання та експлуатації.
Створення резервних копій інформації, що зберігається на МНІ, повинно бути регулярною процедурою,
періодичність якої залежить від технології обробки інформації, зокрема, від обсягу даних, що вводяться, важливості інформації, можливості повторного введення і т.п. Для створення резервних копій можуть використовуватися як стандартні утиліти, що зберігають обрані файли чи каталоги, так і спеціалізовані системи резервного копіювання, адаптовані до конкретної АС.
Існують також технологічні заходи контролю цілісності бітових послідовностей, що зберігаються на МНІ, що реалізуються за допомогою циклічних контрольних кодів ?6-А?.
5. Захист інформації в АС від несанкціонованого доступ
5.1. Методи та види НСД
Під НСД слід розуміти доступ до інформації з використанням засобів, включених до складу комп”ютерної системи (КС), що порушує встановлені правила розмежування доступу (ПРД). НСД може здійснюватия як з використанням штатних засобів, тобто сукупності програмно-апаратного забезпечення, включеного до складу КС розробником під час розробки або системним адміністратором в процесі експлуатації, що входять у затвердженну конфігурацію КС, так і з використанням програмно-апаратних засобів, включених до складу КС зловмисником.
Під захистом від НСД слід розуміти діяльність, спрямовану на забезпечення додержання ПРД шляхом створення і підтримки в дієздатному стані системи заходів із захисту інформації.
До основних способів НСД належать:
безпосереднє звернення до об”єктів з метою отримання певного виду доступу;
створення програмно-апаратних засобів, що виконують звернення до об”єктів в обхід засобів захисту;
модифікація засобів захисту, що дозволяє здійснити НСД;
впровадження в КС програмних або апаратних механізмів, що порушують структуру і функції КС і дають можливість здійснити НСД.
Можна також виділити наступні узагальнюючі категорії методів захисту від НСД ?2-А?:
організаційні;
технологічні;
правові.
До першої категорії слід віднести заходи та засоби, що регламентуються внутрішніми інструкціями
організації. Приклад такого захисту – присвоєння грифів секретності документам і матеріалам, що зберігаються у виділеному приміщені, і контроль доступу до них персоналу. Другу категорію становлять механізми захисту, що реалізуються на базі програмно-апаратних засобів, наприклад систем ідентифікації і автентифікації або охоронної сигналізації. І остання категорія включає заходи контролю за виконанням нормативних актів загальнодержавного значення, механізми розробки і вдосконалення нормативної бази, яка регулює питання захисту інформації. Методи, що реалізуються на практиці, як правило, об"єднують в собі елементи всіх категорій. Так, управління доступом до приміщень може являти собою комбінацію організаційних (видача допусків і ключів) і технологічних (встановлення замків і систем сигналізації) способів захисту.
Серед методів реалізації НСД до інформації в АС виділимо наступні:
Обхідний шлях – це блок, вбудований у велику програму, який зазвичай керується простими командами ЕОМ, що дає можливість здійснювати її обробку засобами ОС, а це, в свою чергу, дає змогу обійти систему захисту або реєстрацію в системному журналі. Звичайно ділянки програми, в яких реалізовано обхідний шлях (люк), вбудовуються в процес розробки великих прграмних комплексів, що призначені для виконання трудомістких функцій. Можливе також виявлення обхідних шляхів, вбудованих в ОС, що допомагає ЗЛ здійснювати НСД;
“Троянський кінь” – програма, яка реалізує функції знищення файлів і зміни їх захисту.Складний “троянський кінь” може бути запрограмований таким чином, що при зміні захисту може подавати ЗЛ умовний сигнал про можливість доступу до файлів. Після подачі сигналу “троянський кінь” деякий час очікує, а потім повертає файл у початковий стан. Отже, такий алгоритм дозволяє ЗЛ будь-які несанкціоновані дії з файлами без їх реєстрації;
Логічна бомба – програма або частина програми, яка реалізує деяку функцію при виконанні певної умови. Логічні бомби використовуються для модифікації або знищення інформації, рідше для крадіжок або шахрайства;
Атака – використання вразливостей ПЗ АС для досягнення цілей, що виходять за межі допуску даного суб”єкта в АС. Наприклад, якщо користувач не має права на читання деяких даних, то він здійснює ряд відомих йому нестандартних маніпуляцій, які або забезпечують йому доступ до них, або завершуються невдачею;
Між рядків – підключення до лінії зв”язку і проникнення ЗЛ в комп”ютерну систему з використанням проміжків часу між діями законного користувача;
Аналіз графіка – аналіз частоти і методів контактів користувачів в А. При цьому виявляються правила користувачів до зв”язку, після чого ЗЛ здійснюється спроба НСД під виглядом законногокористувача;
Розрив лінії – переключення лінії зв”язку від користувача по закінченні його сеансу зв”язку або через розрив лінії. При цьому дана подія не реєструється і АС працює з ЗЛ, як із законним користувачем;
Маскарад – використання для виходу до системи інформації про законного користувача, яка стала відомою ЗЛ;
Підкладення свині – підключння до лінії зв”язку та імітація роботи системи з метою отримання інформації про ідентифікацію користувача. Наприклад, ЗЛ може імітувати зависання системи і процедуру повторного входк до неї. Користувач, нічого не підозрюючи про це, знову вводить свій ідентифікатор і пароль, після чого ЗЛ повертає йому управління з нормально працюючою системою;
Повторне використання ресурсів – зчитування остаточної інформації, що призначена для знищення. Як об”єкти атаки можуть виступати не лише блоки файлів, а й різного роду буфери, кадри сторінок пам”яті, сектори магнітних дисків, зони магнітних стрічок, реєстри пам”яті і т.д. Для зчитування даних прямо з пам”яті іноді достатньо створити невелику програму, яка робить запит під час виконання динамічного виділення пам”яті невеликого об”єкту. Далі в результаті навмисної помилки ця програма може аварійно завершитися з видачею “посмертного” дампа, який якраз і містить інформацію всіх ділянок пам”яті, яка використовувалася перед цим;
Використання комп”ютерного вірусу – використання набору команд ЕОМ, який виробляє і розповсюджує свої копії в мережах і навмисно виконує дії, що небажані для законних користувачів. Крім того, він характеризується можливістю маскуватися від спроб виявлення. Розрізняють дві основні групи вірусних програм – вірус, що використовується для руйнування електронної пошти або комунікаційної мережі, і вірус, який модифікує чи знищує інформацію або діє на захист АС;
Використання програми-імітатора – імітація роботи того чи іншого елемента мережі і створення у користувача АС ілюзії взаємодії з системою з метою, наприклад, перехоплення інформації користувача. Зокрема, екранний імітатор дозволяє заволодіти паролями або кодами користувачів.
Наведені методи можуть застосовуватися для реалізації таких найбільш поширених сценаріїв НСД:
пергляд інформації;
копіювання програм та даних;
читання даних з лінії зв”язку;
зміна потоку повідомлень;
закладки;
зміна алгоритмів програм;
зміна апаратної частини АС;
зміна режиму обслуговування або умов експлуатації;
перевірка функціонування АС або її компонентів;
перерва потоку повідомлень;\перерва компонент ПЗ;
перерва процесу функціонування або його складових;
фізичне руйнування апаратних засобів мережі;
підробка;
додавання фальшивих процесів і підміна справжніх процесів фальшивими;
додавання фальшивих апаратних засобів;
імітація роботи апаратно-програмних компонент мережі з боку суб”єктів загрози.
Звичайно, можуть використовуватися різні комбінації наведених вище сценаріїв, що надзвичайно утруднює
організацію захисту від НСД.
5.2. Канали витоку інформації
В прпередніх розділах розглядалися канали витоку інформації з суто технічного боку. Зараз розглянемо дане питання докладніше.
При обробці інформації в АС завжди маємо обмін інформацією між об”єктами АС, отже, можемо говорити про наявність каналів обміну або каналів витоку інформації.
Канал витоку інформації – сукупність джерела інформації, матеріального носія або середовища розповсюдження сигналу, що несе вказану інформацію, і засобу виділення інформації з сигналу або носія.
З точки зору захисту інформації канали та інформаційні потоки бувають законними або незаконними. Незаконні інформаційні потоки створюють витік інформації і тим самим можуть порушувати конфіденційність даних, тобто через канал витоку реалізуються загрози конфіденційності інформації в АС або НСД до даних. Зрозуміло, що СЗІ повинна контролювати по можливості всі відомі канали витоку. Однак, по-перше, навіть відомі канали іноді важко контролювати, а, по-друге, ще складніше виявити всі існуючі в АС канали витоку. Таким чином, у будь-якій АС можна виділити відкриті канали витоку (тобто канали, які вдалося ідентифікувати і які контролюються засобами захисту) і приховані, коли витік відбувається шляхом, який не контролється засобами захисту.
Отже, далі розглянемо канали витоку інформації як можливість неконтрольованого поширення інформації, що призводить до несанкціонованого отримання і/або модифікації інформації. Найбільш загальною класифікацією каналів витоку може бути така:
несанкціонований доступ (НСД) – канал спеціального впливу ЗЛ, який використовуючи штатні засоби доступу до інформаційних ресурсів, порушує встановлені правила розмежування доступу з метою реалізації будь-яких з основних видів загроз для інформації;
канал спеціального недопустимого регламентом впливу на параметри середовища функціонування, здійснюваного з метою порушення доступності в АС;
канал спеціального впливу нештатними програмними і/або програмно-технічними засобами на елементи обладнання, програми, дані та процеси в АС, що встановлюються в процесі її експлуатації, з метою реалізації будь-яких з основних видів загроз для інформації;
канали спеціального впливу на компоненти АС за допомогою закладних пристроїв і/або програмних закладок, впроваджених в середовище функціонування АС на передексплуатаційних стадіях її життєвого циклу, що здійснюються з метою реалізації будь-яких з основних видів загроз для інформації;
канал витоку інформації, утворений за допомогою використання інформативних параметрів побічного електромагнітного випромінювання та наведень (ПЕМВН) з метою порушення конфіденційності;
канал витоку інформації, утворений за допомогою використання побічних акусто-електричних перетворень інформативних сигналів в кінцевому обладнанні з метою порушення конфіденційності;
канал реалізації будь-яких з основних видів загроз для інформації, утворений за рахунок використання випадкових збоїв та відмов у роботі обладнання;
канал спеціального впливу на компоненти АС за допомогою впровадження комп”ютерних вірусів.
З точки зору способу реалізації можна виділити фізичні та інформаційні канали витоку інформації. Звичайно,
всі канали витоку з попередньої класифікації можуть реалізуватися за допомогою фізичних та інформаційних каналів витоку інформації. Зазначимо, що іноді дуже важко віднести конкретний канал до певноїгрупи, тобто наведені класифікації носять досить умовний характер.
Виділяють наступні фізичні канали витоку:
Електромагнітний канал. Причиною його виникнення є електромагнітне поле,
пов”язане з проходженням електричного струму в технічних засобах АС. Електромагнітне поле може індукувати струми в близько розміщених провідних лініях (наводки). Електромагнітний канал, в свою чергу, ділиться на такі канали: радіоканал (исокочастотне випромінювання); низькочастотний канал; мережевий канал (наводки на мережу електроживлення); канал заземлення (наводеи на проводи заземлення); лінійний канал (наводки на лінії зв”язку між ПЕОМ).
Акустичний (віброакустичний) канал. Він пов”язаний з розповсюдженням звукових
хвиль в повітрі або пружних коливань в іншому середовищі, які виникають при роботі засобів відображення інформації АС.
Оптичний канал. Він пов2язаний з можливістю отримання інформації за допомогою
оптичних засобів.
Серед інформаційних каналів витоку найбільш розповсюдженим є канал за пам”яттю, тобто канал, що
виникає за рахунок використання доступу до спільних об”єктів системи (як правило, спільна пам”ять). Графічно канал можна зобразити так:
U1 ? S ?O ? U2
Користувач U1 акивізує деякий процес S, за допомогою якого може отримати доступ до спільного з користувачем U2 ресурсу О, при цьому U2 може писати в О, а U1 може читати з О за допомогою S. Наприклад, у каталог О внесено імена файлів. Доступ до самих файлів для користувача U1 закритий, а доступ до каталогі можливий. Якщо користувач U2 створий закритий файл, то інформація по файлову структуру стала доступною для U1. Отже, виник витік частини інформації, що належить користувачу U2, зокремв існування чи не існування конкретного файлу – 1 біт інформації. Захист здійснюється шляхом контролю доступу.
Настуеним інформаційним каналом витоку є часовий канал. Часовий канал є каналом, що передає ЗЛ інформацію не про весь процес, а лише про його модулювання важливою закритою інформацією. Графічно часовий канал можна зобразити наступною схемою:
U1 ? S ? Sm ? Sc ? U2
Тут U1 – зловмисник; U2 – користувач, що оперує важливою інформацією; Sc – процес, інформація про який цікава для U1; Sm – процес, що модулюється інформацією процесу Sc; S – процес від імені користувача U1, який дозволяє спостерігати процес Sm. Захист інформації організується за допомогою контролю доступу та організаційних заходів.
Відмінність даного каналу витоку інформації від каналу за пам”яттю полягає в тому, що ЗЛ отримує не саму конфіденційну інформацію, а дані про операції над нею. Як правило, він користується з метою подальшого вилучення інформації з каналу за пам”яттю. Отже, часовий канал є слабшим каналом витоку, тобто менш інформативним, в порівнянні з каналом за пам”яттю.
Інформаційність такого каналу визначається тією часткою цінної інформації про процес Sc, яка отримується за рахунок його модуляції. Нехай, наприклад, процес Sc використовує принтер для друку чергового циклу обробки важливої інформації. Процес Sm визначається роботою принтера, який є спільним ресурсом U1 та U2. Тоді в одинийях частоти роботи принтера U1 отримує інформацію про періоди обробки процесом Sc важливої інформаці., а це вже є витоком інформації.
Іншим каналом витоку інформації за часом є канал зв”язку. За рахунок передачі безпосереднього доступу до процесу обробки (передачі) важливої інформації вона знімається, накопичується і відновлюється. Такий канал перекривається за допомогою криптографії.
Більш загальним поняттям порівняно з каналом витоку є канал дії на АС. Він може включати зміни компонент АС – активну дію – загрозу властивості цілісності. Справа в тому, що основна загроза для конфіденційності – це незаконне ознайомлення з інформацією, тобто на саму інформацію активної дії не має. Виявляється, що для опису такої загрози достатнім є поняття каналу витоку. Для цілісності ж основна загроза – це незаконна модифікація інформації, тобто активна дія на інформацію з боку порушника. Отже, замість звичайного каналу витоку зручно ввести поняття каналу дії на цілісність. Основою захисту цілісності є своєчасне регулярне копіювання цінної інформаці.
Інший клас механізмів захисту цілісності, який базується на ідеї перешкод захищеного кодування інформації (введення надмірності в інформацію), становить основу контролю цілісності. Він будується на автентифікації, тобто підтвердженні справжності, цілісності інформації. Підтвердження справжності зберігає цілісність інтерфейсу, а використання кодів автентифікації дає змогу контролювати цілісність файлів і повідомлень. Ведення надмірності в мові і формальне задання специфікації дають можливість контролювати цілісність інформації.
Крім того, до механізмів контролю і захисту цілісності інформації слід віднести створення системної надмірності. У військовій практиці такі заходи називають підвищенням “живучості” системи. Використання таких механізмів дозволяє також розв”язувати задачі стійкості до помилок і задачі захисту від порушень доступності.
Додамо, що будь-які канали витоку можуть бут контактними (коли здійснюється безпосередній доступ до елементів АС) або безконтактним (коли відбувається візкальне перехоплення інформації або перехоплення за рахунок випромінювань).
5.3. Поняття загрози інформаії
Загроза інформації є основним поняттям інформаційної безпеки. З усієї множини способів класифікації загроз найбільш придатною для аналізу є класифікація загроз за результатами їх впливу на інформацію. Як відомо ?17-А?, основними властивостями інформації, що визначають її цінність, є конфіденційність, цілісність, доступність і спостережність. Отже, з цього погляду в АС розрізняються такі класи загроз івнформації:
порушення конфіденційності (ПК);
порушення цілісності (логічної – ПЛЦ чи фізичної – ПФЦ);
порушення доступності чи відмовлення в обслуговуванні (ПД);
порушення спостережності чи керованості (ПС).
Зафіксовано, що для забезпечення кожної з виділених основних властивостей захищеної інформації
встановлено певний набір послуг. Це дозволяє ввести наступний рівень загроз, трактуючи реалізацію яких-небудь послуг в неповному обсязі чи взагалі їх невиконання (можливо, навмисне) як деякі загрози. Аналіз нормативних документів ?17-20-А? показує, що цей рівень може включати такі загрози:
порушення конфіденційності;
а) загрози при керуванні потоками інформації (ПКП);
б) загрози існування безконтрольних потоків інформації (наявність схованих каналів) (ПКБ);
в) порушення конфіденційності при обміні – загрози про експорт/імпорт інформації через незахищене
середовище (ПКО);
порушення цілісності:
а) загрози при керуванні потоками інформації (ПЛЦП, ПФЦП);
б) неможливість повернення (відкату) захищеного об”єкта у вихідний стан (ПЛЦВ, ПФЦВ);
в) порушення цілісності при обміні – загрози при експорті/імпорті інформації через незахищене середовище
(ПЛЦО, ПФЦО);
порушення доступності чи відмова в обслуговуванні:
а) порушення при керуванні послугами і ресурсами користувача (ПДК);
б) порушення стійкості до відмови (ПДС);
в) порушення при гарячій заміні (ПДГ);
г) порушення при відновленні після збоїв (ПДВ);
порушення спостережності чи керованості:
а) прорушення при реєстрації небезпечних дій (ПСР);
б) порушення при ідентифікації та автентифікації (ПСІ);
несанкціоноване використання інформаційних ресурсів (НВ).
Таким чином, при переході до рівня послуг отримано новий рівень загроз – розширений і більш конкретний.
Якщо рухатися в цьому напрямку далі, тобто перейти, наприклад, на рівень реалізації кожної з послуг, то можна отримати ще конкретніший набір загроз, оскільки, відповідно до ?17-А?, для реалізації кожної з послуг необхідно здійснити ще більш конкретні умови і дії. Тобто, відповідно до ?17-А?, вийде повний перелік послуг.
Визначимо деякі важливі особливості наведеної класифікації загроз:
вона однаково застосовна до кожної з відомих класів АС ?17-А?;
до кожної із загроз не прив”язуються які небудь конкретні фізичні причини їх виникнення;
вона залишається відкритою, тобто кожнк з загроз можна конкретизувати далі, отримавши більш докладну і розширену їх множину на новому рівні.
Поставимо тепер питання про практичну реалізацію цих загроз і причини їх виникнення. Неважко помітити,
що подані в такий визначення загроз враховують лише деякі абстрактні небажані впливи на інформацію, що захищається, і фактично не містять жодних конструктивних аспектів, що істотно утруднює їх практичне використання. З іншого боку, у ?17-А? загрози неявно визначаються в такий спосіб: “Загроза оброблювальної в АС інформації залежить від характеристик КС, фізичного середовища, персоналу та оброблювальної інформації. Загрози можуть мати або об”єктивну природу, наприклад, зміна умов фізичного середовища (пожежі, повені і т.п.) чи відмова елементів обчислювальної системи, або суб”єктивну, наприклад, помилки персоналу чи дії ЗЛ. Загрози, що мають суб”єктивну природу, можуть бути випадковими або навмисними”.
Отже, доходимо висновку, що на будь-якому об”єкті будь-якої АС можуть здійснюватися певні обставини, події чи фактори, що будуть перешкоджати реалізації конкретних захисних механізмів і заходів, створюючи тим самим відмічені вище загрози. При цьому вони будуть безпосередньо пов”язані з цими загрозами і будуть, власне кажучи, їхніми причинами. Ці обставини, події чи фактори можна охарактеризувати в такий спосіб:
вони об”єктивно існують і можуть реалізовуватися в будь-який момент часу на будь-якому об”єкті АС, де обробляється інформація, що підлягає захисту;
вони не зводяться до загроз; озин і той же процес чи подія в одному випадку призводить до загроз, а в іншому – не являє собою жодної небезпеки для інформації;
їх можна явно описати і класифікувати;
для кожного такого фактору існує можливість явно встановити, з якими видами загроз він пов”язаний;
для кожного такого фактору існує можливість визначити канали витоку інформації;
виникає можливість здійснювати конкретні дії з метою протидії загрозам.
Таким чином, виявляється, що загрози виникають внаслідок реалізації цих факторів, тобто є їх результатом.
Наділі ці фактори будемо називати дестабілізуючими (ДФ). Як показує подальший аналіз, введення поняття ДФ цілком логічно виправдене і допомагає отримати просту, зрозумілу і наочнк схему для створення моделі загроз.
5.4. Моделі загроз та порушника
Дестабілізуючі фактори (ДФ) – це такі явища чи події, що можуть з”явитися на будь-якому етапі життєвого циклу (ЖЦ) Ас і наслідком якої можуть бути загрози інформації. Впродовж ЖЦ АС може виникати багато ДФ різноманітної природи.
Тому, аналогічно ?3?, на основі аналізу архітектури, технології та умов функціонування АС і всіх можливих принципів ДФ зручно ввести поняття типу ДФ, що дає підставу класифікувати ДФ за способами їх реалізації. Вважаючи, що ця класифікація є вичерпною, виділемо наступні типи ДФ:
кількісна недостатність – фізична недостача компонентів АС для забезпечення необхідного рівня захищеності оброблювальної інформації;
якісна недостатність – недосконалість конструкції чи організації компонентів АС, внаслідок чого не забезпечується необхідний рівень захищеності оброблювальної інформації;
відмова елементів АС – порушення працездатності елементів, що призводить до неможливості виконання ними своїх функцій;
збій елементів АС – тимчасове порушення працездатності елементів, що призводить до неправильного виконання ними в цей момент своїх функцій;
помилки елементів АС – неправильне (одноразове чи систематичне) виконання елементами своїх функцій внаслідок специфічного (постійного і/або тимчасового) їхнього стану;
стихійні лиха – випадкові неконтрольовані явища, що призводять до фізичних руйнувань;
злочинні дії – дії людей, що спеціально спрямовані на порушення захищеної інформації;
побічні явища – явища, що супроводжують виконання елементом АС своїх функцій.
Звідси видно, що ДФ можуть мати об”єктивну природу (наприклад, відмови, збої і т.п.) чи суб”єктивну (наприклад, дії ЗЛ). В останньому випадку ДФ можуть бути випадковими чи навмисними. Зауважимо, що характеристика випадковоств чи навмисності може бути відносною. Напиклад, в ?5? відзначається, що іноді свідомо додані в програмне забезпечення функції можуть заздалегідь визначити можливість ненавмисних дій (приміром, при дистанційному налагодженні чи настроюванні систем).
Подальший аналіз ДФ показує, що важливо класифікувати ДФ за джерелами їх виникнення. Очевидно, що джерелами ДФ можуть бути як компоненти АС, так і зовнішнє середовище. Виділяються наступні джерела ДФ:
а) персонал – люди, що мають яке-небудь відношення до функціонування АС;
б) технічні засоби;
в) моделі, алгоритми, програми;
г) технологія функціонування – сукупність засобів, прийомів, правил, заходів і угод, що використовуються
в процесі обробки інформації;
д) зовнішнє середовище – сукупність елементів, що не входять до складу АС, але здатні впливати на
захищеність інформації в АС.
Спільний розгляд типів ДФ та їхніх джерел показує, що формально може бути 40 різних сполучень “тип – джерело” ДФ. Однак фактично їх може бути менше, оскільки зазвичай, деякі з таких сполучень не мають практичного змісту. Дійсно, на якісну недостатність компонентів АС для захисту інформації аж ніяк не може прямо вплинути зовнішнє середовище. Перераховані типи і джерела ДФ зручно звести в таблицю, кожна клітинка якої відповідає ДФ певного типу з певного джерела (див. табл.____).
У кожній клітинці таблиці ____ проставлено номери рядка і свобця. Відсутність чисел означає, що таке сполучення принципово не можу реалізуватися (отже), всього можливих сполучень – 32). Варто особливо звернути увагу на те, що в дійсності кожна клітинка мстить не один ДФ певного типу з певного джерела, а цілу їх множину.
Зауважимо також, що перший стовбець і сьомий рядок таблиці ___ містять множину ДФ, що пов”язані з діяльністю людини. Опис дій людини (помилкових чи злочинних) є змістом моделі порушника. Цей тип ДФ принципово відрізняється від усіх інших. Якщо всі інші ДФ в основному реалізуються випадково, то злочинні дії реалізуються за участю людини. Останні відрізняються як своїми характеристиками і можливостями реалізації, так і труднощами їх формалізації. Варто також враховувати можливість імітації порушником випадкових ДФ.
Тепер залишається для кожної конкретної задачі побудови СЗІ формувати повні множини ДФ по кожному типу і кожному джерелу. Звернемо увагу на те, що повнота кожного з множини ДФ має абсолютний характер: хоч би один невстановлений ДФ може виявитися катастрофічним для всієї інформації в АС. Отже, процес побудови кожної множини ДФ повинен бути винятково ретельним і детальним. Для подальшої класифікації ДФ в окремих множинах (клітинках табл.___) необхідно використовувати додаткові їх особливості і характеристики. Наприклад, ДФ можуть бути активними і пасивними.
Розглянемо тепер модель порушника. Згідно з ?17, 18-А? порушник (user violator) – користувач, який здійснює НСД до інформації. Оскільки під порушником розуміється людина, то цілком зрозуміло, що створення його формалізованої моделі – надзвичайно складне завдання. Тому, звичайно, мова може йти про формальну або описову модель порушника. Нижче подається опис можливого для даного класу ІСБ порушника.
Порушник – це особа, яка може отримати доступ до роботи з включеними до складу АС засобами. Вона може помилково, внаслідок необізнаності, цілеспрямовано, свідомо чи несвідомо, використовуючи різні можливості, методи та засоби, здійснити спробу виконати операції, які призвели або можуть призвести до порушення властивостей інформації, що визначені політикою безпеки.
Зрозуміло, що в кожному конкретному випадку для кожного об”єкта визначаються імовірні загрози і моделі потенційних порушників – “провідників” цих загроз, включаючи можливі сценарії їх здійснення. Цей етап дуже складний, оскільки від служби безпеки вимагається для кожного об”єкта вибрати з кількох можливих типів порушників один, на який і буде орієнтована ІСБ, що проектується. Відповідно до нормативного документа ?17-А? модель порушника – це абстрактний формалізований або неформалізований опис порушника. Модель порушника відображає його практичні та потенційні можливості, апріорні знання, час та місце дії тощо.
При розробці моделі порушника визначаються:
припущення щодо категорії осіб, до яких може належати порушник;
припущення щодо мотивів дій порушника (цілей, які він має);
припущення щодо рівня кваліфікації та обізнаності порушника і його технічної оснащеності (щодо методів та засобів, які використовуються при здійснення порушень);
обмеження та припущення щодо характеру можливих дій порушників (за часом та місцем дії та інші).
Припускається, що за своїм рівнем порушник – це фахівець вищої кваліфікації, який має повну
інформацію про систему.
Зазвичай розглядають 5 типів порушників. Спочатку їх поділяють на дві групи: зовнішні і внутрішні порушники. Серед зовнішніх порушників виділяють такі:
добре озброєнай оснащена силова група, що діє іззовні швидко і напролом;
поодинокий порушник, що не має допуску на об”єкт і намагається діяти потайки та обережно, оскільки він усвідомлює, що сили реагування мають перед ним переваги.
Серед потенційних внутрішніх порушників можна відзначити:
допоміжний персонал об”єкта, що допущений на об”єкт, але не допущений до життєво важливого центру (ЖВЦ) АС;
основний персонал, що допущений до ЖВЦ (найбільш небезпечний тип порушників);
співробітників служби безпеки, які часто формально і не допущені до ЖВЦ, але реально мають достатньо широкі можливості для збору необхідної інформації і вчинені акції.
Має також розглядатися можливість змови між порушниками різних типів, що ще більше ускладнює
задачу формалізації моделей порушника. Слід зауважити, що такий поділ є дуже загальним, а також не всі групи мають важливе значення для всіх АС.
Серед внутрішніх порушників можна виділити такі категорії персоналу:
користувачі (оператори) системи;
персонал, що обслуговує технічні засоби (інженери, техніки);
співробітники відділів розробки та супроводження ПЗ (прикладні та системні програмісти);
технічний персонал, що обслуговує будівлю (прибиральниці, електрики, сантехніки та інші співробітники, що мають доступ до будівлі та приміщення, де розташовані компоненти АС);
співробітники СБ;
керівники різних рівнів та посадової ієрархії.
Сторонні особи, що можуть бути порушниками:
клієнти (представники організацій, громадяни);
відвідувачі (запрошені з будь-якого приводу);
представники організацій, що займаються забезпеченням життєдіяльності організації (енерго-, водо-, теплопостачання і т. ін.);
представники конкуруючих організацій (іноземних служб) або особи, що діють за їхнім завданням;
особи, які випадково або навмисно порушили пропускний режим (не маючи на меті порушити безпеку);
будь-які особи за межами контрольованої зони.
Можна виділити також три основні мотиви порушень: безвідповідальність, самоствердження та з
корисною метою.
При порушеннях, викликаних безвідповідальністю, користувач цілеспрямовано або випадково здійснює руйнівні дії, які не пов”язані, проте, зі злим умислом. У більшості випадків – це наслідок некомпетентності або недбалості. Деякі користувачі вважають отримання доступу до системи наборів даних значним успіхом, затіваючи свого роду гру “користувач – проти системи” заради самоствердження або у власних очах, аьбо в очах колег.
Порушення безпеки АС може бути викликане корисливим інтересом користувача системи. У цьому випадку він буде цілеспрямовано намагатися перебороти систему захисту для доступу до інформації в АС. Навіть якщо АС має засоби, що роблять таке проникнення надзвичайно складним, цілком захистити її від проникнення практично неможливо. Всіх порушників можна класифікувати за рівнем знань про АС:
знає функціональні особливості АС, основні закономірності формування в ній масивів даних і потоків запитів до них, уміє користуватися штатними засобами;
має високий рівень знань і досвід роботи з технічними засобами системи та їх обслуговуванням;
має високий рівень знань у галузі програмування та обчислювальної техніки, проектування та експлуатації автоматизованих анформаційних систем;
знає структуру, функції і механізм дії засобів захисту, їх сильні та слабі сторони.
За рівнем можливостей (методами та засобами, що використовуються):
застосовує суто агентурні методи отримання відомостей;
застосовує пасивні засоби (технічні засоби перехоплення без модифікації компонент системи);
використовує лише штатні засоби та недоліки системи захисту для її подолання (несанкціоновані дії з використанням дозволених засобів), а також компактні магнітні носії інформації, які можуть бути таємно пронесені через пости охорони;
застосовує методи та засоби активного впливу, підключення до каналів передавання даних, впровадження програмних закладок та використання спеціальних інструментальних та технологічних програм).
За часом дії:
в процесі функціонквання (під час роботи компонент системи);
в період неактивності системи (в неробочий час, під час планових перерв у роботі, перерв для ремонтів тощо);
як в процесі функціонування, так і в період неактивності компонент системи.
За місцем дії:
без доступу на контрольовану територію організації;
з контрольованої території без доступу до будівель та споруд;
всередині приміщень, але без доступу до технічних засобів;
з робочих місць кінцевих користувачів (операторів);
з доступом в зону даних (без даних, архівів і т.п.);
з доступом в зону управління засобами забезпечення безпеки.
Враховуються також наступні обмеження та припущення про характер дій можливих порушників:
робота з підбору кадрів та спеціальні заходи ускладнюють можливість створення каоліції порушників, тобто об”єднання (змови) і цілеспрямованих дій з подолання системи захисту двох і більше порушників;
порушник, плануючи спробу НСД, приховує свої дії від інших співробітників;
НСД може бути наслідком помилок користувачів, системних адміністраторів, а також помилок прийнятої технології обробки інформації і т.д.
Визначення конкретних характеристик можливих порушників є значною мірою суб”єктивним. Модель
порушника, що побудована з врахуванням особливостей конкретної предметної галузі і технології обробки інформації, може бути подана перелічуванням кількох варіантів його образу. Кожний вид порушника має бути охарактеризований згідно з класифікаціями, наведеними вище. Всі значення характеристик мають бути оцінені (наприклад, за 5-бальною системою) і зведені до відповідних форм.
Однак при формуванні моделі порушника на її вході обов”язково повинні бути визначені: імовірність реалізації загрози, своєчасність виявлення і відомості про порушення.
Звернемо увагу на те, що всі злочини, зокрема і комп”ютерні, здійснюються людиною. Користувачі АС є її складовою, необхідним елементом. З іншого ж боку, вони є основною причиною і рушійною силою порушень і злочинів. Отже, питання безпеки захищених АС фактично є питанням людських відносин та людської поведінки.
5.5. Причини порушення безпеки
Сформована практика дослідження випадків порушення безпеки, що приділяє основну увагу методам і засобам подолання захисту, має істотний недолік – відштовхуючись від лій ЗЛ, вона фактично являє собою лише аналіз технології подолання засобів захисту і не дозволяє виявити недоліки засобів забезпечення безпеки ?9-А?.
Крім того, подібний підхід відразу розділяє всі випадки порушення безпеки на невмисні, що класифікуються за способами подолання захисту, і невмисні, зумовлені помилками, закладеними в самій АС при її розробці та експлуатації. Однак здається цілком прийнятною і така прагматична точка зору – важливий сам факт порушення безпеки і ті заходи, яких необхідно вживати для запобігання таким порушенням, а їхня навмисність не має значення. З цього погляду можливість успішних дій ЗЛ, як і передумови випадкових порушень, визначена властивостями самої АС -–її архітектурою, реалізацією та адмініструванням.
Це означає, що в основі кожного факту порушення безпеки АС лежить відповідна вада засобів захисту, що зумовлює успішне здійснення атаки. Аналіз порушення безпеки повинен грунтуватися не стільки на дослідженні методів, що використовуються порушником, скільки на виявленні властивостей АС, що дають змогу йому здійснити свої дії. Інакше кажучи, що стало причиною успішного здійснення порушення безпеки в тому чи іншому випадку ?
Аналіз і статистика показують, що всі випадки порушення безпеки АС відбуваються з однієї або кількох причин:
вибір моделі безпеки, що не відповідає призначенню чи архітектурі АС. Модель безпеки повинна відповідати
вимогам безпеки, запропонованим для АС. Сьогодні спостерігається певна невідповідність між моделями безпеки та архітектурою АС. Фактично формальні моделі безпеки існують лише у вигляді теорій, а розробники АС змушені піддавати їх певній інтерпритації, щоб пристосувати до конкретної АС. При цьому доводиться йти на певні компроміси, і може виявитися, що модель безпеки в ході реалізації була істотно спотворена. Це означає, що при виборі моделі безпеки не можна не враховувати специфіки архітектури, інакше, незважаючи на всі переваги моделі, гарантованого нею рівня досягти не вдасться;
неправилье впровадження моделі безпеки. Незважаючи на цілком адекватний вибір моделі безпеки, її
реалізація і застосування до архітектури конкретної ОС через властивості самої моделі чи ОС були проведені невдало. Це означає, що в ході реалізації були втрачені всі теоретичні досягненя, отримані при формальному доведенні безпеки моделі. Звичайно неправильне впровадження моделі безпеки в систему виражається в недостатньому обмеженні доступу до найбільш важливих для безпеки систем служб і об”єктів, а також у введенні різних винятків з передбачених моделлю правил розмежування доступу типу привілейованих процесів і т.д.;
відсутність ідентифікації і/або автеннтифікації суб”єктів і об”єктів. В багатьох сучасних ОС ідентифікація та
автентифікація суб”єктів та об”єктів взаємодії знаходяться на дуже примітивному рівні – суб”єкт (ЗЛ) може порівняно легко видати себе за іншого суб”єкта і сористатися його повноваженнями доступу до інформації;
відсутність контролю цілісності засобів забезпечення безпеки. В багатьох ОС контролю цілісності самих
механізмів, що реалізують функцію захисту, приділяється слаба увага. Багато систем допускають прозору для служб безпеки підміну компонентів;
Помилки, яких припустилися в ході програмної реалізації засобів забезпечення безпеки. Ця група причин
порушення безпеки буде існувати доти, доки не з”являться технології програмування, що гарантують виробництво безпомилкових програм;
6) Наявність засобів налагодження і тестування в кінцевих продуктах. Багато розробників залишають в комерційних продуктах так звані “люки”, “діри” і т.д. Причини, з яких це відбувається, зрозумілі – програмні продукти стають все складнішими, і налагодити їх в лабораторних умовах неможливо. Отже, для визначення причин збоїв і помилок вже в процесі експлуатації розробникам доводиться залишати у своїх продуктах можливості для налагодження та діагностики в ході експлуатації;
Помилки адміністрування. Наявність найсучасніших засобів захисту не гарантує від можливих порушень
безпеки, тому що в безпеці будь-якої системи завжди присутній людський фактор – адміністратор, і всі зусилля розробників будуть зведені нанівець. Помилки адміністрування є поширеною причиною порушень безпеки, але часто списуються на помилки виробників програмних засобів захисту.
Наведені вище причини порушення безпеки зручно подати у вигляді схеми (мал. 3-А)
6. Політиа безпеки
6.1. Поняття політики безпеки
Фундаментальним поняттям захисту інформації є політика безпеки (ПБ), або політика захисту. Важливість цього поняття важко переоцінити – існують ситуації, коли правильно сформульована політика є чи не єдиним механізмом захисту від НСД.
З ПБ пов”язуються поняття оптимальності рішень з організації та підтримки системи захисту. Іноді вдається досягти загальноприйнятного розуміння оптимальності прийнятого рішення і навіть довести його існування.Однак, коли розв”язок багатоальтернативний, то загальноприйнятого розуміння оптимальності немає, а в тих випадках, коли розглядається питання про оптимальний в якомусь сенсі розв”язок, то його існування, частіше за все, вдається довести лише на окремих задачах ?7-А?.
Подібна ситуація існує і в задачах захисту інформації, оскільки неоднозначним є рішення про те, що система захищена. Крім того, система захисту – не самоціль, а має лише підпорядковане значення і має виконувати підпорядковану функцію порівняно з головною метою обчислювального процесу. Наведемо приклади.
Приклад 1. Нехай два відділи в деякій організації ведуть розробки двох проблем. Кожний з відділів користується своїми базами даних, в тому числі і для збору інформації про вирішення проблем. Припустимо, що серед множин задач першого і другого віділів виявилися однакові. На жаль, працівник служби безпеки, що дозволяє чи забороняє доступ до баз, не в змозі встановити, що в двох базах накопичується інформація з вирішення одного і того ж завдання. Розглянемо різні рішення працівника СБ щодо забезпечення безпеки інформації.
Якщо працівник СБ дозволить доступ відділів до баз один одного, то співробітники одного з них, взявши інформацію з іншої бази чи зі своєї, анонімно, а тому безкарно, зможуть продати цю інформацію, бо немає персональної відповідальності (неможливо встановити, хто саме продав інформацію з даної бази). При цьому безкарність іноді може навіть стимулювати злочин.
Якщо працівник СБ не дозволить доступ відділів до баз один оджного, то виникає небезпека збитків через недоступність інформації (одні вирішили завдання, а інші – ні; тоді завдання іншого відділу виявиться невирішеним, через що можливі збитки фірмиЮ тому що відповідну проблему могли могли вирішити конкуренти).
Очевидно, що в обох випадках досягається зменшення однієї небезпеки за рахунок зростання іншої.
Приклад 2. Нехай на базі даних збирається інформація про здоров”я приватних осіб, яка у більшості країн вважається конфіденційною. База даних потрібна, тому що ця інформація дозволяє ефективно робити діагностику. Якщо доступ до цієї бази з точки зору захисту інформації сильно обмежений, то в такій базі не буде користі для лікарів, які ставлять діагнози, і не буде користі від самої бази. Якщо доступ відкритиЮ то можливий витік конфіденційної інформації, за який через суд може бути великий позов. Яким повинно бути оптимальне рішення ?
Результатом рішення в наведених прикладах та інших аналогічних задачах є вибір правил розподілу і
збнреження інформації, а також поводження з інформацією, що називається політикою безпеки.
Під поняттям політики безпеки інформації розуміється організована сукупність документованих
керівних рішень, спрямованих на захист інформації та асоційованих з нею ресурсів системи. ПБ викладає систему поглядів, основних принципів, практичних рекомендацій і вимог, що закладаються в основу реалізованого в системі комплексу заходів з захисту інформації.
Формування політики безпеки є дуже складним аналітичним процесом, який важко формалізувати.
Існують різні типи конкретних політик, причому деякі з них передбачають достатньо високий рівень формалізації. Більше того, існують точні доказові методи оцінки ПБ.
Дотримання ПБ має забезпечити виконання того компромісу між альтернативами, який вибрали власники цінної інформації для її захисту. Вочевидь, будучи результатом компромісу, ПБ ніколи не задовольнить усі сторони, що беруть участь у взаємодії з інформацією, що захищається. В той же час вибір ПБ – це кінцеве вирішення проблеми: що – добре і що – погано при роботі з цінною інформацією. Після прийняття такого рішення можна будувати захист, тобто систему підтримки виконання правил ПБ. Таким чином, побудована система захисту інформації добра, якщовона надійно підтримує виконання правил ПБ. Навпаки, система захисту інформації погана, якщо вона ненадійно підтримує ПБ.
Таке вирішення проблеми захищеності інформації та проблеми побудови системи захисту дозволяє залучити точні математичні методи. Тобто довести, що дана система в заданих умовах підтримує ПБ. У цьому суть доказового підходу до захисту інформації, який дозволяє говорити про “гарантовано захищену систему”. Смисл “гарантованого захисту” в тому, що при дотриманні початкових умов свідомо виконуються всі правила ПБ. Термін “гарантований захист” вперше зустріається в стандарті міністерства оборони США щодо вимог до захищеної системи (“Оранжева книга”).
Відзначимо відмінність ПБ від уживаного поняття НСД. Перша відмінність полягає в тому, що політика визначає як дозволені, так і недозволені доступи. Друга відмінність – ПБ за своїм визначенням конструктивна, може бути основою визначення деякого автомата чи апарата для своєї реалізації.
Приклад 3. Сформулюємо просту поллітику безпеки в деякій установі. Мета, що соїть перед захистом – забезпечення таємності інформації. ПБ полягає в наступному: кожен користувач послуговується своїми і тільки своїми даними, не обмінюючись з іншими користувачами. Кожен користувач має свій персональний комп”ютер у персональній охоронній кімнаті, куди не допускаються сторонні особи. Легко бачити, що сформульована вище політика реалізується в цій системі. Будемо називати таку політику тривіальною розмежувальною політикою.
ПБ визначається неоднозначно і, звичайно, завжди пов”язана з практичною реалізацією системи і механізмів захисту. Наприклад, ПБ у прикладі 3 може цілком змінитися, якщо в організації немає достатнього числа комп”ютерів і приміщень для підтримки цієї політики.
Побудова політики безпеки звичайно відповідає наступним крокам:
1-й крок. В інформацію вноситься структура цінностей і проводиться аналіз ризику.
2-й крок. Визначаються правила для будь-якого процесц користування даним вмдом доступу до елементів
інформації, що має дану оцінку цінностей.
Однак реалізація цих кроків є складним завданням. Результатом помилкового чи бездумного визначення правил ПБ, як правило, є руйнування цінності інформації без порушення політики безпеки. Таким чином, навіть добра система захисту може бути “прозорою” для ЗЛ при поганій ПБ.
Приклад 4. Нехай банківські рахунки зберігаються в зашифрованому вигляді в файлах ЕОМ. Для зашифрування, природньо, використовується блокова система шифру, що для надійності реалізована поза комп”ютером і оперується за допомогою довіреної особи. Прочитавши в книгах про добрі механізми захисту, служба безпеки банку переконана, що якщо шифр стійкий, то зазначеним способом інформація добре захищена. Справді, прочитати її при надійному шифрі неможливо, але службовець банку, що знає стандарти заповнення рахунків і має доступ до комп”ютера, може змінити частину шифротексту у своєму рахунку на шифротекст у рахунку багатого клієнта банку. Якщо формати збіглися, то рахунок такого службовця з великою імовірністю зросте. В цьому прикладі гра йде на те, що втакій ситуації небезпека для цілісності інформації є значно вищою від небезпеки для порушення таємності, а обрана ПБ добре захищає від порушень таємності, але не орієнтована на небезпеку для цілісності.
Приклад 5. Якщо невдало вибрати ПБ, то можна показати, як користувач, що не має доступу до секретної інформації, реалізує канал витоку секретних даних про те, де в пустелі знаходиться криниця з водою (для простоти, в місцевості є лише одна криниця). Отже, інформація про карту будь-якої ділянки пустелі є несекретною, але координати криниці є секретною інформацією. Для отримання секретної інформації користувач робить послідовність запитів в базу даних, причому кожний наступний запит (можна говорити про кроки алгоритму користувача) визначається відповідно на попередній.
1-й крок. Розбивається район (для зручності – прямокутник) на вертикальні смуги і робиться запит на ці ділянки в базу даних. Відповідно до вибраної ПБ відповідь подається у двох формах:
відмова від показу карти, якщо вона секретна, оскільки користувачеві, що не має доступу до секретної інформації, база даних, природньо, не повинна її показувати;
представлення карти на екрані, якщо ділянка не містить криниці.
Якщо є відмова в доступі, то висновок – в даній смузі є криниця.
2-й крок. Смуга, де є криниця (тобто, де є відмова в доступі), розбивається на окремі ділянки по горизонталі,
і знову робиться запит в базу даних. Відмова знову означає, що в даній ділянці є криниця.
В результаті обчислюються координати криниці, причлму це можна зробити з будь-якою точністю (залежно від рівня дискретизації ділянок пустелі). Таким чиномЮ ПБ дотримана, однак відбувся витік секретної інформації.
Зрозуміло, що ПБ можна підкоригувати таким чином% нехай будь-який користувач одержує карту з запитом, але користувач з допуском до секретної інформації отримує карту з нанесеною криницею, а користувач без такого доступу – без криниці. В цьому випадку канал, побудований вище, не працює і ПБ надійно захищає інформацію.
Згідно з ?17? під ПБ інформації слід розуміти набір законів, правил, обмнжень, рекомендацій і т.п., які регламентують порядок обробки інформації і спрямовані на захист інформації від певних загроз. Термін “політика безпеки” може бути застосований щодо організацій, АС, ОС, послуги, що реалізуються системою (набору функцій), і тюін. Чим дрібніший об”єкт, до якого застосовується даний термін, тим конкретнішими і формальними стають правила. Далі для скорочення замість словосполучення “політика безпеки інформації” може використовуватися словосполучення “політика безпеки інформації, що реалізується послугою” – “політика послуги” і т.ін.
ПБ інформації в АС є частиною загальної політики безпеки організації і може успадковувати, зокрема, положення державної політики в галузі інформації. Для кожної Ас ПБ інформації може бути індивідуальною і залежить від технології обробки інформації, що реалізується, особливостей ОС, фізичного середовища і багатьох інших чинників. Тим більше одна і та сама АС може реалізовувати декілька різноманітних технологій обробки інформації. Тоді і ПБ інформації в такій АС буде складеною, і її частини, що відповідають різним технологіям, можуть істотно відрізнятися.
ПБ інформації, що реалізуються різними КС, будуть відрізнятися не лише тим, що реалізовані в них функції захисту можуть забезпечувати захист від різних типів загроз, а і у зв”язку з тим, що ресурси КС можуть істотно відрізнятися. Так, якщо операційна система оперує файлами, то СУБД має справу із записами, розподіленими в різних файлах.
Для визначення і формалізації процесу розробки ПБ в деякій організації звичайно необхідно розробляти два комплекти документів ?28-А?:
Узагальнена політика (program-level).
Проблемно-орієнтована (окрема політика (issue-specific).
Основна функція узагальненої ПБ є визначення програми ЗІ, призначення відповідальних за її виконання осіб,
формулювання цілей та об”єктів захисту, а також вироблення схеми для забезпечення дотримання розроблених правил і вказівок. Компонентами узагальненої ПБ вважаються призначення, сфера поширення, визначення цілей ЗІ, розподіл відповідальності за виконання і методи забезпечення дотриманих правил.
Прблемно-орієнтована ПБ необхідна для виділення певних проблемних сфер і визначення позиції організації щодо них.
Якщо узагальнена ПБ описує глобальні аспекти ЗІ, то окремі ПБ розробляються для деяких видів діяльності та в деяких випадках для конкретних систем (наприклад, для захисту електронної кореспонденції). Таким чином, окремі ПБ стандартизують роботу і зменшують потенційний ризик, який виникає при некоректному використанні інформаційних ресурсів. Проблемно-орієнтована ПБ частково визнає керівні принципи при створенні функціональних інструкцій для співробітників організації. Формуючи окрему ПБ, виділяють такі її компоненти: формулювання проблеми, визначення позиції організації, визначення сфери поширення, ролей і відповідальності, а також призначення осіб для контактів у даному питанні. Частина ПБ, яка регламентує правила доступу користувачів і процесів до ресурсів КС, складає правила розмежування доступу (ПРД) (access mediation rules).
Створення життєдіяльної ПБ – важливе і складне завдання, яке вимагає розуміння цілей ЗІ, а також потенційності користі від її розробки. Тому необхідно розробляти структурні підходи для формування ПБ, які б включали способи розподілу обов”язків, підходи для розробки узагальненої та окремих компонент у вигляді узгодженої політики ЗІ, а також рекомендації щодо формування на її основі наборів функціональних інструкцій. Політика ЗІ допомагає визначити стандарти, керівні інструкції та правила для всіх працівників в організації.
Таким чином, до складу будь-якої СЗІ обов”язково має входити ПБ та набір апаратних і програмних компонент, використання яких регламентовано політикою, що забезпечує збереження інформації. Для більшої впевненості в надійності СЗІ необхідна також наявність строгих доказів її повноти та коректності.
Основними етапами формального підходу до перевірки СЗІ на повноту і коректність є:
визначення об”єктів і цілей захисту;
розробка політики;
доказ того, що при її отриманні інформація не компроментується відповідно до п. 1;
визначення набору функцій для підтримки політики;
доказ того, що набір функцій забезпечує дотримання політики;
вибір апаратного та програмного забезпечення для реалізації функції ЗІ.
Для формального доказу в пунктах 3 та 5 можуть використовуватися математичні методи, якщо сама ПБ була визначена достатньо строго, можливо, в термінах деякої формальної мови. Популярні підходи до формалізації трунтуються на станах системи або на її діях.В підході, який грунтується на станах, функціонування системи розглядається ґк послідовність станів, де стан – це набір значень множини змінних. Підхід, який грунтується на діях, розглядає діяльність систем у вигляді набору реакцій на події. Ці два різних підходи в певному сенсі еквівалентні. Дії можуть бути змодельовані зміною стану, а стани можуть бути представлені класами еквівалентності послідовностей дії. Однак описані підходи звичайно базуються на різних формальних теоріях. Моделювання станів у більшості випадків грунтується на логіці, а специфікації представляються формулами в деякій логічній системі. При моделюванні дії звичайно користуються алгеброю, а специфікаціями є об”єкти, з якими оперують алгебраїчними методами. Основою доведень, які проводяться в п.п. 3 та 5, як правило, є набір теорем. Однак проводити подібний аналіз для кожної системи складно і дорого. Крім того, методика проведення аналізу державних систем – конфіденційна інформація. Вихід було знайдено в тому, що умови теорем, які доводять підтримку ПБ, формулюються без доведення у вигляді стандарту. Саме такий підхід вперше застосували американці в 1983 р., опублікувавши відкрито проект стандарту з ЗІ в електронних системах обробки даних (“Оранжева книга”), де сформульовано вимоги гарантованої підтримки двох класів політик – дискреційної та мандатної. Пізніше цей метод було застосовано в 1987 р. для опису гарантовано захищених розподілених мереж, в яких підтримуються ті самі політики, а в 1997 р. – для опису вимог гарантовано захищених баз даних. Цей же шлях використали канадці і європейські держави, створивши свої стандарти з ЗІ. В Україні також розроблено стандарт захисту, аналогічний канадському. Наведені вище підходи до формалізації політики ЗІ дають можливість проаналізувати розроблені стандарти на повноту і коректність.
6.2. Види політики безпеки
Серед ПБ найбільш відомі дискреційна , мандатна та рольова. Перші дві досить давно відомі і дослідженні в ?6,7 А?, а рольова політика є недавгім досягненням теорії та практики захисту інформації ?32-А?.
Основою дискреційної (розмежувальної) політики безпеки (ДПБ) є дискреційне управління доступом, яке визначається двома властивостями:
всі суб”єкти і об”єкти повинні бути однозначно ідентифіковані;
права доступу суб”єкта до об”єкта системи визначаються на основі деякого зовнішнього відносно
системи правила.
Ця політика – одна з найпоширеніших в світі, в системах по умовчанню мається на увазі саме ця політика. ДПБ реалізується за допомогою матриці доступу, яка фіксує множину об”єктів та суб”єктів, доступних кожному суб”єкту. Існує декілька віріантів задання матриці доступу.
Листи можливостей: для кожного суБ2єкта створюється лист (файл) всіх об”єктів, до яких він має доступ.
Листи контролю доступу: для кожного об”єкта створюється список всіх суб”єктів, що мають доступ до нього.
До переваг ДПБ мож на віднести відносно просту реалізацію відповідних механізмів захисту. Саме цим
зумовлений той факт, що більшість поширених сьогодні захищених АС забезпечують виконання положень ДПБ. Крім того, при її реалізації досягається велика економія пам"”ті, оскільки матриця доступів звичайно буває дуже розрядженою. Однак багатьох проблем захисту ця політика розв”язати не може. Наведемо найбільш суттєві вади ДПБ.
Один із найсуттєвіших недоліків цього класу політик – те, що вони не витримують атак за допомогою “Троянського коня”. Це, зокрема, означає, що СЗІ, яка реалізує ДПБ, погано захищає від проникнення вірусів в систему та інших засобів прихованої руйнівної дії.
Наступна проблема ДПБ – автоматичне визначення прав. Так як об”єктів багато і їх кількість безперервно змінюється, то задати заздалегідь вручну перелік прав кожного суб”єкта на доступ до об”єктів неможливо. Тому матриця доступу різними способами агрегується, наприклад, як суб”єкти залишаються тільки користувачі, а у відповідну клітину матриці встановлюються формули функції, обчислення яких визначає права доступу суб”єкта, породженого користувачем, до об”єкта. Звичайно, ці функції можуть змінюватися з часом. Зокрема, можливе вилучення прав після виконання деякої події. Можливі модифікації, які залежать від інших параметрів.
Ще одна з найважливіших проблем при використанні ДПБ – це проблема контролю поширення прав доступу. Найчастіше буває, що власник файла передає вміст файла іншому користувачу і той, таким чином, набуває права власника на цю інформацію. Отже, права можуть поширюватися, і навіть якщо перший власник не хотів передати доступ іншому суб”єкту до своєї інформації, о після декількох кроків передача прав може відбутися незалежно від його волі. Виникає задача про умови, за якими в такій системі деякий суб”єкт рано чи пізно отримає необхідний йому доступ.
При використанні ДПБ виникає питання визначення правил поширення прав доступу ті аналізу їх впливу на безпеку АС. В загальному випадку при використанні ДПБ перед органом, який її реалізує і який при санкціонуванні доступу суб”єкта до об”єкта керується деяким набором правил, стоїть задача, яку алгоритмічно розв”язати неможливо: перевірити, чи призведуть його дії до порушення бкзпеки чи ні.
Отже, матриця доступів не є тим механізмом, який дозволив би реалізувати ясну та чітку СЗІ в АС.
Основу мандатної Повноважної) політики безпеки (МПБ) становить мандатне управління доступом, яке
передбачає, що:
всі суб”єкти та об”єкти повинні бути однозначно ідентифіковані;
задано лінійно впорядкований набір міток секретності;
кожному об”єкту системи присвоєна мітка секретності, яка визначає цінність інформації, що міститься в ньому – його рівень секретності в АС;
кожному суб”єкту системи присвоєна мітка секретності, яка визначає рівень довіри до нього в АС – максимальне значення мітки секретності об”єктів, до яких суб”єкт має доступ; мітка секретності суб”єкта називається його рівнем доступу.
Основна мета МПБ – запобігання витоку інформації від об”єктів з високим рівнем доступу до об”єктів з
низьким рівнем доступу, тобто протидія виникненню в Ас інформвційних каналів зверху вниз. Вона оперує, таким чином, поняттями інформаційного потоку і цінності (певним значенням мітки секретності) інформаційних об”єктів.
Цінність інформаційних об”єктів часто дуже важко визначити. Однак досвід показує, що в будь-якій АС майже завжди для будь-якої пари об”єктів X та Y можна сказати, який із них більш цінний. Тобто можна вважати, що таким чином фактично визначається деяка однозначна функція с(Х), яка дозволяє для будь-яких об”єктів X та Y сказати, що коли Y більш цінний об”кт, ніж Х, то с(Y)?с(Х). І навпаки, з огляду на однозначність, якщо
с(Y)?с(Х), то Y більш цінний об”кт, ніж Х. Тоді потік інформації від Х до Y дозволяється, якщо с(Х)? с(Y), і не дозволяється, якщо с(Х)? с(Y).
Таким чином, МПБ має справу з множиною інформаційних потоків, яка ділиться на дозволені і недозволені дуже простою умовою – знвченням наведеної функції. Інакше кажучи, управління потоками інформації здійснюється через контроль доступів.
МПБ в сучасних системах захисту на практиці реалізується мандатним контролем. Він реалізується на найнижчому апаратно-програмному рівні, що дозволяє досить ефективно будувати захищене середовище для механізму мандатного контролю. Пристрій мандатного контролю називають монітором звернень. Мандатний контроль ще називають обов”язковим, оскільки його має проходити кожне звернення суб”єкта до об”єкта, якщо вони знаходяться під захистом СЗІ. Організується він так: кожний об”єкт має мітку з інформацією про свій рівень секретності; кожний суб"єкт також має мітку з інформацією про те, до яких об”єктів він має право доступу. Мандатний контроль порівнює мітки і приймає рішення про допуск.
Найчастіше МПБ описують в термінах, поняттях і визначеннях властивостей моделі Белла-Лападула ?5-А?. В рамках цієї моделі доводиться важливе твердження, яке вказує на принципову відмінність систем, що реалізують мандатний захист, від систем з дискреційним захистом: якщо початковий стан системи безпечний і всі переходи системи зі стану до стану не порушують обмежень, сформульованих ПБ, то будь-який стан системи безпечний.
Наведемо ряд переваг МПБ над ДПБ.
Для систем, де реалізовано МПБ, характерним є бльш високий ступінь надійності. Це пов”язано з тим, що за правилами МПБ відстежуються не лише правила доступу суб”єктів системи до об”єктів, а і стан самої АС. Таким чином, канали витоку в системах такого типу не закладені первісно (що є в положеннях ДПБ), а можуть виникнути лише при практичній реалізації систем внаслідок помилок виробника.
Правила МПБ більш ясні і прості для розуміння розробниками і користувачами АС, що також є фактором, який позитивно впливає на рівень безпеки системи.
МПБ стійка до атак типу “Троянський кінь”.
МПБ допускає можливість точного математичного доведення, що дана система в заданих умовах підтримує ПБ.
Однак МПБ має серйозні вади – вона складна для практичної реалізації і вимагає значних ресурсів
обчислювальї системи. Це пов”язане з тим, що інформаційних потоків в системі величезна кількість і їх не завжди можна ідентифікуватию Саме ці вади часто заваджають її пратичному використанню.
МПБ прийнята всіма розвинутими державами світу. Вона розроблялася, головним чином, для збереження секретності (тобто конфіденційності) інформації у військових організаціях. Питання ж цілісності за її допомогою не розв”язуються, або розв”язуються частково, як побічний результат захисту секретності.
Розглянемо ще один вид ПБ – рольову ПБ. Рольову політику безпеки (РПБ) не можна віднести ані до дискреційної, ані до мандатної, тому що керування доступом у ній здійснюється як на основі матриці прав доступу для ролей, так і за допомогою правил, які регламентують призначення ролей користувача та їх активацію під час сеансів ?32-А?. Отже, рольва модель є цілком новим типом політики, що базується на компромісі між гнучкістю керування доступом, яка є характерною для ДПБ, і жорсткістю правил контролю доступу, яка притаманна МПБ.
У РПБ класичне поняття суб”єкт заміщується поняттям користувач і роль. Користувач – це людина, яка працює з системою і виконує певні службові обов”язки. Роль – це активна діюча в системі абстрактна сутність, з якою пов”язаний обмежений , логічно зв”язаний набір повноважень, необхідних для здійснення певної діяльності.
РПБ є досить поширеною, тому що вона, на відміну від інших більш строгих і формальних політик, є дуже близькою до реального житя. Справді, користувачі, що працюють в системі, діють не від свого власного імені – вони завжди здійснюють певні службові обов”язки, тобто виконують деякі ролі, які аж ніяк не пов”язані з їх особистістю.
Тому цілком логічно здійснювати керування доступом і призначати повноваження не реальним користувачам, а абстрактним (не персоніфікованим) ролям, які представляють учасників певного процесц обробки інформації. Такий підхід до ПБ дозволяє врахувати розподіл обов”язків і повноважень між учасниками прикладного інформаційного процесу, оскільки з точки зору РПБ має значення не особистість користувача, що здійснює доступ до інформації, а те, які повноваження йому необхідні для виконання його службових обов”язків. Наприклад, у реальній системі обробки інформації можуть працювати системний адміністратор, менеджер баз даних і прості користувачі.
В такій ситуації РПБ дає змогу розподілити повноваження між цими ролями відповідно до їх службових обов”язків: ролі адміністратора призначаються спеціальні повноваження, які дозволяюьб йому контролювати роботу системи і керувати її конфігурацією; роль менеджера баз даних дає змогу здійснювати керування сервером БД; а права простих користувачів обмежуються мінімумом, необхідним для запуску прикладних програм. Крім того, кількість ролей у системі може не відповідати кількості реальних користувачів – один користувач, якщо він має різні повноваження, може виконувати (водночас або послідовно) кілька ролей, а кілька користувачів можуть користуватися однією і тією ж роллю, якщо вони виконують однакову роботу.
При використанні РПБ керування доступом здійснюється в дві стадії:
для кожної ролі вказується набір повноважень, що являють собою набір прав до об”єктів;
кожному користувачеві призначається список доступних йому ролей.
Повноваження призначаються ролям відповідно до принципу найменших привілеїв, з якого випливає, що кожний користувач повинен мати лише мінімально необхідні для виконання своєї роботи повноваження. У моделі РПБ визначають такі множини:
U – множина користувачів;
R – множина ролей;
Р – множина повноважень на доступ до об”єктів, що подається, наприклад, у вигляді матриці прав доступу;
S – множина сеансів роботи користувачів із системою.
Для перелічених множин визначаються такі співвідношення:
PA? P ?R – відображає множину повноважень на множину ролей, встановлюючи для кожної ролі набір
наданих їйповноважень
UA ?U? R – відображає множину користувачів на множину ролей, визначаючи для кожного користувача набір
доступних йому ролей.
Правила верування доступом рольової політики безпеки визначаються такими функціями:
user:S ?U – для кожного сеансу s ця функція визначає користувача u, який здійснює цей сеанс роботи з
системою: user(s) = u;
roles: S? R – для кожного сеансу s ця функція визначає набір ролей з множин R, що можуть бути
одночасно доступні користувачу u в цьому сенсі: roles(s) = ?r ?(user(s), r) ?UА?;
permissions: S ?P – для кожного сеансу s ця функція задає набір доступних у ньому повноважень, який
визначається як сукупність повноважень усіх ролей, що беруть участь у цьому сеансі:
permissions(s)= ?p?(p,r)?UА?.
Як критерій безпеки рольової моделі використовується таке правило: система вважається безпечною, якщо будь-який користувач системи, що працює в сеансі s, може здійснити дії, які вимагають повноважень р лише в тому випадку, коли р? permissions(s).
З формулювання критерію безпеки моделі РПБ випливає, що управління доступом здійснюється головним чином не за допомогою призначення повноважень ролям, а шляхом задання відношення UА, яке призначає ролі користувачам, і функції roles, що визначає доступний усеансі набір ролей. Тому численні інтерпритації рольової моделі відрізняються видом функції user, roles та permissions, а також обмеженнями, що накладаються на відношення PA та UA. Як приклади розглядається рольова політика управління доступом з ієрархічною організацією ролей, а також кілька типових обмежень на відношення PA та UA і функцій user та roles, що найчастіше зустрічаються на практиці.
Зокрема, ієрархічна організація ролей являє собою найпоширеніший тип рольової моделі, оскільки вона дуже точно відображає реальне відношення підпорядкованості між учасниками процесів обробки інформації і розподіл між ними сфер відповідальності. Ролі в ієрархії упорядковуються за рівнем наданих повноважень. Чим вища роль в ієрархії, тим більше з нею пов”язано повноважень, оскільки вважається, що коли користувачу надана деяка роль, то йому автоматично призначаються і всі підпорядковані їй за ієрархією ролі. Ієрархічна організація ролей є характерною для системи військового призначення.
Завдяки гнучкості та широким можливостям РПБ суттєво перевершує інші політики, хоча іноді її певні властивості можуть виявитися негативними. ТакЮ вона практично не гарантує безпеки за допомогою формального доведення, а тільки визначає характер обмежень, виконання яких і є критерієм безпеки системи. Хоч такий підхід дозволяє отримати прості і зрозумілі правила контролю доступу (перевага), які легко застосовуються на практиці, але позбавляє систему теоретичної доказової бази (вада). В деяких ситуаціях ця обставина утруднює використання РПБ, однак, в будь-якому разі, оперувати ролями набагато зручніше, ніж суб”єктами (перевага), оскільки це ільше відповідає поширеним технологіям обробки інформації, які передбачають розподіл обов”язків і сфер відповідальності між користувачами.
Крім того, РПБ може використовуватися одночасно з іншими ПБ, коли повноваження ролей, що призначаються користувачам, контролюються ДПБ або МПБ, що дає змогу будувати схеми контролю доступу.
. Механізми захисту інформації від НСД
7.1. Засоби контролю доступу за пропускними документами
Для проникнення на територію, що охороняється, використовують наступні пропускні документи:
ключі;
ключі з наклеїними фотографіями;
жетони;
коди доступу;
брелки;
ідентифікаційні карти.
Все більше місце в наш час займають електронні системи контролю доступу і аппаратура із застосуванням
мікропроцесорів і персональних комп”ютерів. Їх важливим достоїнством є можливість аналізу ситуації і ведення звітності.
До розряду електронних систем контролю доступу відносяться системи з цифровою клавіатурою (кнопеові), картками, електронними ключами. Для відкривання дверей з клавіатурою (кнопкові замки) потрібно набрати правильний буквенно-цифровий код. У системах підвищеної захищеності клавіатура доповнюється системою зчитування ідентифікаційних карт (карток). У системах контролю доступу за картками ключем є спеціальним чином закодована картка, яка виконує функцію посвідчення особи службовця і забезпечує йому прохід в приміщення, куди він має доступ цілодобово або в певні години.
За прогнозами, в найближчі роки невеликі фірми будуть ще цілком облаштовувати свої двері звичайними механічними замками з ключами. В крупних організаціях з великою кількістю приміщень більш доцільним є застосування системи контролю доступу за картками.
1). Ключі
Механічні замки за тривалий час використання та вдосконалення увібрали в себе масу досягнень технології, конструювання та дизайну. Традиційний, так званий англійський ключ, до якого всі звикли, не забезпечує необхідної міри захисту. Тому у вхідних дверях доцільно використовувати два різних замки різних систем.
Замки з циліндричними механізмами підвищеної секретності важче піддаються відмичкам. Ключ для такого замка являє собою половину циліндра з майданчиками різного нахилу.
Новий вид ціліндричних механізмів полягає в тому, замки мають кілька комплектів ключів і вони автоматично перезакодовуються, коли власник ключів починає еористуватися новим комплектом ключів. При цьому попередній комплект ключів припиняє діяти. Після першого перекодування циліндричного механізму замок відмикається або закоиваєьбся лише ключем другого комплекту. Цю лперацію можна проводити і ключем третього комплекту.
2). Посвідчення з наклеїними фотографіями і жетони
До засобів контролю доступу без застосування електронного обладнання відносять посвідчення з наклеїною фотографією власника і жетони. Посвідчення видається службовцям, які регулярно відвідують приміщення. Жетони, як правило, використовуються для контролю доступу епізодичних відвідувачів протягом визначненого терміну. Посвідчення особи і жетони можуть використовуватися одночасно з засобами контролю картками, перетворюючись тим самим в машиночитаємі перепустки на закриту територію. Для посилення захисту картки з фотографією можуть доповнюватися пристроями їх зчитування і набором персонального коду на клавіатурі. На думку фахівців, картки-жетони з фотографією доцільно використовувати для захисту проходу в контрольовані області на великих підприємствах.
3). Коди доступу
Для збільшення ступеню захисту механічні замки об”єднуються з пристроями набору коду. Для відмикання дверей з таким замком вже недостатньо наявності лише ключів. Двері відчиняються ключем лише у разі правильного набору коду. При цьому можна менше побоюватися пропажі ключів, якщо один комплект загубиться. Потрібно лише змінити код замка.
Кодові замки можуть бути механічними або електронними. В механічних кодових замках послідовність набору цифр не має значення. А це зменшує кількість комбінацій набору і зменшує ступінь захисту таких замків. Використання лише механічних кодових замків обмежене через те, що досить легко визначити цифри коду, що набирається. ЗЛ може, наприклад, нанести на клавіші коду крейду. При наборі крейда стирається на тих клавішах набірного поля, які натискалися. Тому, при використанні кодових замків, один з способів підвищення ступеню захисту є періодична зміна коду.
Електронні замки забезпечують більш високу ступінь захисту в порівнянні з механічними. В електронних замках часто комбінації не обмежені і можуть досягати до 900 мільйонів. Крім того, при необхідності суворого контролю відвідування приміщень електронні замки підключаються до систем сигналізації та охорони.
4). Брелки
Останнім часо широкого поширення набули брелки наступних типів:
контактні;
радіобрелки;
інфрачервоні.
5) Ідентифікаційні карти
Найбільш поширеними видами ідентифікаційних карт є:
проксиміти (безконтактні радіочастотні);
Це найбільш зручний в використанні та перспективний тип карт. Вони спрацьовуюьб на відстані і не
вимагають чіткого позиціонування, що забезпечує їх стійку роботу і зручність у рористуванні, високу пропускну спроможність. Інформація записується на мікрочіпі, що міститься в картці, і може зчитуватися на відстані до 90 метрів. Електронні картки бувають пасивні та активні. Пасивні картки програмуються один раз приїх виготовлені. Активні картки можна перепрограмувати.
магнітні;
Це найбільш поширений варіант карт. Інформація записується на магнітному носії, виготовленому у вигляді
стрічки, яка приклеюється до пластикової картки. При ідентифікації необхідно картку помістити в місце зчитування інформації.
карта Віганда;
Картка названа на ім”я вченого, який отримав магнітний сплав, який має прямокутну петлю гістерезиса.
штрих-кодові.
Використана відома всім з торгівлі технологія штрих-коду. Картки можуть бути надруковані на будь-якому
принтері або виготовлені вручну.
Рідше застосовуються перфоровані, голографічні та смарт-карти. В таблиці ___ наведені переваги та
недоліки ідентифікаційних карт різного видц.
7.2. Система автоматичного контролю доступу
Дослідження показали, що в “години пік” контролер КПП пропускає до 25 % осіб з дефектними і чужими пропускними документамию Після чотирьох годин роботи величина помилки зростає до 40 %.
За допомогою системи контролю доступу (СКД) здійснюється автоматихзований контроль доступу в підохоронні зони. Дії, які слід бути виконані для організації санкціонованого доступу до об”єктів інформації:
ідентифікація (пізнавання) осіб (виявлення осіб, доступ яким дозволений).
Пропуск осіб, доступ яким дозволений;
За допомогою системи санкціонованого доступу можна організувати допуск на територію певних осіб і в
певний час вирішувати такі задачі, як:
облік робочого часу;
визначення місцезнаходження працівника;
управління ліфтами, освітленням, вентиляцією тощо.
Системи контролю доступу можна розділити на автономні та мережіві. Автономні СКД призначені для
управління одним або кількома виконавчими пристроями без передачі інформації на центральний пунк охорони і без контролю з боку оператора.
Мережеві СКД призначені для управління виконавчими пристроями і обміном інформацією з центральним пунктом охорони і контролем, управлінням системою з боку чергового оператора.
Системи контрольованого доступу складаються з блоків;
пристрій ідентифікації (зчитувач);
контролер;
виконавчий пристрій.
Пристрій ідентифікації розшифровує інформацію, записану на картці і передає її контролеру. Зчитувачі
розташовуються безпосередньо біля тлчок проходу, що обмежують пересування.
Контролер – пристрій, що виробляє сигнали дозволу доступу на основі інформації, що надійшла від
Зчитувача. Контролер кправляє зчитувачами і виконавчими пристроями. Віш приймає рішення про доступ конкретного користувача, що пред"”вив засіб ідентифікації, через конкретну точку проходу в конкретний час на основі інформації про конфігурацію системи і права користувачів системи обмеженого доступу, що оберігається в ньому. Контролер – йе той інтелектуальний елемент системи, який приймає рішення.
7.3. Керування доступом
Доступ до інформації (access to information) – вид взаємодії двох ою”єктів КС, внаслідок якого створюється потік інформації від одного об”єкта до іншого і/або відбувається зміна стану системи. Доступ характеризується типом та атрибутами ?1-3-А?.
Тип доступу (access type) – сутність доступу до об”єкта, що характеризує зміст здійснюваної взаємодії, а саме: проведені дії, напрям потоків інформації, зміни в стані системи (наприклад, читання, запис, запуск на виконання, виділення, дозапис).
Атрибут доступу (tag, access mediation information) - будь-яка пов”язана з об”єктом КС інформація, яка використовується для керування доступом.
Кожному доступу передує запит на доступ (access request) – звернення одного об”єкта КС до іншого з метою отримання певного типу доступу.
Керування доступом (access control) – сукупність заходів з визначення повноважень і прав на доступ, контролю за дотриманням ПРД. Воно включає питання обмеження доступу, розмежування доступу (привілеїв), контроль та облік доступу. Існує чотири способи керування доступом:
фізичний, коли суб”єкти звертаються до фізично різних об”єктів;
часовий, коли суб”єкти з різними правами доступу звертаються до одного об”єкта в різні проміжки чвсу;
логічний, коли суб”єкти отримують доступ до спільного об”єкта в рамках однієї ОС;
криптографічний, коли права доступу визначаються наявністю ключа розшифрування.
Обмеження доступу полягає в створенні фізичної замкненої перешкоди навколо об”єкту захисту з
організацією контрольованого доступу осіб, які мають відношення до об”єкта захисту за своїми функціональними обов”язками. Основні цілі, завдання та методи обмежування доступу ми розглянули в попередньому розділі.
Розмежування доступу а АС полягає в поділі інформації, яка в ній обробляється, на частини та організації доступу до них відповідно до функціональних обов”язків та повноважень.
Завдання розмежування доступу: скорочення кількості посадових осіб, які не мають відношення до відповідної інформації при виконанні своїх функціональних обов”язків, тобто захист інформації від порушника серед допущеного до неї персоналу. При цьому розподіл інформації може здійснюватися за рівнем важливості, секретності, функціонального призначення, за документами і т.д.
Оскільки доступ здійснюється з різних технічних засобів, розмежування доступу по них починається саме з них шляхом розміщення їх в різних приміщеннях. Всі підготовчі функції технічного обслуговування апаратури, її ремонту, профілактики, перезавантаження програмного забезпечення і т.п. повинні бути технічно і організаційно відокремлені від основних завдань АС. АС і організацію її обслуговування слід будувати таким чином:
технічне обслуговування АС в процесі експлуатації має виконуватися окремим персоналом без доступу до інформації, що підлягає захисту;
перезавантаження програмного забезпечення і його зміни повинні здійснюватися спеціально виділеними для цієї мети перевіреним фахівцем;
функції забезпечення безпеки інформації повинні виконуватися спеціальним підрозділом в організації (власнику АС, обчислювальної мережі і т.п.) – службою безпеки;
організація доступу до даних АС забезпечує можливість розмежування доступу до інформації, що обробляється в ній, з достатнім ступенем деталізації і відповідно до заданих рівнів повноважень користувачів;
реєстрація і документування технологічної та оперативної інформації повинні бути розділені.
Розмежування доступу користувачів повинно відбуватися за такими параметрами:
за видом, характером, призначенням, ступенем важливості та секретності інформації;
за способами її обробки: зчитувати, записувати, модифікувати, виконувати команду;
за ідентифікатором терміналу;
за часом обробки тощо.
Принципова можливість розмежування за вказаними параментами має бути забезпечена проектом КС.
Конкретне розмежування при експлуатації АС встановлюється споживачем і вводиться в дію його підрозділом, що відповідає за безпеку інформації.
Розроділ доступу (привілеїв) до інформації полягає в тому, що з числа допущених до неї посадових осіб виділяється група, яка може отримати доступ лише при одночасному пред”явлені повноважень всіх членів групи. Завдання такого методу – суттєво утруднити навмисне перехоплення інформації порушником. Прикладом такого доступу є сейф з кільеома ключами, замок, який можна відчинити лише за наявністю всіх ключів. Аналогічно в АС може бути застосований такий механізм при доступі до особливо важливих даних. Хоч даний метод ускладнює процедуру доступу, проте має високу ефективність.
Контроль та облік доступу реалізується за допомогою такої послуги, як реєстрація. Реєстрація (audit, auditing) – це процес розпізнавання, фіксування та аналізу дій і подій, що пов”язані з дотриманням політики безпеки інформації. Використання засобів перегляду та аналізу журналів, а особливо засобів настроювання механізмів фіксування подій, повинно бути прерогативою спеціально авторизованих користувачів. Часто са процес реєстрації підрозділяється на протоколювання та аудит. Під протоколюванням розуміється збір та нагромадження інформації про події, що відбуваються в інформаційній системі. Аудит – це аналіз накопиченої інформації. Оскільки в нормативних документах України визначено лише поняття реєстрації, надалі будемо використовувати саме його ?17-20-А?.
Вибір фізичного носія для збереження даних реєстрації повинен відповідати способу їхнього використання та обсягу, а будь-яке переміщення таких даних має гарантувати їхню безпеку. В будь-якому випадку ступінь захищеності даних реєстрації повинен бути не нижчим, ніж ступінь захищеності даних користувачів, що забезпечують реалізовані послуги кофіденційночті та цілісності. Також повинні бути розроблені угоди щодо планування та ведення архівів даних реєстрації.
Для кожного з рівнім послуги не встановлюється жодного фіксованого набору контрольованих подій ?12-А?, оскільки для кожної КС їх перелік може бути специфічним. Критична для безпеки подія визначається як така, що пов”язана зі звертанням до якої-небудь послуги безпеки чи відбулася в результаті виконання будь-якої функції СЗІ, чи що-небудь інше, хоч прямо і не обумрвлено функціонуванням механізмів, які реалізують послуги безпеки, але може привести до порушення політики безпеки. Остання група подій визначається як така, що має непряме відношення до безпеки. Для з”ясування ступеня небезпеки таких подій часто є необхідним їх аналіз у контексті інших подій, що відбулися.
Для реалізації найбільш високих рівнів даної послуги необхідна наявність засобів аналізу журналу реєстрації (audit trail), що виконують більш складну, ніж перегляд, оцінкц журналу з метою виявлення можливих порушень політики безпеки, що дозволяє адміністратору здійснювати сортування, фільтрацію за визначеними категоріями та інші подібні операції. СЗІ повинна надавати адміністратору можливість вибирати події, що реєструються.Це можке бути досягнуто шляхом передвибірки або поствибірки. Передвибірка подій дозволяє виділити при ініціалізації систкми з цсієї множини доступних для реєстрації подій підмножину тих, котрі необхідно реєструвати в журналі. Використовуючи передвибірку, адміністратор може зменшити кількість подій, щореально реєструються, і, отже, розмір остаточного журнального файлу. Недоліком є те, що обрані події не можуть уже пізніше бути проаналізовані, навіть якщо виникне така необхідність. Перевага ж поствибірки полягає у гнучкості можливості аналізу постфактум, однак така організація ведення журнального файлу вимагає виділення значного обсягу пам”яті під дані реєсирації.
Для реєстрації найбільш високого рівня даної послуги потрібно, щоб аналіз даних реєстрації здійснювався в реальному часі. В цьому випадку в КС повинні бути реалізовані такі необхідні умови:
політика реєстрації в СЗІ визначає перелік подій, що реєструються;
СЗІ здійснює реєстрацію подій, що мають безпосереднє чи непряме відношення до безпеки;
журнал реєстрації містить інформацію про дату, місце, тип і успішність або неуспішність кожної зареєстрованої події, а також інформацію, достатню для встановлення користувача, процесу і/або об”єкту, що мали відношення до кожної зареєстрованої події;
СЗІ здатна контролювати одиничні чи повторні події, що можуть свідчити про прямі (істотні) порушення політики безпеки КС. СЗІ повинна бути здатною негайно інформувати адміністратора про перевищення порогів безпеки і, якщо небезпечні події повторюються, здійснити дії для їх припинення;
СЗІ здатна виявляти та аналізувати несанкціоновані дії в реальному чвсі;
політика ідентифікації та автентифікації, реалізована СЗІ) визначає атрибути користувача і послуги, для використання яких вони необхідні. Кожен користувач повинен однозначно ідентифікуватися СЗі;
перш ніж дозволити будь-якому користувачу виконувати будь-які інші, контрольовані СЗІ, дії, СЗІ використовує захищений механізм отримання від певного зовнішнього джерела автентифікованого ідентифікатора цього користувача.
7.4. Ідентифікація та автентитифікація
Одним з найважливіших механізмів ЗІ є ідентифікація та автентифікація (ІА). Відповідно до ?8-А? термін ідентифікація використовується в двох значеннях: по-перше, це процедура присвоєння ідентифікатора об”єуту КС, а по-друге, це процедура встановлення відповідності між об”єктом та його ідентифікатором, тобто процедура впізнання. Ідентифікатор – це певний уніуальний образ, ім”я чи число.
Автентифікація – це процедура перевірки належності пред”явленого ідентифікатора об”єкту КС, тобто встановлення чи підтвердження дійсності, ще – перевірка, чи об”єкт, що перевіряється, або суб”єкт справді тим, за кого він себе видає.
Під безпекою (стійкістю) системи ідентифікації та автентифікації розуміється ступінь забезпечуваних нею гарантій того, що ЗЛ здатний пройти автентифікацію від імені іншого користувача, тобто чим вища стійкість системи автентифікації, тим складніше ЗЛ розв”язати зазначену задачу. Система ІА є одним з ключових елементів інфраструктури захисту від НСД будь-якої інформаційної системи.
Розрізняють три групи методів автентифікації, що базуються на наявності в кожного користувача:
індивідуального об”єкту заданого типу;
знань деякої інформації, відомої лише йому і стороні, що перевіряє;
індивідуальних біометричних характеристик.
До першої групи належать методи автентифікації, що використовують посвідчення, перепустки, магнітні
картки тощо, які широко застосовуються для контролю доступу в приміщення, а також входять до складу програмно-апаратних комплексів захисту від НСД до засобів обчислювальної техніки.
До другої групи входять методи автентифікації, що використовують пароль. З економічних причин вони
включаються як базові засоби захисту в багатьох програмно-апаратних комплексах захисту інформації. Всі сучасні ОС і багато додатків мають вбудовані механізми парольного захисту.
Останню групу становлять методи автентифікації, що базуються на застосуванні устаткування для вимірювання і порівняння з еталоном заданих індивідуальних характеристик користувача: тембру голосу, відбитків пальців, структури райдужної оболонки ока та ін. Такі засоби дозволяють з високою точністю автентифікувати власника конкретної біометричної ознаки, причому “підробити; біометричні параметри практично неможливо. Однак значне поширення подібних технологій стримується високою вартістю необхідного устаткування.
Якщо в процедурі автентифікації беруть участь лише дві сторони, що встановлюють дійсність одна одної, така процедура називається безпосередньою автентифікацією (direct password authentication). Якщо ж в процесі автентифікації беруть участь не лише ці сторони, але і інші, допоміжні, говорять про автентифікацію за участю довіреної сторони (trusted third party authentication). При цьому третю сторону називають сервером автентифікації (authentication server) чи арбітром (arbitrtor).
Отже, кінцева мета ІА – допуск об”єкта до інформації обмеженого користування у випадку позитивного результату перевірки чи відмова в допуску у випадку негативного результату. Об”єктами ІА можуть бути:
особа (оператор, користувач, посадова особа);
технічний засіб (термінал, ЕОМ і т.п.);
документи;
носії інформації;
інформація на терміналі, табло і т.п.
ІА може здійснюватися людиною, апаратним пристроєм, програмою КС та ін. В захищених КС
передбачаєтьсяґ конфіденційність образів та імен іб”єктів. Загальна схема ІА подана на мал. 4 –А.
Ясно, що в цій схемі основною ланкою є реалізація процедури встановлення особи. Ця процедура може
реалізуватися різноманітними способами. Озглянемо деякі з них.
Найпоширенішою, традиційно сформованою і простою є система “ключ-замок”, в якій власник ключа є об”єктом встановлення особи. Але ключ можна загубити, вкрасти, зняти копію і т.ін. Інакше кажучи, ідентифікатор особи є відділеним від ключа фізично.
Інший поширений метод ІА є парольна схема. Для більш детального розгляду принципів побудови паралельних систем сформулюємо кілька основних визначень.
Ідентифікатор користувача – певна унікальна кількість інформації, що дозволяє розрізняти індивідуальних користувачів парольної системи (здійснювати їх ідентифікацію). Часто ідентифікатор також називають ім”ям користувача чи ім”ям облікового запису користувача.
Пароль користувача – певна секретна кількість інформації, відома лише користувачу та парольній системі, яку може запам”ятати користувач та пред”явити для проходження процедури автентифікації. Одноразовий пароль дає можливісить користувачу одноразово пройти автентифікацію. Багаторазовий пароль може бути використаний для перевірки дійсності повторно.
Обліковий запис користувача – сукупність його ідентифікатора та його пароля.
База даних користувачів парольної системи містить облікові записи всіх користувачів даної парольної системи.
Під парольною системою будемо розуміти програмно-апаратний комплекс, що реалізує системи ІА користувачів АС на основі одноразових чи багаторазових паролів. Як правило, такий комплекс функціонує разом з підсистемами розмежування доступу і реєстрації подій. В окремих випадках парольна система може виконувати ряд додаткових функцій, зокрема генерацію і розподіл короткочасних (сеансових) криптографічних ключів.
Основними компонентами парольної системи є:
інтерфейс користувача;
інтерфейс адміністратора;
модуль сполученя з іншими підсистемами безпеки;
база даних облікових записів.
Парольна система являє собою “передній край оборони” всієї СЗІ. Деякі її елементи (зокрема такі, що
реалізують інтерфейс користувача) можуть бути розташовані в місцях, відкритих для доступу потенційного ЗЛ. Тому парольна система стає одним з перших об”єктів атаки при вторгненні ЗЛ в захищену систему.
Серед найпоширеніших загроз безпеки парольних систем зазначимо розголошення параметрів облікового запису через:
підбір в інтерактивному режимі;
підглядання;
навмисну передачу пароля його власником іншій особі;
захоплення бази даних парольної системи (якщо паролі не зберігаються в базі у відкритому вигляді, для їхнього відновлення може знадобитися підбір чи дешифрування);
перехоплення переданої по мережі інформації про пароль;
зберігання пароля в доступному місці.
Більш активною загрозою є втручання в функціонування компонентів парольної системи через:
впровадження програмних закладлк;
виявлення і використання помилок, допущених на стадії розробки;
виведення з ладу парольної системи.
Деякі з перерахованих типів загроз пов”язані з наявністю так званого “людського фактору”, який
виявляється в тому, що користувач може:
вибрати пароль, що легко запам”ятати і також легко підібрати;
записати пароль, що складно запам”ятати, і покласти запис в доступне іншим місце;
ввести пароль так, що його можуть побачити сторонні;
передати пароль іншій особі навмисно чи під впливом обману тощо.
На додачу до вищесказаного необхідно відзначити існування “парадокса людського фактора”. Він полягає в
тому, що користувач нерідко прагне виступити скоріше супротивником парольної системи, як і будь-якої системи безпеки, функціонування якої впливає на його робочі умови, ніж союзником системи захисту, тим самим послаюлюючи її. Захист від зазначених загроз гркунтується на ряді організаційно-технічних засобів та заходів.
В більшості систем користувачі мають можливість самостійно вибирати паролі чи отримують їх від системного адміністратора. При цьому для зменшення деструктивного впливу описаного вище “людського фактору” необхідно реалізувати ряд вимог до вибору та знання паролів (табл ___).
Таблиця ___.
Параметри для кількісної оцінки стійкості парольних систем наведені в таблиці ___
Таблиця _____.
Як ілюстрацію розглянемо задачу визначення мінімальної потужності простору паролів (що зплежать від параметрів А та L) відповідно до заданої імовірності підбору пароля протягом терміну дії.
Задано Р=10-9. Необхідно знайти мінімальну довжину пароля, що забезпечить його стійкість протягом одного тижня беззупинних спроб підібрати пароль. Нехай швидкість інтерактивного підбору паролів V=10 паролів/хв. Тоді протягом тижня можна перебрати
10?60?24?7 = 100800 паролів
Далі, з огляду на те, що параметри S, V, Tта P зв”язані співвідношенням Р = VT/S, одержуємо
S = 100800/10-9 = 1,008?1016.
Отриманому значенню значенню S відповідають пари: А = 26, L = 8 та A = 36, L = 6.
Існує очікуваний безпечний час (час відгадування) пароля
Т = 1/2?Nptp,
Де Np – число можливих паролів, tp – час для того, щоб ввести кожен пароль з послідовності запитів. Зауважимо, що з цієї формули видно, що очікуваний безпечний час можна істотно збільшити, якщо до часу введення додавати час затримки (тобто кожний наступний пароль дозволяється ввести не відразу, а через деякий час – час затримки). Саме така процедура завжди реалізується в КС з підвищеним рівнем захищеності. Крім того, в таких КС обов”язково обмежується кількість спроб введення пароля (наприклад, до трьох разів), тобто після останньої невдалої спроби доступ і введення паролів забороняється.
Існують різні модифікації парольових схем для підвищення їхньої ефективності. Так, істотно ускладнюється процес відгадування пароля, якщо в паролі на початку і наприкінці використовувати звичайні пробіли. Можна фіксувати номер входу в систему або продовження сеансу роботи. Тоді під час відсутності законного користувача можна знайти розбіжність. Існує схема паролів одноразового використання: є множина паролів, при вході в КС використовується один пароль і при виході він викреслюється. При наступному вході використовується наступний пароль із заданої множини. Надійність підвищується, але виникає проблема запам”ятовування паролів, збереження всього списку паролів, а також виявлення закону генерування паролів. Крім того, при виникненні помилки користувач опиняється в скрутному становищі.
Інша модифікація: пароль складається з двох частин. Одна запам”ятовується користувачем і вводиться вручну, інша зберігається на спеціальному носії (наприклад, на електронній картці), що далі вводиться в КС. Тут перевага полягає в тому, що у випадку втрати картки нею не можна скористатися.
Відомі ще модифікації парольної схеми: “запит-відповідь” та “рукостискання”. У схемц “запит-відповідь” є набір запитань, що зберігаються в КС, причому всі користувачі знають відповіді на всі запитання. Коли користувач робить спробу входу в КС, ОС випадковим чином вибирає і задає йому деякі (чи всі) запитання. Правильні відповіді на запитання дають доступ в КС. “Рукостискання” відрізняється тим, що від користувача потрібно виконання якої-небудь дії (наприклад, запуску деякої програми), відомого лише користувачу і КС. Хача сві ці модифікації забезпечують великий ступінь безпеки, вони все-таки складні і створюють певні незручності. Тому проблема зводиться до компромісу між ступенем безпеки і простотою використання.
Всі парольні системи мають наступні недоліки:
пароль необхідно періодично змінювати;
він не повинен легко асоціюватися з користувачем;
пароль необхідно запам”ятовувати (але тоді його можна забути) чи записувати (запис може потрппити ЗЛ);
якщо пароль розкритий, то не існує ефективного способу виявлення, ким він далі використовувався – користувачем чи ЗЛ);
парольний файл повинен ретельно захищатися.
Парольні системи можуть також використовуватися для ІА інших об”єктів (технічних засобів, документів
тощо).
Крім парольних систем існують і інші методи ІА. Найбільш важливим практичним завданням є ІА особи. Зупинимось на цій проблемі детальніше.
Що в повсякденному житті ідентифікує особу ? На побутовому рівні це настільки звичний процес для нашого мозку, що він відбувається миттєво на рівні підсвідомомті, і ми навіть не звертаємо на це уваги. Розпізнавання звичайно грунтується на зіставленні рис обличчя, тембру голосу, манер і т.п. з образами, що зберігаюься в нашому мозку, а точніше – в нашій пам”яті. Однак незважаючи на легкість, простоту і природність такої процедури, спроби реалізувати її технічними засобами наштовхуються на суттєві труднощі. Їх вирішенням займається нова наука – біометрика (не плутати з біометрією, завданням якої є визначення та облік різних фізіологічних особливостей людського організму, в тому числі яких-небудь відхилень від норм і т.п.).
З розвитком інформаційних технологій збільшилися можливості створення та збереження образів з метою проведення більш точної перевірки осіб та введення більшого числа параметрів, що перевіряються. Головними при розробці системи розпізнавання є природнє прагнення підвищити точність відтвореного образу з метою автоматичного добору єдиного з множини потенційних образів, що зберігаються в пам”яті системи. Але тут виникає ряд принципових запитань.
Якою повинна бути точність відтворення образу ?
Якою повинна бути різниця між образом дозволеної до доступу особи та образом потенційного ЗЛ ?
Яка імовірність появи ЗЛ, образ якого досить близький до образу, що зберігається в пам”яті системи ?
Оскільки відповідей на ці питання немає, слід визнати, що методи розпізнавання образів з метою їх застосування в ЗІ використовувати, принаймі поки що, недоцільно. Іншою важливою обставиною того, що методи ІА, які грунтуються на антропологічних чи фізіологічних ознаках, незастосовні, є те, що фактично вони не є конфіденційними – сталість їхнього збереження і незмінність рано чи пізно прзведуть до їх розкриття.
Однак останні досягнення в сфері біомеирики є досить оптимістичними для подальшого застосування, зокрема, в таких галузях, як ЗІ та матеріальних цінностей, кримінальна медицина, юридичне підтвердження прав власності чи користування, контроль та облік використання різних ресурсів тощо. Отже, розглянемо основні методи біометрики.
Незалежно від методу реалізації засоби біометрики зазвичвй складаються з наступних структурних компонентів:
механізм автоматичного сканування інформативного параметру (характеристика особи);
блок обробки отриманого сигналу (фільтрація, стиснення, формування та запам”ятовування образу);
пристрій для зісталення поточного образу з даними, що зберігаються в пам”яті;
інтерфейсний вузол, що забезпечує взаємодію біометричного пристрою з системою, в які даний пристрій є складовою.
Майже завжди до безпосереднього викоистання біометричних засобів вони проходять етап навчання, протягом
якого створюєтюся еталонні математичні образи осіб, що ідентифікуються вперше (реєстрація абонентів). Далі в процесі функціонування системи формавання вже робочого образу, що використовується для зіставлення з еталоном, здійснюється багаторазово щоразу при кожній спробі особи увійти в систему.
Найважливішою класифікаційною ознакою біометричних засобів є фізіологічний параметр чи процес або їх комбінація, що лежить в основі створення математичного образу особи. При цьому найбільш придатними для цієї мети можуть вважатися лише такі характеристики, що відповідають двом найважливішим вимогам – унікальності та стійкості. Під унікальністю слід розуміти таку властивість фізіологічної характеристики, що дозволяє гарантовано виділяти кожну особу серед маси інших. Стійкість – це властивість фізіологічної характеристики, яка полягає в незмінності її в часі, її відтворюваність. Між унікальністю та стійкістю існує суперечливий зв”язок: унікальність можна підсилювати ускладненням образу, але лише до межі, що ще забезпечує відтворюваність образу даної особи як в часі, так і на тлі інших перешкоджаючих факторів.
В основному виділяють три типи білметричних систем, що реалізують фізіологічні, поведінкові та змішані методи розпізнавання. Фізіологічні методи грунтуються на статичних характеристиках людини, що є відносно стійкими, якзо звичана людина не травмована. Найбільш поширеними серед методів цієї групи є методи розпізнавання за відбитками пальців, за формою долоні, за райдужною оболонкою ока, за сітківкою ока, за зображенням обличчя. Поведінкові методи грунтуються на оцінці певної дії користувача. Серед них можна виділити методи розпізнавання за підписом, за голосом і за манерою роботи на клавіатурі. Найбільш характерними комбінаціями фізіологічних та поведінкових методів є метод розпізнавання за відбитками пальців і голосом, за відбитками пальців і зображенням обличчя і голосом. Слід зазначити, що в даний час системи, робота яких базується на використанні поведінкових методів розпізнавання, не здатні забезпечити такий рівень захисту, який мають системи, що використовують фізіологічні характеристики. Насамперед це пов”язано з істотною залежністю поведінкових характеристик від факторів, що впливають на людину (здоров”я, настрій чи емоційний стан).
Для біометричних засобів, що використовуються в СЗІ, визначальними є наступні характеристики, як надійність, пропускна здатність, ергономічність, толкрантність, обсяг математичного образу, вартість. Вони формуються в процесі дослідження системи, і на їх основі оцінюється якість системи в цілому.
Статистика показує, що хоча технічно багато з них можна реалізувати, спостерігається досить високий відсоток їх неправильного спрацьовування, внаслідок чого значного поширення вони поки що не набувають. В чому ж причина ?
Для виконання процедури встановлення особи необхідний збіг образу, що знімається з особи користувача, з образом, що зберігається в пам”яті системи. Для відмови в доступі система повинна мати здатність відрізняти схожі образи. Таким чином, виникають дві задачі – допуск і відмова. Очевидно, що для розв”язання задачі про допуск не потрібно великого обсягу інформації (більше того – чим менше, тим краще), для відмови ж потрібно інформації значно більше (чим більше, тим краще).
Надійність систем розмежування доступу в СЗІ прийнято оцінювати за такими показниками:
рівень неправильного дозволу на допуск (РНДД);
рівень неправильної відмови в допуску (РНВД).
РНДД – це виражене у відсотках число помилкових допусків системою неавторизованих осіб за певний
період функціонування системи. РНВД – це виражене у відсотках число помилкових відмов системи авторизованим особам за певний період функціонування системи. Очевидно, між ними існує взаємообернений зв”язок – підвищуючи чутливість системи, збільшують значення РНВД, водночас зменшуючи РННД. Ясно, що для кожної біометричної системи необхідно знаходити певний оптимум, відповідно до якого величина сумарних помилок повинна бути мінімальною. Варто також наголосити, що можуть бут випадки, коли визначальним є лише один із приведених показників.
Пропускна здатність є також важливою характеристикою засобів біометрики, і іноді саме цей показник стає вирішальним при вибррі того чи іншого засобу. Зміст його, як і обсягу математичного образу, очевидний. Між ними також існує очевидна пряма залежність. Вартість біометричного засобу є лдним з найважливіших показників для якості захисту в системі, хоча, здавалося б прямий зв”язок між ними відсутній. Щодо ергономічності і толерантності відзначимо, що кожен біометричний пристрій повинен задовольняти хоча б мінімальні вимоги зручності у користуванні, універсальності, естетичності і гігієни. Крім того, сам процес розпізнавання не повинен викликати в користувачів відчуття дискомфорту, страху та інших неприємних відчуттів.
Розглянемо найбільш відомі і поширені методи і засоби сучасної біометрики.
Розпізнавання за формою долоні. Процедура ідентифікації надзвичайно проста: досить лише покласти руку на пластину з опорними штрихами для фіксації долоні. По краях контактної поверхні розташовані дзеркальні пластини, на які направляється об”єктив відеокамери, що дозволяє отримквати тривімірне зображення. На основі оцифрованого чорно-білого зображення у вимірювальному блоці визначаються числові характеристики таких величин, як довжина і ширина пальців, площа і висота долоні, відстань між фіксованими точками на долоні і т.ін. На сьогоднішній день відомі такі характеристики цього пристрою: сканування руки і видача результату займає близько 1,5 сек., обсяг пам”яті для ідентифікаційного шаблону – 9-24 байт, в запам”ятовувальному пристрої може зберігатися близько 2000 шаблонів, РНВД та РНДД близько 0,1 %.
Розпізнавання за відбитками пальців (дактилоскопія). Система функціонує подібно до системи розпізнавання за формою долоні. Відмінність зводиться лише до того, що інформаційний обсяг зображення після оцифровки становить 250 кбайт. Оцифрований образ надходить до процесора, де він додатково обробляється, після чого створюється унікальна характеристика відбитка обсягом близько 1 кбайта. Весь процес реєстрації в сучасних системах триває близько 10 сек. Для сучасних пристроїв РНВД може становити дл 0,1 %, однак РНДД становить всього 0,0001 %. Вартість устаткування дуже залежить від числа терміналів. На сьогодні цей мнтод займає близько 80 % ринку засобів біометрики.
Розпізнавання за райдужною оболонкою ока. Сучасна аппаратура дозволяє аналізувати райдужну оболонку ока на відстані 30 – 45 см. Відомо, що вона має унікальну структуру, яка майже не змінюється протягом всього життя людини. В порівнянні з відбитком пальця вона в 6 разів інформативніша. Крім того, знову таки в порівнянні з відбитком пальця, її неможливо змінити хірургічним шляхом. Для розпізнавання використовується певний фрагмент ока, за результатом аналізу якого формується 256-бітний код. Час розрахунку даного коду близько 100 мксек, РНДД – 0,0078 %, РНВД – 0,00066 %.
Розпізнавання за зображенням обличчя. Аналіз обличчя при реєстрації і перевірці починається з фіксації обличчя. Потім локалізуються очі, перевіряється розташування очей відносно характерних зон обличчя і обчислюються параметри в певних точках обличчя. Одержана сукупність параметрів використовується для формування індивідуального цифрового образу, надалі заноситься в пам”ять і використовується для порівняння з поточним. Існує можливість змінювати масштаб зображення обличчя, розгорнути його в ту чи іншу сторону і перетворити його в набір цифрових кодів. Мінімальна пропускна здатність – 10 облич на секунду.
Лицьова термографія. Як показали дослідження, вени та артерії лбличчяґ кожної людини утворюють унікальну температурну карту – термограму. Відомо також, що на точність термограм не впливає ні висока температура тіла, ні охолодження шкіри тіла обличчя в морозну погоду, ні природне старіння людини, навіть близьнюки мають різні термограми. На використання такої інформації і базується метод лицьової термографії. За наявністю і тимчасовими витратами він подібний до дикталоскопічного методу. Сканування обличчя здійснюється спеціальною інфрачервоною камерою. Сучасні системи лицьової термографії забезпечують майже 100 % точності розпізнавання. За основними характеристиками ці системи схожі на системи розпізнавання за райдужними оболонками ока, що означає, що обдурити їх практично неможливо.
Розпізнавання за голосом. Цей тип розпізнавання найбільш зручний з точки зору можливості розпізнавання на значних відстанях. Система ідентифікації здійснює запис мови, дискретизацію з частотою 8 кГц і цифрову обробку цього запису, що дозволяє визначити до 20 різних параметрів мови. Користувач вимовляє фразу тривалістю 1 – 3 сек. Створений образ може бути записаний на Smart Card. Надалі користувач при вході в приміщення, що захищається, вставляє картку зчитування і вимовляє умовну фразу. Система порівнює звукові образи і приймає рішення про допуск. Компактність представлення звукового образу дозволяє змонтувати практично необмежену кількість пропускних пкнктів і, отже, обслужити практично необмежену кількість користувачів. Обсяг математичного шаблону – до 8 кбайт, РНВД – 0,2 %, РНДД – до 0,1 %. Високонадійне розпізнавання людини за голосом поки що залишається невирішеною проблемою.Основні труднощі полягають у великій розмаїтості проявів голосу однієї людини: він може змінюватися від настрою, емоційного стану, віку і т.п. Тага багатоваріантність створює проблеми при виділенні тих особливостей, що є суто індивідуальними.
Розпізнавання за підписом. Технологія методу базується на унвкальності біометричних характеристик руху льдської руки під час писання. Користувач, використовуючи стандартний дігітайзер (електронний планшет) і ручку, імітує рухи руки, аналогічні його рухам, коли він ставить підпис, а система зчитує параметри руху і на їхній основі створює шаблон обсягом до 3 кбайт. При співпадінні підпису з еталоном система прикріплює до особи таку інформацію, як ім”я користувача (ідентифікатор, адреса електронної пошти), поточні час та дату, параметр підпису, що включає до 40 характеристик динаміки руху – напрямок, швидкість, прискорення, час написання, характеристики звукових коливань, що поширюються в твердому середовищі, і статичний образ підпису.
Для настроювання системи попередньо зареєстрований користувач кілька разів ставить свій підпис, що дає змогу отримати середні показники і довірчий інтервал. На основі цих значень, що являють собою шаблон, система обчислює ступінь відповідності характеристик нового підпису із шаблоном. Кожна організація може встановити свої РНДД та РНВД, що залежить від цінності інформації, яка захищається. Час ухвалення рішення – 3 сек., процедура звична і зручна.
Розпізнавання за клавіатурним почерком. Робота таких пристроїв базується на обліку сил натискання клавіш (швидкість натискання однієї), часових інтервалів між натискання клавіш, часу їхнього утримання і часу взаємного перекриття. Ідентифікація здійснюється на фіксованих ключових фразах від 20 до 120 символів. Ключові фрази мають вигляд осмислених речень, зручних для запам”ятовування. Допускаються поодинокі помилки при введені символів. Система рекомендується для осіб, що мають стійкий клавіатурний почерк (здатні водити не менше 3 символів за секунду, працюючи кількома пальцями).
Фрагменти генетичного коду. Як відомо, генетичний код людини на сьогодні є найбільш унікальною інформацією, що дозволяє стовідсотково ідентифікувати людину. Однак практична реалізація такого методу ідентифікації, базованого на використанні унікальних особливостей фрагментів генетичного коду, нині використовується дуже рідко через складність, високу вартість і неможливість організувати роботу системи в реальному часі.
Запах тіла. Технологія розпізнавання базується на аналізі хімічного складу запаху тіла і в даний час знаходиться в стадії розробки. Унікальність технології полягає в тому, що запах кожної людини викликається легкими речовинами, які постійно виділяє тіло. Для кожної людини ці речовини мають свій неповторний хімічний склад, і в прцесі ідентифікації це використовується системою для створення персонального ідентифікаційного шаблону. Як джерело для ідентифікації найпростіше використовувати долоню людини.
Інші методи. Снують також технології, що використовують як предмет розпізнавання геометрію вушної раковини, розміщення кровоносних судин кисті руки. Проте деякі з них не мають навіть системи-прототипу і фактично існують лише на папері, хоча і вважаються перспективними для використання в майбутньому.
При організації захисту особливо важливих об”єктів з використанням біометричних систем контролю доступу не можна не враховувати дедалі вищу інформованість і технічну оснащеність ЗЛ, здатних виготовити і використовувати для “обману” систем захисту імітацію описаних вище персональних характеристик суб”єктів, що мають право доступу. Тому звичайно біометричні системи доповнюються і дублюються різними програмними чи апаратними засобами, що в сумі істотно підвищує їх надійність. В таблиці _-_ приведені особливості біометричних засобів контролю доступу.
Таблиця _____
Кілька слів про ІА документації. В будь-якій КС є багато різних документів – дискети, стрічки, лістінги і т.п.. З точки зору ІА тут можна виділити дві проблеми:
отримання документу, сформованого безпосередньо даною КС і на апаратурі її документування;
отриманняготового документу з віддалених об”єктів КС мережі.
Перша розв”язується досить просто – дійсність документу гарантується самою КС, оскільки вона сама
захищена від НСД. Щоправда, іноді цього буває недостатньо, тоді застосовуються криптографічні методи. Якщо ж документ передається по каналах зв”язку (для мережі), то криптографія є єдиним засобом, тобто виникає проблема електронного підпису. Докладніше про це в наступному розділі.
7.5. Вступ до криптології
Виключно важливим механізмом ЗІ є криптографія. Оскільки цей складний і широкий розділ математики вимагає окремого детального вивчення, тут ми подамо лише основні відомості з криптології ?1-16-А?. Криптографічний захист є специфічним способом захисту інформації, має багатовікову історію розвитку та використання. Тому у спеціалістів не виникає сумнівів в тому, що ці засоби можуть ефективно використовуватися і для звхисту інформації в АС, в результаті чого їм приділяють всезростаючу увагу. Достатньо сказати, що в США ще в 1978 р. затверджений національний стандарт криптографічноо захисту інформації. В світі інтенсивно ведуться дослідження з метою розробки високостійких та гнучких методів криптографічного захисту інформації. Існує самостійний науковий напрямок – криптологія, що вивчає і розробляє науково-методологічні основи, способи, методи та засоби криптографічного перетворення інформаці.
Можна виділити наступні три періоди розвитку криптології. Перший – ера донаукової криптології, що було ремеслом вузького кола умільців. Початком другого періода можна вважати 1949 р., коли з”явилася наукова робота К. Шеннона “Теорія зв”язку в секретних системах”, в якій приведено фундаментальне наукове дослідження шифрів та віжливих питань їх стійкості. Завдяки цій праці криптологія утвердилася як прикладна математична дисципліна. І, накінець, початок третього періоду було покладено появою в 1976 р. роботи У. Діффі та М. Хелмана “Нові напрямки в криптографії”, де показано, що секретний зв”язок можливий без попередньої передачі секретного ключа. Так почалося і продовжується в даний час бурхливе становлення і розвиток поряд з звичайною класичною криптологією і криптології з відкритим ключем.
Приведемо деякі приклади використання захисту інформації за допомогою криптології. В 56 р. до н.е. під час війни з галами Ю. Цезар використовує різновид шифру – шифр заміни. Під алфавітом відкритого тексту писався той же алфавіт з зсувом (в Ю. Цезаря на три позиції) по циклу. При шифруванні букви відкритого тексту у верхньому алфавіті замінялися на букви нижнього алфввіта.
Іншим більш складнішим шифром є грецький шифр – “квадрат Полібія”. Алфавіт записувався в вигляді квадратної таблиці. При шифруванні букви відкритого тексту замінялися на пару чисел – номер стовбця та стрічки цієї букви в таблиці. При довільному записі алфавіта по таблиці та шифрування такою таблицею короткого повідомлення, цей шифр є стійким навіть при сучасних поняттях.
Крах Римської імперії в п2чтому ст. н.е. супроводжувався занепалрм мистецтва, науки, в тому числі і криптографі. Церква переслідувала тайнопис, вважала це гріховною справою. Відомий факт, коли король Франції Франциск 1 в 1546 р. видав указ, яким забороняв підданим використовувати шифри при листуванні.
Йоган Тритемій (1462-1516 рр) – монах-бенедиктанець, що жив в Німеччині, запропонував оригінальний шифр багатозначної заміни під назвою “Ave Maria”. Кожна буква відкритого тексту мала не одну заміну, а кілька, повибору шифрувальника. Причому букви замінялися буквами чи словами, так що отримувався деякий псевдовідкритий текст. Різновидність шифру багатозначної заміни використовується і в наш час.
роблема захисту інформації шляхом її перетворення, що виключає її прочитання сторонньою особою, хвилювала людство з давніх часів.
Чому проблема використання криатографічних методів в інформаційних системах стала в даний момент особливо актуальною ?
З однієї сторони, розширилося використання комп”ютерних мереж, зокрема глобальної мережі Internet, по яких передаються великі об”єми інформації державного, військового, комерційного та приватного характерів, що не допускає можливості доступу до неї сторонніх осіб. З іншої сторони, поява могутніх комп”ютерів, технологій мережевих та нейронних обчислень уможливила дискридитацію криптографічних систем, для яких ще недавно розкриття вважалося практично неможливим.
Проблемою захисту інформації шляхом її перетворення займається криптологія (kryptos – таємний, logos – наука). Криптологія поділяється на два напрямки – криптографію та криптоаналіз. Цілі цих напрямків прямо протилежні.
Криптографія займається пошуком і дослідженням математичних методів перетворення інформації. Сфера ж інтересів криптоаналізу – дослідження можливостей розшифрування інформації без знання ключів.
Сучасна криптографія включає чотири розділи;
симетричні криптосистеми;
криптосистеми з відкритим ключем;
системи електронного підпису;
керування ключами.
З основних напрямків використання криптографічних методів відзначимо передачу інформації каналами
зв”язку (наприклад, електронна пошта), встановлення дійсності переданих повідомлень, збереження інформації (документів, баз даних) на носіях у зашифрованому вигляді.
Наведемо деякі найбільш уживані терміни криптографії.
Як інформацію, що підлягає шифруванню і дешифруванню, розглядають тексти, побудовані на деякому алфавіті.
Алфавіт – скінчена множина використовуваних для кодування інформаційних знаків.
Текст – упорядкований набір з елементів алфавіту.
Шифрування – процес перетворення: вихідний текст, що має також назву відкритого тексту, замінюється шифрованим тестом.
Дешифрування – зворотний шифруванню процес. На основі ключа шифрований текст перетворюється у вихідний.
Ключ – інформація, яка необхідна для безперешкодного шифрування і дешифрування.
Криптографічна система являє собою сімейство перетворень відкритого тексту. Члени цього сімейства індексуються, чи позначаються символом k, параметр k є ключем. Простір К – це набір можливих значень ключа. Звичайно ключ являє собою послідовний ряд символів з алфавіту.
Криптосистеми поділяються на симетричні та з відкритим ключем.
У симетричних системах і для шифрування, і для його дешифрування використовується той самий ключ.
В системах з відкритим ключем (СВК) використовуються два ключі – відкритий і закритий, які математично зв”язані один з одним. Інформація шифрується за допомогою відкритого ключа, що доступний всім бажаючим, а розшифровується за допомогою закритого ключа, відомого лише отримквачу повідомлення.
Термін “розподіл ключів” і “керування ключами” стосується процесів системи обробки інформації, змістом яких є складання і розподіл ключів між користувачами.
Електронним (цифровим) підписом називається приєднане до тексту його криптографічне перетворення, що дозволяє при отриманні тексту іншим користувачем перевірити авторство і дійсність повідомлення.
Криптостійкістю називається характеристика шифру, що визначає його стійкість до дешифрування без знання ключа (тобто криптоаналізу). Є кілька показників криптостійкості, серед яких:
кількість всіх можливих ключів;
середній час, необхідний для криптоаналізу.
Перетворення туксту визначається відповідним алгоритмом і значенням параметру k.Ефективність
шифрування з метою захисту інформації залежить від збереження таємниці ключа і криптостійкості коюча.
Розглянемо основні вимоги до криптосистем. Процес криптографічного закриття даних може здійснюватися як програмно, так і апаратно. Апаратна реалізація відрізняється істотно більшою вартістю, однак вона має і переваги: висока продуктивність, простота, захищеність і т.п. Програмна реалізація більш практична, допускає певну гнучкість у використанні.
Для сучасних криптографічних систем захисту інформації сформульовані такі загальноприйнятні вимоги:
зашифроване повідомлення має піддаватися читанню лише за наявності ключа;
число операцій, необхідних для визначення використаного ключа шифрування за фрагментом шифрованого повідомлення і відповідного йому відкритого тексту, повинно бути не меншим від загального числа можливих ключів;
число операцій, необхідних для розшифрування інформації шляхом перебору різних ключів, повинно мати строгу нижню оцінку і виходити за межі можливостей сучасних комп”ютерів (з врахуванням можливості використання мережевих обчислень);
знання алгоритму шифрування не повинно впливати на надійність захисту;
незначна зміна ключа повинна приводити до істотної зміни вигляду зашифрованого повідомлення;
структурні елементи алгоритму шифрування повинні бути незмінними;
додаткові біти, що вводяться в повідомлення в процесі шифрування, повинні бути цілком і надійно сховані в шифрованому тексті;
довжина шифрованого тексту повинна бути рівною довжини вихідного тексту;
не повинно бути простих і легко встановлюваних залежностей між ключами, послідовно використовуваними в процесі шифрування;
будь-який ключ з множини можливих повинен забезпечувати надійний захист інформації;
алгоритм повинен допускати як програмну, так і апаратну реалізацію, при цьому зміна довжини ключа не повинна вести до якісного погіршення алгоритму шифрування.
Все різноманіття існуючих криптографічних методів можна звести до таких класів перетворень:
Перестановки – метод криптографічного перетворення, що полягає в перестановці символів вихідного тексту за більш чи меншскладним правилом. Використовується, як правило, в сполученні з іншими методами.
Система підстановок – найбільш простий вид перетворень, що полягає в зміні символів вихідного тексту на інші (того ж алфавіту) за більш чи менш складним правилом. Для забезпечення високої криптостійкості потрібне використання великих ключів.
Гамування є також широко застосованим криптографічним перетворенням. Принцип шифрування гамуванням полягає в генерації гами шифру за допомогою датчика псевдовипадкових чисел і накладанні отриманої гами на відкриті дані (наприклад, використовуючи додавання за модулем 2). Процес дешифрування зводиться до повторної генерації гами шифру при відомому ключі і накладанні такої гами на зашифровані дані.
Отриманий зашифрований текст є досить важким для розкриття в тому випадку, якщо гама шифру не містить повторних бітових послідовностей. По суті, гама шифру повинна зінюватися випадковим чином для кожного слова, що шифрується. Фактично ж, якщо період гами перевищує довжину всього зашифрованого тексту і невідома ніяка частина вихідного тексту, то шифр можна розкрити лише прямим перебором (пробій на ключ). Криптостійкість в цьому випадку визначається розміром ключа.
Метод гамування – стає недієвим, якщо зловмиснику стає відомий фрагмент вихідного тексту і відповідна йому шифрограма. Простим вирахуванням за модулем виходить відрізок тексту і за ним відновлюється вся послідовність. Зловмисник може зробити це на основі здогадів про зміст вихідного тексту. Так, якщо більшість повідомлень, що посилаються, починаються зі слів “Цілком таємно”, то криптоаналіз всього тексту значно полегшується. Це варто враховувати при створенні реальних систем інформаційної безпеки.
Відзначимо, що широко використовується блокове шифрування, яке являє собою послідовність (з можливим повторенням і чергуванням) основних методів перетворення, застосованих до блоку (частини) тексту, який шифрується. Блокові шифри на практиці зустрічаються частіше, ніж “чисті” перетворення того чи іншрго класу, через йхню більш високу криптостійкість. Російський та американський стандарти шифрування базуються саме на цьому класі шифрів.
Хоч би яким складними і надійними не були криптографічні системи, їх слабе місце при практичній реалізації – проблема розподілу ключів. Для того, щоб був можливий обмін конфіденційною інформацією між двома суб”єктами інформаційної системи, ключ повинен бути згенерований одним із них, а потім якимось чином знову ж у конфіденційному порядку переданий іншому. Тобто в загальному випадку для передачі ключа знову ж потрібне використання якоїсь криптосистеми.
Для вирішення цієї проблеми на основі результатів, отриманих класичною і сучасною алгеброю, були запропоновані СВК.
Суть їх полягає в тому, що кожним адресатом ІС генеруються два ключі, зв”язані між собою за певним правилом. Один ключ є відкритим, а інший – закритим. Відкритий ключ публікується і доступний кожному, хто бажає послати повідомлення адресату. Секретний ключ зберігається в таємниці.
Вихідний текст шифрується відкритим ключем адресата і передається йому. Зашифрований текст в принципі не може бути розшифрований тим же відкритим ключем. Дешифрування повідомлення можливе лише з використанням закритого ключа, що відомий лише самому адресату.
Криптогафічні системи з відкритим ключем використовують так звані необоротні чи однобічні функції, що мають таку властивість: при заданому значенні х відносно просто обчислити значення f(x), однак якщо y = f(x), то немає простого шляху для обчислення значення х.
Множина класів необоротних функцій і породжує всю розаїтість систем з відкритим ключом. Однак не будь-яка необоротна функція придатна для використання в реальних КС.
В самому визначенні необоротності присутня невизначеність. Під необоротністю розуміється не теоретична необоротність, а практична неможливість обчислити зворотнє значення, використовуючи сучасні засоби обчислювальної техніки за доступний для огляду інтервал часу. Тому, щоб гарантувати надійний захист інформації, до СВК висуваються дві важливі вимоги:
перетворення відкритого тексту має бути необоротним і виключати його відновлення на основі відкритого ключа;
визначення закритого ключа на основі відкритого також повинне бути неможливим на сучасному технологічному рівні. При цьому бажана точна нижня оцінка складності (кількості операцій) розкриття шрифту.
Алгоритми шифрування з відкритим ключем набули значного поширення в сучасних інформаційних системах.
Так, алгоритм RSA став світовим стандартом де-факто для відкритих систем.
Взагалі ж всі запропоновані сьогодні криптосистеми з відкритим ключем спираються на один з таких типів необоротних перетворень:
розкладання великих чисел на прості множники;
обчислення логарифма в скінченому полі;
обчислення коренів алгебраїчних рівнянь.
Тут слід зазначити, що алгоритм криптосистеми СВК можна використовувати за трьома признвченнями:
як самостійні засоби захисту переданих і збережених даних;
як засоби для розподілу ключів. Алгоритми СВК більш працемісткі, ніж традиційні криптосистеми. Тому часто на практиці раціонально за допомогою СВК розподіляти ключі, обсяги яких як інформації незначні. А потім за допомогою звичайних алгоритмів здійснювати обмін великими інформаційними потоками.
Як засоби автентифікації користувачів.
Нижче розглянемо найбільш розповсюджені системи з відкритим ключем.
Незважаючи на досить велике число різних СВК, найбільш популярний – криптосистема RSA, розроблена в
1977 р., яка отримала назву на честь її творців: Рона Ріверса, Аді Шаміра та Леонарда Адельмана. Вони скористалися тим фактом, що добуток великих простих чисел в обчислювальному відношенні здійснюється легко, але розкладання на множники добутку двох таких чисел є практично нездійсненним. Доведено (теоремв Рабіна), що розкриття шифру RSA еквівалентне такому розкладанню. Тому для будь-якої довжини ключа можна дати нижню оцінку числа операцій для розкриття шифру, а з врахуванням продуктивності сучасних комп”ютерів, оцінити і необхідний на це час. Можливість гарантовано оцінити захищеність алгоритму RSA стала однією з причин популярності цієї СВК на тлі десятків інших схем. Тому алгоритм RSA використовується в банківських комп”ютерних мережах, особливо для роботи з віддаленими клієнтами (обслуговування кредитних карток).
Розглянемо математичні результати, що покладені в основу цього алгоритму.
………………………………………………………………………………………
Відкритий ключ публікується і доступний кожному, хто бажає послати власнику ключа повідомлення, що зашифровується зазначеним алгоритмом. Після шифрування повідомлення неможливо розкрити за допомогою відкритого ключа. Власник же закритого ключа легко може розшифрувати прийняте повідомлення.
D даний час алгоритм RSA активно реалізується як у вигляді самостійних криптографічних продуктів, так і як вбудовані засоби в популярних додатках.
Важлива прблема практичної реалізації – генерація великих простих чисел. Розв”язання задачі “в лоб” – це генерація випадкового великого числа n (непарного) і перевірка його подільності на множники від 3 до n0,5. У випадку неуспіху варто взяти n + 2 і так далі.
В принципі як p і q можна використати “майже” прості числа, тобто числа, для яких імовірність того, що вони прості, наближається до 1. Але у випадку, якщо використане складне число, а не просте, крипкостійкість RSA пада. Існують непогані алгоритми, що дозволяють генерувати “майже” прості числа з рівнем довіри 2-100.
Інша проблема – ключі якої довжини варто використовувати ?
Для практичної реалізації алгоритмів RSA корисно знати оцінки трудомісткості розкладання простих чисел різної довжини, зроблені Шроппелем.
Наприкінці 1995 р.вдалося практично реалізувати розкриття шифру RSA для 500-значного ключа. Для цього за допомогою мережі Internet було задіяно 1600 комп”ютерів. Самі автори RSA рекомендують використовувати такі розміри модуля n:
768 біт – для приватних осіб;
1024 біт – для комерційних фірм;
2048 біт – для особливо секретної інформації.
Важливий аспект реалізації RSA – обчислювальний. Адже доволиться використовувати аппарат довгої
арифметики. Якщо використовується ключ довжиною k біт, то для операції з відкритим ключем потрібно 0(k2) операцій, із закритим ключем - 0(k3), а для генерації нових ключів потрібно 0(k4) операцій.
Криптографічний пакет BSAFE 3.0 (RSA D.S.) на комп”ютері Pentium-90 здійснює шифрування з швидкістю 21,6 кбіт/с для 512- бітного ключа з швидкітю 7,4 кбіт/с для 1024-бітного. “Найшвидша” апаратна ревлізація забезпечує швидкість в 60 разів більшу.
В порівнянні з тим же алгоритмом DES, RSA вимагає в десятки тисяч разів більший часшифрування.
Крім RSA існують криптосистеми, що базуються на проблемі дискретного логарифма, а також криптосистеми, які базуються на еліптичних рівняннях.
Розглянемо детальніше поняття електронного підпису.
В чому полягає проблема автентифікації даних ? Наприкінці звичайного листа чи документа виконавець чи відповідальна особа звичайно ставить свій підпис. Подібна дія звичайно переслідує дві мети. По-перше, отримувач має можливість переконатися в істинності листа, порівнявши підпис з наявним в нього зразком. По-друге, особистий підпис є юридичним гарантом авторства документа. Останній аспект особливо важливий при підписанні різного роду торгівельних угод, складання доручень і т.ін.
Якщо підробити підпис людини на папері дуже непросто, а встановити авторство підпису сучасними криміналістичними методами – технічно просто, то з підписом електронним все зовсім інакше. Підробити ланцюжок бітів, просто його скопіювавши, чи непомітно вести нелегальні виправлення в документ зможе будь-який користувач.
Із значним поширенням в сучасному світі електронних форм документів (в тому числі і конфіденційних) і засобів їхньої обробки особливо актуальною стала проблема встановлення дійсності і авторства безпаперової документації.
Вже було показано, що за всіх переваг сучасних систем шифрування вони не дозволяють забезпечити автентифікацію даних. Тому засоби автентифікації повинні використовуватися в комплексі і криптографічних алгоритмах.
Отже, є два користувачі – Петро і Степан. Від яких порушень і дій зловмисника повинна захищати система автентифікації ?
Відмова (ренегатство).
Петро заявляє, що він не надсилав повідомлення Степану, хоча насправді він все-таки надсилав. Для виключення цього порушення використовується електронний (чи цифровий) підпис.
Модифікація (переробка).
Степан змінює повідомлення і стверджує, що дане (змінене) повідомлення послав йому Петро.
Підробка.
Степан формує повідомлення і стверджує, що дане (змінене) повідомлення послав йому Петро.
Активне перехоплення.
Іван перехоплює повідомлення між Петром і Степаном з метою їх прихованої модифікації.
Для захисту від модифікації, підробки і маскування використовуються цифрові сигнатури.
Маскування (імітація).
Іван посилає Степанові повідомлення від імені Петра.
В цьому випадку для захисту також використовується електронний підпис.
Повтор.
Іван повторює повідомлення, якеПетро посилав раніше Степанові. Незважаючи на те, що вживаються різноманітні заходи захисту від повторів, саме на цей метод припадає більшість випадків незаконного зняття і витрати гошей в системах електронних платежів. Найбільш дієвим методом від повтору є:
використання імітовставок;
облік вхідних повідомлень.
Розглянемо, як вони мають реалізуватися для того, щоб забезпечити безпеку ключової інформації в ІС.
На початку цього розділу ми відмітили, що не варто використовувати невипадкові ключі з метою легкості їх запам”ятовування. В серйозних ІС використовуються спеціальні апаратні і програмні методи генерації випадкових ключів. Як правило, використовують датчики псевдовипадкових чисел (ПВЧ). Однак ступінь випадковості їхньої генерації має бути досить високою. Ідеальними генераторами є пристрої на основі “натуральних” випадкових процесів. Наприклад, з”явилися серійні зразки генерації ключів на основі білого радіошуму. Іншим випадковим математичним об”єктом \ десяткові знаки іраціональних чисел, наприклад ? чи е, що обчислюються за допомогою стандартних математичних методів.
В ІС із середніми вимогами захищеності цілком прийнятні програмні генератори ключів, що обчислюють ПВЧ як складну функцію від поточного часу і/або числа, введеного користувачем.
Під накопиченням ключів розуміється організація їхнього збереження, обліку і видалення.
Оскільки ключ є найпривабливішим для ЗЛ об”єктом, що відкриває йому шлях до конфіденційної інформації, то питанням накопичення ключів варто приділяти особливу увагу.
Секретні ключі ніколи не повинні записуватися в явнову вигляді на носії, що може бути зчитаний чи скопійований.
В досить складній ІС один користувач може працювати з великим обсягом ключової інформації, а іноді навіть виникає необхідність організації міні-баз даних з ключовою інформацією. Такі бази даних відповідають за прийняття, збереження, облік і видалення використовуваних ключів.
Отже, кожна інформація про використовування ключів повинна зберігатися в зашифрованому вигляді. Ключі, що зашифровують ключову інформацію, називаються майстер-ключами. Бажано, щоб майстри-ключі кожен користувач знав напам”ять і не зберігав їх на жодних матеріальних носіях.
Важливою умовою безпеки інформації є періодичне відновлення ключової інформації в ІС. При цьрму повинні перепризначуватися як звичайні ключі, так і майстри-ключі. В особливо відповідальних ІС відновлення ключової інформації бажано робити щодня.
Питання відновлення ключової інформації пов”язане і з третім елементом керування ключами – розподілом ключів. Розподіл ключів – найвідповідальніший процес в керуванні ключами. Для нього висуваються дві вимоги:
оперативність і точність розподілу;
таємність ключів, що розподіляються.
Останнім часом помітне зрушення вбік використання криптосистем з відкритим ключем, в яких проблема
розподілу ключів відпадає. Проте розподіл ключової інформації в ІС вимагає нових ефективних рішень. Розподіл ключів між користувачами реалізується двома різними підходами:
шляхом створення одного чи кількох центрів розподілу ключів. Недолік такого підходу полягає в тому, що в центрі розподілу відомо, кому і які ключі призначені, і це дозволяє читати всі повідомлення, що циркулюють в ІС. Можливі зловживання істотно впливають на захист;
прямий обмін ключами між користувачами ІС. В цьому випадку проблема полягає в тому, щоб надійно засвідчити дійсність суб”єктів.
В обох випадках повинна бути гарантована дійсність сеансу зв”язку. Це можна забезпечити двома способами:
механізм запиту-відповіді, що полягає в наступному. Якщо користувач А бажає бути впевненим, що
повідомлення, яке він отримав від В, не є помилковим, він включає в повідомлення, що посилається для В, непередбачуваний елемент (запит). При відповіді користувач В повинен виконати певну операцію над цим елементом (наприклад, додати 1). Це неможливо здійснити заздалегідь, тому що невідомо, яке випадкове число прийде в запиті. Після отримання відповіді з результатами дії користувач А може бути впевнений, що сеанс є справжнім. Недоліком цього методу є можливість встановлення, хлча і складної, закономірності між запитом і відповіддю.;
механізм оцінки часу (“часовий штемпель”). Він передбачає фіксацію часу для кожного повідомлення. В
цьому випадку кожен користувач ІС може знати, наскільки “старим” є повідомлення, що надійшло.
В обох випадках варто викорстовувати шифрування, щоб бути впевненим, що відповідь послана не ЗЛ і штемпель оцінки часу не змінений.
При використанні оцінок часу постає проблема припустимого часового інтервалу затримки для підтвердження дійсності сеансу. Адже повідомлення з “часовим штемпелем” в принципі не може бути передане миттєво. Крім цього, комп”ютерні годинники отримувача і відправника не можуть бути абсолютно синхронізовані. Яке запізнення “штемпеля” вважати підозрілим ?
Тому в реальних ІС, наприклад, в системах оплати кредитних карток, використовується саме другий механізм встановлення дійсності і захисту від підробок. Використовуваний інтервал становить від однієї до кількох хвилин. Велика кількість відомих способів крадіжки електронних грошей базується на “вклинюванні” в цей проміжок з підробленими запитами на зняття грошей.
Для обміну ключами можна використовувати криптосистеми з відкритим ключем, застосовуючи той же алгоритм RSA.
Як узагальнення сказаного про розподіл ключів варто наголосити, що завдання керування ключами зводиться до пошуку такого протоколу розподілу ключів, який забезпечив би:
можливість відмови від центру розподілу ключів;
взаємне підтвердження дійсності учасників сеансу;
підтвердження вірогідності сеансу механізмом запиту-відповіді, використання для цього програмних чи апаратних засобів;
використання при обміні ключами мінімального числа повідомлень.
Які проблеми і перспективи мають криптографічні системи ?
Однією з важливих практичних проблем є шифрування великих повідомлень і потоків даних. Ця проблема з”явилася порівняно недавно з появою засобів мультимедіа та мереж з високою пропускною здатністю, що забезпечують передачу мультимедійних даних.
Дотепер говорилося про захист повідомлень. Пр цьому під ними малася на увазі скоріше деяка текстова чи символічна інформація. Однак в сучасних ІС починають застосовуватись технології, що вимагають передачі значних обсягів інформації. Серед таких технологій:
факсимільна, відео- та мовний зв”язок;
голосова пошта;
системи відеоконференцій.
Якщо порівнювати обсяги переданої інформації різних типів, то можна сказати, що обсяг текстової
інформації є найменшим, обсяг звукової – в 2-3 рази більший, графічної – на порядок більший, відео – на два порядки.
Оскільки передача оцифрованої звукової, графічної та відеоінформації в багатьох випадках вимагає конфіденційності, то виникає проблема шифрування величезних інформаційних масивів. Для інтерактивних систем типу телеконференцій, ведення аудіо- чи відеозв2язку таке шифрування повинне здійснюватися в реальному масштабі часу і по можливості бути “прозорим” для користувачів. Це немислиме без використання сучасних технологій шифрування. Найбілш розповсюдженим є поокове шифрування даних. Якщо в описаних вище криптосистемах передачалося, що навході мається певне кінцеве повідомлення, до якого і застосовується криптографічний алгоритм, то всистемах з потоковим шифруванням принцип інший. Система захисту не чекає, коли закінчується передане повідомлення, а відразу ж здійснює його шифрування та передачу.
Найбільш очевидним є побігове додавання вхідної послідовності (повідомлення) з деяким нескінченим чи періодичним ключем, отриманим, наприклад, від генератора ПВЧ. Прикладом стандарту початкового шифрування є RC 4, розроблений Рівестом. Однак технічні подробиці цього алгоритму тримаються в таємниці.
Іншим, іноді більш ефективним метдом потокового шифрування є шифрування блоками. Тобто, накопичується фіксований обсяг інформації (блок), а потім перетворений деяким криптографічним методом передається в канал зв”язку.
Як було неодноразово зазначено, проблема розподілу ключів є найбільш гострою в великих ІС. Частково ця проблема вирішується (а точніше, знімається) за рахунок використання відкритих ключів. Але найбільш надійні криптосистеми з відкритим ключем типу RSA досить трудомісткі, а для шифрування мультимедійних даних не придатні.
Оригінальні рішення проблеми “блукаючих ключів” активно розробляються фахівцями. Ці системи є певним коипромісом між системами з відкритими ключами і звичайними алгоритмами, для яких потрібна наявність того самого ключа у відправника та отримувача.
Ідея методу доволі проста. Після того, як ключ використовується в одному сеансі, за деяким правилом він змінюється іншим. Це правило має бути відомим і відправнику, і отримувачу. Знаючи правило, після отримання чергового повідомлення отримувач теж змінює ключ. Якщо правило зміни ключів акуратно дотримується і відправником, і отримувачем, то в кожен момент часу вони мають однаковий ключ. Постійна зміна ключа ускладнює розкриття інформації зловмисником.
Основне завдання в реалізації цього методу – вибір ефективного правила заміни ключів. Найбільш простий шлях – генерування випадкового списку ключів. Зміна ключів здійснюється в порядку списку. Однак очевидно, що список доведеться якимось чином передавати.
Інший варіант – використання математичних алгоритмів, що грунтуються на так званих перебірних послідовностях. Не множині ключів шляхом однієї і тієї ж операції над елементом отримуємо інший елемент. Послідовність цих операцій дозволяє переходити від одного елемента до іншого, поки не буде перебрана вся множина.
Найбільш доступним є використання полів Галуа. За рахунок піднесення до степеня породжуючого елемента можна послідовно переходити від одного числа до іншого. Ці числа приймаються як ключі.
Ключовою інформацією в даному випадку є вихідний елемент, що перед початком зв”язку повинен бути відомий і відправнику, і отримувачу.
Надійність таких методів повинна бути забезпечена з врахуванням знання зловмисником використовуваного правила заміни ключів.
Цікавим і перспективним завданням є реалізація методу “блукаючих ключів” не для двох абонентів, а для досить великої мережі, коли повідомлення пересилаються між всіма учасниками.
Три види (шифрування, кодування та стиснення інформації) пеертворення інформації використовуються в різних цілях (див таблицю___).
Таблиця ____
Як видно з таблиці ___, ці три види перетворення інформації частково доповнюють один одного і їхнє комплексне застосування допоможе ефективно використовувати канали зв”язку для надійного захисту змінюваної інформації.
Особливо цікавим видається можливість об”єднання методів кодування і шифрування, а шифрування – це елементарне перешкодостійке кодування.
Інша можливість – комбінування алгоритмів шифрування і стиснення інформації. Завдання стиснення полягає в тому, щоб перетворити повідомлення в межах того самого алфавіту таким чином, щоб його довжина (кількість букв алфавіту) стала меншою, але при цьому повідомлення можна було б відновити без використання якоїсь додаткової інформації. Найбільш популярні алгоритми стиснення – RLE, коди Хоффмана, алгоритми Лемпеля-Зіва. Для стиснення графічної та відеоінформації використовуються алгоритми JPEG та MPEG.
Головна перевага алгоритмів стиснення з погляду криптографії полягає в тому, що вони змінюють статистику вхідного тексту вбік її вирівнювання. Так, в звичайному тексті, стиснутому за допомогою ефективного алгоритму, всі символи мають однакові частотні характеристики, і навіть використання простих систем шифрування зробить текст недоступним для криптоаналізу.
Розробка і реалізація таких універсальних методів – перспектива сучасних ІС.
Проблема реалізації методів захисту інформації має два аспекти:
розробка засобів, що реалізуютькриптографічні криптографічні алгоритми;
методику використання цих засобів.
Кожний з розглянутих криптографічних методів може бути реалізований програмним або апаратним
способом.
Можливість програмної реалізації зумовлюється тим, що всі методи криптографічного перетворення формальні і можуть бути представлені у вигляді кінцевої алгоритмічної процедури.
При апаратній реалізації всі процедури шифрування і дешифрування виконуються спеціальними електронними схемами. Найбільшого поширення набули модулі, що реалізують комбіновані методи. При цьому неодмінним компонентом всіх апаратно реалізованих методів є гамування. Це пояснюється тим, що метод гамування вдало поєднує високу крипостійкість і простоту реалізації.
Найчастіше як генератор використовується широко відомий регістр зсуву зі зворотним зв”язком ( лінійним чи нелінійним). Мінімальний період породжуваної послідовності дорівнює 2n – 1 біт. Для підвищення якості генерованої послідовності можна передбачити спеціальний блок керування роботою регістра зсуву. Таке керування може полягати, наприклад, в тому, що після шифрування певного обсягу інформації вміст регістра зсуву циклічно змінюється.
Інша можливість поліпшення якості гамування полягає у використанні нелінійних зворотних зв”язків. При цьому поліпшення досягається не за рахунок збільшення довжини гами, а за рахунок ускладнення закону її формування, що істотно ускладнює криптоаналіз.
Головною перевагою програмних методів реалізації захисту є їх гнучкість, тобто можливість швидкої зміни алгоритмів шифрування.
Основним недоліком програмної реалізації є істотно менша швидкодія в порівнянні з апаратними засобами (приблизно в 10 разів). Останнім часом стали з”являтися комбіновані засоби шифрування, так звані програмно-апаратні засоби. В цьому випадку в комп”ютері використовується своєрідний “криптографічний співпроцесор” – обчислювальний пристрій, орієнтований на виконання криптографічних операцій (додавання за модулем, зсув і т.п.). Змінюючи програмне забезпечення для такого пристрою, можна вибрати той чи інший метод шифрування. Такий метод поєднує достоїнства програмних і апаратних методів.
Таким чином, вибір типу реалізації криптозахисту для конкретної ІС істотною мірою залежить від її особливостей і повинен спиратися на всебічний аналіз вимог, що висуваються до системи захисту інформації.
Вибір для конкретних ІС повинен базуватися на глибокому аналізі слабких та сильних сторін тих чи інших методів захисту. Обгрунтований вибір тієї чи іншої системи захисту взагалі ж повинен спиратися на критерій ефективності. На жаль, дотепер не розроблено придатних методик оцінювання ефективності криптографічних систем.
Найбільш простий критерій такої ефективності – імовірність розкриття ключа або потужність множини ключів (М). По суті, це те ж саме, що і криптостійкість. Для її чисельної оцінки можна використовувати також і складність розкриття шифру шляхом перебору всіх ключів. Однак цей критерій не враховує інших вимог до криптосистем:
неможливість розкриття чм осмислення содифікації на основі аналізу її структури;
досконалість використовуваних протоколів захисту;
мінімальний обсяг використовуваної ключової інформації;
мінімальна складність реалізації (вкількості машинних операцій), її вартість.
Отже, бажаним є використання деяких інтегральних показників, що враховують всі зазначені фактори.
Для обліку вартості, трудоємкості та обсягу ключової інформації можна використовувати птомі показники – відношення зазначених параметрів до потужності множини ключів шифру.
Часто білш ефективним при виборі та оцінці криптографічної системи є використання експертних оцінок
та імітаційне моделювання.
В будь-якому випадку, обраний комплекс криптографічних методів повинен поєднувати як зручність, гнучкість і оперативність використання, так і надійний захист від зловмисників циркулюючої в ІС інформації.
Назакінчення, коротко зупинимося на ситуації, коли ЗЛ вдалося отримати доступ до синтаксичного представлення конфіденційної інформації, тобто він має перед собою послідовність знаків певної мови, що задовольняє формальні правила нотації. Така ситуація може виникнути, наприклад, тоді, коли вдалося дешифрувати файл даних і отримати текст, що може розглядатися як осмислений. В цьому випадку для приховування точного змісту повідомлення можуть застосовуватися різні прийоми, суть яких зводиться до того, що у відповідність одній послідовності знаків чи слів однієї мови ставляться знаки чи слова іншої.
Як приклад можна навести вже згадуваний нами шифр “Ave Maria”, в кодовому варіанті якого кожному слову, а часом і фразі, ставлять у відповідність кілька слів явної релігійної тематики, в результаті чого повідомлення виглядає як специфічний духовний текст. Звичайний жаргон (арго) також може ілюструвати застосовувані в повсякденній практиці підходи до приховування точного змісту повідомлення.
В загальному випадку, способи приховування або або самого факту наявності повідомлення, або його точного змісту називаються стеганографією. Слово “стеганографія” в перекладі з грецької означає “тайнопис”. До неї належить величезна кількість секретних способів зв”язку, таких як невидиме чорнило, мікрофотознімки, умовне розташування знаків, цифрові підписи, таємні канали і засоби зв”язку на плаваючих частотах.
Стеганографія займає свою нішу в забезпеченні безпеки інформації: вона не заміняє, а доповнює криптографію, хоча криптографія, судячи з відомих історичних прикладів використання секретного зв”язку з”явилася пізніше. За наявності шифрованого повідомлення, обто при застосуванні криптографічних методів звхисту, супротивнику хоча і невідомий зміст повідомлення, але відомий факт наявності такого повідомлення. При використанні ж стеганографічних методів супротивнику невідомо, чи є отриманий зміст повідомлення остаточним, чи за ним приховано додатковий зміст. Стосовно комп”ютерних технологій можна сказати, що стеганографія використовує методи розміщення файла-“повідомлення” у файлі-“контейнері”, змінюючи файл-контейнер” таким чином, щоб зроблені зміни були практично непомітні.
Окремі питання захисту інформації від НСД
8.1. Особливості захисту інформації від НСД в локальних обчислювальних мережах
Локальна обчислювальна мережа (ЛОМ) – система передачі даних, що забезпечує певному числу незалежних пристроїв можливість прямої взаємодії в обмеженому географічному просторі за допомогою фізичного каналу взаємодії обмеженої продуктивності. Типова ЛОМ належить лише з однієї організації, що її використовує і керує нею. Звичайна ЛОМ за допомогою мережевої операційної системи (ОС) поєднує сервери, робочі станції, принтери і стримери, дозволяючи користувачам спільно використовувати ресурси і функціональні можливості ЛОМ.
Типи додатків, забезпечувані ЛОМ, включають розподілене збереження файлів, віддалені обчислення та обмін повідомленнями. Не підлягає сумніву, що ці можливості ЛОМ є її перевагою. Однак вони пов”язані з додатковим ризиком, що призводить до проблем безпеки ЛОМ.
Які проблеми виникають при розподіленому збереженні файлів ? Файлові сервери можуть контролювати доступ користувачів до різних частин файлової системи. Це звичайно здійснюється дозволом користувачу приєднати деяку файлову систему (чи каталог) до робочої станції користувача для подальшого використання як локальний диск. Виникають відразу дві потенційних проблеми:
сервер може забезпечити захист доступу лише на рівні каталогу, тому якщо користувачу дозволено доступ до каталогу, то він отримує доступ до всіх файлів, що містяться в цьому каталозі. Щоб мінімізувати ризик в цій ситуації, важливо відповідним чином структурувати і керувати файловою системою ЛОМ.
Актуальною є проблема неадекватного механізму захисту локальної робочої станції.
Наприклад, персональний комп”ютер (ПК) може забезпечувати мінімальний захист чи не забезпечувати
жодного захисту інформації, збереженому на ньому. Копіювання користувачем файлів із сервера на локальний диск ПК призводить до того, що файл перестає бути захищеним тими засобами захисту, що захищали його, коли він зберігався на сервері. Для деяких типів інформації це може бути прийнятним. Однак інші типи інформації можуть вимагати більш сильного захисту. Ці вимоги фокусуються на необхідності контролю середовища ПК.
Віддалені обчислення повинні контролюватися таким чином, щоб тільки авторизовані користувачі могли отримати доступ до віддалених компонентів і додатків. Сервери повинні мати здатність автентифікувати віддалених користувачів, що запитують послуги чи додатки. Ці запити можуть також видаватися локальними і віддаленими серверами для взаємної автентифікації. Неможливість автентифікації може привести до того, і неавторизовані користувачі будуть мати доступ до віддалених серверів і додатків. Повинні також існувати еякі гарантії цілісності додатків, використовуваних багатьма користувачами через ЛОМ.
Топології і протоколи, використовувані сьогодні, вимагають, щоб повідомлення були доступні великому числу вузлів при передачі до бажаного призначення. Це набагато дешевше і легше, ніж мати прямий фізичний шлях між кожною парою машин. З цього випливають мжливі загрози, які включають як активне, так і пасивне перехоплення повідомлень, переданих в лінії. Пасивне перехоплення включає не лише читання інформації, але і аналіз трафіка (використання трафіку, інших даних заголовку, длвжини повідомлень). Активне перехопленнявключає зміну протоколу повідомлень (в тому числі модифікацію, затримку, дублювання, видалення чи неправомочне використання реквізитів).
Служби обміну повідомленнями збільшують ризик для інформації, що зберігається на сервері чи переданої між джерелом і відправником. Неадекватнозахищена електронна пошта може бути легко перехоплена, змінена чи повторно передана, що впливає як на конфіденційність, так і на цілісність повідомлення.
Серед інших проблем безпеки ЛО можна виділити такі:
неадекватну політику керування і безпеки ЛОМ;
відсутність навчання особливостям використання ЛОМ і захисту;
неадекватні механізми захисту для робочих станцій;
неадекватний захист в хлді передачі інформації.
Слабка політика безпеки (ПБ) також збільшує ризик, пов”язаний з ЛОМ. Повинна існувати формальна ПБ,
яка б визначила правила використання ЛОМ для демонстрації позиції керування організацією стосовно важливості захисту наявних в ній цінностей. ПБ є стислим формулюванням позиції вищого керівництва з питань інформаційних цінностей, відповідальності за їх заїист і організаційні зобов”язання. Повинна існувати сильна ПБ ЛОМ для забезпечення керівництва і підтримки з боку верхньої ланки керування організацією. Політика повинна визначати роль кожного службовця в забезпеченні того, що ЛОМ і передана в ній інформація адекватно захищені. ПБ ЛОМ повинна робити наголос на важливості керування ЛОМ і забезпеченні його підтримки. Керування ЛОМ повинне мати необхідні фінансові кошти, час і ресурси. Слабке керування мережею може призвести до помилок захисту. В результаті цього можуть з”явитися такі проблеми: ослаблена конфігурація захисту, недбале виконання заходів захисту чи навіть невикористання необхідних механізмів захисту.
Використання ПК в середовищі ЛОМ також привносить ризик. Загалом у ПК практично відсутні заходи захисту щодо автентифікації користувачів, керування доступом до файлів, ревізії діяьності користувачів і т.п. В більшості випадків захист інформації, що зберігається і обробляється на сервері ЛОМ, не супроводжує інформацію, коли вона посилається на ПК.
Відсутність поінформованості користувачів стосовно безпеки ЛОМ також привносить ризик. Користувачі, не знайомі з механізмм, засобами захисту іт.п., можуть використовувати їх неправильно і, можливо, менш безпечно. Відповідальність за впровадження механізмів і засобів захисту, а також за виконання правил використання ПК в середовищі ЛОМ звичайно лягає на користувачів ПК. Користувачам повинні дати відповідні інструкції і рекомендації, неохідні, щоб підтримувати прийнятий рівень захисту в середовищі ЛОМ.
Розглянемо загрози, що пов”язані з особливостями ЛОМ. Загрозою може бути будь-яка особа, об”єкт чи подія, що, у разі реалізації, може потенційно стати причиною завдання шкоди ЛОМ. Загрози можуть бути зловмисними, такими, як умисна модифікація критичної інформації, чи випадковими, такими як помилки в обчисленнях чи випадкове видалення файлу. Загроза може бути також природним явищем, таким як повінь, ураган, блискавка і т.п. Безпосередня шкода, завдана загрозою, називається впливом загрози.
Вразливими місцями є слабкі місця ЛОМ, що можуть використовуватися загрозою для своєї реалізації. Наприклад, неавторизований доступ (загроза) до ЛОМ може бути здійснений сторонньою людиною, що вгадала очевидний пароль. При цьому вразливим місцем є поганий вибір пароля, зроблений користувачем. Зменшення чи обмеження вразливих місць ЛОМ може знизити чи взагалі усунути ризик від загроз ЛОМ. Наприклад, засіб, що може допомогти користувачам вибрати надійний пароль, зможе знизити імовірність того, що користувачі будуть використовувати слабкі паролі, і цим зменшити загрозу НСД до ЛОМ.
Ідентифікація загроз передбачає розгляд впливів і наслідків реалізації загроз. Вплив загрози, що звичайно містить в собі проблеми, які виникли безпосередньо після реалізації загрози, приводять до розкриття, модифікації, руйнування чи відмови в обслуговуванні. Більш значні довгострокові наслідки реалізації загрози призводять до втрати бізнесу, порушення таємниці, громадянських прав, втрати адекватності даних, втрати людського життя і т.д.Слід розуміти, що реалізація багатьох загроз приводить до більш ніж одного впливу, однак далі кожна загроза буде розглядатися в зв”язку лише з одним впливом. Розглянемо можливі впливи, що можуть використовуватися для класифікації загроз середовищу ЛОМ:
Неавторизований доступ до ЛОМ - відбувається в результаті отримання неавторизованою людиною доступу до ЛОМ;
Невідповідний доступ до ресурсів ЛОМ - відбувається в результаті отримання доступу до ресурсів ЛОМ авторизованою чи авторизованою людиною неавторизованим способом;
Розкриття даних – відбувається в результаті отримання доступу до інформації чи її читання людиною і можливим розкриттям нею інформації випадковим неавторизованим чи авторизованим чином;
Неавторизована модифікація даних і програм – відбувається в результаті модифікації, виділення чи руйнування людиною даних і програмного забезпечення ЛОМ неавторизованим чи авторизованим чином;
Розкриття трафіку ЛОМ – відбувається в результаті отримання доступу до інформації чи її читання людиною і можливим її розголошенням випадковим неавторизованим чи навмисним чином тоді, коли інформація передається через ЛОМ;
Підміна трафікцу ЛОМ – відбувається в результаті появиповідомлень, що мають такий вигляд, начебто вони послані законним заявним відправником, а насправді повідомлення послані не ним;
Непрацездатність ЛОМ – відбувається в результаті реалізації загроз, що не дозволяють ресурсам ЛОМ бути вчасно доступними.
8.2. Захист інформації від НСД в базах даних
Головне джерело загроз, специфічних для системуправління базами даних (СУБД), міститься в самій природі бази даних ?12-А?. Як відомо, СУБД призначені для створення, модифікації, відображення та збереження даних. Ці дані можуть зберігатися і відображатися в такому вигляді, в якому вони були створені автором, чи будуватися (виводитися) за допомогою операцій, підтримуваних системою, на підставі збереження даних. Практично в будь-якому додатку, що забезпечує доступ до БД, передбачається контроль доступу на рівні користувача і бази даних. Лише авторизований користува може створити нові бази даних чи змінювати структуру існуючих. Інші користувачі мають право змінювати і переглядати дані відповідно до своїх прав доступу. Одні з обмежень покликані підтримувати погодженість даних (один з видів цілісності), інші призначені для захисту від НСД. Для того, щоб продемонструвати, що система захищена, необхідно довести, що ці обмеження коректно дотримуватися за будь-яких умов.
Оскільки в БД може зберігатися величезна кількість різноманітної інформації, то наявність потужного інструменту для зручного і дуже простого маніпулювання даними (котрі надає кожна СУБД) майже завжди призводить до виникнення наступних проблем ЗІ, характерних для БД.
Пробдема агрегування полягає в тому, що мітка безпеки даних, отриманих в результаті застосування операцій маніпулювання даними, може виявитися більшою, ніж найбільша мітка усіх використаних даних.
Прикладом агрегації менш секретної інформації для отримання більш секретної може служити отримання секретної інформації про загальну чисельність загону солдатів в конкретній зоні на підставі несекретних даних про місце розташування окремих солдатів. Таким чином, агрегована інформація може виявитися більш секретною, ніж кожен з компонентів, її що складає.
Інший приклад. Розглянемо БД, що зберігає параметри всіх комплектуючих, з яких буде збиратися ракета, та інфструкцію із збирання. Дані про кожен вид комплектуючих необхідні постачальникам, інструкція із збирання – складальному виробництву. Інформація про окремі частини ама по собі не є секретною (який сенс ховати матеріал, розміри та кількість гайок ?). В той же час аналіз всієї БД дозволяє довідатися, як зробити ракету, що може бути державною таємницею. Підвищення рівня таємності даних при агрегуванні є цілком природнім – це наслідок закону переходу кількості в якість. Боротьба з агрегуванням (як і логічним висновком) можна за рахунок ретельного проектування моделі даних і максимального обмеження доступу користувачів до інформації.
Проблема логічного висновку полягає в можливості отримати секретну інформацію, що не міститься явно в структурах даних, шляхом об”єднання нової інформації зі знаннями. Нерідко шляхом логічного висновку можна витягти з бази даних інформацію, на отримання якої стандартними засобами в користувача не вистачає привілеїв. Виведення секретних даних за допомогою допустимих запитів і інформації в БД може бути проілюстроване такими прикладами.
Розглянемо лікарняну базу даних, що складається з двох таблиць. В першій зберігається інформація про пацієньів (анкетні дані, діагноз, призначення і т.ін.), у другій – відомості про лікарів (розклад заходів, перелік пацієнтів і т.п.). Якщо користувач має доступ лише до таблиці лікарів, він, проте, може отримати непряму інформацію про діагнози пацієнтів, оскільки, як правило, лікарі спеціалізуються на лікуванні певних хвороб.
Загальна кількість одиниць секретна, однак загальна вартість і ціна одиниці – доступні всім.
Відповіддю на запит користувача, що не має доступу до секретної інформації, - “Отримати всі дані, що стосуютьсч факту транспортування бомб рейсом №1” може бути повідомлення: “доступ заборонений”, оскільки один або кілька запитів засекречені. Це відразу ж говорить неавторизованому користувачу про те, що рейс №1 справді таємно транспортує бомби.
Крім того, якщо мітка безпеки в БД прив”язується до об”єктів (контейнерів), що містять дані, то може
виникнути ситуація, коли модифікація контейнера приведе до збільшення або зменшення рівня його таємності. Іншими словами, рівень безпеки об”єкта БД може змінюватися з модифікацією інформації.
Ще одна загроза для БД – це замах на високу готовність або доступність. Якщо користувачу доступні
всі можливості СУБД, він може досить легко ускладнити роботу інших користувачів (наприклад, ініціювавши тривалу транзакцію, яка потребує великого числа таблиць).
Жодна з перерахованих проблем не вирішується за допомогою традиційних заходів захисту.
Отже, зробимо виснвок, що в більшості випадків необхідно застосовувати таку модель політики безпеки,
що обмежувала б привілеї користувачів відповідно до тієї ролі, що він (користувач) виконує в даний момент. Відповідно до такої політики користувачам буде дозволено виконувати визначені ролі в системі при виконанні деяких умов. Так, наприклад, в магазині лише визначеним користувачам буде дозволено виконувати роль касира лише в заплановані часи роботи. Або в страховій компанії працівники можуть виконувати обов”язки агентів лише у звичайний робочий час.
Крім того, обробка даних, яку можуть виконувати користувачі, відіграючи деяку роль, теж повинна бути
обмежена. Приміром, користувач, що виконує рольаналітика, може мати доступ для перегляду лише деяких статистичних даних. Більше того, частоту виконання подібних запитів можна обмежити для зменшення імовірності атаки БД за допомогою логічного висновку.
8.3. Особливості захисту інформації від НСД при організації парольного захисту
Спочатку кілька слів про програмні закладки. Однією з найбільш небезпечних і розповсюджених є атака системи за допомогою програмних закладок. Програмна закладка – це програма або фрагмент програми, який приховано впроваджується в захищену систему і дає змогу ЗЛ, що впровадив його, здійснювати надалі НСД до тих чи інших ресурсів захищеної системи.
Основна небезпека програмних закладок полягає в тому, що програмні закладки, стаючи частиною захищеної системи, спроможні вживати активних заходів для маскування своєї присутності в системі. При впровадженні в систему закладки в захищеній системі створюється прихований канал інформаційного обміну, що, як правило, залишається непоміченим для адміністраторів системи протягом тривалого терміну. Практично всі відомі програмні закладки, що застосовувалися в різний час ЗЛ, були виявлені або через помилки, допущені при програмуванні закладок, або випадково.
Отже, розглянемо ще один з найбільш поширених програмних закладок – закладки, що перехоплюють паролі користувачів ОС (перехоплювачі паролів). Перехоплювачі паролів були розроблені в різний час для цілого ряду ОС, включаючи OS/370, MS-DOS та багато версій Widows та UNIX. Перехоплювач паролів, впроваджений в ОС, тим або іншим способом отримує доступ до паролів, що вводяться користувачами при вході в систему. Перехопивши черговий пароль, закладка записує його в спеціальний файл або в будь-яке інше місце, доступне ЗЛ, що впровадив закладку в систему. Виділяють перехоплювачі трьох родів.
Перехоплювачі паролів першого роду діють за наступним алгоритмом. ЗЛ запускає програму, що імітує
запрошення користувачу для входу в систему, і чекає вводу. Коли користувач вводить ім”я і пароль, закладка зберігає їх в доступниму ЗЛ місці, після чого завершує роботу і здійснює вихід із системи користувача-зловмисника (в більшості ОС вихід користувача із системи можна здійснити програмно). По закінченні роботи закладка на екрані виводить дійсне запрошення для входу користувача в систему.
Користувач, що став жертвою закладки, бачить, що він не війшов в систему і що йому знову пропонується ввести ім”я та пароль. Користувач припускає, що при введенні пороля відбулася помилка, і вводить ім”я і пароль повторно. Після цього користувач вхлдить в систему, і подальша його робота проходить нормально. Деякі закладки, що функціонують за такою схемою, перед завершенням роботи видають на екрані правдоподібне про помилку, наприклад,: пароль введено невірно. Спробуйте ще раз”.
Основною перевагою цього класу перехоплювачів паролів є те, що написання подібної програмної закладки не потребує від ЗЛ ніякої спеціальної кваліфікації. Будь-який користувач, що вміє програмувати хоч би на мові BASIC, може написати таку програму. Єдина проблема, що може тут виникнути, полягає в програмній реалізації виходу користувача із системи. Проте відповідний системний виклик документовано для всіх багатокористувацьких ОС, і, якщо ЗЛ не полінується уважно вивчити документацію по ОС, то він вирішить дану проблему дуже швидко.
Перехоплювачі паролів першого роду являють найбільшу небезпеку для тих ОС, в яких запрошення користувачу на вхід має простий вигляд. Наприклад, у більшості версій ОС UNIX це запрошення виглядає так:
Login: user
Password:
Таким чином, задача створення програми, що підробляє таке запрошення, є тривіальною.
Як можна захищатися від перехоплювачів паролів першого роду ? Ускладнення зовнішнього вигляду запрошення на вхід в систему дещо ускладнює задачі перехоплення паролів, проте не створює для ЗЛ ніяких принципових проблем. Для того, щоб істотно утруднити встановлення в систему перехоплювачів паролів першого роду, необхідні більш складні системи захисту. Прикладом ОС, де такі заходи реалізовані, є Windows NT. Крім того, захищеність системи від перехоплювачів першого роду можна підвищити адміністративними заходами, наприклад такими: кожний користувач системи повинен бути проінструктований, коли він кілька разів поспільне може увійти в систему, йому слід звернутися до адміністратора.
Перехоплювачі паролів другого роду перехоплюють всі дані, що вводяться користувачем з клавіатури.
Найпростіші програмні закладки даного типу просто скидають всі ці дані на жорский диск комп”ютера або в будь-яке інше місце, доступне ЗЛ. Більш професійно зроблені закладки аналізують перехоплені дані і відсіюють інформацію, яка явно не має відношення до паролів.
Декілька подібних закладок були в різний час написані для ОС MS-DOS, деякі з них використовувалися на практиці, причому дуже ефективно.
Ці закладки являють собою резидентні програми, що перехоплюють одне або кілька переривань процесора, що мають відношення до роботи з клавіатурою. Інформація про натиснуту клавішу і введений символ, що повертається цим перериванням, використовується закладками для своїх цілей.
Наприкінці 1997 р. на хакерських серверах Internet з”явилися перехоплювачі паролів другого роду для
Windows 3.х та Windows-95. Приклади їх використання ЗЛ для здійснення НСД поки що не зустрічалися на практиці. В телеконференціях Internet (newsgroups) кілька разів зустрічалися повідомлення про атаки Windows-95 перехоплювачами паролів другого роду. Проте ця інформація жодного разу не підтверджувалася.
Створення подібних програмних закладок також не пов”язане з значними проблемами. Програмні інтерфейси Win-16 та Win-32 підтримують спеціальний механізм фільтрів (hooks), що може бути використаний для перехоплення паролів користувачів. За допомогою цього механізму прикладні програми і сама ОС вирішують цілий ряд задач, в тому числі і задачу підтримки національних розкладок клавіатури. Будь-який русифікатор клавіатури, що працює в середовищі Windows, перехоплює всю інформацію, що вводиться користувачем з клавіатури, в тому числі і паролі. Нескладно написати русифікатор так, щоб він, крім своїх основних функцій, виконував також і функції перехоплювача паролів.
Написання програми локалізації клавіатури є достатньо простою задачею. В багатьох довідниках і підручниках з програмування ця задача докладно описана., в деяких виданнях наведено вихідні тексти найпростішого русифікатора клавіатури. Більше того, Windows підтримує ланцюжки фільтрів, за допомогою яких кілька програм можуть одночасно отримувати доступ до інформації, що вводиться з клавіатури, та опрацювати її таким чином, як вважають за потрібне, при необхідності передаючи оброблену інформацію далі по ланцюжку. Можна вбудувати перехоплювач паролів перед русифікаором або після нього так, щоб вся інформація, яка вводиться користувачем з клавіатури, проходитиме і через русифікатор, і через перехоплювач паролів. В цьому випадку задача написання програмної закладки, що перехоплює паролі користувачів Windows, стає настільки простою, що практично не потребує від автора закладки спеціальної кваліфікації.
Взагалі в більшості випадків справедливе таке твердження: якщо ОС передбачає переключення розкладки клавіатури при введенні пароля, то для цієї ОС можна написати перехоплювач паролів другого роду. Справді, якщо для ОС існує програма локалізації розкладки клавіатури і якщо ця програма використовується при введені пароля, то після незначної зміни вихідного тексту ця програма перетворюється в перехоплювач паролів другого роду. Для організації захисту від перехоплювачів паролів другого роду необхідно домогтися виконання в ОС таких трьох умов:
А) переключення розкладки клавіатури в процесі введення пароля неможливе. Інакше задача створення перехоплювача паролів другого роду істотно спрощується;
Б) Конфігурація ланцюжка програмних модулів, що беруть участь в отриманні ОС пароля користувача, доступне лише адміністраторам системи;
В) Доступ на запис до файлів цих програмних модулів дається лише адміністратором системи.
Для підвищення стійкості системи захисту до помилок адміністраторів можна сформулювати останню умову в твкий спосіб: доступ на запис до файлів програмних модулів, що беруть участь в отриманні пароля користувача, не довіряється нікому. Доступ на запис до атрибутів захисту цих файлів дається лише адміністраторам. Будь-які звертання з метою запису до цих файлів, а також до їхніх атрибутів захисту реєстркється в системному журналі аудита.
Якщо в системі виконується третя умова в другому формулюванні, адміністрування ОС в частині обслуговування клавіатури (зокрема, установка та зміна рзкладок клавіатури) дещо ускладнюється.
Для того, щоб перераховані умови виконувалися, необхідно, щлб підсистема захисту ОС підтримувала розмежування доступу і аудит.
Для більшості сучасних ОС всі умови, крім першої, можуть бути забезпечені організаційними заходами. Перша умова в некириличних версіях ОС виконується автоматично. Для більшості некириличних версій ОС (зокрема, для російської версії є Windows NT 4.0) домогтися виконання цієї умови неможливо – можливість створювати користувачів з російськими іменами закладена в програмне забезпечення ОС. В усіх англомовних версіях Windows NT та UNIX можливі створення і підтримка політики безпеки, за якої виконуються всі три зазначені умови.
Якщо забезпечити виконання першої умови в даній ОС неможливо, потрібно домогтися виконання другої та третьої умов. Виконання цих умов значно підвищує захищеність системи від перехоплювачів паролів другого роду.
До перехоплювачів паролів третього роду належать програмні закладки, які цілком або частково
підміняють собою підсистему автентифікації ОС. Оскільки задача створення такої програмної закладки набагато складніша, ніж задача створення перехоплювача паролів першого чи другого роду, цей клас програмних закладок з”явився зовсім недавно. Існують дві демонстрації версії перехоплювачів паролів третього роду (обидві для Windows NT).
Перехоплювач паролів третього роду може написаний для будь-якої ОС, що має багато користувачів. Складність створення такого перехоплювача паролів залежить від складності алгоритмів, що реалізуються підсистемою автентифікації ОС. В цілому задача створення перехоплювача паролів третього роду набагато складніша, ніж задача створення перехоплювача паролів першого або другого роду. Напевно, цим і пояснюється невелика кількість програмних закладок третього роду.
Оскільки перехоплювачі паролів третього роду частково беруть на себе функції підсистеми захисту ОС, перехоплювач паролів третього роду при впровадженні в систему повинен виконати принаймі одну з таких дій:
підмінити собою один або кілька системних файлів; вровадитися в один або кілька системних файлів за одним з “вірусних алгоритмів;
використовувати підтримувані ОС інтерфейсні зв”язки між програмними модулями підсистеми захисту для вбудовування себе в ланцюжок програмних модулів, що опрацьовують введений користувачем пароль;
використовувати для тієї ж цілі низькорівневі інтерфейсні зв”язки ОС, використовувані підсистемою для вирішення своїх завдань.
Кожна з цих дій залишає в ОС сліди, що можуть бути виявлені за допомогою наступних заходів захисту:
Дотримання адекватної політики безпеки. Підсистема автентифікації повинна бути найбільш захищеним
місцем ОС. Заходи, необхідні для підтримки адекватної політики безпеки, сильно різняться для різних ОС. При дотриманні адекватної політики безпеки впровадження в систему перехоплювачів паролів третього роду, як і будь-якої іншої закладки, неможливе. Проте, оскільки адміністратори, як і всі люди, схильні припускатися помилок, підтримка адекватної політики безпеки протягом ривалого часу вважається практично нездійсненним завданням. Крім того, дотримання адекватної політики безпеки захищає лише від проникнення програмної закладки в систему. Як тільки перехоплювач паролів впроваджується в систему, заходи для підтримки політики безпеки стають безглуздими -–за наявності в системі програмної закладки політика безпеки не може бути адекватною, щоб не думали з цього приводу адміністратори системи. Тому необхідні додаткові заходи захисту;
Контроль цілісності виконуваних файлів ОС. Необхідно контролювати не лише файли, що входять до складу
підсистеми захисту, а і бібліотеки, що містять низькорівневі функції ОС.
Контроль цілісності інтерфейсних зв”язків всередині підсистеми захисту, а також інтерфейсних зв”язків, що
використовуються підсистемою захисту для рішення низькорівневих завдань.
Побудова абсолютно надійного захисту проти перехоплювачів паролів третього роду вважається неможливою. Оскільки машинний код перехоплювачів третього роду виконується не в контексті користувача, а в контексті ОС, перехоплювач паролів третього роду може вживати заходів, що ускладнюють його виявлення його адміністраторами системи, зокрема:
перехоплення системних викликів, що можуть використовуватися адміністраторами для виявлення програмної закладки з метою підміни інформації, що повертається;
фільтрація реєстрованих повідомлень аудита;
будь-який захист від перехоплювачів паролів може бути надійним лише за умови повного дотримання адміністраторами системи адекватної політики безпеки. З огляду на те, що адміністратори, як і всі люди, помиляються, для впровадження в систему перехоплювача паролів достатньо всього однієї помилки адміністратора;
перехоплювач паролів після впровадження в систему дістає можливість починати активні заходи для маскування своєї присутності, побудова абсолютно надійного захисту від перехоплювачів паролів вважається практично неможливою. Тут має місце “боротьба щита та меча”, коли для будь-якої відомої атаки може бути побудований надійний захист від неї, і для будь-якого відомого захисту може бути реалізована атака, що дзволяє його ефективно переборювати.
8.4. Захист інформації при організації конфіденційного зв”язку
Під витоком інформації в каналі телефонного зв”язку розуміється навмисне і несанкціоноване її отримання ЗЛ з використанням технічних засобів ?2-А?. Отримання такої інформації можливе трьома шляхами:
1). Прямим підслуховуванням;
2). Підслуховуванням з використанням пристроїв, аналогічних тим, що застосовують власники інформації;
3). Записом інформації з наступною її обробкою за допомогою спеціальних засобів.
Телефонним каналом зв”язку є або провідна лінія, або канал радіообміну.
В першому випадку перехоплення конфіденційної інформації зв”язку здійснюється безпосереднім підключенням до телефонної мережі, включаючи апаратуру зв”язку, чи зняття побічного електромагнітного випромінювання ліній зв"”зку. Доступ до каналів зв"”зку (вузлів комутації і до кабелів зв"”зку) для сторонніх осіб обмежений чи ускладнений. Справді, вузли комутації звичайно розміщуються в приміщеннях, що охороняються, а кабелі прокладаються в підземних траншеях чи тунелях метро. Значно легше перехоплювати інформацю на абоненських лініях в житлових будинках чи в установах і фірмах. Часто ЗЛ, будучи співробітниками організацій, підслуховують конфіденційну розмову у віддалених приміщеннях. Слід зауважити, що при підключенні прослуховуючих пристроїв до телефонного каналу їх неважко виявити внаслідок зміни навантаження на каналі. Однак побічні випромінювання можна підсилити і прослуховувати за допомогою досить простих приймачів, виявлення яких є складним завданням.
В другому випадку (використанні радіоканалів) доступ до інформації практично необмежений.
Звідси випливає, що незахищеність каналів зв”язку вимагає використання засобів шифрування від простого кодування до складних алгоритмів перетворень інформації. Пристрої, що реалізують такі перетворення, називають скремблерами (scrembler) чи маскіраторами. Місце включення такого засобу в канал зв”язку може бути різним і залежить від ряду факторів. Якщо необхідно захиститися від витоку будь-яким шляхом, то його необхідно включати на вході в телефонний аппарат. Якщо важливим є завдання захиститися від витоку інформації на каналах зв”язку, то достатньо пристрій включити на виході телефонного апарату. Якщо ж необхідно запобігти витоку інформації лише на окремих ділянках мережі, досить його включити на вході цієї ділянки.
При виборі виду шифрування телефонних каналів зв”язку слід виходити з наступних міркувань: фінансових, необхідності часу збереження таємниці телефонної розмови, оперативності передачі повідомлень і т.д.
Захист програмного забезпечення
Захист програмного забезпеченн (ПЗ) включає широке коло засобів, що починається законодавчими
актами і закінчується конкретними апаратурними розробками. В основі всі засоби захисту ПЗ є аналогічним всім іншим засобам і ранішем обговорювалося, тому тут дамо лише короткий їх огляд ?4-А?. Виділяються такі категорії засобів захисту ПЗ: власні, в складі КС, із запитом інформації, активні і пасивні.
Засоби власного захисту визначають елементи захисту, що містяться на самому ПЗ чи супроводжують його. До таких засобів належать: документація, поширення продукції у виглді виконуваних модулів,
супроводження програм розробником, обмеження застосування, проектування на замовлення, ідентифікація мітки.
Документація, що розповсюджується разом з ПЗ, насамперед з суб”єктом авторського права. ЇЇ розмноження коштує досить дорого, і, як правило, копія гірша за оригінал. Постачання програм у вигляді завантажувальних модулів ускладнює її аналіз, що забезпечує певну захищеність. Важливим є фактор супроводу програм розробником, коли легальним користувачам постачаються дороблені версії ПЗ, а також його адаптація до конкретного оточення. Такий засіб захисту, як обмеження застосування, пов”язаний з вищначенням списку користувачів, за якого можна ефективно здійснювати контроль за використанням ПЗ. Програми, виконані для спеціального застосування, як правило, враховують особливості роботи замовника, і їхня крадіжка малоімовірна, оскільки вони широко не застосовуються і можуть бути легко пізнані. Легальними користувачами можуть використовуватияс відмітні ідентифікаційні мітки, за якими можнв визначити власника ПЗ.
До засобів захисту в складі комп”ютерних систем належать: захист магнітних дисків, захисні механізми пристроїв КС, замки захисту, зміна функцій в системі.
Захист магнітних дисків може виконуватися за рівнями складності залежно від кваліфікації неавторизованої сторони, що здійснює доступ. При захисті дисків використовуються спеціальні чи модифіковані ОС, застосовуються нестандартне форматування та інші механізми захисту (введення додаткових доріжок і секторів, зміна розмірів каталогів, секторів, форматів даних, чергування доріжок і т.п.).
Захисні механізми пристроїв КС грунтуються на використанні особливостей апаратури. Великий інтерес свого часу становила методика створення унікального диска, що грунтувалася на механічному ушкодженні магнітної поверхні, а пізніше на ушкоджені за допомогою лазерного пучка. Таким чином, диск нібито стримує “рідні плями”. Моживе також використання спеціальних процесорів і мікроконтролерів, що дозволяют захистити оригінали програм і даних від перегляду чи копіювання за допомогою, напрклад, виконання процедур шифрування.
Під замком захисту маються на увазі заборони доступу до програми, якщо в результаті її виконання не впізнано оточення. Таким оточенням може служити час використання програм, серійний номер комп”ютера, деякі властивості динамічної пам”яті, паролі, особливості диска та інші характеристики обладнання і ПЗ.
Зміни функцій в системі пов”язані з виконанням певних перепризначень і чергувань. Наприклад, установка періодів дії ключів, перезапис, переустановка переривань і перепризначення атрибутів, зміна імені файлів і інші перепризначення, що створюють труднощі випадковим і некваліфікованим користувачам.
Програми, що використовують засоби захисту із запитом інформації для подальшого виконання призначених функцій, здійснюють запит на введення додаткової інформації, представленої, наприклад, у вигляді ключових слів. В структуру зазначених засобів входять паролі, шифри, сигнатури та аппаратура.
Доступ до захищеної КС здійснюється за допомогою пароля. Його перевірка проводится шляхом порівняння прийнятого значення зі значенням образу, що зберігається в системі. Існують різні механізми розподілу і формування паролів. Останні створються на основі питально-відповідної системи, одноразових блокнотів, сегментів слів чи пропозицій і інших способів. Паролі, що пред”являються користувачем КС, як правило, розкриваються неавторизованою стороною (НАС), і особливо легко в тих випадках, коли будуються за синтаксичними правилами на основі букв і цифр.
Шифри утворюються в результаті криптографічних перетворень вхідної інформації. Пр високій кваліфікації НАС прості шифри можуть бути легко розкриті. Надійність шифру значною мірою залежить від довжини ключа і вихідного тексту. Захист може стати малоефективним, якщо НС отримає доступ до шифрованого тексту та оригіналу. Відомі системи шифрування з спільними та відкритими ключами. В першому випадку для процесів шифрування і дешифрування використовуєтьсятой самий ключ, сформований за допомогою генератора псевдовипадкових чисел. В другому випадку зазначені процеси грунтуються на різних ключах, пов”язаних не взаємнооднозначними функціями, що значно ускладнює обчислення одного ключа через інший.
Сигнатури формуються на основі унікальних характеристик КС, що ідентифікуються програмами і використовуються для захисту. До таких характеристик можна віднести особливості структур і форматів дисків, вміст постійної пам”яті, характеристики динамічного запам”ятовуючого пристрою, наявність певних компонентів устаткування, їхньох характеристики тощо. При використанні такого виду захисту від копіювання бажано підбирати найменш мінливі і важковідтворжвані в інших системах сигнатури, що не заважають нормальній роботі програм.
Аппаратура захисту при вмілій організації може стати одним ї найефективніших засобів. До них належать різні пристрої, що підключалися, як правило, через стандартний інтерфейс чи системну шину. Ця аппаратура в основному призначена для захисту програм в оперативній пам2яті і на магнітних дисках. Вона може будуватися як на найпростіших схемах з пам2яттю, так і на високоінтегральних мікропроцесорних модулях, що реалізують як найпростіші псевдовипадкові послідовності, так і складні криптографічні алгоритми.
Засоби активного захисту поділяються на зовнішні та внутрішні та активізуються при виконанні певних (позаштатних) обставин, що підпадають в сферу контролю. До них належать неправильно введені паролі, час користування якими минув, неправильна контрольна сума ділянок програм, несанкціоноване копіювання і т.п.
Внутрішні засоби захисту рекламуються для НАС і можуть з появою позаштатної ситуації блокувати виконання програми чм частини її функцій, знищувати її, пошкоджати інші доступні програмні засоби КС, поширити вірус тощо.
Зовнішні засоби активного захисту виявляються в процесі виконання програми у вигляді запитів пароля, видачі різних попереджень, авторських етикеток, інформації про власника, розробників, виробника і т.ін. Зазначені прояви часто активізуються після реалізації яких-небудь внутрішніх засобів активного захисту.
Засоби пасивного захисту включають методи ідентифікації програм, пристроїв контролю, водяні знаки і психологічні заходи. За їхньою допомогою здійснюються попередження, контроль, пошук доказів факту копіювання і т.п.
Ідентифікація програми чи окремого модуля в іншій програмі здійснюється з метою доказу авторських прав. Тут важливо знайти корекції в модулі, виконані НАС, які можуть змінити його кількісні характеристики, наприклад, частоти появи оператора чи машинних команд. Виначення подібності двох програм чи їхніх частин пов”язане з поняттям “рідних плям”, що утворюються в результаті створення програм і пов”язані зі стилем програмування, певним помилками і т.д. Для визначення вставленого модуля можна також використовувати кореляційні характеристики, що вимагають дость складнх розрахунків. Переконливим доказом копіювання служать ідентифікаційні мітки (особливо закодовані), що вводяться з метою визначення авторства і невідомі НАС.
Пристої контролю призначені для реєстрації подій, що включають виконання процедур, встановлення неадекватності виконуваних функцій і засобів захисту, доступ до програм, данит і т.ін.
Водяні знаки використовуються для запобігання створенню повноцінної копії, яку НАС не зможе відрізнити від оригіналу, внаслідок чого буде виявлена підробка. Цей метод базується, як правило, на ідентифікації середовища носія програмних засобів.
Психологічні заходи грунтуються на підтримування в свідомості НАС комплексу страху, стурбованості, непевності від наслідків, реалізованих усімаспособами захисту, що починаються дружніми попередженнями і закінчуються судовими розглядами.
Як бачимо, методи захисту ПЗ мають широк коло дії. Таким чином, при виборі механізму захисту варто враховувати його вартість і звтність забезпечити необхідний рівень захисту.
9. Побцдова захищеної АС
Коротко нагадаємо загальні рисипроблкми захисту інформації, що були наведені вище. Вони характеризуються:
невизначеністю, яка в свою чергу, зумовлена наявністю “людського фактора” оскільки невідомо, хто, коли, де і яким чином може порушити безпеку об”єкта захисту;
неможливістю створення ідеальної системи захисту (СЗ), тобто може йтися лише про той або інший ступінь забезпечення безпеки об"”ктів захисту;
використанням при організації захисту вимог мінімального ризику та мінімальності можливих витрат;
необхідністю організації захисту від усіх і всього.
Аналіз цих рис, а також широкого спектру можливих загроз інформації дає можливість сформулювати
найбільш загальні принципи створення захищених АС, тобто принципи, якими доцільно керуватися при розробці і втіленні в життя СЗІ для певного класу АС. Їх зручно подавати у вигляді двох груп: організаційні принципи та принципи реалізації СЗІ.
9.1. Організаційні принципи побудови системи захисту інформації
Серед організаційних принципів відзначемо такі:
Принцип законності, тобто дотримання всіх законодавчих та нормативних актів, які мають відношення до
забезпечення інформаційної безпеки. Важко переоцінити важливість цього принципу, хоч дотримуватися його непросто, особливо зважаючи на недосконалість та відставання від життя нашого відповідного законодавства;
Принцип персональної відповідальності, відповідно до якого кожен співробітник підприємства, фірми або
їхній партнер несе персональну відповідальність за збереження режиму безпеки в рамках своїх повноважень. СЗІ має будуватися таким чином, щоб при будь-яких порушеннях було чітко відоме або хоча б мінімізоване коло осіб, що мають відношення до порушень. Це не лише полегшує процес розслідування порушень, а також є ефективним засобом сумлінного виконання службових обов”язків і утримання потенційних ЗЛ від несанкціонованих дій;
Принцип обмеження повноважень, який має відношення як до персоналу, так і до засобів захисту та обробки
інформації; відповідно до нього:
ніхто не повинен знайомитися з конфіденційною інформацією, якщо це не потрібно для виконання його службових обов”язків;
повинна бути реалізована заборона на фізичний доступ до вразливих об”єктів для осіб, яким це не потрібно за родом їхньої діяльності;
для виконання функціональних обов”язків персоналу слід надавати мінімум будь-яких засобів.
Принцип взаєможії та співпраці всіх служб АС, спрямований на створення в АС спрятливої внутрішньої та
зовнішньої атмосфери безпеки. Внутрішня атмосфера безпеки досягається довірливими відносинами між співробітниками СБ та персоналом, допоміжними захлами та стимулюванням, в тому числі і матеріальним. Діюча служба безпеки не повинна перетворюватися в засіб тотального стеження за персоналом з боку керівництва.В довірительній атмосфері набагато складніше подолати СЗІ. Створення зовнішньої атмосфери полягає в необхідності налагоджування співробітництва з зацікавленими особами та організаціями. Тобто, йдеться про робочі контакти з місцевими органами влади, міліції, пожежної служби та іншими контролюючими організаціями, а також з службами безпеки сусідніх організацій – так створюються елементи колективної безпеки, що набагато підвищує її ефективність.
9.2. Принципи реалізації системи захисту інформації
Реалізація СЗІ базується на принципах:
системності та комплексності;
централізованого управління СЗІ;
неможливості обминути захисні засоби;
рівноміцності і рівнопотужності рубежів захисту;
ешелонованості оборони;
неможливості переходу до безпечного стану;
мінімальних привілеїв;
розподілу обов”язків;
простоти, гнучкості та керованості;
захисту засобів СЗ;
неперервності захисту;
рлзумної достатності;
відкритості алгоритмів та засобів захисту;
економічної ефективності СЗ.
Коротео пояснимо зміст наведених принципів.
Системність та комплексність включає необхідність врахування всіх елементів, умов та чинників, які є
взаємозалежні, взаємодіють і змінюються в часі, а також є істотно значимі для розуміння і вирішення проблеми забезпечення безпеки АС. При створенні системи захисту необхідно враховувати всі слабкі, найбільш вразливі місця системи обробки інформації, а також характер, можливі об”єкти та напрямки атак на систему з боку порушників (особливо висококваліфікованих зловмисників), шляхи проникнення в АС і НСД до інформації.
В розпорядженні фахівців з комп”ютерної безпеки є широкий спектр заходів, методів та засобів захисту комп”ютерних систем. Їх комплексне використання передбачає узгоджене застосування різнородних засобів при побудові цілісної системи захисту, що перекриває всі відомі канали реалізації загроз і не містить слабких місць на стиках окремих її компонентів.
Централізлване управління СЗ необхідно планувати внаслідок наявності в будь-якій АС цілого комплексу різнрідних технічних та нетехнічних заходів і засобів захисту АС. Крім того, централізоване управління дозволяє відстежувати виконання прийнятої ПБ.
Неможливість обманути захисні засоби полягає в тому, що внаслідок якісного та надійного інформаційного обстеження АС повинна бути впевненість у відсутності різного роду “обхідних шляхів” захисних засобів.
Рівноміцність і рівнопотужність рубежів захисту передбачають виявлення в рубежах захисту незахищених (або слабозахищених) ділянок і планування посилення найслабкішої ланки, а також однакового відносного рівня захищеності кожного рубежу захисту – більш потужний захист там, де більша загроза, і менш потужний в протилежному випадку. Крім того, рівноміцність передбачає найбільш ефективний розподіл захисних ресурсів по рубежах.
Ешелонованість оборони означає, що не слід покладатися на один захисний рубіж, яким би надійним він не здавався. За засобами фізичного захисту повинні слідкувати програмно-технічні засоби, за ідентифікацією та автентифікацією – управління доступом і т.п. Засоби захисту на рівні ОС повинні забезпечувати одну з найбільш укріплених ліній оборони, оскільки ОС – це саме та частина КС, яка керує використанням всіх її ресурсів. Зовнішній захист повинен забезпечуватися фізичними, організаційними та правовими засобами.
Неможливість переходу до безпечного стану передбачає, що за будь-яких обставин, в ому числі і нештатних, захисний засіб або виконує свої функції, або повністю блокує доступ. Образно кажучи, такий стан має бути подібним до наступного: якщо в фортеці механізм під”йомного мосту ламається, то міст залишається в піднятому стані.
Принцип мінімальних привілеїв наказує виділяти лише ті права доступу, які необхідні йому для виконання службових обов”язків, зменшуючи тим самим збитки від випадкових або навмисних некоректних дій персоналу.
Принцип розподілу обов”язків передбачає такий розподіл ролей і відповідальності, щоб лише одна людина не могла порушити критично важливий для організації процес або створити пролом в захисті на замовлення зловмисника. Зокрема, його реалізація може попередити зловмисні або некваліфіковані дії персоналу.
Простота означає, що механізми захисту повинні бути інтуітивно зрозумілі і прості у використанні. Застосування засобів захисту не повинно бути пов”язане з знанням спеціальних мов або виконання дій, що вимагають значних додаткових трудовитрат при звичайній роботі законних користувачів, а також не повинно вимагати від користувача виконання рутинних малозрозумілих йому операцій (наприклад, запровадження декількох паролів та імен і т.п.). Крім того, простота дає можливість формально або неформально доводити коректність захисту.
Майже завжди вжиті заходи і встановлені засоби захисту, особливо в початковий період їхньої експлуатації, можуть забезпечувати як надмірний, та і недостатній рівень захисту. Природно, що для забезпечення можливості варіювання рівня захищеності засоби захисту повинні мати певну гнучкість. Особливо важливою ця властивість є в тих випадках, коли встановлення засобів захисту необхідно здійснювати на працюючій системі, не порушуючи процесу її нормального функціонування. Крім того, зовнішні умови і вимоги з часом змінюються. В таких ситуаціях властивість гнучкості може врятувати власників АС від необхідності вжиття кардинальних заходів для повноти зміни засобів захисту на нові. Керованість дозволяє перевірити узгодженість конфігурацій різних компонентів і здійснювати централізоване адміністрування.
Принцип захисту засобів СЗ вимагає, щоб будь-який захисний захід або засіб був, в свою чергу, забезпечений захистом. При цьому в основі принципу повинні лежати правила:
захист від усіх;
все, що незрозуміле – небезпечне;
довіряй, але перевіряй.
Неперервність захисту означає, що захист інформації – це не разовий захід і навіть не певна сукупність
проведених заходів і встановлення засобу захисту, а безперервний цілеспрямований процес, що передбачає вжиття відповідних заходів на всіх етапах життєвого циклу АС, починаючи з ранніх стадій проектування, а не лише на етапі її експлуатації. Розробка СЗ повинна вестися паралельно з розробкою самої АС. Це дозволить врахувати вимоги безпеки при проектуванні архітектури і, в кінцевому рахунку, дозволить створити більш ефективну (як за витратами ресурсів, так і за невразливістю) захищену систему. Більшості фізичних та технічних засобів захисту для ефективного виконання своїх функцій необхідна постійна організаційна (адміністративна) підтимка (своєчасна зміна і забезпечення правильного зберігання і застосування імен, паролів, ключів шифрування, перевизначення повноважень і т.ін). Перерви в роботі засобів захисту для впровадження спеціальних програмних та апаратних “закладок” та інших засобів подолання СЗ після відновлення її функціонування.
Розумна достатність передбачає, що створти абсолютно непереборну СЗ принципово неможливо – при достатній кількості часу та засобів можна перебороти бідь-який захист. Однак високоефективна СЗ коштує дорого, використовує при роботі суттєву частину потужності і ресурсів КС і може створити істотні додаткові незручності користувачам. Отже, СЗ має бути організована ефективно, тобто обсяг застосованих заходів повинен бути розумним і відповідати існуючим загрозам.
Відкритість алгоритмів та засобів захисту полягає в тому, що застосовані при орагнізації захисту методи, алгоритми та іншізасоби не обов”язково мають бути засекреченими. Наприклад, відкритість алгоритму роботи СЗ не повинна давати можливість подолати її (навіть його автору). Як показує досвід, засекреченість розробок із захисту аж ніяк не підвищує рівень захищеності системи, а іноді навіть провокує підвищену увагу до неї, фактично підвищуючи ризик подолання СЗ.
Економічна ефективність СЗ означає, що слід вести розмову лише про деякий прийнятний рівень безпеки. Він має досягатися мінімкмом витрат, тобто важливо правильно обрати достатній рівень захисту, при якому поточні економічні витрати, ризик і розмір можливих майбутніх витрат були б прийнятними.
9.3. Методи побудови захищених АС
Методи побудови захищених АС умовно можна розділити на дві групи ?6-А?:
що стосуються довільного ПЗ АС: ієрархічний метод розробки; дослідження коректності і верифікація;
специфічні лише для систем захисту (теорія безпечних систем).
Спочатку розглянемо ієрархічний метод розробки ПЗ АС. Відповідно до принципу абстракції при
проектуванні АС розробники можуть іти щонайменше двома шляхами: від апаратури “вгору” – до віртуальної машини, яка являє собою АС, чи від віртуальної машини “вниз” – дл реального устаткування. Це і є два основних методи проектування – метод знизу вгору і метод зверху вниз. Інші методи по своїй суті зводяться до цих двох чи є їх комбінацією.
Метод знизу вгору передбачає початок проектування з основного апаратного устаткування системи. При проектуванні модулі розбиваються на ряд шарів, причому нульовий шар віртуальної системи утворює аппаратура. Шари, що реалізують одну чи кілька необхідних властивостей, додаються послідовно, поки не буде отримана бажана віртуальна машина.
До недоліків методу проектування знизу вгору відносять:
необхідність з самого початку приймати рішення про іибір способу реалізації компонентів АС – за допомогою апаратури, мікропрограм чи програми, - який зробити дуже важко;
можливість проектування АС лише після розробки апаратури;
розбіжність між реальною АС і визначеною ТЗ.
При використанні методу зверху вниз (ієрархічний метод) виходять від віртуальної машини, що
представляє АС, з необхідними властивостями і послідовно розробляють шари віртуальної системи апаратури. В цьомку випадку проектування відбувається в такій послідовності. Визначається рівень абстрації опису крмпонентів АС вищого шару. Далі систематично проводять аналіз того, чи достатньо визначені компоненти, щоб можна було їх реалізувати, використовуючи деякі примітивні поняття. Якщо ні, то кожна функція кожного компоненту представляється функціями компонентів наступного шару, якому відповідає більш низький рівень абстракції. В ієрархічному методі доцільно використовувати структурний принцип і принцип модульного проектування.
Структурний принцип має фундаментальне значення і є основою більшості реалізацій. Відповідно до цього принципу, для побудови ПЗ вимагається лише три основних конструкції:
функціональний блок;
конструкція узагальненого циклу;
конструкція ухвалення двоїчного рішення.
Функціональний блок можна представити як оеремий обчислювальний оператор чи будь-яку реальну
послідлвність обчислень з єдиним входом і єдиним виходом, як в програмі. Організація циклу в літературі часто згадується як елемент DO-WHILE. Конструкція ухвалення двоїчного рішення називається IF-THEN-ELSE.
Зауважимо, що ці конструкції можуть самі розглядатися як функціональні блоки, оскільки вони мають лише один вхід і вихід. Таким чином, можна ввести перетвореня операції циклу у функціональний блок і в подальшому розглядати всякий такий оператор циклу еквівалентом (трохи більш складного) функціонального блоку. Аналогічно можна ввести перетворення конструкції ухвалення рішення до функціонального блоку. Нарешті, можна ввести будь-яку послідовність функціональних елементів до одного функціонального елемента. В той же час зворотня послідовність перетворень може бути використана в процесі проектування програми за спадаючою схемою, тобто виходячи з єдиного функціонального блоку, що поступово розкладається в складну структуру основних елементів.
Принцип модульного проектування полягає в поділі програм на функціональні самостійні частини (модулі), що забезпечують замінність, кодифікацію, видалення і доповнення складових. Переваги використання модульногопринципу такі:
спрощується налагодження програм, тому що обмежений доступ до модуля й однознаність його зовнішнього прояву виключають вплив помилок в інших, зв”язаних з ним, модулів на його функціонування;
забезпечується можливість організації спільної роботи великих колективів розробників, бо кожний програміст має справу з незалежною від інших частиною програми;
підвищується якість програми, тому що відносно малий розмір модулів і, як наслідок, невелика складність їх дають змогу провести більш повну перевірку програми.
Іншою проблемою є дослідження коректності і верифікація АС. Під поняттям коректності чи
правильності розуміється відповідність об”єкта, що перевіряється, певному еталонному об”єкту чи сукупності формалізованих еталонних характеристик і правил. Коректність ПЗ при розробці найбільш повно визначається ступенем відповідальності висунутим до неї формалізованим вимогам програмної специфікації. В специфікаціях відбивається сукупність еталонних характеристик, властивостей і умов, яким повинна відповідати програма. Основну частину специфікації складають функціональні критерії і характеристики. Вихідною програмною специфікацією, якій повинна відповідати програма, є ТЗ.
В разі відсутності такої цілком формалізованої специфікації, як ТЗ, іноді використовуються неформалізовані представлення розробника чи користувача-замовника програм. Однак поняття коректності програм стосовно запитів користувача чи замовника пов”язане з невизначеністю самого еталона, якому повинна відповідати АС.
Традиційний погляд на специфікацію вимог полягає в тому, що вона являє собою документ, написаний природною мовою, що є інтерфейсом між замовником і виготовлювачем.
Таким чином, можна зробити висновок про те, що створення сукупності взаємопов”язаних несуперечливих специфікацій є необхідною базою для забезпечення коректності проектованої програми. При цьому мпецифікації повинні:
бути форальними;
дозволяти перевіряти несуперечність і повноту вимог замовника;
бути основою для подальшого формалізованого проектування ОС.
Існує кілька підходів до визначення специфікаційних вимог.
Специфікація як опис. Замовник видає специфікацію, щоб виробники могли постачати його тим виробом,
що він бажає, тому замовник бачить цей документ головним чином як опис системи, яку він бажав би мати. В принципі, в описі має бути зазначено, що повинна і що не повинна робити система. На практиці звичайно по умовчанню передбачається, що система повинна робити те, що уточнюється в специфікації, і не повинна робити нічоо іншого. В цьому полягає головна проблема з описовою стороною специфікації. Передбачається, що замовник завжди точно знає все, що система повинна і не повинна робити. Більше того, надалі передбачається, що замовник цілком переніс це знання у специфікований документ.
Специфікація як розпорядження. Виробник дивиться на специфікований документ як на набір складових, що підлягають збиранню, щоб розв”язати проблему замовника.
Договірна методологія. В рамках “опис замовника – розпорядження виробнику” специфікація розглядається як формальна подія між сторонами. Договір пропонується і приймається при зародженні системи і закінчується після завершення системи, коли замовник приймає систему.
Специфікація як модель. За умови, що покладена в основу моделі семантика достатньою мірою обгрунтована, така специфікація забезпечує чітке формулювання вимог.
Оскільки цільовим проектування є АС, то модель може описувати або саму АС, або її поводження, тобто зовнішні прояви функціонування АС, Модель, що описує поведінку АС в порівнянні з моделлю АС, має одну важливу перевагу – вона може бути пеервірена і оцінена як виконавцями, так і замовниками, оскільки замовники не знають, як повинна працювати АС, але зате вони уявляють, що вона повинна робити. В результаті такого моделювання може бути перевірена коректність специфікації щодо вихідної постановки задачі, тобто ТЗ.
Як було зазначено вище, при розробці АС, особливо її компонентів, що представляють СЗІ, для забезпечення високих гарантій відсутності несправностей і наступного доказу того, що система функціонує відповідно до вимог ТЗ, використовуються формальні підходи до її проектування.
Формальне проектування алгоритмів базується, в основному, на мовах алгоритмічних логік, що включають висловлювання виду
Q?S?R,
Що читається в такий спосіб: “якщо до виконання оператора S була виконана умова Q, то рісля нього буде R”. Тут Q називається передумовою, а R – постумовою. Ці мови були винайдені практично одночасно Р. Флойдом (1967 р.), С. Хоаром (1969 р.) та А. Сальвіцьким (1970 р.). Як передумова, так і постмова є предикатами.
Розгляд програм як деяких “перетворювачів предикатів” дає змогу прямо визначити зв”язок між початковими та кінцевими станами без будь-яких посилань на проміжні стани, що можуть виникнути під час виконання програми.
Перевага представлення алгоритму у вигляді перетворювача предикатів полягає в тому, що воно дає можливість:
аналізувати алгоритми як математичні об”єкти;
дати формальний опис алгоритму, що дозволяє інтелектуально охопити алгоритм;
синтезувати алгоритми за представленими специфікаціями;
провести формальне верифікування алгоритму, тобто довести коректність його реалізації.
Методологія формальної розробки і доведення коректності в даний час добре розроблена і описана. Коротко викладемо суть цих методів:
розробка алгоритму здійснюється методом послідовної декомпозиції, з розбивкою загальної задачі, що розв”язується алгоритмом, на ряд дрібніших підзадач;
критерієм деталізації підзадач є можливість їхньої реалізації за допомогою однієї конструкції чи розгалуження циклу;
розбивка загальної задачі на підзадачі передбачає формулювання перед- та постумов для кожної підзадачі з метою їхнього коректного проектування і подальшої верифікації.
Длґ доведення коректності алгоритму (верифікація) формулюється математична теорема Q?S?R, що потім
доводиться. Доведення теореми про коректність прийнято розбивати на частини. Одна частина служить для доведення того, що розглянутий алгоритм може завершити роботу (здійснюється аналіз всіх циклів). В іншій частині доводиться коректність постумови в припущені, що алгоритм завершує роботу.
Дуже важливим напрямком є теорія довірених безпечних систем (ТСВ). Зміст характеристики “довірена” можна пояснити в такий спосіб.
Дискретна природа характеристики “безпечний” в сполучення з твердженням “ніщо не буває безпечним на 100 %” підштовхують до того, щоб ввести більш гнучкий термін, який дає можливість оцінювати те, наскільки розроблена захищена АС відповідає очікуванням замовника. В цьому відношенні характеристика “довірений” більш адекватно відбиває ситуацію, де оцінка, виражена цією характеристикою (безпечний чи довірений), грунтується не на думці розробників, а на сукупності факторів, включаючи думку незалежної експертизи, досвід попереднього співробітництва з розробниками, і, в остаточному підсумку, є прерогативою замовника, а не розробника.
Довірене обчислювальне середовище (ТСВ) включає сукупність всіх компонентів і механіхзмів захищеної АС, що відповідають за реалізацію політики безпеки. Всі інші частини АС, а також її замовник, покладаються на те, що ТСВ коректно реалізує задану ПБ навіть у тому випадку, якщо окремі модулі чи підсистеми АС розроблені висококваліфікованими ЗЛ для того, щоб втрутитися в функціонування ТСВ і порушити підтримувану нею ПБ.
Мінімальний набір компонентів, що утворюють довірене обчислюване середовище, забезпечує такі функціональні можливості:
взаємодію з апаратним забезпеченням АС;
захист пам”яті;
функції файлового виведення-введення-висновку;
керування процесами.
Доповнення і модернізація існуючих компонентів АС з врахуванням вимог безпеки можуть призвести до
ускладнення процесів супроводу і документування. З іншого боку, реалізація всіх перелічених функціональних можливостей в рамках централізованого довіреного обчислювального середовища в повному обсязі може викликати розростання розмірів ТСВ і, як наслідок, ускладнення доведення коректності реалізації ПБ.
9.4. Передпроектні аспекти створення системи захисту інформації
В процесі проектування захищеної АС необхідно проектувати і СЗІ, причому потрібно враховувати два основних параметри: стан АС та рівень витрат на створення АС. Щодо стану АС, то слід зазначити, що під станами АС мають на увазі такі ситуації: АС вже функціонує, є готовий проект, система тільки проектується. Таким чином, глобальне завдання створення СЗІ – це створення оптимальних механізмів захисту і управління ними. Цю загальну мету можна виразити у вигляді послідовності наступних дій або концепцій захисту:
аналіз цілей і умов проектування;
рбгрунтування вимог до ЗІ; вибір варіанта проекту;
реалізація варіанта проекту.
Як обгрунтувати вимоги до ЗІ ? Слід зазначити, що формальних методів розв”язання цієї задачі не існує і її
доводиться розв”язувати неформально, у вигляді деяких рекомендацій, пропозицій і т.п., які формуються на основі наведених вище принципів.
Складно, користуючись лише інженерною інтуіцією, отримати оптимальні проектні рішення. Часто доводиться залучати досить складні наукові методи, що вимагають розробки і застосування комп”ютерних систем. Нижче розглянемо приклад можливої послідовності дій щодо створення захищеної АС ?27-А?.
Отже, загальні ціліі задачі для даного об”єкту звичайно визначаються в процесі діалогу замовника і проектанта. В ході розробки проекту вони постійно будуть уточнюватися, тобто в процесі спільної роботи підвищується взаєморозуміння замовника і проектанта і шукається розумний компроміс.
На передпроектних стадіях робіт зі створення АС повинні бути вирішені два такі основних завдання:
сформульовано вимоги до забезпечення режиму інформаційної безпеки (ІБ) при реалізації функцій і задач проектованої АС;
розроблено концепцію політики інформаційної безпеки.
Важливо відзнаити те, що вимоги формулюються щодо задач і функцій в термінах:
доступності;
цілісності;
конфіденційності.
Розробка концепції політики ІБ відбувається на етапі “Розробка варіантів концепції АС і вибір варіанта
концепції АС” після вибору варіанта концепції створюваної АС і здійснюється на основі аналізу таких груп факторів:
правові і договірні вимоги;
вимоги до забезпечення режиму ІБ щодо функцій і задач АС;
загрози (класи ризиків), якм піддаються інформаційні ресурси.
В результаті аналізу формулюються загальні положення ІБ, що стосуються організації в цілому:
цілі і пріорітети, які має організація в області ІБ;
загальні напрямки в досягненні цих цілей;
аспекти програми ІБ, що повинні зважуватися на рівні організації в цілому;
посадові особи, відповідальні за реалізацію ІБ.
Розробку самої політики ІБ варто здійснювати на стадії Технічне завдання” і при цьому виконати такі етапи:
аналіз ризиків;
визначення вимог до засобів захисту;
вибір основних рішень щодо забезпечення режиму ІБ;
розробка планів забезпечення безперебійної роботи організації;
документальне оформлення політики ІБ.
Розглянемо один за одним зазначені етапи.
Аналіз ризиків передбачає вивчення і систематизацію загроз ІБ, визначення вимог до засобів забезпечення
ІБ. Вивчення і систематизація загроз передбачає такі етапи:
вибір елементів АС і інформаційні ресурси, для яких буде застосовано аналіз. Повинні бути обрані критичні елементи АС і критичні інформаційні ресурси, що можуть бути об”єктами атаки чи самі є потенційним джерелом порушення режиму ІБ;
ідентифікація загроз і формування їх списку. Формується детальний список загроз, складається матриця загрози/елементи АС чи інформаційні ресурси. До кожного елемента матриці потрібно скласти опис можливого впливу загрози на відповідний елемент АС чи інтерфейсний ресурс. В процесі складання матриці уточнюється спмсок загроз і виділених елементів;
розробка методології оцінки ризику. Повинні бути отримані оцінки гранично допустимого та існуючого ризику здійснення загрози протягом деякого часу. В ідеалі для кожної загрози має бути отримане значення імовірності її здійснення протягом деякого часу. На практиці для більшості загроз неможливо отримати достовірні дані про імовірність реалізації загрози і доводиться обмежуватися якісними оцінками.
Оцінка збитку, пов”язаного з реалізацією загроз. Здійснюється оцінка збитку з врахуванням можливих наслідків порушення конфіденційності, цілісності і доступності інформації;
Оцінка витрат на заходи, пов”язані з захистом і залишковим ризиком. Здійснюється попередня оцінка прямих витрат по кожному заходу без врахування витрат на заходи комплексного характеру;
Аналіз вартість/ефективність. Витрати на систему захисту інформації необхідно співвіднести з цінністю інформації, що захищається. Та іншихінформаційних ресурсів, що підлягають ризику, а також зі збитком, який може бути завдано організації внаслідок реалізації загроз. Уточняються припустимі залишкові ризики і витрати, пов”язані з ЗІ;
Підсумковий дкумент. Зарезультатами проведеної роботи складається документ, який містить:
перелік загроз ІБ, оцінки ризиків і рекомендації для зниження імовірності їхнього виникнення;
зхисні заходи, що необхідні для нейтралізації загроз;
аналіз вартість/ефективність, на пдставі якого роблять висновок про припустимі рівні залишкового ризику і доцільність застосування конкретних варіантів захисту.
При визначенні вимог до засобів захисту вихідними даними є:
аналіз функцій і задач АС;
аналіз ризиків.
На основі цих даних обирається профіль захисту (клас захищеності АС від НСД) і в разі потреби в ТЗ формулюються додаткові вимоги, специфічні до даної АС.
Для всіх функцій і задач АС потрібно дати визначення відповідних функцій безпеки. Функції безпеки з одинаковими назвами можуть мати різні визначення для різних функцій і задач АС.
Далі визначаються механізми безпеки, що реалізують ці функції. Як відомо, основні механізми ІБ такі:
керування доступом до інформації;
ідентифікація і автентифікація;
криптографія;
екранування;
забезпечення цілісності і доступності даних;
підтримка працездатності АС при збоях, аваріях;
відстеження подій, що становлять загрозу ІБ;
керування доступом в АС;
протоколювання дій і подій.
Вибір основних рішень щодо забезпечення режиму ІБ повинен бути розглянутий на трьох рівнях:
адміністративному (система підтримки керівництвом організації робіт із забезпечення ІБ);
організаційному (конкретні організаційні заходи щодо забезпечення режиму ІБ);
технічному (реалізація механізмів захисту програмно-технічними засобами).
9.4. Забезпечення режиму інформаційної безпеки на подальших стадіях створення АС
Подальшими стадіями створення АС є “Ескізний проект” і “Технічний проект”. На цих стадіях повинні бути розроблені проктні рішення, що реалізують мехвнізм ІБ. Проектні рішення мають включати розділи:
основні технічні рішення по системі в цілому;
опис автоматизованих функцій і задач;
основні технічні рішення за видами забезпечення;
заходи щодо підготовки об”єкта автоматизації до введення системи в дію.
Для організації фізичного захисту і контролю за дотриманням режиму ІБ повинні бути розглянуті такі питання:
контроль доступу в приміщення;
забезпечення конфіденційності;
журнал реєстрації подій;
забезпечення захисту документації по АС; Рекомендується застосовувати такі засоби контролю:
список осіб з правом доступу до документації повинен бути максимально обмеженим, а дозвіл на її використання має видаватися власником додатка;
друковані матеріали, що створюються в процесі роботи АС, які стосуються документації, варто зберігати окремо від інших матеріалів і поширювати на них правила обмеження доступу;
доступ до носіїв інформації та їх захист; Для доступу до носіїв інформації з конфіденційною інформацією необхідно мати затверджені правила. Ри організації системи доступу слід враховувати:
система ідентифікації носіїв повинна бути така, щоб за мітками, що використовуються для ідентифікації носіїв, не можна було визначити, яка саме інформація зберігається;
необхідно вчасно стирати вміст повторно використаних носіїв інформації, якщо вони більше не потрібні;
винесення носіїв інформації зі сховища необхідно фіксувати в контрольному журналі;
збереження всіх носіїв інформації в надійному, захищеному місці відповідно до інструкції.
На етапі підготовчої роботи з організації доступу в АС рекомендується розглянути наступні питання:
реєстрація користувачів;
керування привілеями;
керування паролями користувачів;
перегляд прав доступу користувачів;
Користувачі повинні знати свої обов”язки щодо забезпечення контролю доступу, особливо щодо
використання паролів. Доступ користувача до ресурсів АС повинен надаватися відповідно до політики керування доступом. Особливу увагу адміністратрам безпеки слід приділяти контролю мережевих підключень до конфіденційних чи критично важливих додатків, а також контролю за роботою коритувачів в зонах підвищеного ризику, наприклад, в загальнодоступних місцях, що знаходяться поза організацією. Слід контролювати наступні аспекти:
Керування доступом до робочих місць в АС. Системи керування повинні забезпечити:
ідентифікацію і автентифікацію користувачів, а також при необхідності і їх місцезнахлдження;
ведення журналу обліку спроб доступу до АС;
в разі потркби обмежувати підключення користувачів в невизначений час.
Використання паролів. Пропонуємо такі рекомендації з вибору і використання паролів:
рекомендується вибирати паролі, що містять не менше шести символів;
при виборі парролів не слід використовувати: місяці року, дні тижня і т.п.; призвіща, ініціали, реєстрвційні номери автомобіля; назви і ідентифікатори організацій; номери телефонів чи групи символів, що складаються з одних цифр; більш як два однакових символи, що слідують один за одним; групи символів, що складаються з одних цифр чи одних букв;
змінювати паролі через регулярні проміжки часу (приблизно, раз на місяць) і уникати повторного чи “циклічного” використання старих паролів;
частіше змінювати паролі для привілейованих системних ресурсів;
змінювати тимчасові паролі при першому вході в систему;
не включати паролі в процедури автоматичного входу в системи;
не допускати використання одного пароля кількома користувачами;
забезпечувати збереження паролів в секреті;
змінювати паролі кожного разу, коли є ознаки можливої компроментації паролів;
якщо користувачам необхідний доступ до кількох серверів, захищених паролями, то їм рекомендується використовувати один надійний пароль.
Устаткування користувача, залишене без нагляду. Пропонуємо такі рекомендації:
завершувати сеанси зв”язку по закінченню роботи, якщо їх не можна захистити за допомогою відповідного блокування;
використовувати логічне відключення від серверів по закінченні сеансу зв”язку, не обмежуватися лише вимиканням ПК чи термінала;
захищати невикористовувані ПК шляхом блокування ключем чи іншим засобом контролю доступу.
Відстеження часу простою терміналів. Для недіючих терміналів в зонах з підвищеним ризиком порушення
ІБ необхідно встановити допустимий час простою для запобігання доступу незареєстрованих користувачів. Допустимий час простою повинен задаватися виходячи з аналізу ризику НСД до терміналу.
Обмеження періоду підлючення. Обмеження дозволеного періоду підключення термінала до АС дає змогу
зменшити імовірність НСД до ресурсів АС. Прикладами таких обмежень є:
використання визначених інтервалів чау дозволеного доступу, наприклад, для пакетної передачі файлів, регулярних чи інтерактивних сеансів зв”язку невеликої тривалості;
обмеження часу підключення звичайних годин роботи організації і отримання дозволу для роботи в понаднормований час.
Обмеження доступу до сервісів. Рекомендується розглянути можливість використання таких засобів
контролю:
доступ до додатків (сервісів) серез систему меню, що забезпечує контроль повноважень доступу користувачів;
обмеження доступу користувачів до інформації про структури даних і функції АС, доступ до яких їм дозволено, за допомогою відповідного редагування документації користувачів;
контроль за вихідною інформацією додатків на предмет наявностів них конфіденційної інформації. Така інформація повинна надсилатися лише на визначені термінали та комп”ютери. Повинен проводитися періодичний аналіз вихідної інформації і за потреби зайва інформація повинна вилучатися.
Адміністратори АС і користувачі повинні бути завжди готові до можливості проникнення шкідливого ПЗ в
АС і вживати заходів для виявлення його впровадження та ліквідації наслідків його атак.
В основі захисту від вірусів повинні лежати знання і розуміння правил безпеки, належні засоби керування доступом до систем. Зокрема:
організація повинна проводити політику, що вимагає встановлення лише ліцензованого ПЗ;
противірусні програмні засоби повинні регулярно обновлятися проходити профілактичну перевірку;
необхідно проводити регулярну перевірку цілісності критично важливих програм і даних. Наявність зайвих файлів і слідів несанкціонованого внесення змін повинні бути зареєстровані в журналі і розслідувані;
дискети невідомого походження слід перевіряти на наявність вірусів до їхнього використання;
необхідно суворо дотримуватися встановлених процедур повідомлення про випадкові враження АС комп”ютерними вірусами і вживання заходів з ліквідації наслідків їхнього проникнення;
слід мати плани забезпечення безперебійної роботи організації для випадків вірусного зараження, в тому числі плани резервного копіювання всіх необхідних даних і програм та їхнього відновлення
Крім того, розглянемо особливості керування доступом до серверів.
Електронна пошта. В організації повинні бути задані чіткі правила, що стосуються статусу і використання
електронної пошти. Для зменшення ризику порушення ІБ, пов2язаного з застосуванням електронної пошти, рекомендується:
враховувати вразливість електронних повідомлень стосовно несанкціонованого перехоплення і модифікації;
враховувати можливість неправильної адресації чи направлення повідомлень не за призначенням, а також надійність і доступність сервісу в цілому.
Системи електронного документообігу. При використанні електронного документообігу слід взяти до уваги
виконання вимог ІБ:
необхідність виключення деяких категорій конфіденційної інформації у випадку, якщо в даній системі не забезпечується належний рівень захисту;
необхідність визначення правил і засобів контролю для адміністрування колективно використовуваної інформації, наприклад, використання електронних дощшок оголошення;
використання засобів обмеження доступу до інформації, що належить різним робочим групам;
визначення категорії персоналу і предстаників сторонніх організацій, яким дозволено використовувати систему, і місця, з яких можна отримати доступ до неї;
Керування доступом до додатків. Для запобігання НСД до інформації в АС необхідно використовувати
логічні засоби контролю доступу. Логічний доступ до додатків варто надавати лише зареєстрованим користувачам. Додатки повинні:
контролювати доступ користувачів до даних і додатків відповідно до політики керування доступом;
забезпечувати захист від НСД до системних програм, що здатні обійти засоби контролю і забезпечують можливість НСД;
не порушувати захисту інших систем, з якими вони розділяють інформаційні ресурси.
Використання системних програм. В АС можуть використовуватися системні програми, здатні обійти
засоби контролю ОС і додатків. Необхідно обмежити і ретельно контролювати використання таких системних утиліт. Рекомендується використовувати наступні засоби контролю (по можливості):
захист системних утиліт за допомогою паролів;
ізоляція системних утиліт від прикладного ПЗ;
надання доступу до системних утиліт мінімальному числу користувачів;
надання спеціального дозволу на використання системних утиліт;
обмеження доступності системних утиліт, наприклад, часом внесення санкціонованої зміни;
реєстрація всіх випадків використання системних утиліт;
визначення і документування рівнів повноважень доступу до системних утиліт;
видалення всіх непотрібних утиліт і системних програм.
Керування доступом до бібліотек вхідних текстів програм. Для зведення ризику ушкодження ПЗ до
мінімуму необхідно здійснювати суворий контроль за доступом до бібліотек вихідних текстів програм. Рекомендуємо дотримуватияс таких правил:
не зберігати бібліотеки вихідних текстів програм в АС;
призначити відповідального за збереження бібліотеки вихідних текстів програм;
роздруківки програм слід зберігати в бібліотеках вихідних текстів;
обмежити доступ до бібліотек вихідних текстів програм;
не зберігати розроблювані програми в бібліотеках вихідних текстів робочих програм;
відновлення бібліотек вихідних текстів програм та видача текстів програмістам повинні виконуватися лише призначеним відповідальним працівником після отримання дозволу на доступ до додатку в установленій формі;
фіксувати всі випадки доступу до бібліотек вихідних текстів програм в контрольному журналі;
архівувати застарілі версії вихідних текстів програм;
супровід та копіювання бібліотек вихідних текстів програм необхідно здійснювати відповідно до процедур керування процесом внесення змін.
Ізоляція вразливих місць в захисті АС. При наявності вразливих місць в захисті АС може знадобитися
організація виділеного (ізольованого) обчислювального середовища. Можливе застосування інших спеціальних заходів: запуск додатка на виділеному комп”ютері чи поділ ресурсів лише з надійними прикладними системами. Рекомендується дотримуватися наступних правил:
вразливі місця в АС повинні бути явно визначені і задокументовані;
коли вразливий додаток запускається в колективно використовуваному середовищі, необхідно явно вказати прикладні процеси, з якими він може працювати одночасно.
Відстеження подій, що становлять загрозу ІБ. Для виявлення несанкціонованих дій і забезпечення
відповідності політиці керування доступом рекомендується дотримуватись встановлених правил.
Реєстрація подій. Крім невдалих спроб входу в систему, доцільно також реєструвати випадки успішного
доступу. Контрольний журнал повинен включати таке:
ідентифікатори користувачів;
дата і час входу та виходу з системи;
ідентифікатор чи місцезнахлдження термінала.
Спостереження за використанням сервісів. Користувачі повинні використовувати лише явно дозволені
сервіси. Рівень контролю слід визначити за допомогою оцінки ризиків. Рекомендується стежити за такими подіями:
невдалі спроби доступу в АС;
спроби несанкціонованого використання відновлених користувацьких ідентифікаторів;
використання ресурсів з привілейованим доступом;
окремі дії, потенційно небезпечні з погляду порушення режиму ІБ;
використання конфіденційних ресурсів.
Всі дії, що пов”язані з спостереженням і реєстрацією, повинні бути формально дозволені керівництвом.
Синхронізація системних годинників. Для запобігання точності контрольних журналів важливо правильно
встановити системний годинник і вчасно коригувати його у випадку значного відхилення.
9.6. Аналіз захищеності інформації в системах захисту інформації
При створенні більшості АС виникає необхідність розв”язувати задачу розробки АС з мінімальною вартістю. Вартість створення подібних систем практично найчастіше пропорційна ступеню використання колективних ресурсів. Це означає, що з метою мінімізації вартості АС доцільно створювати колективний ресурс для всіх її користувачів – юридичних та фізичних осіб, включаючи засоби збереження інформації, програмні та апаратні засоби її обробки і доступу до інших засобів і систем. Вдало вибрані організація і можливість колективного ресурсу значно знижують ваотість створення та експлуатації АС при реалізації заданих вимог до її функціонування ?1,2-А?.
Проте, зберігання та обробка інформації з використанням можливостей колективного ресурсу не означає, що кожному користувачу АС доступні ці можливості. Доступність визначається правилами, що формулюються при створенні АС.
Першим завжди виникає запитання: а чи потрібний захист інформації ? Лише потім – а скільки це може коштувати ? Для відповіді на дані запитання розроблено чимало методів, методик та програмних ресурсів. Нижче розглянемо один з можливих підходів.
Рішення про необхідність захисту приймається на основі оцінок за двома напрямками:
наявність конфіденційної інформації та небезпека її витоку;
економічна необхідність (доцільність) захисту конфіденційної інформації.
Розглянемо метод, призначений для проведення загальної та часткової оцінок, що дозволяють керівнику
організації прийняти обгрунтоване рішення про необхідність захисту конфіденційної інформації, що циркулює всередині організації. Цей підхід допомагає швидко і досить об”єктивно провести експрес-оцінку необхідності захисту конфіденційної інформації і на її основі оперетивно прийняти відповідне рішення.
Отже, перша частина методу дає змргу на основі обробки результатів анкетного опитування принципово відповісти на запитання: потрібно чи ні захищати інформацію, що циркулює в організації, а друга частина, у випадку позитивного вирішення першого питання, допомагає приблизно оцінити витрати на майбутній ЗІ.
Для реалізації даного методу розроблено перелік анкетних питань, що охоплює всі сторони діяльності організації, пов”язані з циркуляцією в ній інформації. Кількісна оцінка про стан і необхідність додаткового захисту отримується шляхом обробки відповідей на анкетні питання. З цією метою кожному питанню анкети поставлена у відповідність вагова величина, що чисельно виражає частковий внесок змісту питання в загальну систему захисту конфіденційної інформації. Значення вагових коефіцієнтів отримані експертним методом заздалегідь.
На основі аналізу оцінок кожної складової захисту виявляють ті її ділянки, де ЗІ не забезпечений і імовірність її перехоплення конкурентом (витік) неприпустимо висока. Провівши такий аналіз, керівники організації цілеспрямовано здійснюють роботи з усунення витоку інформації за виявленими напрямками.
Як приклад, розглянемо анкету, що використовувалася для вирішення питання необхідності захисту інформації у вищих навчальних закладах. Порядок проведення оцінок першої частини методики є наступним.
На першому етапі зацікавлена в ЗІ сторона в особі керівника організації заповнює анкету, відповідаючи на її питання, наведені в таблиці___. Відповіді на питання анкети у формі “так” чи “ні” заносяться в графу 3 проти відповідних питань.
Таблиця ___
На другому етапі із залученням консультанта проводиться аналіз результатів опитування. Якщо відповідь на питання відповідає збільшенню небезпеки витоку інформації, то в графі 4 ставлять знак “+”, в іншому - “-“.
На третьому етапі проводиться підсумування часткових коефіцієнтів графи 5, що відповідають знаку “+”, із усіх питань анкети. Результат підсумовують з загальною оцінкою (G) для ухвалення рішення про необхідність захисту конфіденційної інформації в організації в цілому. При цьому, якщо загальна оцінка G дорівнює чи більша 50 (G ? 50), то захист необхідно проводити в усіх напрямках. Якщо загальна оцінка G більша 20, але менша 50 (20? G?50), то імовірність витоку інформації досить висока, необхідно провести часткові оцінки, захист необхідний за окремими напрямками. Якщо загальна оцінка менша 20 (G?20), то імовірність витоку інформації мала і додатковий захист можна не проводити.
На четвертому етапі проводиться аналіз за допомогою часткових оцінок по всіх 5 пунктах опитування анкети. Для отримання часткових оцінок проводять підсумування часткових коефіцієнтів графи 6 таблиці , позначених знаком “+”, для кожного пункту окремо. При цьому вийде п”ять часткових оцінок:
по пункту 1 – оцінка конкурентноспроможності продукції (послуг) – G1;
по пункту 2 – оцінка ступеня конфіденційності інформації – G2;
по пункту 3 – оцінка тимчасових характеристик конфіденційності інформації – G3;
по пункту 4 – оцінка ЗІ режимними та організаційними методами – G4;
по пункту 5 – оцінка можливочті витоку інформації через технічні засоби – G5.G G G G G G G G
Якщо часткова оцінка по кожному з пунктів 1 – 3 дорівнює чи більша 20 (G1, G2, G3? 20), то це підтверджує необхідність ЗІ. Якщо часткова оцінка по кожному з пунктів 4 та 5 дорівнює чи більша 20 (G4, G5? 20), то це вказує на неохідність проведення ЗІ режимними та організаційними методами або за допомогою технічних засобів захисту відповідно. У випадку, якщо часткова оцінка по одному з пунктів 1 – 3 менша 20 (G1,G2,,G3 ?20), то ЗІ можна не проводити.
Таким чином, на основі проведених оцінок, приймається рішення про необхідність робіт з організації ЗІ.
Друга частина методу призначається для визначення орієнтовної оцінки витрат, пов”язаних з захистом інформації. В загальному випадку витрати на ЗІ складаються з витрат на проведення організаційно-режимних і технічних заходів. В свою чергу, витрати на технічний захист складаються з витрат на проведення захисту мовної інформації і на захист інших видів інформації, зокрема, дискретної, що обробляється на ЕОМ,телеграфного та факсимільного зв”язків тощо.
Витрати на режимні і організаційні заходи ЗІ визначаються головним чином заробітною платою працівників режимних підрозділів, що забезпечують безпеку інформації. Витрати технічні заходи ЗІ складаються з витрат на проведення досліджень, що дають змогу виявити канали витоку інформації, визначити способи її захисту.
Розраїхунок вартості захисних заходів кожного з видів інформації має свої особливості, але на етапі орієнтовних розрахунків можна використовувати методику захисту мовної інформації як найбільш просту і загальну. Така методика є другою складовою загальної методики оцінки, розроблена і представлена нижче. Методика призначена для проведення експрес-оцінки вартості ЗІ, що дає можливість оцінити майбутні витрати, вона максимально спрощена і передбачає проведення елементарних розрахунків. З цією метою все технічне обладнання, що може бути встановлене на об”єкті і через яке можливий витік інформації, умовно ділять на три групи. Критерієм поділу є обрана частка витрат на захист обладнання від вартості самого обладнання. Часткові коефіцієнти (К1, К2, К3), визначені експертним шляхом, та перелік технічного обладнання по групах із зазначенням часткових коефіцієнтів витрат на захисні заходи приведено в таблиці ___.
Таблиця ___.
В таблиці позначено: С1, С2, С3 – сумарна вартість технічного обладнання відповідної групи, встановленого на об”єкті. Значення вартості зразків техніки визначаються за каталогами діючих цін виробників даної техніки. Вартість технічного захисту всього обладнання (СТЗ), що складається з техніки різних груп, визначається формулою:
СТЗ = С1К1 + С2К2 + С3К3.
Зазначимо, що в таблиці ___. Подано вартість захисту устаткування, не призначеного для передачі, обробки та збереження конфіденційної інформації. Вартість захисту обладнання, призначення для обробки конфіденційної інформації, визначається індивідуально і може істотно перевищувати зазначену в таблиці.
Вартість щорічного профілактичного контролю визначається за формулою:
Спроф.=Кпроф.СТЗ,
де Кпроф=(0,03 – 0,1) – коефіцієнт витрат щорічного профілактичного контролю ефективності ЗІ, визначений дослідним шляхом.
Таким чином, знаючи перелік і кількість встановленого технічного обладнання і його вартість, можна розрахувати очікувані витрати на ЗІ технічними засобами. Додавши витрати на режимні та організаційні заходи (СРОЗ) і на профілактичний контроль в перший рік фінансування, отримаємо загальні витрати на ЗІ (Сзаг):
Сзаг = СТЗ+СРОЗ+Спроф.
На основі отриманої величини, а також маючи на увазі прибуткові можливості організації, приймається рішення щодо певних заходів захисту інформації в організації.
Не менш важливою є проблема оцінки рівня захищеності вже створеної і функціонуючої СЗІ.
З врахуванням моделей порушника для систем різного призначення і різних вимог повинні існувати різні критерії оцінки достатності захисних заходів. Порушник-професіонал може перебувати поза об”єктом захисту, і йому спочатку необхідно подолати контрольну мережу об”єкта.
Аналіз об”єктів АС починається з визначення можливих каналів НСД (МКНСД). Найбільш об”єктивним процесом оцінки доцільно розглянути МННСД, що очікуються від кваліфікованого ЗЛ, який знаходиться на початковій позиції поза об”єктом захисту. В такому разі оцінка буде відрізнятися меншою кількістю МКНСД, ніж у порушника більш низького класу, а також імовірністю подолання порушником захмсних бар”єрів, кількістю шляхів, імовірностями їх обходу.
Після того, як для обраної моделі порушника визначено всі МКНСД і на них встановлено засоби захисту, вважається, що віртуальний контур захисту замкнено. Тоді для контрольованого МКНСД визначається його вразливість, величина якої буде дорівнювати вразливості найбільш слабкої ланки захисного контура, для чого використовуємо формалу:
Рсзік = 1 – Рвбл(1 – Рвідм)?Робх1?Робх2?…?РобхJ, (9.1)
Де Рвбл – імовірність виявлення і блокування несанкціонованих дій ЗЛ, Рвідм – імовірність відмови системи, РобхJ,- імовірність обходу порушниом j-ї перешкоди. Ця формула виражає вразливість захисту К-ї ланки захисту шляхом порівняння імовірностей і вибору однієї з них. При цьому для МКНСД, які закриті двома або більше способами захисту, розрахунок вразливості ланки здійснюється за формулою
m
Р = ? Рі (9.2)
і=1
де m – кількість дублюючих перешкод, Рі – вразливість і-ї перешкоди. Для неконтрольованих МКНСД розрахунок здійснюється за формулою
Рсзі = Рпр?Робх1?Робх2?…?Pобхj (9.3)
де j – кількість шляхів обходу.
Оцінка вразливості системи ідентифікації та автентифікації (СІА) здійснюється за формулою (9.1) з врахуванням таких параметрів:
імовірності подолання перешкоди ЗЛ з боку законного введення в систему;
імовірність виявлення і блокування НСД в системі СІА. Вона визначається можливістю відповідної програми
до відпрацювання даної функції у випадку розбіжності;
оцінка вразливості системи розмежування і контролю доступу в приміщення об”єкту захисту Рпр визначається
виходячи з технічних даних вхадного замка на дверях приміщення, режиму роботи КСА, наявності охоронної сигналізації і значення її параметрів. При цілодобовому режимі роботи, як правило, обмежуються кодовим замком на дверях;
імовірність обходу перешкоди порушником Робх слід оцінювати безпосередньо на місці, тобто шляхом огляду
приміщення на предмет вразливості стін і відсутності сторонніх люків, пошкоджень стін, стелі, вікон. Особливу увагу слід звернути на розміщення вікон і конструкцію їх рам, кватирок, замків, поверховість приміщення, вентиляцію;
при оцінці вразливості системи контролю виведення апаратури з робочого контуру обміну інформацією під
час ремонту і профілактики тезнічних засобів вважається, що спроба порушника, який знаходиться в зоні об”єктів АС, що відрізняється від робочої зони робочого місця функціонального контролю (РИФК), ввести його знову в робочий контур АС, малоімовірна. Можна прийняти Рпр =0.
Як показує практика, найбільш вразливим місцем для НСД є носії ПЗ і носії інформації. Цьому сприяє уніфікована конструкція носіїв, незначні габаритні розміри і маса, великі обсяги інформації, які зберігаються в них, збереження та транспортування на них ОС і прикладних програм.
Особливістю засобів захисту інформації на носіях є необхідність враховувати (залежно від ТЗ) імовірність потрапляння носія з інформацією за межі об”єкта захисту, в зону, де відсутні засоби виявлення і блокування НСД. Вразливість захисту в таких випадках повинна збільшуватися і досягти такої величини, коли час подолання захисту порушником буде більшим, ніж час життя інформації, що розміщена на носіях. Тому оцінка повинна проводитися за окремим показником.
Для захисту інформації і ПЗ на носіях використовуются організаційні, апаратні та криптографічні засоби.
Вразливість засобів захисту від ПЕВМН оцінюється імовірністю перехопленя інформації порушником, який знаходиться за межами території об”єкту захисту, оскільки критерієм можливого перехоплення є відношення “сигнал-шум” на межі об”єкта захисту. Величини імовірності визначають спеціалісти шляхом аналізу засобів захисту, вимірювання сигналу і спеціальних досліджень.
Засоби реєстрації звертань до інформації, яку необхідно захищати, є достатньо ефективним заходом, який потребує оцінки якості; виконання програми реєстрації, імовірності її обходу ЗЛ, можливості прихованого відключення, часу роботи, безвідмовності.
Засоби управління захистом інформації в АС виконують функції захисту і є важливою складовою засобів захисту. Управління забезпечує функції контролю, виявлення і блокування НСД, а також безперебійне функціонування апаратних, програмних та організаційних засобів захисту, ведення статистики і прогнозованих подій. Всі ці параметри враховуються при оцінці вразливості окремих засобів захисту АС. В результаті оцінка ефективності засобів управління захистом може проводитися лише з якісного боку на предмет реалізації захисту як єдиного механізму – СЗІ в технічному сенсі рішення задачі: технології управління, складу апаратних та програмних засобів управління і організаційних заходів, наявності централізації контролю і управління захистом.
Складність і масштабність сучасних систем захисту не дають змоги проводити експерименти з ними, а експерименти з окремими елементами не дозволяють отримати уявлення про цілісні властивості систем. Розв”язання задач оцінки ефективності захисту ускладнюється тим, що в будь-якій системі захисту основною ланкою є людина. Крім того, великі проблеми при створенні точних аналітичних методів розрахунку і оцінки ефективності роботи систем захисту полягають у визначенні складних залежностей між середовищем функціонування АС, станом джерел інформації та системою захисту.
Залежно від співвідношення ресурсів, що виділяються на захист, та очікуваних результатів від її розв”язання задача синтезу оптимальних СЗІ може формулюватися в таких формах:
При фіксованому рівні витрат ресурсів забезпечити максимально можливий рівень захищеності;
При фіксованому рівні захищеності мінімізувати витрати на захист.
Однак сьогодні техніко-економічна оптимізація систем захисту – складна і далека від вирішення проблема.
Незважаючи на це, вона все ж має переваги, а саме:
можливість отримання коректного математичного рішення задачі за обраним критерієм якості;
можливічть за допомогою сформульованих обмежень зрозуміти суть реальних процесів захисту;
виявити в процесі оптимізації протиріччя у вимогах до системи захисту;
можливість давати прогнозні оцінки в разі зміни умов функціонування;
підвищити ефективність управління системою захисту.
До недоліків оптимізації захисту слід віднести:
складність математичної постановки задач проектування оптимальної системи захисту;
залежність якості оптимальної системи захисту від точності вихідних припущень та характеру змін в об”єктах АС.
10. Вступ до теорії захисту інформації
10.1. Проблеми теорії захисту інформації
Незважаючи на те, що технологія захисту інформаційних систем почала розвиватия відносно недавно, сьогодні вже існує досить багато теоретичних моделей, за допомогою яких можна описати практично всі аспекти безпеки і забезпечувати засоби захисту формально підтвердженою алгоритмічною базою ?5-8-А?.
Побудова моделей захисту та аналіз їхніх властивостей становлять предмет теорії ІБ, що лише зараз оформлюється як самостійний науково-практичний напрямок. Якщо природнича дисципліна теорія інформаційної безпеки поступово еволюціонує в напрямку формалізації та математизації своїх положень, вироблення єдиних комплексних підходів до розв”язання задач ЗІ. На даний момент можна константувати, що цей процес дуже далекий від завершення. Деякі підходи мають скоріше характер опису застосовуваних методів і механізмів захисту і являють собою їхнє механічне об”єднання. Крім того, в зв”язку з розвитком інформаційних технологій виникають нові завдання щодо забезпечення безпеки інформації, підходи до вирішення яких на початковому етапі майже завжди мають описовий характер.
Найхарактернішими особливостями теорії ІБ є:
чітка практична спрямованість – більшість положень, принаймі поки що, спочатку реалізуються у вигляді конкретних схем та рекомендацій і лише потім узагальнюються і фіксуються у вигляді теоретичних положень чи методичних рекомендацій;
сильна залежність теоретичних розробок від конкретнихспособів реалізації АС, що визначаються проектними програмними чи апаратними рішеннями – конкретна реалізація тієї чи іншої АС визначає можливі види атак, а отже, ті чи інші захисні заходи;
відсутність системнозалежних теоретичних положень, на основі яких можлива реалізація різних проектів АС.
В даний час виділяються два основних підходи до розгляду питань теорії ІБ: неформальний (або описовий) і
чисто формальний.
Формальний підхід до розв”язання задач оцінки захищеності через труднощі, пов”язані з формалізацією, широкого практичного поширення поки що не набув. Справа в тому, що на практиці далеко не завжди вдається скористатися результатами цих досліджень, оскільки часто теорія захисту не узгоджується з реальним життям. Теоретичні дослідження в сфері захисту інформаційних систем мають поки що розрізнений характер і не утворюють загальної теорії безпеки. Всі існуючі теоретичні розробки грунтуються на різних підходах до проблеми, внаслідок чого запропоновані ними постановки задачі забезпечення безпеки і методи її розв”язання істотно відрізняються.
Найбільшого розвитку набули два формальні напрямки, кожний з яких грунтується на своєму баченні проблеми безпеки і націлений на вирішення певних завдань – це формальне моделювання політики безпеки і криптографія. Причому ці різні за походженням і розв”язуваними задачами напрямки доповнюють один одного: криптографія може запропонувати конкретні методи захисту інформації у вигляді алгоритмів ідентифікації, автентифікації, шифрування і контролю цілісності, а формальні моделі безпеки надають розробникам захищених систем основні принципи, що лежать в основі архітектури захищеної АС і визначають концепцію її побудови.
Нагадаємо ?17?, що під політикою безпеки розуміється сукупність норм і правил, які регламентують процес обробки інформації, виконання яких забезпечує захист мід певної множини загроз і становить необхідну (іноді і достатню) умову безпеки системи. Формальне вираження політики безпеки називають моделлю політики безпеки.
Складання формальних моделей потребує істотних витрат і залучення висококваліфікованих фахівців, вони важкі для розуміння і вимагають певної інтерпритації для застосування в реальних системах. Проте вони необхідні і використовуються досить широко, тому що лише за їх допомогою можна довести безпеку системи, спираючисб на об”єктивні і незаперечні постулати математичної теорії. За своїм призначенням вони аналогічні аеродинамічним моделям літаків чи кораблів: і ті і інші дозволяють обгрунтувати життєздатність системи і визначають базові принципи її архітектури та використовувані при її побудові технологічні рішення. Основна мета створення політики безпеки інформаційної системи та опису її у вигляді формальної моделі – це визначення умов, яким повинне підкорятися поведінка системи, вироблення критерію безпеки і проведення формального доведення відповідності системи цьому критерію при дотриманні встановлених правил і обмежень. На практиці це означає, що лише відповідним чином уповноважені користувачі повинні отримувати доступ до інформації і здійснювати з нею лише санкціоновані дії.
Формальні моделі дозволяють вирішити також цілий ряд інших завдань, що виникають в ході проектування, розробки та сертифікації захищених систем, тому їх використовують не лише теоретики ІБ, а і інші категорії фахівців, що беруть участь в процесі створення та експлуатації захищених інформаційних систем (виробники, споживачі, експерти). Так, виробники захищених інформаційних систем використовують моделі безпеки при складанні формальної специфікації політики безпеки розроблюваної системи, при виборі і обгрунтуванні базових принципів архітектури захищеної системи, які визначають механізми реалізації засобів захисту, в процесі аналізу безпеки системи як еталонної моделі, а також при підтвердженні властивостей розроблюваної системи шляхом формального доведення дотриманих вимог політики безпеки. Споживачі шляхом складання формальних моделей безпеки отримують можливість довести до відома виробників свої вимоги в чіткій і несуперечливій формі, а також оцінити відповідність захищених систем своїм потребам. Експерти-кваліфікатори в ході аналізу адекватності реалізації політики безпеки в захищених системах використовують моделі безпеки як еталони.
Слід зазначити, що зараз поширені ілюзії з приводу того, що якісний захист визначається лише надійністю і кількістю механізмів захисту, а формальний підхід мало що дає. В принципі це не так, але значною мірою це пояснюється тим, що при формальному підході виникає ряд принципових труднощів:
як правило, математична модель політики безпеки розглядає систему захисту в деякому стаціонарному стані,
коли діють захисні механізми, а опис дозволених чи недозволених дій не змінюється. Насправді ж АС проходять шлях від повної відсутності захисту до повного оснащення її захисними механізмами; при цьому система ще і керується, тобто дозволені і недозволені дії в ній динамічно змінюються;
відомі зараз методики оцінки захищеності являють собою, в основному, лише необхідні умови захищеності;
схеми інформаційних потоків і правила керування ними звичайно неповні, чи використовують концепції, які
важко формалізуються. Це ускладнює створення моделей безпеки або унеможливлює доведення їхньої безпеки;
як правило, схеми інформаційних потоків мають статичний характер і визначають поділ інформаційних
потоків лише в штатному режимі роботи. Такі аспекти, як додавання компонентів в систему чи їхнє виділення, зазвичай залишаються за рамками цих схем і правил, тому що ці операції складно формалізувати. Відповідно, вони залишаються за рамками моделей безпеки, і порядок їхнього здійснення визначається розробниками конкретних систем в приватному порядку, що призводить до втрати доказовості та неадекватної реалізації моделі безпеки;
в результаті автоматизації в АС можуть з”явитися нові об”єкти, що не відповідають жодним сутностям
реального світу. Відповідно, вони не присутні в схемах інформаційних потоків і не враховуються правилами керування цими потоками. Тим часом, очевидно, що контроль доступу до подібних об”єктів може мати ключове значення для безпеки всієї системи в цілому;
в ході реалізації моделі безпеки можуть з”явитися неконтрольовані потоки інформації, оскільки в АС
користувачі не можуть маніпулювати інформацією безпосередньо і використовують програмні засоби, що можуть незалежно від їхньої волі створювати небажані неконтрольовані інформаційні потоки;
існуюча методологія проектування захищених систем є ітеративним процесом усунення виявлених недоліків,
некоректностей і несправностей. Причому ряд злочинних дій блокується принципово: протидія даним загрозам просто виводиться в лбласть організаційно-технічних заходів, що фактично означає ігнорування цілих класів загроз;
має місце виняткове різноманіття систем, для яких необхідно вирішувати завдання захисту інформації (ОС.
СУБД, локальні чи корпоративні мережі і т.п.).
Сьогодні майже всі моделі безпеки базуються на уявленнях об”єктно-суб”єктної моделі ?5-А?. Існують також інші напрямки формального моделювання, пов”язані з описом рівня захищеності ?1-А?, процесів захисту ?3-А?, системи захисту ?6-8-А? та ін.
Значно дієвішим і поширенішим поки що є використання неформальних описових та класифікаційних підходів. Замість формальних викладок тут використовується категорування: порушників (за цілями, кваліфікацією і доступними обчислювальними ресурсами); інформації (за рівнями критичності і конфіденційності); загроз (за способами реалізації, місцями реалізації і таке ін.); засобів захисту (за функціональністю і гарантованістю реалізованих можливостей і т.ін.) та ін. Природньо, що такий підхід не дає точних числових значень показників захищеності, однак дозволяє класифікувати АС за рівнем захищеності і порівнювати їх між собою. Прикладами класифікаційних методик, що набули значного поширення, можуть служити різні критерії оцінки безпеки інформаційних технологій і продуктів, прийняті в багатьох країнах як національні стандарти, що встановлюють класи і рівні захищеності. Зокрема, результатом розвитку національних стандартів у цій сфері є міжнародний стандарт ISO 15408, який узагальнює світовий досвід. В Україні також є ряд офіційних нормативних документів, що регламентують всі основні аспекти, пов”язані з безпекою КС і захистом інформації в них від НСД ?17-20-А?. Однак документів, що регламентують процеси побудови моделей безпеки, немає, що ще раз підкреслює актуальність проведення теоретичних розробок в сфері інформаційної безпеки.
10.2. Допоміжні поняття
Більшість моделей базуються на таких положеннях:
система є сукупністю взаємодіючих сутностей – суб”єктів та об”єктів. Об”єкти можна інтуітивно уявити у
вигляді контейнерів, що містять інформацію, а суб”єктами вважати виконувані програми, що взаємодіють з об”єктами різними способами. При такому уявленні системи її безпека забезпечується шляхом вирішення завдання управління доступом суб”єктів до об”єктів відповідно до заданих правил та обмежень, які є змістом політики безпеки. Саме поділ усіх сутностей на суб”єкти та об”єкти є основною проблемою моделювання, оскільки самі визначення понять об”єкт та суб”єкт в різних моделях можуть суттєво відрізнятися;
Всі взаємодії в системі моделюються встановленням відношень певного типу між суб”єктами та об”єктами.
Множина типів відношень визначається у вигляді наборів операцій, які суб”єкти можуть здійснювати над об”єктами;
Всі операції контролюються монітором взаємодій і забороняються чи дозволяються відповідно до правил ПБ;
Політика безпеки задається у вигляді правил, відповідно до яких мають виконуватися всі взаємодії між
суб”єктами і об”єктами. Взаємодії, що призводять до порушень цих правил, припиняються засобами контролю доступу і не можуть здійснюватися;
Сукупність множин об”єктів, суб”єктів та відношень між ними (встановлення взаємодії) визначають стан
системи. Кожний стан системи є або безпечним, або небезпечним відповідно до обраного в моделі критерію безпеки;
Основний елемент безпеки – доведення твердження (теореми) про те, що система, яка знаходиться в
безпечному стані, не може перейти в небезпечний стан при виконанні певних правил та обмежень;
Крім наведених положень, для подальшого розгляду зручно ввести такі структури, що вносяться в невизначений об”єкт “інформація”:
структура мови, що дозволяє говорити про інформацію як про дискретну систему об”єктів;
ієрархічна модель обчислювальних систем і модель OSI/ISO, що дозволяє апаратну, прогамну, прикладну компоненти обчислювальних систем і мереж зв”язку представляти у вигляді об”єктів деяких мов;
структура інформаційного потоку, що дає змогу описувати і аналізувати загрози інформації;структура цінності інформації, що допомагає щрозуміти, що треба і що не треба захищати.
Отже, опис буде здійснюватися з використанням понять математичної логіки. Нехай А – скінчений алфавіт,
А – множина слів скінченої довжини в алфавіті А.
В А за допомогою деяких правил виділено підмножину М слів, які називають правильними, і вона називається мовою. Якщо М1 – мова опису однієї інформації, М2 – іншої, то можна говорити про мову М, що поєднує М1 та М2, яка описує ту чи іншу інформацію. Тоді М1 та М2 є підмовами М.
Вважаємо далі, що будь-яка інформація може бути представлена у вигляді слова в деякій мові М. Крім того, можна вважати, що стан будь-якого пристрою в автоматизованій системі обробкиданих (АСОД) може бути описаний словом в певній мові.
Це дозволяє ототожнювати слова і стани пристроїв та механізмів обчислювальної системи чи довільної АСОД і подальший аналіз вести в термінах певної мови. Питання побудови власне мови М та її властивостей тут не розглядаються.
Означення. Об”єктом щодо мови М (чи просто об”єктом, коли з контексту однозначно визначена мова) називається довільна кінцева множина слів мови М.
Приклад 1. Довільний файл в комп”ютері є об”єктом. В будь-який момент в файл може бути записане одне слово з скінченої множини слів мови М, в деякому алфавіті А, що відбиває вміст інформації, що зберігається в файлі.
Приклад 2. Принтер комп”ютера – об”єкт. Існує якась (можливо, досить складна) мова, що описує принтер і його стани в довільний момент часу. Множина допусиммих описів станів принтера є кінцевою підмножиною слів у цій мові. Саме ця кінцева множина і визначає принтер як об”єкт.
При розгляді такого важливого поняття, як інформація (чи дані)Ю особливо важливою є можливість опису перетворень інформації. Перетворення інформації має місце, якщо існує відповідність між словом, якеописує вихідні дані, і деяким іншим словом. Ясно, що опис перетворення даних також є словом. Прикладами об”єктів, що описують перетворення, є програми для ЕОМ. Неважко помітити, що кожне перетворення інформації має:
А) зберігатися;
Б) діяти.
У випадку а) мова йде про збереження опису перетворення в деякому об”єкті (файлі). В цьому випадку саме перетворення нічим не відрізняється від інших даних. У випвдку б) опис програми повинен взаємодіяти з іншими ресурсами АСОД – пам”яттю, процесором, комунікаціями та ін., що також описуються деякими словами.
Означення. Ресурси АСОД, виділені для дії перетворення, називаються доменом.
Однак для здійснення перетворення лдних даних в інші крім домену необхідно передати цьому перетворенню особливий статус в системі, при якому ресурси АСОД почнуть здійснювати перетворення. Цей статус називатимемо “керування”. Тут будемо мати на увазі, що з контексту при розгляді будь-якої АСОД повинно бути ясно, що значить передати керування перетворенню.
Означення. Перетворення, якому передане керування, називається процесом.
Означення. Об”єкт, що описує перетворення, якому виділено домен і передано керування, називається суб”єктом.
Інакше кажучи, суб”єкт – це пара (домен, процес). Суб”єкт S для реалізації перетворення використовує інформацію, що міститься в об”єкті О, тобто в такий спосіб здійснює доступ до об”єкта О.
Розглянемо деякі основні приклади доступів.
Приклад 3. Доступ суб”єкта S до об”єкта О на читання (r) даних в об”єкті О. При цьому доступі деякі дані зчитуються в об”єкті О і використовуються як параметри в суб”єкті S.
Приклад 4. Доступ суб”єкта S до об”єкта О на запис (w) даних в об”єкті О. При цьому доступі дані процесу S записуються в об”єкт О. Тут можливе стирання попередньої інформації.
Приклад 5. Доступ суб”єкта S до об”єкта О на активізацію процесу, записаного в О як дані (exe). При цьому доступі формується деякий домен для перетворення, описаного в О, і передається керування відповідній прогрпмі.
Існує множина інших доступів, деякі з них будуть визначені далі. Множину можливих доступів в системі позначемо через R.
Будемо надалі позначати множину об”єктів в системі обробки даних через О, а множину суб”єктів в цій системі – через S. Ясно, що кожен суб”єкт є й об”єктом щодо певної мови (який, взагалі кажучи, може в активній фазі сам змінювати свій стан). Тому S?О. Крім того, іноді, щоб не вводити нових позначень, пов”язаних з одним перетворенням, опис перетворення, що зберігається в пам”яті, теж будемо називати суб”єктом, але не активізованим. Тоді активізація такого суб”єкта означає пару (домен, процес).
В різних ситуаціях буде уточнюватися опмс АСОД. Однак завжди існуватиме деяка загальна для всіх АСОД властивість. Ця загальна властивість полягає в тому, що стан кожної АСОД характеризується деякою множиною об”єктів, що передбачається скінченою.
Для подальшого розгляду питань ЗІ приймемо таку аксіому.
Всі питання безпеки інформації описуються доступами суб”єктів до об”єктів.
Дана аксіома охоплює практично всі відомі способи порушення безпеки в різноманітних варіантах розуміння безпеки, навіть якщо включити в розгляд такі процеси, як пожежи, повінь, фізичне знищення і т.п. Однак з неї випливає, що для подальшого розгляду питань безпеки і ЗІ досить розглядати множину об”єктів і послідовності доступів.
Нехай час дискретний, Оt – множина об”єктів в момент t, 0? t? T, St – множина суб”єктів в момент t. На множині об”єктів Оt як на вершинах визначемо орієнтований граф доступів Gt в такий спосіб: дуга S з?О з міткою p? R належить Gt тоді і тільки тоді, коли в момент t суб”єкт S має множину доступів p до об”єкта О.
Відповідно до аксіоми, з погляду ЗІ, в процесі функціонування системи нас цікавить лише множина графів доступів ?Gt?Tt=1. Позначимо через ?= ?G? множину можливих графів доступів. Тоді ? можна розглядати як фазовий простір системи, а траекторія у фазовому просторі ? відповідає функціонуванню АСОД. В цих термінах зручно представити задачу ЗІ в такому загальному виді. У фазовому просторі ? визначено можливі траєкторії Ф, у Ф виділено деяку підмножину N несприятливих траєкторій чи ділянок таких траєкторій, які ми хотіли б уникнути. Задача ЗІ полягає в тому, щоб будь-яка реальна траєкторія обчислювального процесу у фазовому просторі Ф не потрапила в множину N. Як правило, в будь-якій конкретній АСОД можна наділити реальним змістом компоненти моделі ?, Ф та N.
Чим може керувати служба ЗІ, щоб траєкторія обчислювального процесу не вийшла в N ? Практично таке керування можливе лише обмеженням на доступ в кожний момент часу. Зрозуміло, ці обмеженняможуть залежати від усієї предісторії процесу. Однак, в будь-якому випадку, службі захисту доступний лише локальний вплив. Основна складність ЗІ полягає в тому, що, маючи можливість використовувати набір локальних обмежень на доступ в кожний момент часу, необхідно вирішити глобальну проблему недопущення виходу будь-якої можливої траєкторії в несприятливу множину N. При цьому траєкторії множини N не обов”язково визначаються обмеженнями на доступи конкретних суб”єктів до конкретних об”єктів. Можливо, що якщо в різні моменти обчислювального процесу суб”єкт S отримав доступ до об”єктів О1 та О2, то заборонений доступ до об”єкта О3 реально відбувся, тому що зі знання змісту об”єктів О1 та О2 можна вивести заборонену інформацію в об”єкті О3.
В будь-який момент часу на множині суб”єктів S введемо бінарне відношення а активізації. Якщо суб”єкт S1, володіючи керуванням і ресурсами, може передати S2 частину ресурсів і керування (активізація), тоді в графах, що визначаються введенням бінарним відношенням на множині об”єктів, для яких визначене поняття активізації, можливі вершини, в які ніколи не входить жодна дуга. Таких суб”єктів будемо називати користувачами. Суб”єкти, в яких ніколи не входять дуги і з яких ніколи не виходять дуги, виключаються з розгляду.
Приклад 6. Нехай в системі є два користувачі U1 та U2, один процес S читання на екрані файла і набір файлів О1,…Om. В кожний момент працює один користувач, потім система виключається і інший користувач вмикаї її заново. На графі використано позначення R, тому що обидва користувачі можуть, взагалі кажучи, по-різному запускати процес S (тобто використовувати різні види доступів). Можливі такі графи доступів
Uj R? S r? Oi, i= 1….m, j = 1,2. (10.1)
Множина таких графів - ?. Траєкторії – послідовності графів виду (10.1). Несприятливими вважаються траєкторії, що для деякого i= 1….m містять сиани U1 R? S r? Oi та U2 R? S r? Oi.
Тобто, несприятливою виявляється ситуація, коли обидва користувачі можуть прочитати той самий об”єкт. Ясно, що механізм захисту повинен будувати обмеження на черговий доступ, виходячи з множини об”єктів, з якими вже ознайомився інший користувач.
Приклад 7. Нехай в системі, описаній в попередньому прикладі, несприятливою є будь-яка траєкторія, що містить, наприклад граф виду U1 R? S r? O1. В цьому випадку видно, що система буде захищена обмеженням доступу на читання користувача U1 до об”єкта О1.
10.3. Ієрархічний метод
Зрозуміло, що реалізація АСОД вимагає великого програмно-апаратного комплексу, який треба спроектувати, створити, підтримувати в працездатному стані. Ці системи є такими складними, що потрібна розробка спеціальної технології проектування і створення таких систем. В даний час основним інструментом розв”язання задач аналізу, проектування, створення і підтримки в робочому стані складних систем є ієрархічний метод.
В основі методу лежить розбивка системи на ряд рівнів, що пов”язані односпрямованою функціональною залежністю. Відомі різні варіанти формального і напівформального опсу такої залежності. Однак повної формалізації тут досягти не вдається через значну узагальненість поняття “складна система” і неоднозначності розбивки на рівні. Проте з метою розуміння цього в декомпозиціях різної природи складних систем можна домовитися про універсальні принципи опису ієррхаічного методу.
Припустимо, що складна система ?, яка нас цікавить, адекватно описана мовою М. Припустимо, що
проводиться декомпозиція (розкладання) мови М на сімейство мов D1, D2, …Di, i = 2,…,n, синтаксично залежить лише від словоформи мови Di-1, то будемо говорити, що вони утворюють сусідні рівні. Тоді система ? може бути описана набором слів В1,…,Bn в умовах D1, D2, … Dn, причому так, що опис Ві синтаксично може залежати тільки від набору Ві-1. В цьому випадку будемо говорити про ієрархічну декомпозицію системи ? і рівні декомпозиції В1,…,Bn, де рівень Ві безпосередньо залежить від Ві-1. Розглянемо найпростіші приклади ієрархічної побудови складних систем.
Приклад 8. Нехай вся інформація в системі розбита на два класиSecret i Top Stcret, що вцифровій формі можна позначити 0 та 1. Нехай всі користувачі розбиті у своїх можливостях допуску до інформації на два класи, що також будемо позначати 0 і 1. Правило допуску до інформації Х при запиті користувача Y визначається умовою: якщо х – клас запитуваної інформації Х, а клас у – користувача Y, то допуск до інформації дозволений тоді і тільки тоді, коли х = у. Цю умову формально можна описати такою формулою деякої мови D2 (набором слів В2):
if x = y then “допуск Y до Х”.
Для обчислення цього виразу необхідно здійснити такі операції, що описуються в термінах іншої мови D1 (набором слів В1)
X: = U1(X), y: = U2(Y), z = x?y, U(X,Y,z),
Де U1(X) – оператор визначення по імені об”єкта Х номера класу доступу х; U2(Y) – оператор визначення по імені користувача Y номер класу допуску у, ? -додавання за mod 2, U(X,Y,z) – оператор, що реалізує доступ Y до Х, якщо z = 0 і блокує систему, якщо z = 1.
Таким чином, рівень В2 залежить від В1, а вся система предсталена ієрархічною дворівневою декомпозицією з мовами D1 та D2, причому М = (D1, D2).
Приклад 9. Значно частіше використовується неформальний ієрархічний опис систем. Наприклад, часто використовується ієрархічна декомпозиція обчислювальної системи у вигляді трьох рівнів:
апаратна частина;
операційна система;
програми, якими користуються.
Приклад 10. Одним з поширених прикладів ієрархічної структури мов для опису складних систем є
розроблена організацією міжнародних стандартів (ISO) Еталонна модель взаємодії відкритих систем (OSI), що прийнята ISO в 1983 р. ISO створена, щоб вирішувати два завдання:
ввчасно і правильно передавати дані через мережу зв”язку (тобто користувачами повинні бути обговорені види сигналів, правил прийому і перезапуску, маршрути і т.п.);
доставити дані користувачу в прийнятній для нього розпізнавальній формі.
Модель складається з семи рівнів. Вибір числа рівнів і їх функції визначається інженерними міркуваннями.
Між середовищем користувачів та фізичним середовищем є такі рівні:
прикладний,
представницький,
сеансовий,
транспортний,
мережевий,
канальний,
фізичний.
Верхні рівні вирішують завдання представлення даних користувачу в такій формі, що він може розпізнати їх
і використовувати. Нижні рівні служать для організації передачі даних. Ієрархія полягає в наступному.
Всю інформацію в процесі передачі повідомлень від одного користувача до іншого можна розбити на
рівні; кожен рівень є виразом деякої мови, що опсує інформацію свого рівня. В термінах мови даного рівня виражається перетворення інформації і “послуги”, що на цьому рівні надаються наступному рівню. При цьому сама мова спирається на основні елементи, що є “послугами” мови більш низького рівня. В моделі ISO мова кожного рівня разом з порядком її використання називається протоколом цього рівня.
Яке призначення кожного рівня і що є мовою кожного рівня ?
Прикладний рівень (ПР) має відношення до семантики обмінюваної інформації (тобто змісту). Мова ПР забезпечує взаєморозуміння двох прикладних процесів в різних точках, що сприяють здійсненню бажаної обробки інформації. Мова ПР описує два види ситуацій:
спільні елементи для всіх прикладних процесів, що взаємодіють на прикладному рівні;
специфічні нестандартизовані, елементи додатків.
Рівень представлення (РП) вирішує ті проблеми взаємодії прикладних процесів, що пов”язані з
різноманітністю представлень цих процесів. РП надає послуги для користувачів, які бажають з”явитися на прикладному рівні, забезпечуючи обмін інформацією щодо синтаксису даних, переданих між ними. Це можна зробити як у формі імен, або у формі опису синтаксису. Крім того, РП забезпечує відкриття і закриття зв”язку, керування станами РП і контролем помилок.
Рівень сеансу (РС). Забезпечує керування діалогом між процесами, що обслуговуютьсяЮ на рівні представлення.
Транспортний рівень (ТР) надає сеансовому рівню послугу у вигляді надійного і прозорого механізму передачі даних (поза залежністю від виду реальної мережі) між вершинами мережі.
Мережевий рівень (МР) надає ТР послуги зв”язку. МР визначає маршрут в мережі, організує мережевий обмін і керує потоками в мережі.
Канальний рівень (КР) надає послуги МР. Ця послуга полягає в безпомилковості передачі блоків даних по каналу в мережі. На цьому рівні реалізується синхронізація, порядок блоків, виявлення і випралення помилок, лінійне шифрування.
Фізичний рівень (ФР) забезпечує те, щоб символи, які надходять у фізичне середовище передачі на одному кінці, досягали іншого кінця.
10.4. Потоки і цінність інформації
Структури інформаційних потоків є основою аналізу каналів витоків і забезпечення конфіденційності інформації. Ці структури спираються на теорію інформації і математичну теорію зв”язку. Розглянемо найпростіші потоки.
Нехай суб”єкт S здійснює доступ до читання ( r ) до об”єкта O. У цьому випадку говорять про інформаційний потік від O до S. Тут об”єкт O є джерелом, а S – отримувачем інформації.
Нехай суб”єкт S здійснює доступ на запис (w) до об”єкта O. В цьому випадку говорять про інформаційний потік від S до O. Тут об”єкт O є отримувачем, а S – джерелом інформації.
З найпростіших потоків можна побудувати складні. Наприклад, інформаційний потік від суб”єкта S2 до суб”єкта S1 відбувається за такою схемою
S1 r? О ?w S2. (10.1)
Тобто суб”єкт S2 записує дані в об”єкт O, а потім S1 зчитує їх. Тут S2 – джерело, а S1 – отримувач інформації. Можна говорити про передачу інформації, що дозволяє реалізувати інформаційний потік.
З точки зору ЗІ, канали та інформаційні потоки можуть бути законними або незаконними. Останні створюють витік інформації і тим самим порушують конфіденційність даних.
Розглядаючи канали передачі інформаційних потоків, можна залучити теорію інформації для обчислення кількості інформації в потоці і пропускної здатності каналу. Якщо незаконний канал не можна цілком перекрити, то частка кількості інформації в об”єкті, що витікає по цьому каналу, служить мірою небезпечності цього каналу. В оцінці якості ЗІ іноді використовується граничне значення для припустимої пропускної здатності незаконних каналів.
В загальному вигляді для об”єктів X в одному стані і Y в іншому, визначимо інформаційний потік, що дозволяє за спостереженням Y довідатися про зміст X.
Припустимо, що стан X і стан Y – випадкові величини зі спільним розподілом P(x,y) = P(X=x, Y=y), де під X=x розуміється подія: що стан об”єкта Х дорівнює значенню х (аналогічно в інших випадках). Тоді можна визначити: P(x), P(y/x), P(x/y) ентропію H(X), умовну ентропію H(X/Y) і середню взаємну інформацію
I(X,Y) = H(X) – H(X/Y)/
Означення. При переході з одного стану в інший виникає інформаційний потік від Х до Y, якщо I(Х,Y)?0: Величина I(X,Y) називається величиною потоку інформації від Х до Y.
Оцінка максимального інформаційного потоку визначається пропускною здатністю каналу Х ? Y і дорівнює за величиною
C(X,Y) = max I(X,Y)
P(x)
Щоб захистити інформацію, потрібно затратити сили і кошти, а для цього потрібно знати, яких втрат ми могли би зазнати. Зрозуміло, що в грошовому вираженні витрати на захист не повинні перевищувати можливі витрати. Для рішення цих задач в інформацію вводиться допоміжна структура – цінність інформації. Розглянемо приклади.
Нехай інформація представлена у вигляді кінцевої множини елементів і необхідно оцінити сумарну вартість в грошових одиницях з оцінок компонент. Оцінка може будуватися на основі експертних оцінок компонент, і, якщо грошові оцінки об”єктивні, то сума дає досить точну величину. Кількісна оцінка не завди об”єктивна навіть при аналізі фахівців. Це пов”язане з неоднорідністю компонент в цілому. Тому роблять єдину ієрархічну відносну шкалу (лінійний порядок, що дає можливість порівнювати цінність компонент відносно одна одної). Єдина шкала означає рівність ціни всіх компонент, що мають одну і туж порядкову оцінку. Така модель називається адитивною.
Приклад 12. Нехай О1, …, Оn – об”єкти, і визначена шкала 1?…?5. В результаті експертних оцінок отримано наступний вектор відносних цінностей об”єктів ?=(?1, …?n) = 2, 1, 3, …, 4). Якщо відома ціна хоча б одного об”єкта, наприклад, с1 = С1/? = 50 у.о., де ? - число балів оцінки першого об”єкта за формулою Сі = сі?і, тобто С2 = 50 у.о., С3 = 150 у.о. і т.д. Тоді сума визначає вартість всієї інформації. І навпаки, якщо апріорно відома загальна ціна інформації, то завдяки відносним оцінкам в порядковій шкалі можна обчислити ціни компонентів.
Нехай в рамках адитивної моделі проведено облік вартості інформації в системі. Оцінка можливих втрат будується на основі отриманих вартостей компонент, виходячи з прогнозу можливих загроз цим коипонетам. Можливості загроз оцінюються імовірностями відповідних подій, а втрати підраховуються як сума математичних очікувань втрат для компонент по розподілу можливих загроз.
Приклад 13. Нехай О1, …,Оn – об”єкти, цінності яких С1, …, Сn. Припустимо, що збиток одному об2єкту не знижує ціни інших, і нехай імовірність завдання збитку об”єкту Оі дорівнює рі, функція втрат збитку для об2єкта Оі дорівнює:
Cі, якщо об”єкту завдано збиток,
Wi = 0, у протилежному випадку.
Оцінка втрат від реалізації загроз об”єкту дорівнює EWi = piCi . Виходячи з зроблених припущень, втрати в системі рівні W = W1 +…+ Wn. Тоді очікувані втрати (середній ризик) дорівнюють:
n
EW = ? piCi.
i=1
Далеко не завжди можливо і потібно давати грошову оцінку інформації. Наприклад, оцінка особистої інформації, політичної інформації не завжди розумна і можлива в грошовому численні.
Приклад 14.
Y Y Y Y
1.3 Мета та завuser(s)дання інформатизації суспільства
Проблеми інформаційної безпеки (ІБ), що складає основу даного курсу, є похідними від більш загальних проблем інформатизації. А тому зміст захисту повинен формуватися у відповідності зі змістом проблем інформатизації а концептуальні підходи до їх вирішення взаємопов”язуються з концепціями інформатизації. Звідси слідує, що вивченню основ концепції ІБ повинне передувати ознайомлення з основними положеннями концепції інформатизації.
До основних концептуальних питань відносяться:
Суть інформатизації.
Кінцеві результати інформатизації.
Шляхи, засоби та методи досягнення результатів інформатизації.
Перераховані питання вивчаються в рамках курсу інформатики, яка визначається як науково-технічний напрямок, метою якого є вивчення інформатизаційних проблем суспільства та розробка шляхів, засобів та методів наріонального їх задоволення.
У відповідності до цього, сутність інформатизації полягає в формуванні такого інформаційноїго середовища, в якому існують об”єктивні передумови, необхідні для найбільш раціонального інформаційного забезпечення діяльності в усіх сферах. В сучасних умовах створення такого середовища передбачає загальну комп”ютеризацію
При наявності інформаційного середовища всі інформаійні процеси, що необхідні для інформаційного забезпечення діяльності, можуть реалізовуватися на принципах поточно-індустріального виробництва. В цьому полягає основна мета інформатизації.
Поняття поточно-індустріального виробництва є синтезом трьох понять: індустрія, індустріалізація та поточне виробництво, які визначаються наступним чином:
індустрія – важлива галузь народного господарства, що має вирішальний вплив на рівень розвитку продуктивних сил суспільства;
індустріалізація – процес створення крупного виробництва, формування індустріальної інфраструктури;
поточне виробництво – прогресивний метод організації виробництва, що характеризується розділенням процесу виробництва продукції на окремі операції, що виконуються на спеціально обладнаних, послідовно розташованих робочих місцях – поточних лініях.
Оскільки для поступальний розвитку суспільства першочергову роль відіграє інформаційне забезпечення всіх сфер його діяльності, то виробництво, переробка та використання інформації стає наважливішою галуззю народного господарства, що отримала назву інформаційної індустрії, виробничі процеси в якій повинні бути організовані на принципах поточного виробництва. Створення об”єктивних передумов, необхідних для формування інформаційної індустрії, і складає основний зміст інформатизації сучасного суспільства, а інформатика повинна служити науково-методологічним базисом цього процесу.
Одним з забезпечуючих завдань, щоя підлягають розв”язку в процесі формування інформаційної індустрії, полягає в розробці сучасних концепцій інформаційної безпеки, що є важливим ресурсом сучасного суспільства.
В наведеному вище визначені інформатики виділено два аспекти: вивчення інформаційних проблем суспільства та розробка шляхів, методів та засобів айбільш раціонального їх розв”язання. Дослідження інформаційних систем поставлене на перше місце зовсім не випадково: цим однозначно фіксується та обставина, що таке дослідження є базисом для розв”язання наступного завдання інформатики – розробка шляхів, методів та засобів найбільш раціонального розв”язання цих проблем і, найголовніше, - задоволення інформаційних запитів суспільства в процесі його життєдіяльності. Але у відповідності до законів кібернетики про зворотній зв”язок не лише шляхи, методи та засоби інформатизації повинні розроблятися виходячи з інформаційних запитів, але і інформаційні запити суспільства повинні максимально пристосовуватися до можливостей їх задоволення.. Це означає, що інормаційні процеси в різноманітних сферах діяльності повинні бути цілеспрямовано підготовлені до переводу їх на поточно-індустріальні методи здійснення.
Загальна схема інформаційного забезпечення різних сфер діяльності.
Під інформаційном забезпеченням діяльності (ІЗД) підприємства, організації, установи (надалі –
організації) розуміють створення, організація та забезпечення функціонування такої системи збору, зберіганя, обробки та видачі інформації, яка забезпеила би уявлення всім підрозділам та посадовим особам організації всієї необхдної ім інформації в потрібний час, потрібної якості та при дотриманні усіх встановлених правил поводження з інформацією. Схема ІЗД (мал. ) складається з трьох основних підсистем:
формування та вдосконалення інформаційного кадастру;
організація та забезпечення функціонування інформаційних технологій;
управління вхідними потокам інформації.
Не важко уявити, що з точки зору захисту інформації предметом найбільш пристальної
уваги є інформаційний кадастр та інформаційна технологія.
Об”єктивні передумови індустріалізації інформаційних процесів.
Об”єктивні передумови реалізації інформаційного забезпечення діяльності на принципах поточно-індустріального виробництва створюються сукупністю результатів, отриманих в рамках інформатики, що розвивається на природних підходах. До них відносяться:
Системи класифікації інформації;
Уніфікація структури інформаційного потоку;
Уніфікація процедур (задач) обробки інформації;
Систематизація методів обробки інформації;
Уніфікація інформаційних технологій;
Формування концепції управління процесами обробки інформації по інформаційній технології.
Шостий результат носить багатоаспектний характер, загальний зміст управліня
процесами обробки інформації будуть наведені в параграфі ____; та його складова, яка називається захистом інформації, є головним предметом даного курсу.
Системна класифікація інформації. Під системою розуміють таку класифікацію
інформації, яка задовольняє вимогам розв”язання всього комплексу задач, що реалізуються в системі. Інформація розглядається, з одного боку, як інформаційний ресурс суспільства, необхідний для інформаційного забезпечення суспільної діяльності, а з іншої – як специфічна сировина, що добувається та переробляється за специфічними технологіями.
Уніфікація структури інформаційного потоку. Інформаційний потік в
загальному виді визначається як рух в деякому середовищі данних, що представлені в структурованому виді. Звідси слідує, що для формування структури інформаційного потоку необхідно, по-перше, сформувати те середовище, в якому мають рухатися (циркулювати) дані, і по-друге, структурувати властиво ту інформацію, яка повинна циркулювати.
Циркуляцією информаційних потоків називається факт регулярного їх руху між
різними об”єктами або між різними елементами одного об”єкту. Основними процесами, що забезпечують циркуляцію інформаційних потоків, є:
Генерація (виникниння, породження) інформації.
Передача інформації.
Прийом інформації.
Накопичення та зберігання інформації.
Пошук інформації.
Видача інформації.
Можливі взаємозв”язки перерахованих процесів приведені на мал.____.
Уніфікація процедур обробки інформації.
Реалізація перераховани вище процесів передбачає існування над інформацією
деяких процедцр, або в більш доступній термінології – рішення деяких задач обробки інформації. При цьому під задачою обробки інформації будемо розуміти таку ситуацію в процесі циркуляції інформаційного потоку, яка має характерну структуру (зміст), і яку слід подолати (знайти вихід). Отримане рішення повинно відповідати конкретній меті і полягати в здійненні деяких операцій над наявною інформацією. Саме так, на інтуітивному рівні, розуміється задача в повсякденній практиці.
При системній класифікації та уніфікації задач виділяють дві риси самого поняття
задач: самостійне значення результату та визначена внутрішня структура. Звідси слідує, що системна класифікація задач повинна здійснюватися за двома критеріями: відносно самого змісту процедур обробки та їх глибини та складності. За першим критерієм класифікують
вплив на синтаксичному рівні, коли оброблювальна інформація терпить лише синтаксичні зміни: отримання, реєстрвція, перекодування, пересилка, пошук, сортування, маркування і т.д.
вплив на семантичному рівні, коли в результаті перетворення інформації виникають нові семантичні елементи інформації, які однак носять загальний характер. Такими перетвореннями є обрахунок по різним аналітичним та логічним залежностям.
виникнення на прагматичному рівні, коли результати перетворень інформації містять нові симантичні елементи, які орієнтовані на конкретний вид діяльності.
З кібернетки відомо, що головним призначенням інформації є забезпечення
оптимального управління в системах різної природи, а центральною процедурою управління є поняття уравлінських рішень З цього слідує, що основною метою перетворення інфорації на прагматчному рівні є інформаційне забезпечення поняття оптимальних рішень.
Виділенні три рівня перетворення інформації можуть бути класифіковані як три класи завдань обробки інфорації. Задачі першого класу (перетворення на синтаксичному рівні) називають інформаційно-пошуковими задачаси (ІПЗ), другого (перетворення на симантичному рівні) – логіко-аналітичними задачами (ЛАЗ), третього (перетворення на прагмаичному рівні) – пошуково-оптимізаційними задачами (ПОЗ).
Систематизація метдів обробки інформації.
На нинішнійдень беззаперечним є той факт, що найбільш ефективною є людино-
машинна технологія обробки інформації, яка реалізується в двох режимах: 1) людина + ЕОМ оброблє інформацію незалежно, а потім результати об”єднуються; 2) людина використовує засоби обчислювальної техніки в самому процесі обробки інформації, в результаті чого формуєтья єдиний результат обробки.
У відповідності трьом класам задач обробки інформації слідує розділяти три
класи методів обробки.
1.5. Структура та зміст уніфікаційної технології автоматизованої обробки
інформації.
Викладене в попередньому параграфі володіє всією сумою передумов для побудови інформаційної технології, що задовольняє наступній сукупності умов:
забезпечення обробки для вісх видів інформації на всіх етапах циркуляції інформаційних потоків.
уніфікованість в широкому (практично в необмеженному) спектрі прикладних доповнень.
здійснення всіх процедур обробки інформації на регулярній основі (по достатньо строгим алгоритмам).
повна структуризація на концептуальному, макро- та мікро- рівнях.
висока ефективність обробки інформації по всій сукупності суттєво важливих показників.
Вказана технологія буде ефективною лише при комплексному використанні ЕОТ. Ця
технологія повинна бути автоматизованою а термін “автоматизована” означає рівноправність процедур, що здійснюються людиною та машиною, а ткож в комбінованому людино-машинному режимі. З наведеного слідує що вказану технологію звуть уніфіковано технологією автоматизованої обробки інформації (УТАОІ). Загальна структура УТАОІ приведена на мал. ___ а зміст технологічних участків представлено в табл. ____.
(пояснення до мал.___).
1 – прийом вхідних потоків інформації;
2 – обробка швидкозмінної інформації в реальному масштабі часу;
3 – формування текучих масивів вхідної інформації;
4 – базова обробка вхідних потоків інформації;
5 – формування та обробка масивів вихідних даних;
6 – аналітико-синтетична обробка інформації;
7 – внесення регламентних даних в інформаційний кадастр;
8 – функціональна обробка регламентних даних;
9 – формування та видача вихідних потоків.
1.6. Виникнення та історія розвитку проблеми захисту інформації.
Проблема захисту інформації, взагалі кажучи, має багатовікову історію. Вже наскальні малюнки є не що інше як спроба зберегти інформацію про реалії об”єкивного світу. Застосуваня спеціальних заходів з метою збереженя інформації практикувалося ще з древніх часів. Відомо, що Ю. Цезар використовував для цього криптографічне перетворення текстів повідомлень (шифр Цезаря). Оскільки ми розглядаємо питання захисту інформації в автоматизованих системах її обробки, то і ретроспективний аналіз їх походження та розвитку здійснимо на глибину реального існування цієї проблеми. В такій постановці реально говорити про історію, яка бере свій початок в кінці 60-х років ХХ-го толіття.
Як і всякий досвід, досвід захисту інформації має двояку цікавість: по-перше, в пізнавальному плані та, по-друге, обгрунтування найбільш раціональних шляхів розв”язку даноїх проблеми.
Зауважимо, що в нашій країні до недавнього часу всі роботи по захисту інформаії були закритими, а тому відкриті публікації в періодиці були відсутніми. Ця обставина негативно впливає на обмін та розповсюдження досвіду. Хоч стан справ в останні роки змінився, порібно ще багато років для складаня репрезентативнї підборки літератури.
В розвинутих країнах Європи, США дана проблема знаходиться в цнтрі уваи вже на протязі 30 останніх років. По окремим аспектам захисту існують монографії, тисячі публікацій, видаються спеціалізовані журнали тощо. В СРСР з 1975 р. в журналі “Зарубежная электроника” почали публікуватися огляди зарубіжних монографій. Фактами, що свідчать про інтенсивний ріст робіт з систем захисту в останні роки є:
ріст кількості публікацій в відкритому друці;
регулярність проведення спеціальних конференцій, семінарів;
видавництво спеціальних журналів (“Безпека інформаційних технологій”);
підготовка та підвищення кваліфікації професійних спеціалістів по системам захисту.
Можна стверджувати, що на даний час вже склалася вітчизняна школа систем захисту. На
початковому етапі характерним було те, що під захистом інформації розуміли попередження несанкціонованого її отримання особами або процесами, які не мають на це повноважень, і для цього використовувались формальні (що функціонують без участі людини) засоби. Найбільш поширеними засобами захисту були перевірки по паролю прав на доступ. Основна перевага даного методу полягає в його простоті, недолік – низька надійність
Розмежування доступу до масива (бази) даних здійснювалося кількома способами: розмежування масива даних на зони за ступінню секретності з наданням кожному користувачу відповідного рівня доступу; по наданим користувачам мандатам, в яких вказувались ідентифікатори тих елементів масивів даних, в яких їм дозволений доступ; за спеціальними матрицями повноважень. Зауважимо, що механізми розмежування доступу виявилися досить ефективними і необхідними, що в тій чи іншій модифікації використовуються і сьогодні.
Другий етап розвитку систем захисту характеризується трьома ознаками:
Усвідомлення необхідності поєднання цілей захисту. Першим результатом на цьому шляху стало спільне рішення задач забезпечення цілісності інформації та попередження несанкціонованого її отримання;
Розширення арсеналу використовуваних забобів захисту, причому як по кількості, так і по їх розноманітності. Широкого використання набуло комплексне застосування технічних, програмних та організаційних засобів. Почав практикуватися захист інформації шляхом криптографічного її перетворення. З метою регулювання правил захисту в передових країнах почали прийматися і діяти спеціальні законодавчі акти;
Засоби захисту стали цілеспрямовано об”єднувати в в самостійні системи (підсистеми) захисту.
Для ілюстрації розмаху робіт на другому етапі розвитку систем захисту скажемо, що лише
для розв”язання задачі впізнання користувачів розроблені методи та засоби, що базуються на наступних ознаках:
традиційні паролі, але з ускладненими процедурами;
голос лдини, оскільки він – індивідуальна характеристика людини;
відбитки пальців, індивідуальність яких загальновідома;
геометрія руки, причомк доведено, що по довжині чотирьох пальців руки людини можна її упізнати з високою ступінню надійності;
малюнок сітчатки ока;
особистий підпис людини, причому ідентифікуємими характеристиками є графіка написання букв, динаміка підпису та тиск пишучого інструменту;
фотознімок людини.
Таким чином, другий етап систем захисту характеризується інтенсивними пошуками,
розробкою та реалізацією способів, методів та засобів захисту.
Третій етап має назву комплексног захисту, він приходить на зміну другому і є етапом майбутнього. Характерною його ознакою є спроба аналітико-синтетичної обробки даних всього наявного досвіду теоретичних досліджень та практичного розв”язання задач захисту та формування на цій основі науково-методологічного базису захисту. Іншими словами, основна задача третього етапу – перевід систем захисту на наукову основу. Основні висновки, що випливають з основ теорії захисту, зводяться до наступного:
захист інформації повинен бути комплексним як за цілями захисту, так і за використовуваними способами, методами та засобами;
з метою створення умов для широкомасштабної оптимізації захисту повинен бути розроблений та обгрунтований повний набір стратегічних підходів (в розумінні врахування всіх потенційних вимог та умов захисту);
розробка та уніфікація методико-інструментального базису, що забезпечує вирішення довільного набору задач захисту;
перераховане вище може бути досягнуте лише при тій умові, що проблеми захисту будуть розв”язуватися в органічному поєднанні з проблемами інформатизації всіх сфер діяльності людини.
1.7. Сучасна постановка задачі захисту інформації
Найбільш характерною осбливістю сучасної постановки задачі захисту є комплексність захисту.
Під комплексністю, як принципом, розуміють як розв”язок в рамках єдиної концепції однієї або більше різнопланових задач (цільова комплексність), або використання для розв”язку однієї і тієї ж задачі різнопланових інструментальних засобів (інструментальна комплесність). Стосовно проблем захисту в даний час мова повинна вестися про всезагальну комплексність, щообумовлено стійкими тенденціями розвитку систем та процесів обробки інформації та підготовлену попередніми дослідженнями та розробками системзахиту.
До найбільш стійких тенденцій розвитку систем та процесів обробки інформації слід віднести:
масовість використання ЕОМ;
зростання традиційних та автоматизованих технологій обробки інформації, зменшення частки паперових процедур;
безпосередній доступ до ресурсів систем АОІ не професіоналів;
створення локальних сіток;
перетворення інформаційних масивів у інтелектуальну власність та товар.
З наведеного слідує, що уявлення про захист інформації як попередження несанкціонваного
її отримання (збереження таємниці) є спрощеним. Більше того, саме поняття таємниці до недавнього часу асоціювалось переважно з держтаємницями. В сучасному світі існуює промислова, комерційна, банківська, особиста і т.п. таємниці. Таким чином, навіть в рамках традиційних уявлень про захист інформації її зміст повинен бути розширеним. Підвищену значимість набувають такі проблеми, як забезпечення фізичної цілесності інформації (попередження знищення або спотворення), забезпечення логічної цілесності (попередження руйнування чи спотворення в автоматизованих банках логічних структур, створених користувачами), попередження несанкціонованої модифікації інформації, попередження несанкціонованого копіювання (розмноження) інформації, дотримання авторських прав в безпаперових технологіях зберігання та обробки інформації.
Очевидно, що незалежний захист інформації по кожній з перерахованих цілей є дорогим, а в багатьох випадках – неможливим. Саме звідсиі витікає об”єктивна необхідність переходу до цілевого комплексного захисту.
Розглянемо даліпитання про інструментальну комплексність. В рамках попередніх уявлень про захист інформації практично незалежно розвивалися три види захисту:
організаційний (служба режиму, спецвідділи і т.п.);
технічний (служба протидії інженерно-технічній розвідці);
служба захисту інформації в АСУ та у ВЦ.
Відносно автономно розвивалися криптографічні засоби захисту. ПРи цьому часто мало
місце дублювання задач. Сумуючи викладене вище, зміст поняття комплексного захисту можна сформулювати так, як наведено на мал. (1.8).
При злитті традиційних та автоматизованних технологій обробки інформації та безпосередньому доступі мвси користувачів до ресурсів обчислювальної техніки значна частина користувачів попадає в залежність від отримуваної інформації з ЕОМ. Тоді принципового значення набувають такі характеристики, як своєчасність видачі інформації, повнота видачі, актуальність видаваємої інформації і т.д. В свою чергу, перераховані характеристики залежать від своєчасності актуалізації інформації в інформсистемі, глибини, повноти та адекватності її обробки та деяких інших показників. Перераховані показники та характеристики утворюють властивість інформації, яку узагальнено звуть її якістю. Звідси цілком природнім є висновок про необхідність спільного вивчення та розробки проблем захисту інформації та забезпечення її якості.
Крім того, надзвичайно актуально стоїть питання інформаційної безпеки. Виявляється, що сучасні технічні, технологічні та організаційні системи, а також люди, колективи, тасуспільство в цілому є чутливими до зовнішніх інформаційних впливів. При цьому наслідки негативного впливу можуть бути катастрофічними. Доведено, що психіка людини настільки може бути піддана зовнішньому впливу, що при належній організаціїможна запрограмувати поведінку людини (“зомбування”).
Таким чином, гостроактуальним є не лише проблема захисту інформації, але і захист від інформації, яка в останній час набуває міжнародного масштабу та стратегічного характеру. Розвиток стратегічних озброєнь здійснюється такими темпами, що збройне вирішення світових проблем є неможливим. Тому замість зройної боротби на арену виходить поняття інформаційних воєн. Системне дослідження проблеми захисту від інформації на даний час не здійснене, а тому говорити про якісь фундаментальні висновки важко. Але навіть існуючі наробки говорять, що проблема захисту від інформації має бути включена в розширенне тлумачення поняття комплексного захисту інформації.
Питання для повторення.
сформулюйте цілі та задачі інформатизації сучасного суспільства;
назовіть шляхи раціонального розвитку задач інформатизації суспільства;
дайте визначення інформаційного кадастру та приведіть його загальну структуру;
приведіть та охаракткризуйте схему інформаційного забезпечення діяльності сучасного суспільства;
перерахуйте основні об”єктивні передумови індустріалізації інформаційних процесів;
приведіть та охарактеризуйте схему системної класифікації інформації;
те ж уніфікованого інформаційного потоку;
назвіть уніфіковані класи задач обробки інформації та дайте їм коротку характеристику.
Дайте коротку характеристику методам рішення інформаційно-пошукових задач;
Те ж пошуково-інформаційних задач;
Приведіть загальну схему та розкрийте зміс унфікованої технології АОІ;
Дайте визначення та охарактеризуйте процес розвитку проблеми захисту інфрмації в сучасних умовах;
Дайте визначення понятя комплексного захисту інформації та коротко охарактеризуйте його зміст;
Сформулюйте та обгрунтуйте сучасну постановку задачі захисту інформації.
II. Основні положення теорії захисту інформації
2.1. Визначення та основні поняття теорії захисту інформації
Теорія захисту інформації визначається як система основних ідей, що відносяться до захисту інформації в сучасних системах її обробки, дає цілісну уяву про сутність проблеми захисту, закономірностях її розвитку та суттєвих зв”язках з іншими знаннями. В наведеному визначенні вже містяться загальні дані про задачі теорії захисту; в загальному виді теорія захисту повинна:
надавати повні та адекватні відомості про походження, суттність та розвиток проблем захисту;
повно та адекватно відображати структуру та зміст взаємозв”язків з спорідненими областями знань;
акумулювати досвід попередніх досліджень, розробок та практичних вирішень задач захисту інформації;
орієнтувати в напрямку найбільш ефективного вирішення основних задач захисту та надавати необхідні для цього науково-методологічні засоби;
формувати науково обгрунтовані перспективні напрямки розвитку теорії та практики захисту інформації.
Складовими частинами теорії захисту є:
повні та систематичні дані про походження, сутність та зміст проблеми захисту;
систематизовані результати ретроспективного аналізу розвитку теоретичних досліджень та розробок, а також досвіду практичного використання завдань захисту, які повно та адекватно відображають найбільш стійкі тенденції в цьому розвитку;
наково обгрунтована постановка задачі інформації в сучасних системах її обрбки, яа повно та адекватно враховує концепції побудов систем та технологій обробки, потреби в захисті інформації та об”єктивні передумови їх задоволення;
загальні стратегічні установки на організацію захисту інформації, що враховують всю багатогранність потенційно можливих умов захисту;
метди, які необхідні для адекватного та ефективного рішення віх завдань захисту і які містять як загальнометодологічні підходи до рішення, так і конкретні прикладні методи рішеня;
методолгічна та інструментальна база, яка містить необхідні методи та інструментальні засоби рішення довільної сукупності завдань захисту в рамках довільної стратегічної установки;
науокво обгрунтовані пропозиції по організації та забезпеченню робіт по захисту інформації;
науково обгрунтований прогноз перспективних напрямків розвитку теорії та практики захисту інформації.
Наведений перелік складових частин свідчить про великий об”єм та багатоаспектність теорії
Захисту. Загальнометодологічні принципи формування теорії, методи рішення задач та методологічний базис складають науково-методологічну основу теорії захисту інформації. Структура та зміст названих компонентів теорії будуть озглядатися внаступних параграфах.
2.2. Загальнометодологічні принципи формування теорії захисту інформації
Всю сукупність загальнометологічних принципів зручно розбити на дві групи: загальнотеоретичні та теоретико-прикладні. Основні принципи загальнотеоретичного характеру можуть бути представлені наступним чином:
Чітка цільова скерованість досліджень та розробок, причому цілі повинні бути сформовані настільки конкретно, щоб на довільному етапі робіт можна було би оцінити ступінь іх досяжності. Стосовно до теорії захисту інформації цільовою установкою є приведений в попередньому параграфі перелік складових її компонентів.
Невпине слідування головній задачі науки, яка полягає в тому, щоб видиме, яке виступає в явищі руху звести до дійсно внутрішньому руху, який, як правило, скритий.
Упееджуюча розробка загальних концепцій, на базі яких могли би розв”язуватися всі часткові питання. Цей принцип гласить, що всі отримані рішення повинні утворювати єдину систему.
Формування концепцій на основі реальних фактів, а не домислівю
Врахування всіх важливих зв2язків, що відносяться до даної проблеми. Трудність в дотриманні даного принципу полягає в обгрунтовано відборі дійсно сутєвих зв”язків, а не другорядних.
Врахування діалектики взаємоз”язків кількісних та якісних змін. Основний зміст закону переходу кількісних змін в якісні говорить, що якісні, стрибковоподібні зміни можливі лише як результат попередніх кількісних змін, а якісні зміни є передумовою для нових кількісних змін.
Своєчасна видозміна постановки задачі, що вивчається чи розробляється. Сутніст даного принципу полягає в тому, що назрівші якісні зміни, які підговлені попередніми кількісними змінами повинні бути актуалізовані шляхом видозміни самої постановки задачі.
Розглянемо другу групу принципів, які містять рекомендації, що відносяться до самого процесу вивчення
складних проблем, змісту та практичній реалізації результатів вивчення. Ця група містить наступні принципи:
Побудова адекватних моделей досліджуваних систем та процесів; До недавнього часу в центрі уваги спеціалістів були переважно технічні, тобто строго формальні системи. Не було проблем в побудові моделей строго адекватних системам та процесам, що моделюються. Однак, коли виникла необхідність моделювання соціально-економічних систем, побудова адекватних моделей наштовхнулося на труднощі принципового характеру: методи класичної теорії систем не пристосовані для цього. Наявні методи моделювання слід суттєво розритит та доповнити. Дане питання буде нами розглянуте детально в наступному параграфі.
Уніфікація рішень, що розробляються; Даний принцип деталізує один з аспектів загальнометодологічного принципу упереджувальної розробки концепцій, оскільки довільна уніфікація є свого роду концепція. В якості прикладу можна назвати в параграфі 1.% уніфіковану технологію АОІ, яка повинна скласти один з найважливіших рішень на шляху досягнення головної мети інформатизації – індустріалізацію інформаційних процесів.
Максимальна структуризація досліжуваних систем та рішень, що розробляються; Структуризація може бути визначена як процес формування такої архітектури систем та технологічних схем їх функціонування, яка задовольняє всій сукупності умов їх розробки, експлкатації та вдосконалення. В більш загальній постановці структуризація розглядається як розширення поняття формалізації. В якості прикладу відмітимо, щ вимоги розглядуваного принципу найбільш повно реалізовані в АСОД. Причому розроблені умови, яким повинні відповідати структуровані системи та їх компоненти, принципи, дотримання яких створює необхідні передумови для їх структуризації і методи структуризації основних компонентів АСОД.
Радикальна еволюція в реалізації розроблюваних концепцій. Академік В.М. Глушков свого часу сформулював принцип радикальнї еволюції, суть якого зводиться до того, що потрібно прагнути до радикальноо вдосконалення але реалізовувати еволюційними кроками.
2.3. Методологічний базис теорії захисту інформації.
Методологічний базис, як другий компонент теорії захисту, складає сукупність методів та моделей, необхідних та достатніх для дослідження проблемизахисту та розв2язку практичних завдань відповідного призначення. На формування названих методів великий вплив має той факт,що на процеси захисту інформації мають вплив випадкові фактори і особливо ті з них, що повязані з діями зловмичників.Як ми вже говорили, спроби застосування методів класичної теорії систем до систем того типу, до яких відносяться і системи захисту інформації, показали їх недостатнісь. Виникла потреба розширення комплексу методів класичної теорії систем за рахунок включення в них таких методів, що дозволяють адекватно моделювати процеси, які залежать від важко передбачуваних факторів. В даний час названа задача розв2язана при допомозі методів непарних множин, ленгвістичних змінних, неформального оцінювання, неформального пошуку оптимальних рішень.Нижче приведемо суть названих методів.
Системи комплексної безпеки об’єктів
Опис
Мета викладання змістового модуля полягає в засвоєнні теоретичних основ та методів проектування систем комплексної безпеки об’єктів.
Зміст.
Навчальний елемент „ Основні положення теорії комплексної безпеки об’єктів”.
Основні поняття теорії захисту об’єктів. Моделі систем безпеки та процесів захисту. Стратегії захисту об’єктів. Уніфікована концепція захисту об’єктів.
Навчальний елемент „ Принципи побудови систем комплексної безпеки об’єктів ”
Загально методичні принципи побудови систем комплексної безпеки об’єктів. Категорії систем захисту. Основи архітектурної побудови систем захисту. Типізація та стандартизація систем безпеки. Методи проектування систем безпеки.
Навчальний елемент „ Функції та задачі комплексного захисту об’єктів”
Вимоги до систем комплексної безпеки об’єктів. Методи формування функцій захисту об’єктів. Повна множина функцій захисту. Множина задач захисту.
Навчальний елемент „Засоби комплексного захисту об’єктів”
Класифікація засобів захисту об’єктів. Технічні засоби захисту. Давачі охоронної сигналізації. Системи управління доступом. Радіо та провідні охоронні системи сигналізації. Програмні засоби захисту. Організаційно-правові засоби захисту. Криптографічні засоби захисту.
За даним змістовим модулем читається курс лекцій, проводяться практичні заняття та виконується курсовий проект.
3. Рівень.
Попередні умови. Перед вивченням даного змістового модуля студент повинен засвоїти розділи інших змістових модулів:
-правові основи захисту інформації,
-основи технічного захисту інформації,
-елементи та пристрої фізичної та електронної охорони об’єктів.
Цілі та завдання. Внаслідок вивчення даного змістового модуля студент повинен:
засвоїти послідовність етапів побудови системи комплексної безпеки об’єкту;
вміти здійснювати узгодження спроектованих засобів захисту об’єкту;
вміти здійснювати оцінку ефективності спроектованої системи комплексної безпеки об’єкту.
Бібліографія.
Список літератури до змістового модуля.
Герасименко В.А., Малюк А.А. Основы защиты информации. – М., МИФИ.1997, 537 с.
Хофман Л.Дж. Современные методы защиты информации. Пер. с англ. под ред. В.А.Герасименко. – М., Сов. радио. 1980, 264 с.
В.И.Ярочкин. Технические каналы утечки информации. – М., ВИНИТИ, 1994.
Е.Н.Поздняков. Защита объектов. – М., Концерн “Банковский деловой центр”, 1997.
ДСТУ 3396.0-96 Технічний захист інформації. Основні положення.
ДСТУ 3396.1-96 Технічний захист інформації. Порядок проведення робіт
ДСТУ 3396.2-97 Технічний захист інформації. Терміни та визначення.
ДБН А.2.2-2-96. Проектування. Технічний захист інформації. Загальні вимоги до ор-ганізації проектування та проектної документації для будівництва.
Тимчасове положення про категоріювання об'єктів (ТПКО-95).
Даний змістовий модуль є обов’язковим розділом програми навчання.
Викладацький склад.
Лектор – доцент, к.т.н. Горпенюк А.Я.
Практичні заняття – доцент, к.т.н. Горпенюк А.Я.
6. Тривалість.
Лекційні заняття - 45 год.; Практичні заняття - 30 год.;
Всього аудиторних занять - 75 год.; Самостійна робота - 87 год.
7. Форма та методи навчання.
Денна форма навчання, заочна та екстернат.
8. Оцінювання.
Тривалість вивчення змістового модуля становить 15 тижнів. Семестровий контроль проводиться за результатами здачі контрольної та розрахунково-графічної роботи і здачі диференційованого заліку. Максимальна сумарна оцінка - 100 балів.
9. Мова.
Даний змістовий модуль викладається українською мовою.