Повна версія

Головна arrow Головна

  • Увеличить шрифт
  • Уменьшить шрифт


<<   ЗМІСТ   >>

Класифікація заходів захисту інформації

Класифікація заходів щодо захисту інформації відповідно до ст. 16 π. 1 Федерального закону № 149-ФЗ є поєднанням правових, організаційних і технічних заходів. При широкому трактуванні поняття захист інформації, яка в цьому випадку правильніше замінити на поєднання інформаційна безпека, до переліку заходів захисту повинні бути включені і фізичні заходи захисту.

Законодавчі заходи

Законодавчі заходи займають близько 5% обсягу коштів, що витрачаються на захист інформації. Це заходи однак замість розробки та практичного застосування законів, постанов, інструкцій і правил експлуатації, контролю як апаратного, так і програмного забезпечення комп'ютерних та інформаційних систем, включаючи лінії зв'язку, а також всі об'єкти інфраструктури, що забезпечують доступ до цих систем. У Росії діяльність в інформаційній сфері регулюють понад 1000 нормативних документів. Кримінальне переслідування за злочини в цій сфері здійснюється відповідно до гл. 28 Кримінального кодексу РФ "Злочини у сфері комп'ютерної інформації", що містить три статті.

  • 1. Стаття 272 - несанкціонований доступ до інформації. Несанкціонований доступ до інформації - порушення встановлених правил розмежування доступу з використанням штатних засобів, що надаються ресурсами обчислювальної техніки і автоматизованими системами (мережами). Відзначимо, що при вирішенні питання про санкционированности доступу до конкретної інформації необхідна наявність документа про встановлення правил розмежування доступу, якщо ці правила не прописані законодавчо.
  • 2. Стаття 273 - створення, використання і поширення (включаючи продаж заражених носіїв) шкідливих програм для ЕОМ, хоча перелік і ознаки їх законодавчо не закріплені. Шкідлива програма - спеціально створив або змінив існуюча програма, свідомо приводить до несанкціонованого знищення, блокування, модифікації або копіювання інформації, порушення роботи ЕОМ або їх мережі.
  • 3. Стаття 274 - порушення правил експлуатації ЕОМ, системи ЕОМ або їх мережі. Це - порушення роботи програм, баз даних, видача спотвореної інформації, а також нештатное функціонування апаратних засобів і периферійних пристроїв; порушення нормального функціонування мережі, припинення функціонування автоматизованої інформаційної систем в установленому режимі; збій в обробці комп'ютерної інформації.

Кримінальне переслідування за незаконні дії з загальнодоступною інформацією здійснюється відповідно до ст. 146 "Порушення авторських і суміжних прав" та 147 "Порушення винахідницьких і патентних прав" гл. 19 "Злочини проти конституційних прав і свобод людини і громадянина" Кримінального кодексу РФ.

Відповідальність за дотриманням співробітниками організації або компанії законодавчих заходів щодо захисту інформації Кожний працівник організації або компанії, а контроль за їх дотриманням - на керівника.

Фізичні заходи

Фізичні заходи (частка 15-20%) забезпечують обмеження фізичного доступу до комп'ютера, лінії зв'язку, телекомунікаційного обладнання і контроль доступу. Фізичні заходи захисту спрямовані на управління доступом фізичних осіб, автомобілів, вантажів в зону, що охороняється, а також на протидію засобів агентурної та технічної розвідки. Ці заходи включають: охорону периметра, території, приміщень; візуальне і відеоспостереження; упізнання людей та вантажів; ідентифікацію техніки; сигналізацію і блокування; обмеження фізичного доступу в приміщення.

Виділяють три основні макрофункції фізичного захисту (рис. 11.2):

  • • зовнішній захист;
  • • упізнання;
  • • внутрішню захист.

Перераховані кошти служать для виявлення загроз та оповіщення співробітників охорони або персоналу об'єкта про появу і наростанні загроз.

З 12 розбитих за функціональною ознакою груп більш детально розглянемо чотири групи, які використовують у своїй технічної реалізації власні комп'ютерні засоби або придатні для захисту самих робочих приміщень з комп'ютерами.

Охоронна сигналізація. Основний елемент сигналізації - датчики, здатні фіксувати зміна одного або декількох фізичних параметрів, характеристик.

Датчики класифікують за такими групами:

  • • об'ємні, що дозволяють контролювати простір приміщень, наприклад всередині комп'ютерних класів;
  • • лінійні, або поверхневі, для контролю периметрів територій, будівель, стін, прорізів (вікна, двері);
  • • локальні, або точкові, для контролю стану окремих елементів (закрито вікно або двері).

Датчики встановлюються як відкрито, так і приховано. Найбільш поширені:

• вимикачі (розмикачі), механічно або магнітним способом замикають (розмикаючих) управляю-

Основні макрофункції фізичного захисту

Мал. 11.2. Основні макрофункції фізичного захисту

щую електричний ланцюг при появі порушника. Бувають підлогові, настінні, на дотик;

  • • інфраакустіческіе, що встановлюються на металеві огорожі для уловлювання низькочастотних коливань, що виникають під час їх подолання;
  • • датчики електричного нуля, що складаються з випромінювача і декількох приймачів. Виконуються у вигляді натягнутих між стовпами проводів-кабелів. Зміна поля при появі порушника і фіксується датчиком;
  • • інфрачервоні датчики (випромінювач - діод або лазер), що використовуються для сканування поверхонь або обсягів приміщень. Теплова "фотографія" запам'ятовується і порівнюється з подальшою для виявлення факту переміщення об'єкта в об'ємі, що захищається;
  • • мікрохвильові - надвисокочастотний передавач і приймач;
  • • датчики тиску, що реагують на зміну механічної навантаження на середовище, в якому вони укладені або встановлені;
  • • магнітні датчики (у вигляді сітки), що реагують на металеві предмети, наявні у порушника;
  • • ультразвукові датчики, що реагують на звукові коливання конструкцій в області середніх частот (до 30 100 кГц);
  • • ємнісні, що реагують на зміну електричної ємності між підлогою приміщення і гратчастим внутрішнім огорожею при появі стороннього об'єкта.

Засоби оповіщення і зв'язку. Усілякі сирени, дзвінки, лампи, які подають постійний або переривчасті сигнали про те, що датчик зафіксував появу загрози. На великих відстанях використовують радіозв'язок, на малих - спеціальну екрановану захищену кабельну розводку. Обов'язкова вимога - наявність автоматичного резервування електроживлення засобів сигналізації.

Охоронне телебачення. Поширена фізичне засіб захисту. Головна особливість - можливість не тільки фіксувати візуально факт порушення режиму охорони об'єкта і контролювати обстановку навколо об'єкта, а й документувати факт порушення, як правило, за допомогою відеомагнітофона.

На відміну від звичайного телебачення, в системах охоронного ТВ монітор приймає зображення від однієї або декількох відеокамер, встановлених у відомому тільки обмеженому колу осіб місці (так зване закрите ТВ). Природно, що кабельні лінії для передачі сигналів охоронного ТБ не повинні бути доступні іншим особам, крім охорони. Монітори розташовуються в окремих приміщеннях, доступ до яких повинен бути обмежений.

Розглянуті вище три групи відносяться до категорії засобів виявлення вторгнення або загрози.

Природні ресурси протидії вторгненню. Сюди відносяться природні або штучні бар'єри (водні перешкоди, сильно пересічна місцевість, паркани, спецогражденія, особливі конструкції приміщень, сейфи, замикаються металеві ящики для комп'ютерів і т.п.).

Засоби обмеження доступу, до складу яких входить комп'ютерна техніка. Сюди відносяться біометричні чи інші, які використовують зовнішні по відношенню до комп'ютера носії паролів або ідентифікують кодів: пластикові карти, флеш-карти, таблетки Touch Memory та інші засоби обмеження доступу.

Біометричні засоби обмеження доступу. Особливість біометричних методів допуску складається в їх статистичної природі. У процесі перевірки об'єкта при наявності раніше запомненного коду пристрій контролю видає повідомлення за принципом "збігається" або "не збігається". У разі зчитування копії біологічного коду і його порівняння з оригіналом йдеться про ймовірність помилки, яка є функцією чутливості, роздільної здатності та програмного забезпечення контролюючого доступ приладу. Якість біометричної системи контролю доступу визначається наступними характеристиками:

  • • ймовірністю помилкового допуску "чужого" - помилка першого роду;
  • • ймовірністю помилкового затримання (відмови в допуску) "свого" легального користувача - помилка другого роду;
  • • часом доступу або часом ідентифікації;
  • • вартістю апаратної і програмної частин біометричної системи контролю доступу, включаючи витрати на навчання персоналу, встановлення, обслуговування та ремонт.

Велика частина біометричних засобів захисту реалізована на трьох компонентах: сканер (датчик) - перетворювач (сигнали датчика в цифровий код для комп'ютера) - комп'ютер (зберігач бази біометричних кодів - характеристик об'єкта, порівняння з прийнятою від датчика інформацією, прийняття рішення про допуск об'єкта або блокуванні його доступу).

В якості унікального біологічного коду людини в біометрії використовуються параметри двох груп.

Поведінкові, засновані на специфіці дій людини, - це тембр голосу, підпис, індивідуальна хода, клавіатурний почерк. Головний недолік поведінкових характеристик - тимчасова нестійкість, тобто можливість внесення суттєвих змін до згодом. Це в значній мірі обмежує застосування поведінкових характеристик як засобів обмеження доступу. Однак протягом відносно короткого тимчасового інтервалу вони застосовні як ідентифікують особу кошти. Приклад - фіксація клавіатурного почерку працює в процесі здійснення ним мережевої атаки і подальший (після затримання зловмисника) контрольний набір певного тексту бажано на вилученої у нього клавіатурі (краще на його ж комп'ютері).

Фізіологічні, що використовують анатомічну унікальність кожної людини, - райдужна оболонка ока, сітківка ока, відбитки пальців, відбиток долоні, геометрія кисті руки, геометрія особи, термограмма особи, структура шкіри (епітелію) на пальцях на основі ультразвукового цифрового сканування, форма вушної раковини, тривимірне зображення обличчя, структура кровоносних судин руки, структура ДНК, аналіз індивідуальних запахів. Справедливості заради відзначимо, що більша частина перерахованих біометричних засобів поки не виробляється в масових масштабах.

Пристрої біометричного контролю почали поширюватися в Росії ще до 2000 р Однак через високу ціну на російських ринках (десятки тисяч доларів за пристрій) подібна техніка була екзотикою. Сьогодні біометричні засоби доступні і мають стійкий попит в Росії. Інша причина - усвідомлення необхідності захисту від злочинності у нас в країні. Як показує досвід, складність застосовуваних пристроїв контролю допуску зростає. Раніше в Росії на режимних підприємствах застосовувалися замки з PIN-кодом, потім з'явилися магнітні пластикові картки, які необхідно було провести через спеціальні пристрої зчитування, ще пізніше - картки дистанційного зчитування. Досвід, в тому числі і російський, показує, що дані кошти ефективні тільки від випадкового відвідувача і слабкі при жорстких формах злочинності, коли викрадаються і паролі входу в інформаційну систему, і пластикові картки, чиниться тиск на окремих співробітників служб охорони і безпеки.

Рівень сучасної біометричного захисту досить високий: він виключає можливість злому навіть в ситуації, коли зловмисник намагається використовувати труп або вилучені органи. Можливість технічного злому бази еталонів або їх підміни на етапі ідентифікації, як правило, виключена: сканер і канали зв'язку сильно захищені, а комп'ютер додатково ізольований від мережі і не має навіть термінального доступу.

Відома компанія Identix, що займається автоматизованим дактилоскопічний обладнанням, пройшла реєстрацію в 52 країнах. Її серійно випускається устаткування вирішує такі ідентифікаційні завдання:

  • • контроль фізичного доступу в будівлю, на стоянки автомашин і в інші приміщення;
  • • контроль комп'ютерних станцій (серверів, робочих місць) та систем телекомунікацій;
  • • контроль доступу до сейфів, складах і т.п .;
  • • ідентифікація в електронній комерції;
  • • контроль членства в різних організаціях і клубах;
  • • паспортний контроль;
  • • видача і контроль віз, ліцензій;
  • • контроль часу відвідування;
  • • контроль транспортних засобів;
  • • ідентифікація кредитних і смарт-карт.

У табл. 11.1 зіставлені характеристики промислових біометричних систем контролю доступу.

Таблиця 11.1

Характеристики промислових біометричних систем контролю доступу

Модель

Принцип дії

Імовірність допуску "чужого *,%

Імовірність помилкового затримання "свого", %

Час ідентифікації, з

EyeDentify

параметри очі

0,001

0,4

1,5-4,0

Iriscan

параметри зіниці

0,00078

0,00046

2

Identix

Відбиток пальця

0,0001

1

0,5

StartekBioMet

Відбиток пальця

0,0001

1

1

Partners Recognition

геометрія руки

0,1

0,1

1

Обмежувачем поширення біометричних засобів контролю доступу в ряді країн виступає чинне на їх території законодавство. У Росії діє закон про персональні дані (Федеральний закон від 27 липня 2006 № 152-ФЗ "Про персональних даних", введений в дію з 26 січня 2007 року). Подібні закони існують в інших країнах, а в деяких відсутні. Стаття 11 "Біометричні персональні дані" зазначеного Закону не містить вичерпного переліку параметрів, які можна віднести до цих даних.

Безсумнівно, що створення нехай невеликих, локальних баз даних, що містять ідентифікує громадянина інформацію, має регулюватися законодавчо з обов'язковими заходами відповідальності за несанкціоноване розкриття або спотворення такої інформації.

Пластикові карти. Лідером серед переносних носіїв персональних ідентифікаційних кодів (PIN) і кодів фізичного доступу залишаються пластикові карти.

Пластикова карта являє собою пластину стандартних розмірів (85,6x53,9x0,76 мм), виготовлену з спеціальної стійкою до механічних і термічних дій пластмаси. Основна функція пластикової картки - забезпечення ідентифікації власника карти як суб'єкта системи фізичного доступу або платіжної системи. Па пластикову карту наносять:

  • • логотип банку-емітента (що випустив карту);
  • • логотип або назва платіжної системи, яка обслуговує карту;
  • • Ім'я тримача карти;
  • • номер його рахунку;
  • • термін дії.

Можуть бути фотографія, підпис власника і інші параметри.

Алфавітно-цифрові дані - ім'я, номер рахунку і інші можуть бути нанесені рельєфним шрифтом (ембосовані), що дозволяє при ручній обробці швидко перенести дані з карти на чек з допомогою імпринтера, що здійснює "прокатку" карти.

За принципом дії карти діляться на дві групи - пасивні і активні.

Пасивні карти тільки зберігають інформацію на носії, але не забезпечують її автономної обробки. Приклад - широко поширені в усьому світі карти з магнітною смугою на зворотному боці (три доріжки). Дві доріжки зберігають ідентифікаційні записи. На третю можна записувати, наприклад, поточне значення ліміту дебетової карти. Через невисоку надійності магнітного покриття зазвичай карти використовують тільки в режимі читання. При роботі з картою необхідно встановлення зв'язку між банком і банкоматом, що можливо тільки там, де добре розвинена інфраструктура зв'язку. Даний вид карт вразливий для шахрайства, тому системи Visa і MasterCard / Europay використовують додаткові засоби захисту карт - голограми і нестандартні шрифти для ембосування.

Активні пластикові карти містять вбудовану мікросхему і допускають різну ступінь обробки інформації без участі банку, що обслуговує платіжну систему. Типовий приклад - карти-лічильники і карти з пам'яттю. Але вони поступаються місцем інтелектуальним або смарт-картками, до складу яких входить не просто мікросхема, а спеціалізований процесор. Сама карта являє собою мікрокомп'ютер, здатний при підключенні до банкомату самостійно (без участі банку, тобто в режимі offline) проводити не тільки ідентифікацію клієнта, а й виконання ряду фінансових операцій: зняття грошей з рахунку, безготівкову оплату рахунків і товарів.

Хоча є випадки спотворення інформації, що зберігається в смарт-картах, а також порушення їх працездатності за рахунок впливу високої або низької температури, іонізуючого випромінювання здійснюватиме, даний вид карт має високу надійність і витісняє інші види карт.

Організаційні (адміністративні) заходи

Адміністративні заходи (частка 50-60%) включають:

  • • розробку політики безпеки стосовно конкретної інформаційної системи (які профілі, які паролі, які атрибути, які права доступу);
  • • розробку засобів управління безпекою (хто, коли і в якому порядку змінює політику безпеки);
  • • розподіл відповідальності за безпеку (хто і за що відповідає при порушенні політики безпеки);
  • • навчання персоналу безпечній роботі і періодичний контроль за діяльністю співробітників;
  • • контроль за дотриманням встановленої політики безпеки;
  • • розробку заходів безпеки на випадок природних або техногенних катастроф та терористичних актів.

Відповідальність за дотриманням в організації або компанії організаційних (адміністративних) заходів щодо захисту інформації лежить на керівнику, начальнику служби безпеки (інформаційної безпеки), системному (мережевому) адміністратора.

 
<<   ЗМІСТ   >>