Общая проблема информац безопасности ИС; защита инфы при реализации информац процессов (ввод, вывод, передача, обработка, накопление, хранение).

Актуальность и важность проблемы обеспеч-я безоп-ти ИТ обусловлены след. причинами:

-резкое увеличение вычисл-ой мощности соврем компов при одновременном упрощении их эксплуатации;

-резкое увеличение объемов инфы, накапл-мой, хранимой и обраб-мой с помощью компов и др. средств автомат-ции;

-сосредоточение в единых БД инфы различ назначения и различ принадлежности;

-высокие темпы роста парка ПК, нах-хся в эксплуатации в самых разных сферах деят-ти;

-резкое расширение круга пользователей, имеющих непосредственный доступ к вычисл. ресурсам и массивам данных;

-бурное развитие программных ср-в,не удовл-щих даже min требованиям безоп-ти;

-повсеместное распространение сетевых техн-ий и объединение локальных сетей в глобальные;

-развитие глобальной сети Internet, практически не препятствующей нарушениям без-ти сис-м обработки инфы во всем мире.


высокие темпы роста парка персональных компьютеров (ПК), применяемых в разных сферах деятельности, и как следствие, резкое расширение круга пользователей, имеющих непосредственный доступ к вычислительным сетям и информационным ресурсам;

увеличение объемов информации, накапливаемой, хранимой и обрабатываемой с помощью ПК и других средств автоматизации;

бурное развитие аппаратно-программных средств и технолгий, не соответствующих современным требованиям безопасности;

несоответствие бурного развития средств обработки информации и проработки теории ИБ разработки международных стандартов и правовых норм, обеспечивающих необходимый уровень защиты информации (ЗИ);

повсеместное распространение сетевых технологий, создание единого информационно-коммуникационного мирового пространства на базе сети Интернет, которая по своей идеологии не обеспечивает достаточного уровня ИБ.

Указанные выше факторы создают определенный спектр угроз ИБ на уровне личности, общества и государства. Средством нейтрализации значительной их части является формирование теории ИБ и методологии защиты информации.


Безопасность ИС— это ее защищенность от случайного или преднамеренного вмешательства в норм. процесс ее ф-ционирования, а также от попыток хищения, изменения или разрушения ее компонентов. Доступ к инфе — это ознакомление с инфой, ее обработка, в частности копирование, модификация или уничтожение инфы.

Санкционированный доступ к инфе - это доступ к инфе, не нарушающий установленные правила разграничения доступа.

НСД (несанкционированный доступ) к инфе хар-ся нарушением установленных правил разграничения доступа. Лицо или процесс, осущ-щие несанкц-ный доступ к инф-ции, явл-ся нарушителями правил разграничения доступа. Несанкц-ный доступ явл-ся наиболее распр-ным видом комп нарушений. Конфиденциальность данных - это статус, предоставляемый данным и определяющий требуемую степень их защиты. По существу конфиденциальность инфцы - это св-во инфы быть известной только допущенным и прошедшим проверку (авторизированным) субъектам сис-мы (пользователям, процессам, прогам). Для остальных субъектов сис-мы эта инфа д.б. неизвестной. Субъект - это активный компонент сис-мы, кот. может стать причиной потока инфы от объекта к субъекту или изменения сост-я сис-мы. Объект - пассивный компонент сис-мы, хранящий, принимающий или передающий инфу. Доступ к объекту означает доступ к содерж-ся в нем инфы. Целостность инфы обесп-ся в том случае, если данные в сис-ме не отличаются в семантическом отн-нии от данных в исходных док-тах, т.е. если не произошло их случайного или преднамеренного искажения или разрушения. Целостность компонента или ресурса сис-мы - это св-во компонента или ресурса быть неизменными в семантическом смысле при функц-нии сис-мы в усл-ях случайных или преднамеренных искажений или разрушающих воздействий.

Доступность компонента или ресурса сис-мы - это св-во компонента или ресурса быть доступным для авторизованных з-нных субъектов сис-мы. Под угрозой безоп-ти ИС понимаются возможные воздействия на ИС, кот прямо или косвенно могут нанести ущерб ее безопасности. Ущерб безоп-ти подразумевает нарушение сост-я защищенности инфы, содержащейся и обрабатывающейся в ИС. С понятием угрозы безоп-ти тесно связано понятие уязвимости ИС. Уязвимость ИС - это некотор неудачное св-во сис-мы, кот делает возможным возник-ние и реализацию угрозы.

Атака на комп сис-му - это действие, предпринимаемое злоумышленником, кот заключается в поиске и использовании той или иной уязвимости сис-мы. Т.о, атака - это реализация угрозы безоп-ти.

Простейший способ защиты электронных док-тов-файлов – их шифрование. Шифрование - это процесс преобразования открытых данных в закрытые (зашифрованные) по опред криптографическому алгоритму с использованием секретного ключевого эл-та – ключа шифрования. Соотв-но, для последующего расшифрования зашифрованного файла к нему необходимо применить обратную криптограф. процедуру – расшифрование. Намного удобнее и безопаснее сис-мы,позволяющие выполнять данные операции автоматически – сис-мы прозрачного шифрования данных.Но стоит рассмотреть след. послед-сть действий злоумышленника:

1. Некий злоумышленник имеет доступ к компу, на кот. обраб-ся конфиденциал инфа.

2. Злоумышленник создает небольшой программный модуль,кот. отслеживает обращения к ключевой дискете, перехватывает и фиксирует (записывает) где-либо ключевую инфу.

3.При след. своем визите на чужой комп злоумышленник, используя получ. ключи, получает доступ ко всей конфиденц. инфе.

Защита ключевой инфы паролем в этом случае не спасает, т.к. пароль можно аналогич образом перехватить при его вводе. Отсюда следует, что реш-е задачи защиты конфиденциальности инфы с помощью сис-м прозрачного шифрования не явл-ся абсолютно надежным. Использование сис-мы прозрачного шифрования должно сопровождаться 1 из след. мер:

1. Организованные мероприятия по разграничению доступа на комп, напр-р, ограничение доступа посторонних лиц в помещения, в кот стоят компы, содержащие важную инфу.

2. Использование сис-мы ограничения доступа к компу.

3. Использование аппаратного шифратора вместо программного,обеспечивающего прямой ввод ключей в устр-во. Наиб.надежную сис-му ограничения доступа м. построить только с использованием какого-либо аппаратного средства, кот. содержит некую программную среду, гарантированно свободную от навязанного злоумышленником ПО для перехвата ключевой инфы (так называемых “закладок”). В этом случае при загрузке компа,до загрузки непосредственно ОС ,аппаратное средство ограничения доступа (СОД) перехватывает управление.

Использование аппаратного шифратора позволяет, в отличие от программного, загружать ключи шифрования с какого-либо нестандартного ключевого носителя (смарт-карты, электронной таблетки Touch Memory, USB-ключа eToken …) непосредственно в устройство шифрования, где они в дальнейшем useся для шифрования данных. В этом случае ключи шифрования не появляются ни на шине данных, ни в оператив памяти компа, соответственно, возможность их перехвата отсутствует.

Но, этот путь также не дает 100%-ной защищенности, т.к. целью внедрения закладки злоумышленника в этом случае могут являться непосредственно обрабатываемые на компе док-ты.

Max защищенности данных м. добиться путем одновременного использования СОД и аппаратного шифратора.

Производители аппаратных средств защиты инфы обычно объединяют возможности аппаратного шифрования и ограничения доступа в одном устройстве криптографич защиты данных (УКЗД).

Эти компоненты обеспечивают 100%-ную защиту данных в том случае, если комп не подключен к какой-либо сети. При подключении компа к сети возникает опасность проникновения на него злоумышленника через сеть и внедрения закладок. Производить контроль целостности всех файлов ОС Windows с помощью СОД исключительно сложно, т.к. в процессе загрузки ОС Windows участвуют сотни файлов ОС, динимич библиотек, драйверов и т. д. Более разумный способ – ограничение доступа на комп через сеть.

Организовать защиту данных при подключении компьютера к сети можно с помощью двух методов: туннелирования и фильтрации.

Алгоритм их применения след :

1. При отправке по сети информац пакета производится автоматическое (“прозрачное”) зашифрование обл-ти данных пакета.

2. Пакет отправляется в зашифрованном виде.

3. При получении зашифрованного пакета адресатом производится анализ заголовка, если пакет пришел от несанкционированного отправителя, то он не обрабатывается.

4. В противном случае производится расшифрование обл-ти данных пакета.

Данный алгоритм решает 2 основные задачи:

1. Недопущение несанкционированного входа на комп путем фильтрации приходящих информац пакетов и отбрасывания тех из них, кот пришли из несанкционированных источников.

2. Передача по сети только зашифрованных данных путем прозрачного шифрования всех передаваемых в сеть пакетов (и, соответственно, расшифрования). Создается “туннель” между общающимися по сети легальными пользователями.

Шифрование в данном применении м. производиться на ключах парной связи, являющихся уникальными для кажд пары абонентов (компов) такой криптографической сети. Это приводит к тому, что даже легальный абонент криптографической сети не сможет расшифровать данные пакета, предназначенного не ему.

Туннелирование и фильтрация информац пакетов useся для построения виртуальных защищенных сетей (VPN). VPN необходимы везде, где требуется организация защищенного электронного док-тооборота между различ организациями или внутри 1 территориально распределенной организации. В этом случае удобно use для защиты внутренней локальной сети (ЛВС) и для защиты передаваемых данных компьютер, используемый для выхода в сеть общего пользования (напр-р, Internet). Такой компьютер оснащается средством туннелирования и фильтрации и защищает всю находящуюся за ним ЛВС от возможных атак из Internet.

Везде, где есть электронный док-тооброт, сущ-ет проблема установления и подтверждения авторства того или иного документа-файла (что особенно важно, например, для платежных документов). Данная проблема решается применением электронной цифровой подписи (ЭЦП). ЭЦП позволяет с помощью криптографич методов установить авторство и целостность электронного док-та. При формировании ЭЦП также useся секретный ключевой эл-т, являющийся уникальным для кажд из абонентов, участвующих в электронном документообороте. С помощью данного ключа и текста подписывамого док-та вычисляется уникальная послед-ть данных, посылаемая вместе с док-том для последующей проверки при получении. Рез-т проверки: инфа о лице, поставившем ЭЦП и точное опред-е факта, был ли модифицирован док-т в процессе его передачи.

Все средства защиты инфы обеспечивают полную защиту только в случае их грамотного использования и совокупности организационных мер, направленных на обеспеч-е недоступности несанкционированным лицам ключевой инфы, контроля всех попыток несанкционированного доступа к защищаемой инфе и оперативного реагирования на них.

Защита данных при накоплений хранении – резервное копирование

Защита данных при передаче – шифрование

Защита данных при обработке – аутентификация, ЭЦП