Защита информации. Защита информации — комплекс мероприятий, направленных на предотвращение утечки, утраты или повреждения информации

Защита информации — комплекс мероприятий, направленных на предотвращение утечки, утраты или повреждения информации, ограничение ее распространения и доступа к ее носителям.

Содержанием защиты информации является:

— определение состава защищаемой информации, в том числе по целевым и функциональ-ным подсистемам организации;

— определение источников и потребителей защищаемой информации, регламентацию свя-зей между ними;

— определение правил и процедур формализации защищаемой информации;

— выбор и обоснование носителей защищаемой информации для выполнения тех или иных операций с ней с учетом не только удобств пользователей, но и с учетом степени их доступности для несанкционированного получения.

— выбор и обоснование технических средств для информационного обеспечения предпри-ятия (фирмы) защищаемой информацией;

— разработка (применение) методов выполнения операций с защищаемой информацией, обеспечивающих минимизацию ее утраты или утечки;

— разработка инструкций, регламентирующих процедуры обращения с защищаемой инфор-мацией.

Меры по защите информации должны учитывать: вид информации в зависимости от знако-вой системы, в зависимости от носителя, в зависимости от степени конфиденциальности; характер помещения, где хранятся или находятся ее носители; характер действий с ней: обработка, хране-ние, создание, отображение, передача; особенности систем и средств, предназначенных для ее хранения, обработки, создания, отображения и передачи и т. п. Важно выявить и изолировать тех-нические устройства несанкционированного съема информации. В помещении источником ин-формации могут стать батареи центрального отопления и водопроводные трубы, электрические розетки, компьютер, окна, стены, потолок, пол. На все возможные источники утечки информации необходимо ставить глушители.

В общем случае защита информации организуется по трем направлениям:

— защита массивов информации, предполагает организацию защиты носителей информации

вещественного типа при их хранении;

— защита потоков информации, предполагает организацию защиты носителей информации вещественного и энергетического типов при их передаче;

— защита процессов и средств получения (добывания), преобразования (переработки), ото-бражения, хранения и передачи информации; предполагает защиту технологии выполнения пер-вых двух операций.

Средства защиты информации.

К аппаратным средствам защиты относятся различные электронные, электронно-механические, электронно-оптические устройства.

К программным средствам защиты относятся специальные программы, предназначенные для выполнения функций защиты и включаемые в состав программного обеспечения систем обработ-ки данных. Программная защита является наиболее распространенным видом защиты, чему спо-собствуют такие положительные свойства данного средства, как универсальность, гибкость, про-стота реализации, практически неограниченные возможности изменения и развития и т. п.

Резервное копирование информации заключается в хранении копии информационных масси-вов на носителе: стримере, гибких носителях, оптических дисках, жестких дисках. Резервное ко-пирование проводится для сохранения данных от повреждений и для хранения редко используе-мых файлов.

Криптографическое закрытие (шифрование) информации заключается в таком преобразова-нии защищаемой информации, при котором по внешнему виду нельзя определить содержание за-крытых данных. Криптографической защите специалисты уделяют особое внимание, считая ее наиболее надежной, а для информации, передаваемой по линии связи большой протяженности — единственным средством защиты информации от хищений.

Физические способы защиты информации, заключающиеся в прекращении или ограничении физического доступа к информации. Это различные устройства и сооружения, а также мероприя-тия, которые затрудняют или делают невозможным проникновение в места, в которых можно иметь доступ к защищаемой информации.

Следующим классом мер защиты информации являются организационные мероприятия. Это нормативно-правовые акты регламентирующие процессы функционирования системы обработки данных, использование ее устройств и ресурсов, а также взаимоотношение пользователей и систем таким образом, что несанкционированный доступ к информации становится невозможным или существенно затрудняется. Характерно, что что возможности несанкционированного использова-ния информации в значительной мере обуславливаются нетехническими аспектами: злоумышлен-ными действиями, нерадивостью или небрежностью пользователей или персонала систем обра-ботки данных. Влияние этих аспектов практически невозможно избежать или локализовать с по-мощью выше рассмотренных аппаратных и программных средств, криптографического закрытия информации и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

Средства защиты информации можно также подразделить на следующие категории.

— средства собственной защиты, которые включают в себя документацию, машинный код, техническое сопровождение, авторское право и заказное проектирование;

— средства защиты в составе вычислительной системы, включающие защиту магнитных дисков, специальную аппаратуру, замки защиты и изменение функций приборов;

— средства защиты с запросом информации, включающие пароли, шифры, проверку сигна-тур, генератор случайных чисел;

— средства активной защиты, включающие замки защиты, искаженные программы, сигналы тревоги, запуск по особым ключам, а также авторскую эстетику, внесенную в защищаемую ин-формацию ее автором;

— средства пассивной защиты, включающие идентификациу программ, частотный анализ, корреляционный анализ, «родимые пятна» (водяные знаки) и устройства контроля.

Одним из наиболее распространенных методов защиты информации является шифрование (криптография), относящийся к классу средств защиты с запросом информации. Шифрованием (encryption) называют процесс преобразования открытых данных в зашифрованные или зашифро-

ванных данных в открытые по определенным правилам с применением ключей. С помощью крип-тографических методов возможно:

— шифрование информации;

— реализация электронной подписи;

— распределение ключей шифрования;

— защита от случайного или умышленного изменения информации.

Примеры криптографических алгоритмов: Lucipher, DES, FEAL-1, B-Crypt, IDEA, ГОСТ 28147-89, ElGamal.

Алгоритм RSA разработан в 1977 году в Массачусетском технологическом институте (США). Получил название по первым буквам фамилий авторов (Rivest, Shamir, Adleman). Крипто-стойкость основана на вычислительной сложности задачи разложения большого числа на простые множители. Один из наиболее стойких алгоритмов, для вскрытия шифра достаточной длины на современной технике требуются тысячи лет. Он относится к асимметричным алгоритмам, то есть для зашифровки и расшифровки информации требуется пара ключей. Для кодирования использу-ется один ключ, для раскодирования — другой. При этом имея один ключ, невозможно получить другой.