12.2. Засоби та методи захисту інформації
# Система захисту 1С - це єдина сукупність правових і морально-етичних норм, організаційних, технологічних і програмно-технічних засобів, направлених на протидію загроз інформації і системи у цілому, з метою зведення до мінімуму втрат інформації.
У фінансових установах існує два підходи до захисту інформації:
& Автономний - направлений на захист конкретної дільниці або частини інформаційної системи, яка як правило є найбільш вразливою або може бути джерелом зловживань.
•=> Комплексний - захищає інформаційну систему в цілому, всі її складові частини, приміщення, персонал тощо.
Важливим елементом попередження комп'ютерних злочинів у фінансовій діяльності стає застосування сучасних технічних засобів захисту інформації (під захистом розуміється обмеження доступу чи використання всієї або частини комп'ютерної системи). У Положенні про технічний захист інформації в Україні зазначено: технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки спрямовано на запобігання порушенню цілісності інформації з обмеженим доступом та її просочення шляхом:
> несанкціонованого доступу;
> приймання й аналізу побічних електромагнітних випромі
нювань і наводок;
> використання закладних пристроїв;
> впровадження комп'ютерних вірусів та іншого впливу.
Технічний захист інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки, призначених для формування, пересилання, приймання, перетворення, відображення та зберігання інформації, забезпечується комплексом конструкторських, організаційних, програмних і технічних заходів на всіх етапах їх створення й експлуатації.
Основними методами та засобами технічного захисту інформації з обмеженим доступом в автоматизованих системах і засобах обчислювальної техніки є:
• використання захищеного обладнання;
• регламентування роботи користувачів, технічного персоналу,
програмних засобів, елементів баз даних і носіїв інформації з обмеженим
доступом (розмежування доступу);
• регламентування архітектури автоматизованих систем і засобів
обчислювальної техніки;
• інженерно-технічне оснащення споруд і комунікацій, призначених для
експлуатації автоматизованих систем і засобів обчислювальної техніки;
• пошук, виявлення і блокування закладних пристроїв.
До основних засобів захисту інформації можна віднести такі: ^фізичні засоби, <=> апаратні засоби, <=> програмні засоби, ■=> апаратно-програмні засоби, ■=> криптографічні та ■=>організаційні методи.
•0 Фізичні засоби захисту - це засоби, необхідні для зовнішнього захисту засобів обчислювальної техніки, тераторіїта об'єктів на базі ПК, які спеціально призначені для створення фізичних перешкод на можливих шляхах проникнення і доступу потенційних порушників до компонентів інформаційних систем та інформації, що захищаються.
Найпростіший і надійний спосіб захисту інформації від загроз несанкціонованого доступу (НСД) - режим автономного використання ПК одним користувачем у спеціально виділеному приміщенні при відсутності сторонніх осіб. У цьому випадку роль замкненого контуру захисту виконує виділене приміщення, а фізичний захист- вікна, стіни, підлога, стеля, двері. Якщо стіни, стеля, підлога і двері міцні, підлога не має люків, які з'єднуються з іншими приміщеннями, вікна і двері обладнані охоронною сигналізацією, то стійкість захисту буде визначатись технічними характеристиками охоронної сигналізації при відсутності користувача в неробочий час.
У робочий час, коли ПК працює, можливий витік інформації каналами побічного електромагнітного випромінювання. Для усунення такої загрози здійснюються спеціальні дослідження щодо апаратих засобів та їх випромінювання, основним змістом яких є атестування та категорування засобів і об'єктів електронно-обчислювальної техніки (EOT) з видачею відповідного дозволу на експлуатацію. Крім того, двері приміщення повинні бути обладнані механічним або електромеханічним замком. У деяких випадках, коли відсутня охоронна сигналізація, на період тривалої відсутності користувача ПК для підвищення безпеки доцільно системний блок і машинні носії інформації зберігати в сейфі. Використання в деяких ЕОМ у системі вводу-виводу BIOS апаратного паролю, що блокує завантаження і роботу ПК, не зовсім надійно забезпечує захист від загроз НСД, оскільки при відсутності на корпусі системного блоку механічного замка та самого власника-користувача апаратна частка BIOS-носія паролю може бути замінена на іншу таку ж, оскільки вузли BIOS уніфіковані, але вже з відомим значенням паролю. Саме тому механічний замок, що блокує вмикання і завантаження ПК, найбільш ефективний захід у цьому випадку.
Спектр сучасних фізичних засобів захисту дуже широкий. До цієї групи засобів захисту належать також різні засоби екранування робочих приміщень та каналів передачі даних.
Ф Апаратні засоби захисту - це різні електронні, електронно-механічні та інші пристрої, які вмонтовуються в серійні блоки електронних систем обробки і передачі даних для внутрішнього захисту засобів обчислювальної техніки: терміналів, пристроїв введення та виведення даних, процесорів, ліній зв 'язку тощо.
Основні функції апаратних засобів захисту:
> заборона несанкціонованого (неавторизованого) зовнішнього
доступу віддаленого користувача;
> заборона несанкціонованого (неавторизованого) внутрішнього
доступу до баз даних в результаті випадкових чи умисних дій
персоналу;
> захист цілісності програмного забезпечення.
Ці функції реалізуються шляхом:
•=> ідентифікації суб'єктів (користувачів, обслуговуючого персоналу) і об'єктів (ресурсів) системи;
о аутентифікації суб'єкта за наданим ним ідентифікатором;
•=> перевірки повноважень, яка полягає в перевірці дозволу на певні види робіт;
•=> реєстрації (протоколювання) при звертаннях до заборонених ресурсів;
& реєстрації спроб несанкціонованого доступу.
Реалізація цих функцій здійснюється за допомогою застосування різних технічних пристроїв спеціального призначення. До них, зокрема, належать:
> джерела безперебійного живлення апаратури, а також:
пристрої стабілізації, що оберігають від стрибкоподібних пере
падів напруги і пікових навантажень у мережі електроживлення;
> пристрої екранування апаратури, ліній зв 'язку та приміщень,
в яких знаходиться комп 'ютерна техніка;
> пристрої ідентифікації і фіксації терміналів і користувачів при
спробах несанкціонованого доступу до комп 'ютерної мережі;
> засоби захисту портів комп 'ютерної техніки тощо.
Засоби захисту портів виконують декілька захисних функцій, а саме:
Ч> "звірка коду ". Комп'ютер захисту порту звіряє код санкціонованих користувачів з кодом у запиті;
Ч> "камуфляж". Деякі засоби захисту портів камуфлюють існування портів на лінії телефонного зв'язку шляхом синтезування людського голосу, який відповідає иа виклик абонента;
*Ь "дзвінок назустріч". У пам'яті засобу захисту портів зберігаються не тільки коди доступу, але й ідентифікаційні номери телефонів;
"^ ведення автоматичного "електронного журналу" доступу в комп'ютерну систему з фіксацією основних дій користувача.
Програмні засоби захисту необхідні для виконання логічних і інтелектуальних функцій захисту, які вмонтовані до складу програмного забезпечення системи.
З допомогою програмних засобів захисту реалізуються наступні задачі безпеки:
> контроль завантаження та входу в систему за допомогою
системи паролів;
Р розмежування і контроль прав доступу до системних ресур-сів, терміналів, зовнішніх ресурсів, постійних та тимчасових наборів даних тощо;
> захист файлів від вірусів;
> автоматичний контроль за роботою користувачів шляхом
протоколювання їх дій.
|| 0 Апаратно-програмні засоби захисту - це засоби, які основані на 11 синтезі програмних та апаратних засобів.
Ці засоби широко використовуються при аутентифікації користувачів автоматизованих банківських систем. Аутентифікація - це перевірка ідентифікатора користувача перед допуском його до ресурсів системи. Аутентифікація -це ідентифікація користувача в системі з допомогою його імені або псевдоніма, що приймає участь в реєстраційній процедурі та пароля доступу, що відомий лише користувачу. Пароль - це код (набір символів), що забезпечує доступ до систем, файлів, апаратних засобів, тощо. Апаратно-програмні засоби захисту використовуються також при накладанні електронно-цифрових підписів відповідальних користувачів. Найпоширенішим в автоматизованих банківських системах є використання смарт-карт, які містять паролі та ключі користувачів.
Організаційні заходи захисту засобів комп'ютерної інформації складають сукупність заходів щодо підбору, перевірки та навчання персоналу, який бере участь у всіх стадіях інформаційного процесу.
Досвід зарубіжних країн свідчить про те, що найефективнішим захистом інформаційних систем є введення до штату організації посади фахівця з комп'ютерної безпеки або створення спеціальних служб, як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу (служби) в банківській структурі, за оцінками зарубіжних фахівців, удвічі знижує ймовірність вчинення злочинів у сфері використання комп'ютерних технологій.
Згідно законодавства України, у державних установах та організаціях можуть створюватись підрозділи, служби, які організують роботу, пов'язану із захистом інформації, підтримкою рівня захисту інформації в автоматизованих системах і несуть відповідальність за ефективність захисту інформації. Зазначимо, що ця норма за характером не є обов'язковою, а рекомендованою. З її змісту в поєднанні з іншими нормами Закону "Про захист інформації в автоматизованих системах" витікає, що захист інформації в автоматизованих системах є обов'язковою функцією, проте необов'язково під цю функцію може створюватися окрема функціональна організаційна структура. Ця функція може бути складовою іншої організаційної структури, тобто здійснюватися у поєднанні з іншими функціями.
Однак в банківських установах створення спеціальних структур для захисту інформації, фінансової безпеки є обов'язковим. В них мають бути створені спеціальні відділи комп'ютерної безпеки в рамках діючих служб економічної безпеки та фізичного захисту, діяльністю яких має керувати один із спеціально призначених для цих цілей заступник начальника служби безпеки, який має у своєму розпорядженні відповідні людські, фінансові і технічні ресурси для вирішення поставлених завдань.
До функціональних обов'язків таких осіб (структурних підрозділів) має входити здійснення, передусім, таких організаційних заходів:
^забезпечення підтримки з боку керівництва конкретної організації вимог захисту засобів комп 'ютерної техніки;
^розробка комплексного плану захисту інформації;
<=> визначення пріоритетних напрямів захисту інформації з урахуванням специфіки діяльності організації;
^складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану
керівництвом організації;
°> визначення відповідальності співробітників організації за безпеку інформації в межах встановленої компетенції шляхом укладення відповідних договорів між співробітником та адміністрацією;
& розробка, впровадження і контроль за виконанням різного роду інструкцій, правил та наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з секретними (конфіденційними) даними тощо;
•=>розробка ефективних заходів боротьби з порушниками захисту засобів комп 'ютерної техніки.
Надійним засобом підвищення ефективності заходів інформаційної безпеки є навчання та інструктаж працюючого персоналу щодо організаційно-технічних заходів захисту, які застосовуються в конкретній організації. Крім цього, обов'язково мають бути реалізовані наступні організаційні заходи:
Рдля всіх осіб, що мають право доступу до засобів комп 'ютерноїтехніки, потрібно визначити категорії допуску, тобто коло службових інтересів коленої особи, види інформації, до яких вона має право доступу, а також: вид такого дозволу, правомочність особи, яка уповноважується для здійснення тих або інших маніпуляцій з засобами комп 'ютерноїтехніки;
Р слід визначити адміністративну відповідальність за збереження і санкціонування доступу до інформаційних ресурсів. При цьому, за кожний вид ресурсів відповідальність повинна нести одна конкретна особа;
> налагодити періодичний системний контроль за якістю захисту
інформації шляхом проведення регламентних робіт як особою, відповідальною
за безпеку, так і залученням компетентних фахівців (експертів) з інших
організацій;
> провести класифікацію інформації відповідно до Ті важливості,
диференціювати на основі цього заходи захисту; визначити порядок охорони
та знищення інформації;
> організувати фізичний захист засобів комп'ютерної техніки.
Криптографічні методи захисту. З метою захисту інформації при
її передачі зазвичай використовують різні методи шифрування даних перед їх введенням до каналу зв'язку або на фізичний носій з наступною розшифровкою. Методи шифрування дозволяють досить надійно захищати комп'ютерну інформацію від злочинних посягань.
Застосування криптографічного захисту, тобто кодування тексту з допомогою складних математичних алгоритмів, завойовує все більшу популярність. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо. Основні криптографічні методи захисту:
Ъ шифрування з допомогою датчика псевдовипадкових чисел, яке полягає в тому, що генерується гамма шифру за допомогою датчика псевдовипадкових чисел і накладається на відкриті дані з врахуванням зворотності процесу;
^> шифрування з допомогою криптографічних стандартів шифрування даних (з симетричною схемою шифрування), в основі якого використовуються перевірені і випробувані алгоритми шифрування даних з великою криптостійкістю;
*Ь шифрування з допомогою пари ключів (з асиметричною системою шифрування), в яких один ключ є відкритим і використовується для шифрування інформації, другий ключ - закритим і використовується для розшифрування інформації.
Потужним та дієвим є примінення для захисту інформації крипто-захисту, тобто систем, що дозволяють шифрувати та дешифрувати інформаційні потоки. Традиційна криптографія виходила з того, що для шифрування та дешифрування використовувся один і той же секретний ключ, який мав мати відправник повідомлення і отримувач. Одним з поширених, сьогодні, методів шифрування є алгоритм RSA, в основі якого кожен учасник процесу має власний таємний ключ та відкритий ключ, що не є секретним з допомогою якого проводиться обмін повідомленнями. Електронний цифровий підпис (ЕЦП) - це аналог власного підпису посадової особи в електронному вигляді.
Криптографічні методи захисту інформації широко використовуються в автоматизованих банківських системах і реалізуються у вигляді апаратних, програмних чи програмно-апаратних методів захисту. Використовуючи шифрування повідомлень в поєднанні з правильною установкою комунікаційних засобів, належними процедурами ідентифікації користувача, можна добитися високого рівня захисту інформаційного обміну.
Криптографія є одним з найкращих засобів забезпечення конфіденційності і контролю цілісності інформації. Вона займає центральне місце серед програмно-технічних регулювальників безпеки, є основою реалізації багатьох з них і, в той же час, останнім захисним рубежем.
Підводячи підсумки, слід підкреслити, що деякі фахівці з банківської безпеки пов'язують надійність фінансових інформаційних систем з засобами їх зовнішнього захисту, тобто системою паролів для входу не тільки у саму комп'ютерну мережу, а й до різних рівнів інформації системи, залежно від допуску користувачів. Коло працівників, які за технологією виконання банківських операцій мають доступ до широкого діапазону такої інформації, дуже великий. Тому система захисту, яка базується на кодуванні входів до різних видів інформації, малоефективна. Потрібно знайти принципово нові підходи для розробки та впровадження відносно надійних систем захисту банківської діяльності від комп 'ютерних злочинів. Така система повинна будуватися згідно із технологією банківського документообігу та особливостями форм розрахунково-кредитних операцій.