Введение
Проблема защиты информации от постороннего доступа и нежелательных воздействий на нее возникла давно, с той поры, когда человеку по каким-либо причинам не хотелось делиться ею ни с кем или не с каждым человеком. С развитием человеческого общества, появлением частной собственности, государственного строя, борьбой за власть и в дальнейшем расширением масштабов человеческой деятельности информация приобретает цену. Ценной становится та информация, обладание которой позволит ее существующему и потенциальному владельцу получить какой-либо выигрыш: материальный, политический и т.д.
В современной российской рыночной экономике обязательным условием успеха предпринимателя в бизнесе, получения прибыли и сохранения в целостности созданной им организационной структуры является обеспечение экономической безопасности его деятельности. Одна из главных составных частей экономической безопасности - информационная безопасность, достигаемая за счет использования комплекса систем, методов и средств защиты информации предпринимателя от возможных злоумышленных действий конкурентов и с целью сохранения ее целостности и конфиденциальности.
Изменения, происходящие в экономической жизни России – создание финансово-кредитной системы, предприятий различных форм собственности оказывают существенное влияние на вопросы защиты информации.
В частности, к этой ситуации относится факт хищения технической и деловой информации. Как правило, это хищение связано с потерей стратегически важной информации, способной привести фирму к банкротству. Это хищение можно квалифицировать как преступление, так как ведет к потере материальных и финансовых ценностей.
Ответственность за защиту информации лежит на низшем звене руководства. Но также кто-то должен осуществлять общее руководство этой деятельностью, поэтому в организации должно иметься лицо в верхнем звене руководства, отвечающее за поддержание работоспособности информационных систем.
«Безопасность» необходимо рассматривать как качество развития мер безопасности, которые направлены на предотвращение внутренних и внешних угроз.
В этой связи становится актуальным рассмотреть вопрос, касающийся защиты документированной информации от несанкционированного доступа, выявить основные способы защиты информации.
Глава 1. Защита от несанкционированного доступа к информации. Термины и определения
Шифр – последовательность операций, проводимых над открытыми (закрытыми) данными и ключом с целью получения закрытой (открытой) последовательности.
Ключ – конкретное для каждого нового кода значение каких-нибудь характеристик алгоритма криптографической защиты.
Гамма шифра – это некоторая псевдослучайная последовательность заданной длины, используемая для шифрования.
Гаммирование – процесс наложения гаммы шифра на открытые данные.
Зашифровывание – процесс преобразования открытых данных в закрытые с помощью шифра и ключа.
Расшифровывание – процедура преобразования закрытых данных в открытые с помощью шифра и ключа.
Шифрование – зашифровывание и (или) расшифровывание.
Дешифрование – совокупность действий по преобразованию закрытых данных в открытые без знания ключа и (или) алгоритма зашифровывания.
Имитозащита – защита от ложной информации. Осуществляется по собственным алгоритмам, с помощью выработки имитовставки.
Имитовставка – последовательность данных определенной длины, полученных специальными методами гаммирования из открытых исходных данных. Содержимое имитовставки является эталоном для проверки всей остальной информации.
Доступ к информации (Accesstoinformation) - ознакомление с информацией, ее обработка, в частности, копирование, модификация или уничтожение информации.
Правила разграничения доступа (Securitypolicy) - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.
Санкционированный доступ к информации (Authorizedaccesstoinformation) - Доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (Unauthorizedaccesstoinformation) - доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Защита от несанкционированного доступа (Protectionfromunauthorizedaccess) - предотвращение или существенное затруднение несанкционированного доступа.
Субъект доступа (Accesssubject) - лицо или процесс, действия которых регламентируются правилами разграничения доступа.
Объект доступа (Accessobject) - единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа.
Матрица доступа (Accessmatrix) - таблица, отображающая правила разграничения доступа.
Уровень полномочий субъекта доступа (Subjectprivilege) - совокупность прав доступа субъекта доступа.
Нарушитель правил разграничения доступа (Securitypolicyviolator) - субъект доступа, осуществляющий несанкционированный доступ к информации.
Модель нарушителя правил разграничения доступа (Securitypolicyviolater'smodel) - абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа.
Комплекс средств защиты (Trustedcomputingbase) - совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации.
Система разграничения доступа (Securitypolicyrealization) - совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах.
Идентификатор доступа (Accessidentifier) - уникальный признак субъекта или объекта доступа.
Идентификация (Identification) - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Пароль (Password) - идентификатор субъекта доступа, который является его (субъекта) секретом.
Аутентификация (Authentication) - проверка принадлежности субъекту доступа предъявленного им идентификатора, подтверждение подлинности.
Защищенное средство вычислительной техники (Trustedcomputersystem) - средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты.
Средство защиты от несанкционированного доступа (Protectionfacility) - пограммное, техническое или программно-техническое средство, направленное на предотвращение или существенное затруднение несанкционированного доступа.
Модель защиты (Protectionmodel) - абстрактное (формализованное или Неформализованное) описание комплекса программно-технических средств и/или организационных мер защиты от несанкционированного доступа.
Безопасность информации (Informationsecurity) - состояние защищенности инфоpмации, обpабатываемой средствами вычислительной техники или автоматизированной системы от внутpенних или внешних угроз.
Целостность информации (Informationintegrity) - способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения).
Конфиденциальная информация (Sensitiveinformation) - информация, требующая защиты.
Дискреционное управление доступом (Discretionaryaccesscontrol) - разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту.
Мандатное управление доступом (Mandatoryaccesscontrol) - разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности.
Многоуровневая защита (Multilevelsecure) - защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности.
Концепция диспетчера доступа (Referencemonitorconcept) - концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам.
Диспетчер доступа (Securitykernel) - технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа; ядро защиты.
Администратор защиты (Securityadministrator) - субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации.
Метка конфиденциальности (Sensitivitylabel) - элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте.
Верификация (Verification) - процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие.
Класс защищенности средств вычислительной техники (Protectionclassofcomputersystems) - определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации.
Показатель защищенности средств вычислительной техники (Protectioncriterionofcomputersystems) - характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники.
Система защиты секретной информации (Secretinformationsecuritysystem) - комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах.
Система защиты информации от несанкционированного доступа (Systemofprotectionfromunauthorizedaccesstoinformation) - комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах.