Методы защиты информации

Особенности защиты информации в современном мире

Чтобы не нанести вред самому себе или компании, в которой работает, пользователь персональных компьютеров, смартфонов и сети интернет должен иметь хотя бы минимальное понятие об информационной безопасности. Например:

• не переходить по подозрительным ссылкам;
• не закачивать исполняемые файлы от подозрительных источников;
• не вводить на незнакомых сайтах пароли и коды безопасности;
• пользоваться антивирусным программным обеспечением.

Часто утечка конфиденциальной информации и другие информационные правонарушения являются следствием неопытности пользователей, но могут быть обусловлены и сознательными действиями сотрудников компании или злоумышленников. Например, имея доступ к локальной сети, можно загрузить вирус. Даже не имея доступа к паролям, хакеры могут использовать уязвимости в кодах приложений, прослушивать каналы связи, использовать технические устройства, фиксирующие нажатия на клавиши клавиатуры или снимающие монитор пользователя. Последствиями могут быть уничтожение, разрушение информации, а также искажение, подделка, утечка, копирование и т. п.

Виды информационных угроз

Существует множество угроз для хранящейся в электронном виде информации.

В первую очередь ущерб может быть вызван стихийными, природными явлениями, не зависящими от человека:

• пожаром;
• наводнением;
• землетрясением;
• ударом молнии.

Более широк и опасен тот ущерб, который связан с человеческой деятельностью:

• неумышленный ущерб, вызываемый действиями пользователей или программ, перебоями с энергоснабжением, влиянием электромагнитных полей;
• умышленный ущерб, обусловленный доступом к информации посторонних лиц или вредительством тех, кто имеет право доступа.

Также можно классифицировать угрозы:

1. По аспекту информационной безопасности, на который они направлены: кроме неправомерного доступа к конфиденциальным данным, возможно их изменение или удаление, а также лишение доступа к ним.
2. По местонахождению источника угрозы: внутри или вне системы.
3. По масштабу причиняемого ущерба: можно навредить всему объекту, а можно его отдельным элементам или даже свойствам.
4. По уровню вмешательства: пассивное воздействие не меняет структуру системы и данные, в отличие от активного.

Какими средствами обеспечивается, классификация

Предупреждение утечки или утери информации должно осуществляться комплексно, т. е. для получения наилучших результатов все виды защиты информации нужно объединить.

Комплексная защита информационной системы включает:

1. Организационную защиту, т. е. специальные мероприятия от собраний до разработки планов и организации отделов, занимающихся предотвращением несанкционированного доступа.
2. Программно-аппаратную защиту, компьютерные системы и программы.
3. Инженерно-техническую защиту: камеры видеонаблюдения, интеллектуальные замки, ограничивающие доступ в секретные помещения (к конфиденциальной информации) посторонних.
4. Законодательную защиту.

Методы защиты информации

Инструменты организационно-правовой защиты

В России действует Федеральный закон «Об информации, информационных технологиях и защите информации» от 27 июля 2006 года. Он регулирует общественные отношения в информационной сфере, возникающие:

• при формировании и использовании информационных ресурсов на основе создания, сбора, хранения или распространения информации;
• при создании и использовании информационных технологий и средств их обеспечения;
• при защите информации и прав граждан и организаций в этой сфере.

Закон определяет, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу. Закон запрещает действия с информацией, нарушающей личную тайну, семейную тайну, тайну переписки граждан без их согласия, кроме как на основании судебного решения.

Отдел кадров при приеме на работу обязан ознакомить сотрудников с положением о хранении их персональной информации, принятым в этой конкретной компании.

Финансовые организации несут особую ответственность за данные клиентов и использование их злоумышленниками. В банковских договорах перечисляются сведения, конфиденциальность которых гарантируется. Те же принципы действуют в медицинских учреждениях.

Кроме того, в компьютерных программах используются другие объекты авторского права: произведения литературы, изобразительного искусства, кинематографии, музыкальные произведения. Экземпляры произведения или программы, изготовление или распространение которых влечет за собой нарушение авторских прав, называются по закону контрафактными. В обиходе же часто употребляется термин «пиратская копия».

Обладатели авторских прав могут обратиться за защитой в суд и вправе требовать от нарушителя:

• признания прав автора;
• восстановления положения, существовавшего до нарушения права, и прекращения действий, нарушающих право или создающих угрозу его нарушения;
• возмещения убытков, включая упущенную выгоду;
• взыскания дохода, полученного нарушителем вследствие нарушения авторских и смежных прав;
• выплаты компенсации в сумме от 10 до 50 тысяч минимальных размеров оплаты труда.

Инструменты инженерно-технической защиты

Неисправность оборудования может привести к потере важной информации. Чтобы избежать этого, необходимо покупать качественные комплектующие и своевременно их заменять, регулярно проводить техническое обслуживание, например, очищать вентиляторы в системном блоке от накопившейся пыли, чтобы их остановка не привела к критическому перегреву и порче жесткого диска.

Стабилизаторы напряжения и источники бесперебойного питания помогают не потерять несохраненные данные при отключении электричества. Не менее важно вовремя обновлять антивирусное и другое программное обеспечение.

Криптографические инструменты защиты

Современные методы кодирования применяют шифрование не к буквам, как в классических шифрах, а к двоичному коду, и делятся на два типа:

1. Симметричное кодирование использует секретный ключ-шифр, известный обеим сторонам.
2. Асимметричное делает один из ключей открытым. Этот ключ используют для проверки электронной подписи и зашифровки сообщения, но для создания подписи и для расшифровки необходим секретный ключ. Таким образом можно сохранить ключ секретным для всех, включая отправителей сообщений. Но асимметричное шифрование требует больших вычислительных мощностей, поэтому обычно его применяют только для подтверждения личности пользователя, а также как способ обмена секретными ключами по незащищенному каналу. После авторизации система выделяет пользователю одноразовый ключ для симметричного шифрования, и дальнейший обмен информацией в текущем сеансе не требует использования открытых ключей.

Программно-аппаратные инструменты для защиты сведений

1. Программы, называемые антивирусами, ищут в файлах на компьютере похожие на вирусы фрагменты и, если находят, пытаются провести процедуру «лечения». Оно происходит так: антивирус пытается вычистить файлы, просто удаляя «критические» куски вируса, а затем устраняет последствия работы вируса, например, восстанавливает испорченную информацию.
2. Программы-мониторы постоянно находятся в памяти ЭВМ и производят анализ защищенности: отслеживают все критические моменты и подозрительные действия — запуск программ, попытки записи в критически важные системные файлы и т. д. 
3. Антиспам-фильтры в общественных и корпоративных системах электронной почты отфильтровывают потенциально опасные письма и блокируют ссылки в них, оберегая пользователей от случайного нажатия и перехода на небезопасный сайт.
4. Сетевые экраны и программы для защиты от DDoS-атак защищают сервера от перегрузки. Программы управления учетными данными и обнаружения подозрительного поведения пользователей защищают систему от вреда, наносимого злоумышленниками, а пользователей — от использования их учетных записей в мошеннических целях.

Правовые и организационные методы защиты

Важно обучить сотрудников компании основам информационной безопасности. Во многих фирмах рядовым пользователям блокируют возможность устанавливать программы, принудительно меняют пароли каждый месяц, отслеживают деятельность в интернете.

Программное обеспечение баз данных, например, Oracle, предоставляют пользователям место на своих серверах, куда регулярно перегружаются резервные копии базы.

Чтобы пользователи имели доступ только к той информации, к которой им разрешено, также используются такие организационные меры защиты, как:

• разграничение доступа к рабочим местам;
• наем специалистов, отвечающих за информационную безопасность и электронный документооборот;
• установка охранной сигнализации в помещениях с серверами и персональными компьютерами;
• выдача пользователям индивидуальных электронно-цифровых подписей.

Защита передаваемых электронных данных

В 90-х годах ХХ века человечество перешло с аналогового способа передачи данных на цифровой. Система дискретизации с определенной частотой измеряет величину аналогового сигнала, например, звукового, и сравнивает с заданным значением. Полученный числовой результат она переводит в бинарный код и передает в виде комбинации импульсов-единиц и пробелов-нулей. Перехватить такую передачу данных тоже можно, но, в отличие от подключений к чужой частоте радиоволн или телефонному разговору, которые могли происходить даже случайно из-за сбоев оборудования, цифровой сигнал всегда зашифрован и требует от злоумышленника серьезных усилий для перевода информации в пригодный для использования вид. Поэтому основные методы защиты данных опираются на усложнение шифровки.

Еще на этапе авторизации пользователя в системе от него могут потребовать:

• электронную подпись;
• секретный ключ-токен;
• пароль или PIN-код, постоянно закрепленные за ним или сгенерированные приложением для создания одноразовых паролей.

Во многих системах безопасности предусмотрена проверка устройства, с помощью которого пользователь пытается зайти в систему.

Передаваемые данные защищают криптографическими методами: симметричным и асимметричным кодированием. Существуют специальные программы для шифрования электронной почты, а также плагины для браузеров, генерирующие ключи на стороне пользователя. Сведения передают по защищенным протоколам HTTPS. Антивирусы и программы, фильтрующие спам, в автоматическом режиме проверяют всю электронную переписку на почтовых серверах.

Тем не менее, на данный момент основной угрозой безопасности является перехват прав доступа на стороне отправителя или адресата. Этого можно избежать, защищая аккаунты надежными паролями.
Надежность пароля складывается из таких параметров, как:

• длина;
• количество символов используемого алфавита (добавление специальных символов или букв в верхнем регистре увеличивает надежность);
• срок действия пароля.

Скорость подбора пароля методом полного перебора известна — примерно 100000 символов в секунду. Поэтому вероятность подбора пароля злоумышленниками в течение срока его действия можно вычислить по следующей формуле:

\(P_g\;=\;\frac{V\;\times\;T}{\left|A\right|^n}\)

V здесь — скорость, T — срок действия пароля, \(|A|^n\) — число паролей длины n, которые можно составить из алфавита с количеством символов А. 

Классы безопасности информационных систем

В России классов безопасности информационных систем четыре, классификация производится по уровню значимости информации с формальной точки зрения. Этот параметр складывается из произведения возможного ущерба по трем категориям:

• нарушение конфиденциальности информации;
• нарушение целостности;
• нарушение доступности.

ПДн в приведенной таблице — персональные данные, ИСПДн — информационная система персональных данных.