Тема 1.3.  Пути несанкционированного доступа,
классификация способов и средств защиты информации

Несанкционированный доступ (НД) - это преднамеренное противоправное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Троянским конем называется:

  • программа, которая, являясь частью другой программы с известными пользователю функциями, способна втайне от него выполнять некоторые дополнительные действия с целью причинения ему определенного ущерба;

  • программа с известными ее пользователю функциями, в которую были внесены изменения, чтобы, помимо этих функций, она могла втайне от него выполнять некоторые другие (разрушительные) действия.

       Наиболее распространенными путями НД к информации являются:

  • применение подслушивающих устройств;

  • дистанционное фотографирование;

  • перехват электромагнитных излучений;

  • хищение носителей информации и производственных отходов;

  • считывание данных в массивах других пользователей;

  • копирование носителей информации;

  • несанкционированное использование терминалов;

  • маскировка под зарегистрированного пользователя с помощью хищения паролей и других реквизитов разграничения доступа;

  • использование программных ловушек;

  • получение защищаемых данных с помощью серии разрешенных запросов;

  • использование недостатков языков программирования и операционных систем;

  • преднамеренное включение в библиотеки программ специальных блоков типа «троянских коней»;

  • незаконное подключение к аппаратуре или линиям связи вычислительной системы;

  • злоумышленный вывод из строя механизмов защиты.

   Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты, принято считать:

  • технические средства;

  • программные средства;

  • организационные средства;

  • законодательные средства;

  • морально-этические средства.

    Технические средства - реализуются в виде электрических, электромеханических, электронных устройств. Вся совокупность технических средств принято делить на: аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой СУП по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры); физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения. Замки на дверях, решетки на окнах).

  Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

 В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексных подход к использованию и развитию всех средств и способов защиты информации.

    В результате были созданы следующие способы защиты информации (рис. 1):

   Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителям информации).

  Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных). Управление доступом включает следующие функции защиты:

  • идентификацию пользователей, персонала и ресурсов системы, причем под идентификацией понимается присвоение каждому названному выше объекту персонального имени, кода, пароля и опознание субъекта или объекта по предъявленному им идентификатору;

  • проверку полномочий, заключающуюся в проверке соответствия дня недели, времени суток, а также запрашиваемых ресурсов и процедур установленному регламенту;

  • разрешение и создание условий работы в пределах установленного регламента;

  • регистрацию обращений к защищаемым ресурсам;

  • реагирование (задержка работ, отказ, отключение, сигнализация) при попытках несанкционированных действий.

   Маскировка - способ защиты информации в СУП путем ее криптографического шифрования. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.

  Регламентация - заключается в разработке и реализации в процессе функционирования СУП комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в СУП защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму. Для эффективной защиты необходимо строго регламентировать структурное построение СУП (архитектура зданий, оборудование помещений, размещение аппаратуры), организацию и обеспечение работы всего персонала, занятого обработкой информации.

  Принуждение - пользователи и персонал СУП вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

  Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные законодательные и морально-этические средства.

  Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации систем управления предприятием (СУП) для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы СУП на всех этапах: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

  К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

  К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц.

   Все рассмотренные средства защиты делятся на:

  • формальные - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.

  • неформальные - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.

Список источников:

  1. Правовые основы защиты информации [Электронный ресурс].  - Режим доступа : https://www.intuit.ru/studies/courses/3649/891/lecture/32336?page=1 (12.01.2019)

  2. ГОСТ Р 50922-2006 Защита информации. Основные термины и определения.

НАПИШИТЕ МНЕ

© 2016 Панфилова Т.Б.