Содержание

Определения и сокращения

Введение

1. Комплексный подход в обеспечении информационной безопасности

1.1 Анализ процессов разработки, производства, реализации, эксплуатации средств защиты

1.2 Анализ процессов подготовки кадров в области ИБ

2. Криптографические средства защиты информации

2.1 Применение криптографических СЗИ в системах защиты от угроз конфиденциальности

2.2 Применение криптографических СЗИ в системах защиты от угроз нарушения целостности

3. Основные принципы инженерно-технической защиты информации

Заключение

Список использованных источников

Введение

В современном мире, в котором основным ценным ресурсом является информация, вопрос защиты информации является жизненно важным. При чем по мере развития IT-технологий конъюнктура этого вопроса становится сложнее, поэтому для его решения требуется комплексный подход.

Таким образом, основной целью данной работы является анализ комплексного подхода к обеспечению информационной безопасности. Для достижения поставленной цели необходимо решить следующие задачи:

-       изучить организацию системы защиты информации во всех ее сферах;

-       проанализировать процессы разработки, производства, реализации, и эксплуатации средств защиты;

-       проанализировать процессы подготовки соответствующих кадров;

-       изучить криптографические средства защиты;

-       проанализировать основные принципы инженерно-технической защиты информации.

Структурно работа состоит из введения, трех глав и заключения. Во введении обозначена основная цель данной работы, а также определены основные задачи, которые необходимо решить для достижения поставленной цели. Первая глава посвящена изучению организации комплексного подхода к обеспечению безопасности информации, а также проанализированы процессы разработки, производства, реализации, эксплуатации средств защиты, и процессы подготовки соответствующих кадров. Во второй главе приведен анализ криптографических средств защиты. В третьей главе рассмотрены основные принципы инженерно-технической защиты информации. В заключении подведены итоги проделанной работы.

В рамках анализа тематики данной работы изучались материалы сторонних источников информации в области обеспечения информационной безопасности. В Доктрине информационной безопасности Российской Федерации [1] содержатся основные нормы права, регулирующие область защиты информации, а в учебном пособии Основы информационной безопасности [2] подробно рассмотрены основные подходы к обеспечению ИБ, а также подробно описана структура системы подготовки кадров в области ИБ. В материалах учебного пособия Основы информационной безопасности автоматизированных систем [3] проанализированы подходы к обеспечению информационной безопасности в различных информационных системах. Работы Брюс Шнайер. Прикладная криптография. Протоколы, алгоритмы и исходный код в C, Эй-Джей Менезес, Р.С. van Oorschot, С.А. Ванстоун. Справочник прикладной криптографии [4, 5] содержат подробное описание криптографических объектов защиты информации. В учебном пособии Инженерно-техническая защита информации [6] отражены основные принципы инженерно-технической защиты информации.

1. Комплексный подход в обеспечении информационной безопасности

Начиная с первых дней существования отрасли защиты информации, были сформированы три постулата информационной безопасности (ИБ).

Первый постулат заключается в том, что невозможно создать абсолютно защищенную систему. Система защиты информации (СЗИ) должна создаваться с учетом целесообразности, то есть должны быть проведены оценка рисков и угроз ИБ, и уже в соответствии с этими оценками выбраны механизмы противодействия.

Из первого постулата следует второй: СЗИ должна быть комплексной, т.е. использующей не только технические средства защиты, но также организационные и правовые.

Третий постулат состоит в том, что СЗИ должна быть гибкой и адаптируемой к изменяющимся условиям.

Согласно Доктрине информационной безопасности РФ методами обеспечения ИБ являются [1]:

-       Правовые методы:

)        разработка нормативных правовых актов, регламентирующих отношения в сфере ИТ;

2)      разработка нормативных методических документов отвечающим по вопросам информационной безопасности.

-       Организационно-технические методы:

)        создание системы информационной безопасности и ее совершенствование;

2)      привлечение лиц к ответственности, совершивших преступления в этой сфере;

)        создание систем и средств для предотвращения несанкционированного доступа к обрабатываемой информации;

)        выявление средств и устройств представляющих опасность для нормального функционирования систем, предотвращение перехвата информации с применение средств криптографической защиты как при передаче информации, так и при ее хранении;

)        контроль за выполнением требований по защите информации;

)        контроль за действиями персонала, имеющих доступ к информации, подготовка кадров в области обеспечения информационной безопасности;

)        создание системы мониторинга информационной безопасности.

Также в Доктрине содержатся экономические методы обеспечения ИБ: разработка программ обеспечения информационной безопасности и их финансирование, финансирование работ связанных с обеспечением информационной безопасности.

Исходя их этого, комплексность СЗИ обеспечивается использованием средств технического, кадрового, материального, финансового, информационного и научного обеспечения. Общая структура видов обеспечения информационной безопасности представлена на рисунке 1.

Рисунок 1 - Виды обеспечения ИБ

Средства технического обеспечения информационной безопасности образуются совокупностью технических и программных средств защиты информации, предотвращения несанкционированного доступа в информационные, телекоммуникационные и вычислительные системы и сети связи, а также методического обеспечения их использования.

Средства кадрового обеспечения информационной безопасности характеризуются программами подготовки кадров по различным аспектам данной деятельности, а также используемыми учебными и методическими материалами.

Средства материального обеспечения характеризуются совокупностью объектов, выделяемых для размещения средств технологического обеспечения, сил, участвующих в обеспечении информационной безопасности, средств организации их деятельности и т.п.

Средства финансового обеспечения представляют собой совокупность экономических инструментов получения, привлечения, перераспределения и использования денежных средств для решения задач обеспечения информационной безопасности.

Средства научного обеспечения информационной безопасности определяются совокупностью научных теорий, концепций, категорий, закономерностей и методов, предназначенных для изучения процессов и явлений развития информационной сферы общества, угроз национальным интересам, реализуемым в этой сфере, и противодействия этим угрозам.

1.1 Анализ процессов разработки, производства, реализации, эксплуатации средств защиты

Существует семь стадий жизненного цикла изделия (средство защиты):

)        Исследование и обоснование разработки

2)      Разработка

)        Производство

)        Поставка

)        Эксплуатация

)        Снятие с производства

)        Утилизация

Исследование и обоснование разработки.

На этой стадии выполняются следующие виды работ:

-       Проработка - Заказчик до тендера проводит работы по формированию исходных требований к изделию, к основным частям и деталям, к оборудования, а также анализирует влияние зарубежных разработок.

-       Патентное исследование - после получения патента на изделие никто не имеет право создавать идентичное устройство.

-       Проведение фундаментальных и прикладных исследований - проходит в форме НИР, которую проводит Разработчик-победитель тендера.

-       Разработка технического предложения/аванпроекта - аванпроект выполняется для особо сложных изделий. На данной стадии также выявляются варианты возможных решений в отношении изделия, устанавливаются особенности вариантов, делается предварительный выбор оптимального варианта и дается технико-экономическое обоснование его выбора. Затем составляется пояснительная записка к аванпроекту, где приводятся все расчеты и стоимость.

-       Разработка проекта тактико-технического задания на выполнение ОКР.

Этап завершается предпроектом и Техзаданием на выполнение проектных работ.

Разработка.

Разработка состоит из двух видов работ:

-       ОКР по созданию изделия:

Состав работ на данной стадии:

)        разработка проектной документации (эскизный и технический проекты);

2)      изготовление опытных образцов составных частей изделия и проведение их предварительных испытаний;

)        корректировка конструкторской документации (КД) по результатам предварительных испытаний, составных частей изделия и доработка по ней составных частей опытных образцов;

)        изготовление и проведение испытаний опытного образца изделия;

)        корректировка КД по результатам испытаний опытного образца и его доработка;

)        проведение государственных испытаний опытного образца;

)        утверждение КД и принятие решения о серийном производстве.

-       НИР по разработке материалов:

Виды работ:

)        проведение исследований и опытно-технологических работ по разработке материалов;

2)      изготовление опытной партии материала;

)        разработка технологической документации для изготовления материала.

Этап завершается выпуском опытного образца и КД на него.

Производство.

На этом этапе выделяют следующие виды работ:

-       Постановка на производство

-       Серийное производство

-       Контроль качества и приемка изделия

Поставка.

Поставка изделия в соответствии с договором Заказчику. Решение вопросов транспортировки к месту назначения.

Эксплуатация.

На этом этапе выделяют следующие виды работ:

-       Приемка изделия в эксплуатацию

-       Опытная и подконтрольная эксплуатация

-       Использование изделия по назначению

-       Техническое обслуживание

-       Текущий и средний ремонт

-       Техническое и документальное обеспечение безопасности

-       Прекращение эксплуатации

Снятие с производства.

Проведение мероприятий по прекращению промышленного выпуска и поставки изделия.

Утилизация изделия.

1.2 Анализ процессов подготовки кадров в области ИБ

Доктрина информационной безопасности Российской Федерации, утвержденная президентом страны 9 сентября 2000 года, констатирует, что информационная сфера, являясь системообразующим фактором жизни общества, активно влияет на состояние политической, экономической, оборонной и других составляющих безопасности России. При этом в качестве одного из приоритетных направлений государственной политики в области обеспечения ИБ определяется совершенствование подготовки кадров, развитие образования в этой сфере. На рисунке 2 представлена структура системы подготовки кадров в области информационной безопасности [1,2].

Объектами системы являются:

-       средние специальные и высшие учебные заведения, которые имеют лицензии на образовательную деятельность по соответствующей специальности, включенной в Общероссийский классификатор специальностей по образованию;

-       региональные учебно-научные центры (порядка 25 заведений), созданные во всех семи федеральных округах на базе ведущих вузов страны и решающие кадровые проблемы ИБ конкретного региона;

-       учебные центры дополнительного образования, созданные организациями, активно работающими на рынке средств и услуг в области защиты информации;

-       потребители (заказчики) специалистов.

Рисунок 2 - Структура подготовки кадров в области ИБ

Субъектами системы являются:

-       студенты и слушатели-специалисты;

-       преподаватели;

-       административный персонал, организующий и сопровождающий учебный процесс.

В настоящее время более 100 вузов осуществляют подготовку специалистов в области ИБ. В таблице 1 отражено распределение вузов по специальностям в области ИБ.

Таблица 1 - Перечень специальностей в области ИБ

В качестве проблем в области обеспечения информационной безопасности в сфере образования можно выделить 4 направления:

)        подготовка высококвалифицированных специалистов всех уровней для структур обеспечения ИБ;

2)      формирование базового уровня понимания правовых и организационных вопросов;

)        формирование достаточно высокого уровня подготовки у выпускников ряда специальностей гуманитарного, управленческого, экономического направлений в области ИБ;

)        повышение квалификации и переподготовка в направлении ИБ специалистов самого различного уровня и профиля.

2. Криптографические средства защиты информации

Криптографические средства защиты играют огромную роль в обеспечении комплексной защиты информации. Они применяются как в системах защиты от угроз конфиденциальности, так и в системах защиты от угроз нарушения целостности [3].

Под угрозами нарушения конфиденциальности информации будем понимать угрозы, в результате реализации которых информация становится доступной субъекту, не располагающему полномочиями для ознакомления с ней.

Под угрозами нарушения целостности будем понимать угрозы, к которым относится любое злонамеренное искажение информации, обрабатываемой с использованием АС.

2.1 Применение криптографических СЗИ в системах защиты от угроз конфиденциальности

В целях обеспечения конфиденциальности информации используются следующие криптографические примитивы:

Симметричные криптосистемы.

В симметричных криптосистемах для зашифрования и расшифрования информации используется один и тот же общий секретный ключ, которым взаимодействующие стороны предварительно обмениваются по некоторому защищённому каналу. Структура симметричной криптосистемы представлена на рисунке 3.

Рисунок 3 - Структура симметричной криптосистемы

В качестве примеров симметричных криптосистем можно привести отечественный алгоритм ГОСТ 28147-89, а также международные стандарты DES и пришедший ему на смену AES.

Асимметричные криптосистемы.

Асимметричные криптосистемы характерны тем, что в них используются различные ключи для зашифрования и расшифрования информации. Ключ для зашифрования (открытый ключ) можно сделать общедоступным, с тем чтобы любой желающий мог зашифровать сообщение для некоторого получателя. Получатель же, являясь единственным обладателем ключа для расшифрования (секретный ключ), будет единственным, кто сможет расшифровать зашифрованные для него сообщения. Данный механизм проиллюстрирован на рисунке 4.

Рисунок 4 - Структура ассиметричной криптосистемы

Примеры асимметричных криптосистем - RSA и схема Эль-Гамаля.

Симметричные и асимметричные криптосистемы, а также различные их комбинации используются в АС прежде всего для шифрования данных на различных носителях и для шифрования трафика.

2.2 Применение криптографических СЗИ в системах защиты от угроз нарушения целостности

При построении систем защиты от угроз нарушения целостности информации используются следующие криптографические примитивы:

-       цифровые подписи;

-       криптографические хэш-функции;

-       коды проверки подлинности.

Цифровые подписи.

Цифровая подпись [4, 5] представляет собой механизм подтверждения подлинности и целостности цифровых документов. Во многом она является аналогом рукописной подписи - в частности, к ней предъявляются практически аналогичные требования:

)        Цифровая подпись должна позволять доказать, что именно законный автор, и никто другой, сознательно подписал документ.

2)      Цифровая подпись должна представлять собой неотъемлемую часть документа. Должно быть невозможно отделить подпись от документа и использовать её для подписывания других документов.

)        Цифровая подпись должна обеспечивать невозможность изменения подписанного документа (в том числе и для самого автора!).

)        Факт подписывания документа должен быть юридически доказуемым. Должен быть невозможным отказ от авторства подписанного документа.

В простейшем случае для реализации цифровой подписи может быть использован механизм, аналогичный асимметричной криптосистеме. Разница будет состоять в том, что для зашифрования (являющегося в данном случае подписыванием) будет использован секретный ключ, а для расшифрования, играющего роль проверки подписи, - общеизвестный открытый ключ (рисунок 5).

Рисунок 5 - Реализация механизма цифровой подписи

3. Основные принципы инженерно-технической защиты информации

Инженерно-техническая защита информации также является неотъемлемой частью комплексного подхода к обеспечению безопасности информационных ресурсов, и чтобы не быть "узким" местом в общем комплексе защитных мер она должна соответствовать следующим принципам: принципам инженерно-технической защиты как процесса и принципам построения системы инженерно-технической защиты информации [6].

Принципы инженерно-технической защиты как процесса:

-       надежность защиты информации;

-       непрерывность защиты информации;

-       скрытность защиты информации;

-       целеустремленность защиты информации;

-       рациональность защиты;

-       активность защиты;

-       гибкость защиты;

-       многообразие способов защиты;

-       комплексное использование различных способов и средств защиты информации;

-       экономичность защиты информации.

Надежность защиты информации предусматривает обеспечение требуемого уровня ее безопасности независимо от внешних и внутренних факторов, влияющих на безопасность информации.

Непрерывность защиты информации характеризует постоянную готовность системы защиты к отражению угроз информации.

Скрытность защиты информации подразумевает скрытое проведение мер по защите информации и существенное ограничение допуска сотрудников организации к информации о конкретных способах и средствах инженерно-технической защиты в организации.

Целеустремленность защиты информации предусматривает сосредоточение усилий по предотвращению угроз наиболее ценной информации.

Рациональность инженерно-технической защиты заключается в том, что расходуемый на обеспечение ресурс должен быть минимальным для требуемого уровня безопасности.

Активность подразумевает прогнозирование угроз и создание превентивных мер по их нейтрализации.

Гибкость защиты информации предполагает возможность оперативных изменений в системе защиты организации. Такая гибкость достигается за счет многообразия способов и средств защиты.

Комплексность защиты информации вытекает из отсутствия универсальных методов и средств защиты, в результате чего используется комплекс средств защиты для компенсации недостатков одним средств другими.

Экономичность защиты информации должна приводит к тому, что затраты на защиту информации не должны превышать возможный ущерб от реализации угроз.

Принципы построения системы инженерно-технической защиты информации:

-       многозональность пространства, контролируемого системой инженерно-технической защиты информации;

-       многорубежность системы инженерно-технической защиты информации;

-       равнопрочность рубежа контролируемой зоны;

-       адаптируемость системы к новым угрозам;

-       согласованность системы защиты с другими системами организации.

Таким образом, инженерно-техническую систему защиты информации можно считать эффективной и эргономичной только при соблюдении всех вышеперечисленных принципов при ее проектировании и эксплуатации.

Заключение

В ходе проведения данной работы были рассмотрены следующие цели:

.        Изучена подсистема инженерно-технической защиты информации:

Согласно Доктрине информационной безопасности при создании системы защиты информации должен использоваться комплексный подход. Он заключается в декомпозиции системы защиты на составляющие подсистемы: организационною, техническою и правовою. Только при наличии всех подсистем возможно обеспечить требуемый уровень безопасности информационных ресурсов.

.        Рассмотрены процессы разработки, производства, реализации, и эксплуатации средств защиты:

В результате анализа были изучены семь стадий (исследование и обоснование разработки, разработка, производство, поставка, снятие с производства, эксплуатация и утилизация) жизненного цикла изделия и определены виды работ на каждом из этапов.

.        Проанализирован процесс подготовки кадров в области информационной безопасности:

В ходе анализа были определены объекты и субъекты структуры подготовки кадров в области ИБ, а также приведен обзор существующих специальностей в области ИБ и их распределение по вузам.

.        Изучены существующие криптографические средства защиты:

На практике криптографические средства защиты используются в системах защиты от угроз конфиденциальности (ассиметричные и симметричные схемы шифрования), а также в системах защиты от угроз целостности (цифровая подпись, коды проверки целостности).

.        Проанализированы основные принципы инженерно-технической защиты информации:

защита информация криптографическое средство

Инженерно-техническую систему защиты информации можно считать эффективной и эргономичной только при соблюдении всех принципов инженерно-технической защиты как процесса и принципов построения системы инженерно-технической защиты информации.

Таким образом, основную цель работы можно считать достигнутой - был проведен анализ комплексного подхода к обеспечению информационной безопасности.

В заключении еще раз стоит отметить тот факт, что в современном мире, при постоянном развитии IT-технологий и увеличении стоимости и значимости защищаемых ресурсов (ноу-хау), утеря которых может привести к необратимым негативным последствиям, только комплексный подход к обеспечению безопасности с учетом всех принципов построения систем инженерно-технической защиты позволит минимизировать риски и оптимизировать бизнес-процессы, что в конечном итоге приведет к увеличению прибыли.

Список использованных источников

1.       Доктрина информационной безопасности Российской Федерации (утверждена Президентом Российской Федерации В. Путиным 9 сентября 2000г., № Пр-1895) [Электронный ресурс]: Совет Безопасности РФ - Режим доступа: http://www.scrf.gov.ru/documents/6/5.html

2.      Основы информационной безопасности: [учеб, пособие для вузов] /Е.Б. Белов [и др.]. - М.: Горячая линия - Телеком АРВ, 2006. - 544 с.

.        Цирлов В.Л. Основы информационной безопасности автоматизированных систем/ В.Л. Цирлов. - М: Феникс, 2008. - 173 с.

4.      Bruce Schneier. Applied cryptography. Protocols, Algorithms, and Source Code in C. / B. Schneier - John Wiley & Sons, 1996. - 204 с.

.        A. J. Menezes, P. C. van Oorschot, S. A. Vanstone. Handbook of Applied Cryptography. / A. Menezes [and etc] - CRC Press, 1996. - 132 с.

6.      Инженерно-техническая защита информации: [учеб, пособие для вузов] / А.А. Торокин. - М.: Гелиос АРВ, 2005. - 958 с.