Автор:
Гульнара Исаева (Толдыкорган, Казахстан)
Вечная проблема – защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине ХХ века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества.
Главная тенденция, характеризующая развитие современных информационных технологий – рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь.
Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированным доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте.
Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются : переход от традиционной “бумажной” технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях; объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам; увеличение сложности программных средств и связанное с этим уменьшение их надежности и увеличением числа уязвимостей.
Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность без создания на нем условий для надежного функционирования системы защиты собственной информации.
Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений.
Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя “панические” статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации. Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач,речь о которых будет продолжена дальше.
Современные компьютерные системы, использующие операционные системы (ОС) Windows , Windows NT, различные версии UNIX относятся к частично контролируемым системам. Неприятной особенностью таких ОС является то, что полный перечень всех их возможностей полностью не известен пользователю. Резонно допустить наличие в этих ОС скрытых возможностей осуществления несанкционированного доступа к информации, обрабатываемой под их управлением.
Такие скрытые возможности могут появиться как в результате ошибки или действий недобросовестных разработчиков, так и в соответствии с “техническим заданием”. Их наличие подтверждают исследования австралийской компании Shake Communication Pty Ltd, выявившие более сотни уязвимых мест в программном обеспечении Microsoft Windows NT.
Рассмотрим вариант существования таких скрытых возможностей в виде “программных закладок” в поставляемых лицензионных ОС. “Программные закладки”, внедренные в лицензионную ОС на этапе ее эксплуатации, нарушают ее целостность и поэтому могут быть обнаружены. Конечно, проверка целостности ОС должна осуществляться полностью контролируемыми средствами, а не приложением, работающим в этой же ОС. Закладки же внутри ОС с помощью проверки целостности обнаружить невозможно.
Какими возможностями может обладать внедренная на этапе разработки ОС “программная закладка”? В отличие от пользователя для разработчика ОС последняя является полностью контролируемой средой. Поэтому он может реализовать закладку практически с неограниченными возможностями. Рассмотрим несколько возможных вариантов:
1. Закладки, позволяющие обойти, отключить, модифицировать стандартные средства ОС для разграничения доступа и интерфейс для подключения пользовательского шифрования. Разработка такой закладки не должна быть сложной.
2. Закладки, перехватывающие информацию по любому из прерываний и портам и складирующие ее в скрытые или неиспользуемые зоны жесткого диска (отформатированный стандартными средствами диск вполне может иметь такие зоны). В дальнейшем эта информация может предоставляться для анализа злоумышленнику или отправляться по сети другими закладками.
С помощью такой закладки можно перехватывать не только обычную информацию, но и пароли, вводимые с клавиатуры, или поступающие по другим стандартным интерфейсам.
3. Закладки, обеспечивающие доступ в оперативную память любого приложения. Анализ перехваченной из оперативной памяти информации совместно с кодом приложения может использоваться для перехвата ключей шифрования и ЭЦП в оперативной памяти.
4. Закладки, обеспечивающие прямой выход в сеть, для отправки перехваченной информации в обход описанных в документации средств. Они могут работать навстречу друг другу и совсем не по описанным в документации протоколам.
Построение надежной защиты включает оценку циркулирующей в компьютерной системе информации с целью уточнения степени ее конфиденциальности, анализа потенциальных угроз ее безопасности и установление необходимого режима ее защиты.
В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия – чрезмерная “засекреченность” приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны.
Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.
Конкретное содержание указанных мероприятий для каждого отдельно взятого предприятия может быть различным по масштабам и формам. Это зависит в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.
Установление особого режима конфиденциальности направлено на создание условий для обеспечения физической защиты носителей конфиденциальной информации. Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации. Как показывает практика работы, для разработки необходимого комплекса мероприятий по защите информации желательно привлечение квалифицированных экспертов в области защиты информации.
Эффективность защиты информации достигается не количеством денег, потраченных на ее организацию, а способностью ее адекватно реагировать на все попытки несанкционированного доступа к информации; мероприятия по защите информации от несанкционированного доступа должны носить комплексный характер, т.е. объединять разнородные меры противодействия угрозам (правовые, организационные, программно-технические); основная угроза информационной безопасности компьютерных систем исходит непосредственно от сотрудников.
С учетом этого необходимо максимально ограничивать как круг сотрудников, допускаемых к конфиденциальной информации, так и круг информации, к которой они допускаются (в том числе и к информации по системе защиты). При этом каждый сотрудник должен иметь минимум полномочий по доступу к конфиденциальной информации.
Надеюсь, что материал, который приведен в статье, поможет вам получить необходимое представление о проблеме защиты информации в компьютерных системах и успешно решать ее в повседневной деятельности.