- •Основные концептуальные положения системы защиты информации (сзи).
- •Концептуальная модель информационной безопасности.
- •Угрозы конфиденциальной информации.
- •Правовая защита.
- •Организационная защита информации.
- •Инженерно – техническая защита.
- •Физические средства защиты.
- •Аппаратные средства защиты.
- •Программные средства защиты.
- •Идентификация и аутентификация.
- •Криптография.
- •Контроль целостности.
- •Биометрическая идентификация в криптосистемах.
- •Способы защиты информации.
- •Защита информации от утечки по техническим каналам.
Биометрическая идентификация в криптосистемах.
Биометрия – это совокупность автоматизированных методов идентификации людей, на основе их физиологических и поведенческих характеристик.
К числу физиологических характеристик человека относятся особенности отпечатков пальцев, структура глаза, геометрия рук, лица и т.д.
К поведенческим относятся анализ особенностей голоса, динамика ручной подписи, стиль работы с клавиатурой и т.д.
В общем виде работа с биометрическими данным организованна следующим образом. Первоначально создается и поддерживается база данных характеристик потенциальных пользователей. Для этого биометрические характеристики снимаются, обрабатываются и результат обработки называемый биометрическим шаблоном заносится в базу исходных данных.
В дальнейшем для идентификации пользователя процесс снятия и обработки повторяется, после чего производится поиск в базе данных биометрических шаблонов. В случае успешного поиска и сравнения личность пользователя и его подлинность считаются установленными.
Обычно биометрию применяют вместе с другими идентификаторами, являющимися первым рубежом защиты и служащие для активации дополнительных идентификаторов доступа.
Необходимо учитывать, что биометрия подвержена тем же угрозам, что и другие методы аутентификации:
Биометрический шаблон сравнивается не с результатом не первоначальной обработки характеристик пользователя, а с тем «что пришло к месту сравнения».
Биометрические методы не более надежны, чем база данных исходных шаблонов.
Следует учитывать разницу между применением биометрии на контролируемой территории и в полевых условиях (неконтролируемых), когда к устройству проверки можно поднести муляж и т.д.
Биометрические данные человека со временем меняются, по этому БД шаблонов нуждается в постоянном сопровождении и актуализации.
Главная опасность применения средств биометрии состоит в том, что любая «пробоина» для биометрических систем и их БД оказывается фатальной.
Если биометрические данные пользователя или БД шаблонов окажутся скомпрометированными придется, как минимум производить существенную модернизацию всей биометрической системы.
19.03.12
Способы защиты информации.
Обеспечение информационной безопасности достигается системой мер направленной:
На предупреждение угроз. Это превентивные или упреждающие действия по обеспечению информационной безопасности.
На выявление угроз. Это систематический анализ и контроль возможности проявления потенциальных или реальных угроз.
На обнаружение угроз. Имеет целью определение проявления реальных угроз и характер, и размер их ущерба.
На локализацию угроз. Действия направленные на устранение действующей угрозы или сужающие зону их проявления.
На ликвидацию угроз. Восстановление состояния предшествовавшего наступлению угрозы.
Все эти меры и способы имеют целью защитить информационные ресурсы от любых противоправных действий и обеспечивают:
Воспрещение НСД к источникам информации
Сохранение целостности доступности информации
Соблюдение конфиденциальности информации
Обеспечение авторских прав владельца
На практике все мероприятия по использованию средств защиты разделяются на три группы:
Организационные
Организационно-технические
Технические
Организационные мероприятия – это мероприятия ограничительного характера, регламентирующие доступ к самим источникам информации, так и использование технических средств обработки информации.
Для этого предусматриваются следующие действия:
Определение границ охраняемой зоны
Определение помещений и технических средств, где располагается информация и размещаются средства производства.
Определение опасных каналов утечки информации, с точки зрения образования каналов утечки информации
Выявление возможных путей проникновения и доступа к источникам конфиденциальной информации
Выделяют следующие ограничительные меры в организационных мероприятиях:
Территориальные ограничения. Правильное расположение источников информации и средств производства на местности.
Пространственные ограничения. Выбор направления передачи тех или иных сигналов в сторону наименьшей возможности их перехвата.
Временные ограничения. Сокращение до минимума времени работы тех средств использование скрытых методов передачи, шифрования и т.п.
Организационно технические мероприятия обеспечивают локализацию и блокирование разглашения и утечки сведений через технические средства производства, а так же противодействие средствам промышленного шпионажа, за счет использования следующих средств:
Технических средств пассивной защиты (фильтры, ограничители для защиты сетей телефонной связи, энергоснабжения и радиофикации).
Технических средств активной защиты (различные глушители, датчики и сенсоры акустических шумов и помех)
Организационно технические мероприятия подразделяют на пространственные, режимные и энергетические.
Пространственные выражаются в уменьшении ширины диаграммы направленности передачи и ослаблении боковых и задних её фронтов.
Режимные меры сводятся к регламентации сеансов связи. Квази переменным частотам передачи.
Энергетические – это снижение интенсивности передачи и работа на пониженных мощностях.
Технические мероприятия – это мероприятия обеспечивающие приобретение, установку и использование специальных безопасных (защищенных от побочных излучений) технических средств производственной деятельности.
Технические мероприятия разделяют на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании молчания и создание пассивных помех приемным средствам злоумышленников.
Подавление это создание активных помех средствам злоумышленников.
Дезинформация – это организация ложной работы технических устройств, показ ложных признаков деятельности объекта защиты.
20.03.12
Пресечение разглашение конфиденциальной информации.
Это комплекс мероприятий исключающих или ограничивающих оглашение охраняемых сведений их владельцами. С точки зрения инициативы образования информационного контакта и степени участия в нём коммуникационных компонентов активной стороной выступает источник информации. Считается, что разглашение может произойти при наличии ряда условий и обстоятельств служебного или личного характера. К ним относятся:
Недостаточное знание сотрудниками правил защиты информации
Непонимание необходимости тщательного соблюдения этих правил включая меры ответственности за их нарушение
Слабый контроль за соблюдением правил работы
Большая текучесть кадров на предприятии
Разглашение конфиденциальной информации возможно:
При передачи информации по телефонным канал электросвязи.
При сообщении оглашении на деловых встречах, переговорах, семинарах, конференциях, печати в судебных инстанциях и административных органах.
При пересылке документов по каналам почтовой связи, с курьерами, попутчиками.
При утере и краже документов.
При бесконтрольной разработке документов. Оставлении документов на рабочем месте, на экране монитора, при ксерокопировании, сканировании и т.п.
При бесконтрольном хранении и уничтожении и приёме документов.
В основу защиты информации от разглашения целесообразно положить:
Принцип максимального ограничения числа лиц допущенных к конфиденциальной информации, т.к. степень её защищенности находится в прямой зависимости с числом допущенных лиц.
Принцип персональной ответственности за сохранность информации, предполагающий разработку мер побуждающих сотрудников хранить секреты и обеспечивающие заинтересованность каждого из них.
Одним из направлений данной работы является работа с кадрами и воспитательно-профилактическая деятельность, которая включает в себя совокупность методов воздействия на чувства, волю, характер сотрудников в интересах умения хранить тайну и соблюдать установленные правила работ.
Главные направления этой деятельности:
Привитие навыков предупреждения разглашения информации
Повышение ответственности за хранение секретов
Создание обстановки нетерпимости к фактам нарушения безопасности предприятии.
Строгий контроль за всеми видами встреч и переговоров
Контроль публикаций, выступлений, интервью и других форм общения по вопросам деятельности предприятия
Изучение действий и поведения сотрудников в служебное и неслужебное время, мест их пребывания, привычек, наклонностей, трудового удовлетворения и т.п.
Все эти направления и действия должны проводиться в строгом соответствии с законом с точным соблюдением прав и обязанностей сотрудников без какого либо вмешательства в личную жизнь.