5.5 Современные технологии защиты данных.43

Безопасность данных означает их конфиденциальность, целостность и подлинность. Критерии безопасности данных могут быть определены следующим образом.

Конфиденциальность – предполагает доступность данных только для тех лиц, которые имеют на это соответствующие полномочия. Под обеспечением конфиденциальности информации понимается создание таких условий, при которых понять содержание передаваемых данных может только законный получатель, которому данная информация предназначена.

Целостность – предполагает неизменность данных в процессе передачи от отправителя к получателю. Под обеспечением целостности информации понимается достижение идентичности отправляемых и принимаемых данных.

Подлинность – предполагает соответствие данных их явному описанию и содержанию, в частности, соответствие указанным характеристикам: отправителя, времени отправления и содержания. Обеспечение подлинности информации, реализуемое на основе аутентификации, состоит в достоверном установлении отправителя, а также защите информации от изменения при ее передачи от отправителя к получателю.

5.5.1 Технология криптографической защиты информации.

Криптография является методологической основой современных систем обеспечения безопасности информации в компьютерных системах и сетях. Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы защитить эти данные, сделав их бесполезными для неавторизованных (незаконных) пользователей. Основой большинства криптографических средств защиты информации является шифрование данных.

Под шифром понимается совокупность процедур и правил криптографических преобразований, используемых для шифрования. Под шифрованием информации понимается процесс преобразования открытой информации (исходный текст) в зашифрованный текст (шифротекст, криптограмма). Процесс восстановления исходного текста по криптограмме с использованием ключа шифрования называют дешифрованием.

Ключ шифрования является тем элементом, с помощью которого можно варьировать результат криптографического преобразования. Преобразование шифрования может быть симметричным или асимметричным относительно преобразования дешифрования. Соответственно различают два класса криптосистем: симметричные (с единым ключом) и асимметричные (с двумя ключами).

5.5.2 Технологии аутентификации.

Применение открытых каналов передачи данных создает потенциальные возможности для действий злоумышленников. Поэтому одной из важных задач обеспечения информационной безопасности при взаимодействии пользователей является использования методов и средств, позволяющих проверяющей стороне убедиться в подлинности проверяемой стороны.

С каждым зарегистрированным в компьютерной системе пользователем (процессом, действующим от имени пользователя) связана некоторая информация, однозначно идентифицирующая его (число, строка символов). Эту информацию называют – идентификатором субъекта, а субъекта – легальным пользователем.

Идентификация– процедура распознавания пользователя по его идентификатору. Эта процедура выполняется, когда пользователь делает попытку войти в систему (подключиться к сети). Пользователь на запрос системы сообщает ей свой идентификатор, и система проверяет в своей базе данных его наличие.

При положительном результате идентификации заявленного пользователя (процесса, устройства), ему предлагается пройти процедуру проверки подлинности – аутентификации. Эта проверка позволяет достоверно убедиться, что пользователь (процесс, устройство) является именно тем, кем себя объявляет. Обычно пользователь подтверждает свою идентификацию, вводя в систему уникальную, не известную другим пользователям информацию о себе (пароль, сертификат).

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности пользователей. После них выполняется авторизация пользователя.

Авторизация – процедура предоставления пользователю определенных полномочий и ресурсов в данной системе.

С процедурами аутентификации и авторизации тесно связана процедура администрирования действий пользователя.

Администрирование – процедура регистрации действий пользователя в системе, включая его неудачные попытки доступа к ресурсам. Она особенно важна для обнаружения, анализа инцидентов безопасности в системе и соответствующего реагирования на них.

Простейшие практические меры защиты информации.

Как работать с паролями.

1. Пароль не должен быть значимым словом или сочетанием слов какого-либо языка.

Злоумышленник легко может взломать вашу защиту, используя систему подбора паролей перебирая пароль, используя словарь, в котором слова расставлены по частоте их употребления. Если же в качестве пароля выбрано случайное сочетание символов (цифр и латинских букв разного регистра), то количество возможных вариантов примерно 12⁶².

2. Не записывайте свой пароль на случайном электронном или бумажном носителе.

Когда вы не рискуете положиться на свою память, пароль записывается в специальный журнал паролей, который опечатывается и хранится в сейфе или в другом месте, исключающем доступ посторонних лиц.

3. Не используйте один пароль для нескольких целей.

Предположим, что вы придумали и запомнили хороший пароль. И вы ставите его на свой почтовый ящик, в системе баннерного обмена, электронный кошелёк, шифруете им свои архивы и т.д. У всех этих систем разная степень стойкости. Грамотному злоумышленнику не составит большого труда перехватить ваш пароль на почтовый ящик. После этого он попробует его ко всем вашим ресурсам.

4. При наборе пароля, если он даже на экране не отображается, следует всё же избегать чужих глаз.

Литература.

Нормативные документы.

1. Конституция РФ. Принята всенародным голосованием 12 декабря 1993 года.

Законы Российской Федерации:

1. Закон РФ от 28 декабря 2010 г. N 390-ФЗ «О безопасности».

2. Закон РФ от 11 марта 1992г. №2487-1 «О частной детективной и охранной деятельности в РФ»

3. Закон РФ от 12 августа 1995г. №144-ФЗ «Об оперативно-розыскной деятельности».

4. Закон РФ от 29 июля 2004г. №98-ФЗ «О коммерческой тайне».

5. Закон РФ от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».

6. Закон РФ от 27 июля 2006г. №152-ФЗ «О персональных данных».

7. Закон РФ от 06 апреля 2011г. №63-ФЗ «Об электронной подписи».

Кодексы:

8. Гражданский кодекс РФ. Принят Государственной Думой 21 октября 1994 года.

9. Уголовный кодекс РФ. Принят Государственной Думой 24 мая 1996 года.

10. Уголовно-процессуальный кодекс РФ. Принят Государственной Думой 22 ноября 2001 года.

11. Кодекс РФ об административных правонарушениях (КоАП). Принят Государственной Думой 20 декабря 2001 года.

12. Налоговый кодекс РФ (Часть I). Принят Государственной Думой 16 июля 1998 года.

13. Налоговый кодекс РФ (Часть II). Принят Государственной Думой 19 июля 2000 года.

Указы Президента Российской Федерации:

14. «О перечне сведений, отнесенных к государственной тайне» от 11 февраля 2006 г.

15. «О мерах по упорядочению разработки, производства, реализации, приобретения в целях продажи, ввоза в РФ и вывоза за ее пределы, а также использования специальных технических средств, предназначенных для негласного получения информации» от 9 января 1996 г.

16. «Об утверждении перечня сведений конфиденциального характера» от 6 марта 1997 г.

17. «О Стратегии национальной безопасности РФ до 2020 года» от 12 мая 2009 г.

Методические рекомендации.

1. Служба экономической безопасности. Методическая разработка. М., 1996.

2. Федотова Е.А., Методические принципы оценки состояния экономической безопасности региона. «Безопасность бизнеса» №3, 2008.

3. Методические рекомендации по документации в области обеспечения информационной безопасности в соответствии с требованиями СТО БР ИББС-1.0 , 2007.

Книжные издания.

1. Баяндин Н.И. Технологии безопасности бизнеса. – М.: Издательство «Юристъ», 2002

2. Боган К., Инглиш М. Бизнес-разведка: Внедрение передовых технологий. – «Вершина», 2006, - 367с., перевод с английского, ISBN: 5-9626-0122-X

3. Деятельность служб безопасности по обеспечению кредитной политики банков (приложение к журналу «Секьюрити»). - М., 1995

4. Доронин А.И. Бизнес-разведка, Ось-89, 2006

5. Доронин А.И. Разведывательное и контрразведывательное обеспечение финансово-хозяйственной деятельности предприятия. - Тула, Гриф и К, 2000, - 116с.

6. Доронин А.И. Основы экономической разведки и контрразведки. - Тула, Гриф и К, 2000, -224с.

7. Драга А. Комплексное обеспечение безопасности фирмы. - М., 1996

8. Вопросы изучения клиентов с позиции службы безопасности. М., 1996.

9. Казакевич О.Ю., Кочев Н.В., Максименко В.Г., Пипия А.Г., Шиян Н.И. Предприниматель в опасности: способы защиты. Практическое руководство для предпринимателей и бизнесменов. - М., 1992

10. Киселев А., Е., Чаплыгин В.М., Шейкин М.С. Секреты коммерческой безопасности. Практические советы предпринимателю. - М., 1993.

11. Комаров А.Н. Деятельность служб безопасности по обеспечению кредитной политики банков. - М., 1995.

12. Крысин А.В. Безопасность предпринимательской деятельности. - М., 1996.

13. Лемке Г.Э. Конкурентная война. Нелинейные методы и стратегемы. – М.: «Ось-89», 2007 – 464 с. (Серия «Секъюрити»).

14. Мак-Мак В., Савелий М. Закон о частной детективной и охранной деятельности в РФ. Научно-практический комментарий. М., 1997.

15. Мак-Мак В. Служба безопасности предприятия. Организационно-управленческие и правовые аспекты деятельности. М., 1999

16. Предпринимательство и безопасность (под редакцией Долгополова Ю.Б.) - М., 1991.

17. Тарас А.Е. Безопасность бизнесмена и бизнеса. - Минск, 1996

18. Шаньгин В.Ф. «Информационная безопасность компьютерных систем и сетей»: учеб. пособие. – М.: ИД «ФОРУМ»: ИНФРА-М, 2010. – 416 с.

19. Шлыков В.В. Комплексное обеспечение экономической безопасности предприятия. - СПб: «Алетейя», 1999

20. Ярочкин В.И. Секьюритология - наука о безопасности жизнедеятельности. - М.: «Ось-89», 2000

21. Ярочкин В.И., Бузанова Я.В. Корпоративная разведка. - М., Издательство «Ось–89», 2004.

Журнальные публикации.

1. Мазеркин Д. Аналитическая работа службы безопасности предприятия. // Частный сыск, охрана, безопасность. // - 1995, Ч 1.

2. Мак-Мак В.П. Правовой статус службы безопасности. //Частный сыск, охрана, безопасность// - 1994, Ч 2.

3. Мак-Мак В.П. Разведывательное подразделение службы безопасности предприятия. // Мир безопасности // - 1998, Ч 1.

4. Мак-Мак В.П. Контрразведывательное подразделение  службы безопасности предприятия. // Мир безопасности // - 1998, Ч 2.

5. Раевский Г. Система экономической безопасности предприятия. // Частный сыск, охрана, безопасность. // - 1994, Ч 2

6. Федоров А., Матвеев И. Возможности предприятий по сбору информации о банках. // БДИ // - 1996, Ч 4

7. Чертопруд С. Проверка персонала Ч 2. После найма. // Мир безопасности //, 1999, Ч 7 (68)