Реферат
на тему:
Правові та організаційно-технологічні проблеми захисту інформації в
автоматизованих системах ОВС України
Програмою інформатизації органів внутрішніх справ України передбачено
ряд заходів стосовно інформатизації оперативно-розшукової діяльності
ОВС. Зокрема, впровадження типової інформаційної підсистеми (ІПС)
“Розшук” з обліку осіб, оголошених в регіональний, державний
(міждержавний) розшук, ІПС “Повідомлення”, “Оріон” та “Пізнання” і т.
ін. [1]. Крім того, програмою передбачено заходи щодо розвитку засобів
комп’ютерного обміну інформацією та поширення мережі користувачів
інформаційних підсистем, розробку проекту використання мережі Internet в
органах внутрішніх справ України.
Враховуючи, що у більшості інформаційних підсистем обробляється
інформація з обмеженим доступом, розробляється концепція комплексного
захисту інформаційної системи ОВС України, визначаються спеціальні
вимоги до засобів комп’ютерної техніки, передачі даних та
криптографічних засобів, ведуться роботи з атестування, видачі ліцензій
комп’ютерних мереж та автоматизованих робочих місць, де обробляється
інформація з обмеженим доступом. Вимоги до надійності та інформаційної
безпеки інформаційно-пошукових систем викладено в проекті створення
інформаційно-аналітичної системи органів внутрішніх справ України.
Відмічається, що безпека і захист в інформаційній системи має будуватись
з урахуванням комплексного підходу до структури системи захисту, що
передбачає об’єднання в єдиний комплекс відповідних заходів та засобів
захисту інформації на всіх рівнях системи інформаційного забезпечення.
Система інформаційної безпеки в ОВС України базується на положеннях
Конституції України, законах України “Про міліцію”, “Про
оперативно-розшукову діяльність”, “Про організаційно-правові основи
боротьби з організованою злочинністю”, “Про державну таємницю”, “Про
інформацію”, “Про національну програму інформатизації”, “Про захист
інформації в автоматизованих системах”, “Про телекомунікації” і т. ін.
Крім того, при побудові системи інформаційної безпеки слід враховувати
зміст відповідних статей Кримінального та інших кодексів України,
Положення про технічний захист інформації в Україні, Положення про
забезпечення режиму таємності під час обробки інформації, що становить
державну таємницю, в автоматизованих системах (Постанова Кабінету
Міністрів України від 16.02.98 р., № 180), Постанови Кабінету Міністрів
України “Про затвердження Концепції технічного захисту інформації в
Україні” № 1126 від 08.11.1997 р., наказів МВС України “Про організацію
і виконання робіт з технічного захисту інформації з обмеженим доступом в
системі МВС України” від 14.07.1998 р., “Про заходи щодо забезпечення
вимог Закону України “Про внесення змін і доповнень в Закон про державну
таємницю” від 31.10.1999 р. № 860, інших наказів МВС України [2; 3], а
також – наказів Департаменту спеціальних телекомунікаційних систем та
захисту інформації Служби безпеки України.
Система інформаційної безпеки спрямована на запобігання втраті
інформації, її спотворенню, несанкціонованому доступу та незаконному її
використанню на етапах проектування, впровадження та експлуатації
інформаційних підсистем. В експлуатаційному режимі програмно-технічні
комплекси повинні забезпечити ефективне і надійне функціонування
інформаційних підсистем та захист від несанкціонованого доступу (НСД).
Основною метою системи захисту інформації є:
– фізичне збереження технічних і програмних засобів від викрадення та
пошкодження;
– надання користувачам права доступу до ресурсів підсистеми згідно з
прийнятою стратегією безпеки;
– забезпечення входу до комп’ютерної підсистеми за умови пред’явлення
електронного ідентифікатора або вводу особистого паролю;
– реєстрація дій користувачів щодо ресурсів підсистеми;
– забезпечення цілісності інформаційних ресурсів (у тому числі –
забезпечення антивірусного захисту);
– облік носіїв інформації;
– сигналізація про порушення захисту;
– забезпечення цілісності програмних засобів та інформації, що
обробляється.
Підсистема контролю доступу і захисту інформації повинна реалізовувати
основні методи захисту інформаційних ресурсів від несанкціонованого
доступу, а також забезпечувати нейтралізацію випадкових і
цілеспрямованих потенційних загроз, таких, що дають змогу порушнику:
– одержувати доступ до даних з порушенням встановлених правил
розмежування доступу з метою ознайомлення, модифікації, копіювання,
знищення даних і т. ін.;
– зчитувати дані із запам’ятовуючих пристроїв після виконання
санкціонованих запитів;
– копіювати носії інформації;
– маскуватися під зареєстрованого користувача, видавати власні
несанкціоновані запити за запити операційної системи;
– отримувати захищені дані за допомогою спеціально організованої серії
санкціонованих запитів;
– модифікувати програмне забезпечення, навмисно включаючи до його складу
спеціальні блоки для порушення безпеки даних;
– фальсифікувати факти формування, видачі та отримання даних;
– підтверджувати отримання від користувача даних, сформованих самим
порушником, передачу користувачеві даних, що не передавалися;
– вивчати права доступу інших користувачів;
– незаконно розширювати свої права та змінювати повноваження інших
користувачів.
При захисті комп’ютерних систем від несанкціонованого доступу треба
враховувати специфіку їх використання. Як правило, окремим комп’ютером
користується обмежена кількість користувачів. ПК можуть функціонувати як
в автономному режимі, так і у складі локальних мереж, підключатися до
глобальної мережі Internet і т. ін.
Для захисту ПК від несанкціонованого доступу використовуються
різноманітні програмні засоби, серед яких найбільше розповсюдження
отримали:
– засоби захисту обчислювальних ресурсів (використовують парольну
ідентифікацію);
– застосування різноманітних методів шифрування інформації;
– засоби захисту від копіювання комерційних програм;
– захист від комп’ютерних вірусів та ін.
Засоби парольної ідентифікації. Можна використати апаратні засоби
встановлення паролю на запуск операційної системи за допомогою установок
в CMOS Setup. Однак, використання такої парольної ідентифікації не є
надійним, для подолання такого захисту достатньо, наприклад, ввести
універсальний пароль (AWARD_SW) або відключити акумуляторну батарею
комп’ютера.
Захист накопичувача на жорсткому магнітному диску. Існує декілька видів
програмних засобів для вирішення цього завдання: захист від будь-якого
доступу до жорсткого диску; захист диску від запису і читання; контроль
за зверненнями до диска; засоби видалення залишків конфіденційної
інформації. Як правило, застосування таких методів дозволяє надійно
захистити жорсткий диск від несанкціонованого доступу.
Криптографічний захист інформації – це спеціальні методи перетворення
інформації, в результаті якого вона стає недоступною без пред’явлення
ключа і зворотного перетворення. Криптографічний метод захисту
інформації вважається найбільш надійнішим (охороняється сама інформація,
а не доступ до неї). Цей метод захисту реалізується шляхом застосування
пакетів програм, що розширюють можливості операційної системи.
Сьогодні поки не існує загально визнаної класифікації криптографічних
методів захисту інформації. Проте, коли шифрується кожний символ
повідомлення (симетричний метод закриття інформації), можна умовно
виділити чотири основні групи: підстановка – символи тексту, що
шифрується, заміняються символами того ж або іншого алфавіту (за
визначеним правилом); перестановка – символи тексту переставляються за
певним правилом у межах заданого блоку тексту; аналітичне перетворення –
текст перетворюється за певним аналітичним правилом; комбіноване
перетворення – текст шифрується декількома засобами шифрування.
Існує значна кількість програмних засобів для шифрування інформації, що
різняться за ступенем надійності. До найбільш надійних та перевірених
часом можна віднести такі програми.
Pretty good privacy (PGP). Потужний засіб криптографічного захисту.
Програма “PGP” сьогодні фактично є стандартом для електронного
листування в усьому світі. Звичайні засоби криптографії з одним ключем
припускали обов’язковий попередній обмін секретним ключем або паролем.
Програма PGP має два ключі – відкритий і секретний. Навіть найпотужнішим
комп’ютерам треба століття для розшифровки повідомлення, зашифрованого
за допомогою цієї програми.
Слід відзначити, що жодна система захисту даних не може вважатися
надійною на всі 100 відсотків. Тому, зокрема в імені пароля, не можна
використовувати очевидні фрази, які легко вгадати. Злом системи захисту
злочинці можуть здійснювати, зокрема, шляхом підробки відкритих ключів,
аналізу видалених (не до кінця) файлів, а також файлів підкачки
(віртуальна пам’ять), створювання комп’ютерних вірусів чи програмних
закладок.
Крім того, порушення режиму фізичного доступу може дозволити сторонній
особі захопити файли з вихідним текстом. Методи криптографії захищають
дані, тільки доти, доки вони зашифровані, і не можуть перешкодити
порушенню режиму фізичної безпеки, коли розкритою може стати текстова
або звукова інформація (цей вид атак простіше і дешевше, ніж
криптоаналіз).
Технічно добре оснащеними злочинцями може бути вчинена атака ще одного
виду, що полягає у віддаленому перехопленні побічного електромагнітного
випромінювання і наводок (ПЕВІН) від комп’ютера. Так, спеціальне
обладнання може перехоплювати інформацію, що відображається на дисплеї
комп’ютера на відстані до 1 тис. метрів [4]. Цей потенційний канал
витоку інформації можна захистити шляхом екранування комп’ютерного
обладнання і мережних кабелів. Така технологія відома з назвою Tempest і
застосовується урядовими і оборонними організаціями. Крім того, можна
використовувати спеціальні генератори шуму (“ГБШ-1”, “Салют”, “Пелена”,
“Грім”, “Волна” та ін.).
Існує також проблема захисту від неправильних дат в електронному
підпису. Слід враховувати, що іноді “некоректна” дата поруч із підписом
не є шахрайством. У ситуаціях, коли виникає питання про те, що підпис на
звичайному паперовому документі виконаний саме у визначений час,
звертаються до нотаріуса, який засвідчує момент підпису і завіряє це
своїм підписом. Аналогічно, при використанні цифрового підпису для
завірення дати підпису документа можна звернутися до третьої сторони,
яка користується довірою, щоб вона сертифікувала підпис.
Шифрування інформації в зображенні чи звуці. Ці програми називають
стеганографічними, вони дозволяють сховати текстові повідомлення (у
файлах типу.bmp,.gif,.wav). Приклад подібної програми – “S-tools”. На
вигляд графічний файл залишається практично незмінним (змінюється лише
деякі відтінки кольору). Звуковий файл також помітно не зміняється.
Програма може використовувати декілька алгоритмів шифровки, включаючи
досить потужний алгоритм Triple DES.
Зашифрувати інформацію можна також за допомогою архіваторів. Програми
Arj, Rar, WinZip та подібні до них дозволяють створювати захищені
паролем архіви. Цей засіб захисту значно слабкіший за ті, що описані
вище. Фахівці вважають, що в методах шифрування, застосовуваних в
архіваторах, є недоліки, що дозволяє їх “зламувати”.
Захист паролем документів MS-Office. Фахівці не рекомендують
використовувати цей метод, злом настільки простий, що на це витрачається
лише кілька секунд. Найчастіше зламуються документи MS Word і MS Excel.
Захист даних за допомогою програми NDEC. Це проста й надійна програма, в
якій були застосовані оригінальні алгоритми багатоступеневого
полиморфного кодування з використанням двох ключів. Наведене означає,
що, наприклад, файл, який шифрується тим самим ключем, щоразу буде мати
новий, відмінний по всіх байтах вигляд.
Захист даних за допомогою програми “Кобра”. Дану програму навіть
закордонні фахівці вважають найдосконалішою криптосистемою.
Захист дискет за допомогою програми DiskHide. Програма дозволяє зробити
дискету (після запису на неї інформації), на перший погляд, порожньою
(однак, її вміст можна переглянути, зокрема, за допомогою утілити
DiskEditor).
Захист жорстких дисків. Проблема захисту даних на жорстких дисках ПК є,
мабуть, найактуальнішою.
Програма BestCrypt – найкраща (із доступних безкоштовно в Internet)
програма для створення шифрованих логічних дисків. Існують версії цієї
програми для DOS, Windows 95/98, Windows NT. Програма пропонує три
алгоритми шифрування (DES, GOST, BlowFish). Фахівці рекомендують
вибирати перевірені алгоритми – GOST або BlowFish. Крім того, програма
дозволяє на фізичному рівні шифрувати дискети, що дуже зручно для
передачі таємної інформації.
Програма seNTry 2020 (версія 2.04) є однією з найкращих для створення
шифрованих логічних дисків під Windows NT.
Програма SafeHouse – ще одна програма для створення шифрованих логічних
дисків. Є версії для Dos, Windows 95/98, Windows NT. Міжнародна версія є
слабкою (40/56 біта ключ), американська – більш потужна.
Програма Kremlin є логічним доповненням програми BestCrypt. Вона
дозволяє шифрувати файли й електронну пошту по багатьох алгоритмах на
вибір (IDEA, 3DES, CAST та ін.). Але головна її перевага – можливість (у
задані години або при вимиканні комп’ютера) знищувати файли історії,
лог-файли, тимчасові файли чи усі файли, що визначить користувач (без
можливості їх відновлення).
Захист ПК за допомогою апаратних засобів. Призначення цього пристрою –
видалення інформації при спробі вилучення накопичувача, викраденні
комп’ютера, проникненні до зони обслуговування сервера або при
натисканні визначеної кнопки. По суті, цей пристрій є аналогом
паперово-знищувальної машинки, він ініціює форматування накопичувача.
Для ідентифікації адміністратора, який має доступ до комп’ютерів, що
охороняються, застосовуються електронні ключі з довжиною коду 48 біт.
Малий час, відведений для пред’явлення ключа (10 секунд), виключає
можливість його добору. Датчики, при спрацьовуванні яких відбувається
знищення інформації, користувачі вибирають самі. Найчастіше
використовуються кінцеві вимикачі (відкриття кімнати, тривожна кнопка),
дзвоник телефону (пейджера), датчики, що спрацьовують при зміні об’єму.
Пристрій представляє собою блок, що монтується у відсік 3,5” дисковода і
має автономне живлення, його можна встановити у будь-який комп’ютер, що
має накопичувачі типу IDE.
Отже, проблема захисту інформації з обмеженим доступом, що обробляється
в автоматизованих системах ОВС, є сьогодні досить актуальною. Її
вирішення потребує вжиття ряду заходів, одним з яких є підготовка та
перепідготовка кадрів. Тому кафедрою інформаційних технологій
Національної академії внутрішніх справ України вже декілька років
викладається відповідна спеціалізована дисципліна “Інформаційна безпека
правоохоронних органів”.
Список використаних джерел
1. Система інформаційного забезпечення ОВС України: Навч.-практ.
посібник / Під ред. Л.В. Бородича. – К.: РВВ МВС України, 2000.
2. Про першочергові заходи щодо створення Центру та підрозділів
технічного захисту інформації в системі МВС України: Наказ МВС України
від 16.05.1995 р. № 314.
3. Про організацію і виконання робіт з технічного захисту інформації з
обмеженим доступом в системі МВС України: Наказ МВС України від
14.07.1998.
4. Хорев А. Защита информации. Технические каналы утечки информации. –
М.: ГКТ, 1998.
В.Г. Хахановський. Правові та організаційно-технологічні проблеми
захисту інформації в автоматизованих системах ОВС України. “Боротьба з
організованою злочинністю і корупцією (теорія і практика)” 9’2004.
Нашли опечатку? Выделите и нажмите CTRL+Enter
