Теорія захисту інформації

Теорія захисту інформації

План

1. Функції систем захисту інформації

2. Основні терміни та визначення

3. Введення в криптологію

4. Нормативно-правова база захисту інформації

1. Функції систем захисту інформації

Безумовним та загальновизнаним є той факт, що рівень розвитку держави та суспільства значною мірою залежить та визначається рівнем їх інформатизації. У зв’язку з цим в Україні як і у більшості країн світу широко та інтенсивно в усі сфери життєдіяльності людини, суспільства та держави впроваджуються новітні інформаційні системи (ІС), телекомунікаційні системи (ТС), інформаційно-телекомунікаційні системи (ІТС), інформаційні технології (ІТ) та системи інформаційних технологій (СІТ), інформаційно-аналітичні системи (ІАС) та автоматизовані системи управління (АСУ). Особливу важливу роль інформаційно-телекомунікаційні та інформаційно-аналітичні системи відіграють в таких сферах як державне управління, економіка, освіта, наука, оборона, безпека життєдіяльності особи тощо. При функціонуванні вказаних систем здійснюється обробка інформації. Під обробкою інформації в системі розуміється виконання однієї або кількох операцій, зокрема: збирання, введення, записування, перетворення, зчитування, зберігання, знищення, реєстрація, приймання, отримання, передавання, які здійснюються в системі за допомогою технічних і програмних засобів. При цьому обмін інформацією здійснюється з використанням інформаційно-телекомунікаційних систем як внутрішнього так і загального користування, в тому числі при підключенні до міжнародних інформаційно-телекомунікаційних систем через глобальну світову інформаційну інфраструктуру. На практиці поряд з інформаційними та телекомунікаційними системами широке застосування знаходять інформаційно-телекомунікаційні системи.

Широке розповсюдження знаходить використання електронних документів та здійснення електронного документообігу, при цьому під електронним документом розуміється інформація, яка зафіксована у вигляді електронних даних, включаючи обов’язкові реквізити документа. Однією з найбільш важливих вимог до електронних документів є забезпечення їх цілісності на всіх етапах їх життєвого циклу, а також підтвердження авторства. На виконання цих вимог в Україні, як і у технологічно розвинутих державах прийняті закони “Про електронні документи та електронний документообіг” та “Про електронний цифровий підпис”. Ці важливі закони вводяться в дію з 1 січня 2004 року.

Проводячи аналіз стану інформаційної безпеки різних відомств, організацій та фірм, можна прийти до висновку, що об’єктом захисту, який викликає найбільше занепокоєння і акумулює всі проблеми інформаційної безпеки є інформаційно-телекомунікаційні системи, що будуються на базі комп’ютерів. Відповідно до даних федерального бюро розвідки США в 2001 році фінансові втрати від комп’ютерного злодійства склали біля 400 млн. дол. За оцінками відділу з наук та інформаційних технологій при президентові США щорічні втрати, що наносяться американському бізнесу комп’ютерними зловмисниками, в 2001 році склали близько 100 млрд. дол. Втрати від несанкціонованого доступу до інформації, що пов’язана з діяльністю фінансових інститутів США, в тому ж році склали не менш 1 млрд. дол. Таким чином, зловмисні дії в різних ІТС (ІТ та СІТ) наносять суттєві фінансові втрати.

Крім того, проведений аналіз підтверджує, що з кожним роком кількість комп’ютерних атак, що здійснюють зловмисники суттєво збільшилась. Так в США їх число зросло в 2002 р., в порівнянні з 2001 р., з 58 тисяч до 80 тисяч. Велику загрозу складають “хакери-мафіозі”. Єдина мета цих хакерів – отримання прибутку. На їх долю приходиться » 10 % зловмисних дій. На долю “політичних хакерів” приходиться менше 1 % комп’ютерних атак, але вони відносяться до найбільш небезпечних зловмисників. Жертвами політичних атак стали урядові сайти – так в США за три останні роки були взломані сайти Білого Дому, Пентагону та Держдепартаменту.

Згідно з даними Інституту комп’ютерної безпеки США (CSI – Computer Security Institute) та групи Ескадрон проникнення в комп’ютери (Computer Intrusion Squad) федерального бюро розслідувань, 90% всіх опитаних респон-дентів підтвердили факти здійснення атак на їх мережі. При цьому 273 корпорації понесли збитки на суму $265 000 000.

Відповідно до даних МВС Російської Федерації в 1997 р. було зареєстровано 309 комп’ютерних злочинів, в 1998 р. більше 500, а в подальшому збереглась тенденція збільшення їх на 30 %.

Вищенаведене підтверджує проблемність та складність забезпечення інформаційної безпеки в різних інформаційно-телекомунікаційних системах, інформаційних технологіях та системах інформаційних технологій.

Особливими суб’єктами, до яких притягується увага комп’ютерних злов-мисників є банки. На сьогодні банки є найбільш розгалуженим постіндустріаль-ним суб’єктом економіки, який концентрує в собі величезний економічний потенціал, тому і приваблює зловмисників. Розглянемо проблеми інформаційної безпеки на прикладі інформаційних технологій, що застосовуються в банках.

Згідно з установленими нормами міжнародної практики безпеки, об’єктами захисту з урахуванням їх пріоритетів є матеріальні та інформаційні цінності. Так вже склалося, що ринкові відношення з їх невід’ємною конкуренцією та наявністю кримінального світу в навколобанківській сфері, потребує захисту від зовнішніх та внутрішніх загроз банківської діяльності, перш за все, їх інформаційній безпеці.

Таблиця 1 – Приклади втрат в банківській сфері

В табл. 1 наведено деякі приклади втрат в банківський сфері внаслідок відсутності або недостатності забезпечення інформаційної безпеки банку.

Під інформаційною безпекою банку розуміється формування його інформаційних ресурсів та організація їх гарантованого захисту, тобто забезпечення захищеності банківської інформації та підтримуючої інфраструктури від випадкових та навмисних впливів природного або штучного характеру, в результаті яких можуть бути нанесені збитки банку або ресурсам банку. Вона досягається шляхом створення в банку системи обробки інформації, проведенням відповідних заходів щодо зберігання та розподілу, визначенням категорії і статусу банківської інформації, порядку і правил доступу до неї, дотриманням усіма працівниками і клієнтами, засновниками банку норм і правил роботи з банківською інформацією, своєчасним виявленням спроб і можливих каналів витоку інформації.

Прогнози, які можна зробити на найближче майбутнє, показують появу нових суспільно небезпечних форм злочинної діяльності в сфері грошово-кредитних відносин, серед яких можна навести: махінації з кредитними картками, електронними цінними паперами тощо. Особливо жорстко постає це питання зараз, коли електронні системи платежів набувають в Україні свого широкого розповсюдження та розвитку.

Можна висунути чимало суттєвих вимог, яким мають задовольняти платіжні системи, щоб служити інструментом, здатним забезпечити життєдіяльність сучасної розвинутої економіки. Відповідні характеристики платіжних систем визначаються залежно від ролі, яку виконує платіжна система, від організаційних, бухгалтерських, технологічних механізмів, що застосовуються.

Враховуючи те, що в Україні інтенсивно розробляються банківські електронні системи, перш за все, платіжні, найбільш важливим є забезпечення інформаційної безпеки банків та клієнтів. Із аналізу основних загальнодержавних нормативних документів та нормативних документів НБУ випливає, що інформаційні системи захисту, що створюються, мають надавати усім користувачам такі основні послуги як цілісність, спостереженість, доступність та конфіденційність. Взагалі послуги можуть бути надані за рахунок розробки та застосування комплексної системи захисту банківських інформаційних технологій. Під комплексною системою захисту банківських інформаційних технологій розумітимемо сукупність правових і морально-етичних норм, організаційних та програмно-технічних засобів та заходів, які спрямовані на протидію загрозам для платіжних систем і мінімізацію можливих збитків. Теж саме можна сказати і відносно інформаційних систем, телекомунікаційних систем, інформаційно-телекомунікаційних систем, інформаційних технологій та систем інформаційних технологій, інформаційно-аналітичних систем та автоматизованих систем управління різнобічного призначення.

Склад комплексної системи захисту визначається на основі вивчення усіх інформаційних процесів та потоків системи телекомунікацій і, як наслідок, розробці такої моделі загроз, щоб забезпечити мінімізацію втрат. На основі моделі загроз має бути розроблена та запроваджена концепція та політика інформаційної безпеки банку та створена комплексна система захисту інформації, які мають забезпечувати такі послуги безпеки:

- конфіденційність інформації – властивість інформації, коли неавторизовані особи, які не мають доступу до інформації, не можуть розкрити зміст цієї інформації;

- цілісність інформації – властивість інформації, яка полягає в тому, що вона не може бути змінена навмисно або випадково користувачем чи процесом. А також властивість, яка полягає в тому, що жодний з її компонентів не може бути усунений, модифікований або доданий з порушенням політики безпеки;

- справжність;

- доступність – властивість ресурсу системи (інформації), яка полягає в тому, що авторизований користувач може отримати доступ до ресурсу тільки із заданою якістю;

- спостережливість – властивість ресурсу інформаційної технології, що дозволяє реєструвати всі дії користувачів, здійснювати доступ поіменно, відповідно до ідентифікаторів та повноважень, а також реагувати на ці дії з метою мінімізації можливих втрат в системі, що здійснюється також за рахунок застосування криптографічного захисту інформації (КЗІ);

- неспростростовність;

- Вказані послуги можуть бути забезпечені, перш за все, за рахунок використання різних криптографічних перетворень, криптографічних систем та криптографічних протоколів.

Таким чином системи захисту інформації повинні забезпечувати такі функції захисту інформації:

- конфіденційність;

- цілісність;

-справжність (автентичність);

-неспростовність;

-доступність;

-надійність.

2. Основні поняття і визначення

На наш погляд як базисні поняття криптології, що відображують її суть, узгод-жені з розповсюдженими поняттями та відображують новітні досягнення, можуть бути прийняті такі:

Інформація в інформаційних системах (ІС), телекомунікаційних системах (ТС), інформаційно-телекомунікаційних системах (ІТС), інформаційних технологіях (ІТ) та системах інформаційних технологій (СІТ) – сукупність даних, програм, повідомлень та команд, які використовуються або передаються в них, незалежно від засобу їх фізичного або логічного представлення (подання). Керівна, науково-дослідна та науково-технічна, проектно-експлуатаційна та інша документація життєвого циклу ІС, ТС, ІТС, ІТ та СІТ.

Інформаційна (автоматизована) система – система, в якій реалізується технологія обробки інформації за допомогою технічних і програмних засобів.

Телекомунікаційна система – сукупність технічних і програмних засобів, призначених для обміну інформацією шляхом передавання, випромінювання або приймання її у вигляді сигналів, знаків, звуків, рухомих або нерухомих зображень чи іншим способом.

Інформаційно-телекомунікаційна система – сукупність взаємопов’язаних інформаційних та телекомунікаційних систем, які у процесі обробки інформації діють як єдина система.

Безпека інформації – захищеність даних, програм, повідомлень, протоколів, засобів та середовища від порушення конфіденційності, цілісності, доступності та спостережливості інформації та (або) ресурсів.

Забезпечення безпеки інформації – впроваджена сукупність заходів, спрямованих на запобігання витоку, порушення конфіденційності, цілісності, доступності та спостережливості інформації.

Захист інформації в системі – діяльність, що спрямована на запобігання заподіянню шкоди інтересам власників інформації, її користувачів, власників системи та іншим суб’єктам відносин у сфері захисту інформації в системі, обумовленої порушенням умов обробки інформації та/або вимог до її захисту, а також діяльність по забезпеченню конфіденційності, цілісності, доступності та спостережливості інформації та ресурсів.

Криптографічне перетворення інформації – перетворення інформації з метою приховування або відновлення її змісту, підтвердження її справжності, цілісності, авторства, захисту від несанкціонованого доступу до інформації та ресурсів тощо, яке здійснюється з використанням спеціальних (ключових) даних.

Криптографічний захист інформації – вид захисту, що реалізується за допомогою її криптографічного перетворення з метою забезпечення її конфіденційності, цілісності, справжності, доступності, спостережливості тощо.

Засіб криптографічного захисту інформації – апаратний, програмний, апаратно-програмний або інший засіб, призначений для криптографічного захисту інформації.

До засобів КЗІ належать:

- апаратні, програмні, апаратно-програмні засоби, що реалізують криптографічне перетворення інформації;

- апаратні, програмні, апаратно-програмні засоби забезпечення цілісності та справжності інформації, у тому числі засоби імітозахисту та цифрового підпису, що здійснюються за допомогою криптографічного перетворення інформації;

- апаратні, програмні, апаратно-програмні засоби, які призначені для управління ключовими даними, включаючи генерацію ключових даних та виготовлення ключових документів;

- апаратні, програмні та апаратно-програмні засоби захисту інформації від несанкціонованого доступу (НСД), що використовують криптографічні алгоритми перетворення інформації.

Криптографічна система (криптосистема) – сукупність засобів КЗІ, необхідної ключової, нормативної, експлуатаційної, а також іншої документації (у тому числі такої, що визначає заходи безпеки), використання яких забезпечує необхідний рівень безпеки інформації, що обробляється та (або) передається в КСЗІ ІТ (ІТС, СІТ).

3. Введення в криптологію

Найбільш загальною наукою про таємницю є криптологія. Криптологія як наука вивчає закономірності забезпечення конфіденційності, цілісності і т.д. критичної інформації в умовах інтенсивної протидії (криптоаналізу).

Криптологія поділяється на криптографію і криптоаналіз.

Криптографія - вивчає методи, алгоритми і засоби здійснення криптографічного захисту інформації.

Криптоаналіз – вивчає методи, алгоритми і засоби розкриття криптографічної системи при невідомій частині ключа.

Криптографічне перетворення інформації – здійснюється з використанням симетричних, несиметричних криптосистем. Криптографічна система називається симетричною, якщо ключ прямого перетворення збігається з ключем зворотного перетворення чи обчислюється один з іншого не вище чим з поліноміальною складністю (не більш 1 секунди).

Криптосистема (алгоритм) не симетричний, якщо ключ прямого перетворення не збігається з ключем зворотного перетворення, і один може бути обчислений з іншого не нижче чим з експоненціальною складністю.

У Європі криптопроект NESSIE –2000-2003, у ньому визначено 10 видів криптоперетворень

Симетричні – розробка блокового симетричного шифрування, потоковий шифр, автентифікація (процедура встановлення дійсності джерела, приймача повідомлень).

Несиметричні – функції хеширування (обчислення криптографічних контрольних сум) односпрямованої хеш (стиску з великого простіра в малий), ключова хеш з використанням ключа.

Направлене шифрування (виконується умова (2)).

Ідентифікація (автентифікація) - (1),(2).

Криптопротокол - рішення розподіленої задачі, багатоетапно.

4. Нормативно-правова база захисту інформації

Захист інформації здійснюється у відповідності до діючої нормативно-правової бази України. До цієї бази відносяться:

1. Закони України.

2. Укази Президента України.

3. Постанови Кабінету Міністрів.

4. Накази Служби безпеки України.

5. Нормативні документи з криптографічного та технічного захисту інформації.

6. Національні стандарти в галузі захисту інформації.

7. Міжнародні та регіональні стандарти в сфері захисту інформації.