- как неизменность свойств информации с момента введения в систему.
Канал утечки информации - совокупность источника информации, материального носителя или среды распространения несущих указанную информацию и средства выделения информации из сигнала или носителя. Через каналы утечки реализуется угроза конфиденциальности информции.
Существует ряд каналов утечки информации:
электромагнитный канал (прична возникновения - электромагнитное поле, связанное с протеканием электрического тока в технических система информационных технологий);
аккустический канал (прична возникновения - распространение звуковых волн в воздухе и упругих средах, возникающих при работе устройств отображенния информации).
Успешная реализация политики безопасности налоговых органов не возможна без формулирования цели информационной безопасности и задач её достижения.
Целями информационной безопасности экономической сферы России являются:
-предотвращение нанесения информационного, физического, материального и морального ущерба финансово-экономическим и налоговым органам, далее экономическим органам (ЭО), их работникам и клиентам;
-обеспечение благоприятных условий для обработки экономическими органами своевременно представленной и достоверной информации, необходимой для принятия решений по финансированию и налогообложению;
обеспечение сохранности защищаемой информации экономических органов ЭО от незаконного распространения, искажения, уничтожения и иных действий способных нанести ущерб экономическим интересам России, а также организациям, предприятиям и гражданам.
К основным задачам информационной безопасности экономических органов России относятся:
защита государственных информационных ресурсов, прогноз, выявление и оценка источников угроз информационной безопасности ЭО;
-формирование и реализация в ЭО единой политики в области защиты информации и разработка единой нормативной правовой базы ИБ ЭО России;
-определение полномочий структурных подразделений ЭО всех уровней в сфере обеспечения ИБ;
-совершенствование информационной структуры, унификация средств поиска, сбора, хранения, обработки, анализа и защиты информации, с учетом инфраструктуры ЭО;
контроль эффективности проводимых ЭО мероприятий по ИБ;
-взаимодействие с другими органами государственной власти по вопросам обеспечения ИБ.
Определив цели и задачи ИБ можем сформулируем её понятие.
Под информационной безопасностью ЭО России следует понимать состояние защищенности экономических объектов, предполагающих гарантированную безопасность информационной среды ЭО, обеспечивающую ее формирование, использование и развитие в интересах потребителей, налогоплательщиков, организаций и государства.
.2 Объекты информационная безопасность экономической безопасности
информационный безопасность сеть защита
К объектам ИБ экономической органов России относятся:
- персонал, работающий с защищаемой информацией;
- защищаемая информация ЭО;
- средства и системы информатизации;
технические средства и системы;
- выделенные (защищаемые) помещения.
Персонал, работающий с защищаемой информацией - работники ЭО, осведомленные в сведениях конфиденциального характера и имеющие непосредственный доступ к ним.
Защищаемая информация ЭО - ресурсы, содержащие сведения, составляющие конфиденциальную информацию:
документированная информация, содержащаяся на носителях с бумажной, магнитной или оптической основой;
-информация, циркулирующая в средствах вычислительной техники и связи, телекоммуникациях, в том числе информация, обрабатываемая при взаимодействии автоматизированных информационных систем глсударственных экономических органов и служб России (ФНС, ЦБ, ФКС, ГТК России, ФСБ России, Минфином России и др.) с информационно-аналитическими системами органов государственной власти федерального, регионального и местного уровней;
-речевая информация, обсуждаемая в ЭО;
Технические средства и системы, не обрабатывающие информацию, но размещенные в помещениях, где обрабатывается (циркулирует) информация, содержащая сведения, отнесенные к служебной тайне.
Выделенные (защищаемые) помещения - помещения, предназначенные для ведения служебных переговоров, а также для проведения конфиденциальных мероприятий - конференций, совещаний, переговоров.
Средства и системы информатизации:
средства вычислительной техники, информационно-вычислительные комплексы, сети и информационные системы типа «АИС Налог» и др.;
программные средства (операционные системы, системы управления базами данных, другое общесистемное и прикладное программное обеспечение) АИС «Налог» и др.;
-автоматизированные системы управления, системы связи и передачи данных, технические средства приема, передачи и обработки информации используемые для обработки информации содержащей сведения, отнесенные к служебной тайне.
.3 Угрозы информационной безопасности и способы их реализации
Рассмотрим два основные вида угроз- возмущений ИБ экономики России, представляющих:
а) внутренние:
-отсутствие координации деятельности ЭО по реализации единой политики в области информатизации и защиты информации;
-преднамеренные действия персонала при формировании, распространении и использовании защищаемой информации ЭО;
-нарушения установленной технологии сбора, накопления, хранения, преобразования, отображения и передачи защищаемой информации;
непреднамеренные ошибки персонала, отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах;
компрометация ключей и средств криптографической защиты информации по вине обслуживающего персонала;
б) внешние:
преднамеренные действия по совершению преступных действий по отношению информационных ресурсов ЭО органов или их защитных программных средств используя возможности глобальных сетей и несанкционмрованного сёма информации;
-неправомерные действия отдельных должностных лиц органов государственной власти, приводящие к нарушению или разрушению единого экономического информационного пространства России;
-целенаправленное вмешательство и противозаконная деятельность заинтересованных структур, групп, и отдельных лиц в область формирования и использования информации ЭО;
-воздействие на парольно-ключевые элементы автоматизированных систем обработки и передачи защищаемой информации ЭО;
противоправная деятельность коммерческих и криминальных структур, террористическая деятельность, деятельность иностранных разведывательных и специальных служб, стихийные бедствия и катастрофы.
Рассмотрим основные способы реализации угроз ИБ экономическим органам.
Организационные и правовые способы реализации угроз включают:
-невыполнение требований законодательства в сфере информационных отношений и защиты информации;
-несоблюдение установленного порядка приема в эксплуатацию программного обеспечения;
- нарушение режима доступа лиц к информации ограниченного доступа.
К информационным способам реализации угроз относятся:
-хищение защищаемой информации из библиотек, архивов, банков и баз данных с помощью программно-технических средств;
противоправный сбор и использование защищаемой информации;
несанкционированный доступ к защищаемой информации экономических органов;
-манипулирование защищаемой информацией (фальсификация, модификация, подделка, сокрытие, несанкционированное уничтожение или искажение информации);
-нарушения в рассылке защищаемой информации различным адресатам при ведении информационного обмена;
-незаконное копирование и распространение информации, подлежащей защите в ЭО.
Программные способы реализации угроз включают:
разработка и распространение программ, нарушающих нормальное функционирование информационных и нформационно-телекоммуникационных систем, в том числе систем защиты информации;
внедрение программ-вирусов (загрузочных, файловых и др.);
-установку программных закладочных устройств, в том числе действующих в реальном масштабе времени и дистанционно управляемых:
поставку "зараженных" компонентов информационных систем.
Физические способы реализации угроз включают:
физическое или информационно - психологическое воздействие на персонал налоговых органов, работающий с защищаемой информацией;
-хищение, уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки защищаемой информации, телекоммуникации и связи;
хищение программных или аппаратных ключей и средств защиты информации.
Радиоэлектронными способами реализации угроз являются:
внедрение электронных устройств перехвата информации в технические средства и помещения, в которых обрабатывается (обсуждается) информация ограниченного доступа;
получение защищаемой информации путем перехвата и дешифрирования информационных потоков, передаваемых по
незащищённым каналам связи;
-съем защищаемой информации по техническим каналам (побочные излучения и наводки);
навязывание ложной информации в локальных вычислительных сетях, сетях передачи данных и линиях связи.
2. Система информационной безопасности экономического сектора
Исходя из того, что информация изначально представляет собой слабо защищённый ресурс, важность его защиты, обеспечения полного комплекса информационной безопасности является задачей высочайшей важности для пользователей, организаций, ведомств и всего государства. На общегосударственном уровне защита информации должна обеспечиваться в соответствии с концепцией экономической безопасности России.
На федеральном уровне принимаются меры информационной безопасности, обеспечивающие формирование и реализацию единой государственной экономической Системы информационной безопасности.
Система информационной безопасности осуществляет формирование и реализацию единой государственной экономической безопасности по обеспечению защиты национальных интересов от угроз в информационной сфере, установление баланса между потребностью в свободном обмене информации и допустимыми ограничениями её распространения.
Активно развиваются и совершенствуются телекоммуникационные системы и информационные технологии, унифицируются средства поиска, сбора, хранения, обработки и анализа информации для вхождения в глобальную информационную инфраструктуру.
.1 Управление доступом к информации и информационным системам
Управление доступом к отдельному автоматизированному рабочему месту (АРМ) или объединённому в локальную компьтерную сеть, крайне важно и ответственно по многим причинам:
обеспечение непрекосновенности информации личного характера, хранящейся на ЭВМ;
защита служебной информации;
обеспечение целостности информации в ЭВТ;
снижение риска заражения вирусом.
Управление доступом предполагает, чтобы легальный пользователь имел простой доступ, а нелегальный (несанкционированный) - крайне сложный. Кроме надёжной защиты дверей и окон, необходимы:
определение ресурсов, которые подлежат защите;
определение пользователей, допущенных к защищённой информации с установленными полномочиями (только просмотр, просмотр и корректировка, право распечатки, уничтожение и полномочия в полном объёме);
аутентификация, требующая, чтобы пользователь подтвердил свою линость перед доступом к ресурсам на которые он имеет полномочия;
временная блокировка (установленное время для входа в систему);
контроль за попытками нелегального доступа.
Аутентификация личности компьютером - вынужденное подтверждение пользователем своей подлинности (ключ или карточка, код - пароль, дактилоскопический отпечаток и т.д., подтверждающие личность). Введение пароля или его замена осуществляется программно, в зависимости от используемой операционной системы. Эффективность пароля зависит от секретности его хранения и регулярности изменения. Пароль традиционно защищает вход в компьютер или компьютерную сеть.
Существует не очень привлекательная, но ответственная и полезная процедура контроля, так как необходимо и полезно знать, кто и когда работает с вашей системой. Об этом необходимо помнить ибо ведущую роль в усилении или ослаблении информационной безопсности, играют следующие категории лиц:
руководители - несут равную ответственность как за организацию системы информационной безопасности, так и за её срывы;
специалисты-компьюторщики, которых должна отличать высокая требовательность, профессионализм и внимание к пользователю;
администраторы локальной сети - высокая ответственность и не допущение пропуска или некачественного выполнения процедур безопасности, внимательный участник процесса обучения пользователей, профессионал высшего класса;
пользователи - операторы-исполнители решения функциональных алгоритмов обработки налоговой информации в объёме установленных полномочий. В силу невысокого профессионализма, недостаточной ответственности и психологической неустойчивости пользователи являются основным источником информационных сбоев и срывов в Сети, требуя повышенного внимания со стороны специалистов - информатизаторов;
.2 Программные виды информационных угроз и возмущений
Термин "компьютерный вирус" появился в середине 80-х годов, на одной из конференций по безопасности информации, проходившей в США. С тех пор прошло немало времени, острота проблемы вирусов многократно возросла.
Основная особенность компьютерных вирусов заключается в возможности их самопроизвольного внедрения в различные объекты операционной системы - присуща многим программам, которые не являются вирусами, но именно эта особенность является обязательным (необходимым) свойством компьютерного вируса. К более полной характеристике современного компьютерного вируса следует добавить способность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети или файлы, системные области компьютера и прочие выполняемые объекты.
Приведем одно из общепринятых определений вируса, содержащееся в ГОСТе Р 51275-99 " Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения".
Программный вирус - это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.
Невозможность четкой формулировки определения компьютерного вируса не является проблемой. Главная проблема, которая следует из этого, заключается в том, что нет четких (однозначных) признаков, по которым можно отличить различные файлы от "вирусов", что не позволяет в полной мере устранить их влияние. Несмотря на, все усилия разработчиков антивирусного программного обеспечения до сегодняшнего дня нет достаточно надежных антивирусных средств и, скорее всего, противостояние "вирус описателей" и их оппонентов будет постоянным.
Исходя из этого, необходимо понимать, что нет достаточных программных и аппаратных средств защиты от вирусов, а надежная защита от вирусов может быть обеспечена комплексным применением этих средств и, что немаловажно, соблюдением элементарной "компьютерной гигиены".
Компьютерные вирусы одна из главных угроз информационной безопасности. Это связано с масштабностью распространения этого явления и, как следствие, огромного ущерба, наносимого информационным системам.
Современный компьютерный вирус - это практически незаметный для обычного пользователя "враг", который постоянно совершенствуется, находя все новые и более изощренные способы проникновения на компьютеры пользователей. Необходимость борьбы с компьютерными вирусами обусловлена возможностью нарушения ими всех составляющих информационной безопасности.
Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Вирусные эпидемии способны блокировать работу организаций и предприятий.
На тему борьбы с вирусами написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются тысячи специалистов в сотнях компаний. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
В последнее время вирусные эпидемии стали настолько масштабными и угрожающими, что сообщения о них выходят на первое место в мировых новостях. При этом следует иметь в виду, что антивирусные программы и аппаратные средства не дают полной гарантии защиты от вирусов, а большинство пользователей не имеют даже основных навыков "защиты" от вирусов.
Е. Касперский в своей книге "Компьютерные вирусы" отмечает, что …"Борьба с компьютерными вирусами является борьбой человека с человеческим же разумом, эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди".
Компьютерные вирусы классифицируются по среде обитания на:
файловые;
загрузочные;
макровирусы;
сетевые.
Файловые вирусы внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record)., либо меняют указатель на активный boot-сектор. Они распространяются используя метод поражающий не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере загрузочные вирусы могут временно располагаться в оперативной памяти.
Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.
Макровирусы заражают файлы-документы и электронные таблицы популярных офисных приложений. Эта особая разновидность вирусов поражает документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения так называемых макрокоманд. В частности, к таким документам относятся документы текстового процессора Microsoft Word (они имеют расширение .DOC). Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд. Как и для других типов вирусов, результат атаки может быть как относительно безобидным, так и разрушительным.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфии- технологии. Другой пример такого сочетания - сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, и т. д. Макровирусы заражают файлы форматов Word, Exeei, пакета Office, Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
К компьютерным вирусам примыкают и так называемые троянские кони (троянские программные вирусы - троянцы).
Программные вирусы - это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. От загрузочных вирусов программные вирусы отличаются методом размножения. При запуске программы, несущей вирус, производит запуск имплантированного в нее вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ - этот процесс называется размножением. Через некоторое время, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям - нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой.
Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска - достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой структуры.
В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежит. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ исключительно высока.
Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование на специальных устройствах, называемых программаторами.
Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т. п.) или принятых из Интернета. Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения «троянских» программ - приложение к электронному письму с «рекомендацией» извлечь и запустить якобы полезную программу.
3. Методы и средства защиты от компьютерных вирусов
Существуют три рубежа защиты от компьютерных вирусов:
предотвращение поступления вирусов;
-предотвращение вирусной атаки, если вирус все-таки поступил на компьютер;
-предотвращение разрушительных последствий, если атака все-таки произошла.
Указанные рубежи реализуются следующими методами защиты:
-программные методы защиты;
-аппаратные методы защиты;
-организационные методы защиты.
В вопросе защиты ценных данных необходимо руководствоваться принципом, который основывается на том, что ни какие заслоны, поставленные на пути вирусов, не являются гарантом безопасности защищаемых данных. К тому же, вирусная атака - далеко не единственная и даже не самая распространенная причина утраты важных данных. Существуют программные сбои, которые могут вывести из строя операционную систему, а также аппаратные сбои, способные сделать жесткий диск неработоспособным. Всегда существует вероятность утраты компьютера вместе с ценными данными в результате кражи, пожара или иного стихийного бедствия.
Поэтому создавать систему безопасности следует в первую очередь с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жесткого диска из строя. Надежная и безопасная работа с данными достигается только тогда, когда любое неожиданное событие, в том числе и полное физическое уничтожение компьютера не приведет к катастрофическим последствиям.
Средства антивирусной защиты. Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации по любой из вышеперечисленных причин жесткие диски переформатируют и подготавливают к новой эксплуатации. На «чистый» отформатированный диск устанавливают операционную систему с дистрибутивного компакт-диска, затем под ее управлением устанавливают всё необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
При резервировании данных следует также иметь в виду и то, что надо отдельно сохранять все регистрационные и парольные данные для доступа к сетевым службам Интернета. Их не следует хранить на компьютере. Обычное место хранения - служебный дневник в сейфе руководителя подразделения.
Создавая план мероприятий по резервному копированию информации, необходимо учитывать, что резервные копии должны храниться отдельно от компьютера. То есть, например, резервирование информации на отдельном жестком диске того же компьютера только создает иллюзию безопасности. Относительно новым и достаточно надежным приемом хранения ценных, но не конфиденциальных данных является их хранение в Web-папках на удаленных серверах в Интернете.
Резервные копии конфиденциальных данных сохраняют на внешних носителях, которые хранят в сейфах, желательно в отдельных помещениях. При разработке организационного плана резервного копирования учитывают необходимость создания не менее двух резервных копий, сохраняемых в разных местах. В процессе копирования применяют несколько комплектов машинных носителей. Например, в течение текущей недели разумно ежедневно копировать данные на носители резервного комплекта I, а на следующей неделе их заменить комплектом II, и т. д.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы (флэш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неаккуратный пользователь.
Существует достаточно много программных средств антивирусной защиты с различными возможностями.
Создание образа жесткого диска на внешних носителях (например, на гибких дисках). В случае выхода из строя данных в системных областях жесткого диска сохраненный «образ диска» может позволить восстановить если не все данные, то, по крайней мере, их большую часть. Это же средство может защитить от утраты данных при аппаратных сбоях и при неаккуратном форматировании жесткого диска.
Регулярное сканирование жестких дисков в поисках компьютерных вирусов обычно выполняется автоматически при каждом включении компьютера и при размещении внешнего диска в считывающем устройстве. При сканировании следует иметь в виду, что антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящимися в базе данных. Если база данных устарела, а вирус является новым, сканирующая программа его не обнаружит. Для надежной работы следует регулярно обновлять антивирусную программу. Желательная периодичность обновления - один раз в две недели; допустимая - один раз в три месяца. Для примера укажем, что разрушительные последствия атаки вируса W95.CIH.1075 («Чернобыль»), вызвавшего уничтожение информации на сотнях тысяч компьютеров 26 апреля 1999 года, были связаны не с отсутствием средств защиты от него, а с длительной задержкой (более года) в обновлении этих средств.
Контроль за изменением размеров и других атрибутов файлов. Поскольку некоторые компьютерные вирусы на этапе размножения изменяют параметры зараженных файлов, контролирующая программа может обнаружить их деятельность и предупредить пользователя.
Контроль за обращениями к жесткому диску. Поскольку наиболее опасные операции, связанные с работой компьютерных вирусов, так или иначе, обращены на модификацию данных, записанных на жестком диске, антивирусные программы могут контролировать обращения к нему и предупреждать пользователя о подозрительной активности.
.1 Защита сетей и информации при работе в Интернете
При работе в Интернете следует иметь в виду, что насколько ресурсы Всемирной сети открыты каждому клиенту, настолько же и ресурсы его компьютерной системы, при определенных условиях, могут быть открыты всем, кто обладает необходимыми средствами.
В основе безопасной работы в Интернете является не допущение действий, нарушающих законодательства тех стран, на территории которых расположены серверы Интернета. К таким действиям относятся вольные или невольные попытки нарушить работоспособность компьютерных систем, попытки взлома защищенных систем, использование и распространение программ, нарушающих работоспособность компьютерных систем (в частности, компьютерных вирусов).
Работая во Всемирной сети, следует помнить о том, что абсолютно все действия фиксируются и протоколируются специальными программными средствами и информация, как о законных, так и о незаконных действиях обязательно накапливается. Таким образом, к обмену информацией в Интернете следует подходить как к обычной переписке с использованием почтовых открыток. Информация свободно циркулирует в обе стороны, но в общем случае она доступна всем участникам информационного процесса. Это касается всех служб Интернета, открытых для массового использования.
Однако даже в обычной почтовой связи наряду с открытками существуют и почтовые конверты. Использование почтовых конвертов при переписке не означает, что партнерам есть, что скрывать. Их применение соответствует давно сложившейся исторической традиции и устоявшимся морально-этическим нормам общения. Потребность в аналогичных «конвертах» для защиты информации существует и в Интернете.
Сегодня Интернет является не только средством общения и универсальной справочной системой - в нем циркулируют договорные и финансовые обязательства, необходимость защиты которых как от просмотра, так и от фальсификации, очевидна. Начиная с 1999 года, Интернет становится мощным средством обеспечения розничного торгового оборота, а это требует защиты данных кредитных карт и других электронных платежных средств. Активно используется Интернет и государственными службами, в том числе ФНС России.
Принципы защиты информации в Интернете опираются на определение информации, сформулированное нами в первой части этого пособия.
Информация - это продукт взаимодействия данных и адекватных им методов. Если в ходе коммуникационного процесса данные передаются через открытые системы (а Интернет относится именно к таковым), то исключить доступ к ним посторонних лиц невозможно даже теоретически. Соответственно, системы защиты сосредоточены на втором компоненте защиты информации - на методах. Их принцип действия основан на том, чтобы исключить или, по крайней мере, затруднить возможность подбора адекватного метода для преобразования данных в информацию. Одним из приемов такой защиты является шифрование данных.
.2 Шифрование информации при работе в Интернете
Возраст систем шифрования настолько велик, что его можно приравнять временам начала письменного обмена информацией. Указанный криптографический процесс закрытия информации представляет собой применение к документу некого метода шифрования (назовем его ключом), после чего документ становится недоступен для чтения обычными средствами. Его может прочитать только тот, кто знает ключ, - только он может применить адекватный метод чтения. Аналогично происходит шифрование и ответного сообщения. Если в процессе обмена информацией для шифрования и чтения пользуются одним и тем же ключом, то такой криптографический процесс является симметричным.
Основной недостаток симметричного процесса заключается в том, что, прежде чем начать обмен информацией, необходимо выполнить передачу ключа, а это требует защищенной связи, то есть повторение проблемы на другом уровне. Рассматривая электронный обмен информацией между ЭО и потребителем, мы видим необходимость не только создания ЭО для каждого своего клиента по одному ключу, но и каким-то образом передачи им этих ключей. Такая форма обмена информации безусловно неудобна.
Поэтому в настоящее время в Интернете используют несимметричные криптографические системы, основанные на использовании не одного, а двух ключей. Происходит это следующим образом, ЭО, для работы с клиентами, создает два ключа: один - открытый (public - публичный) ключ, а другой - закрытый (private - личный) ключ. На самом деле это как бы две «половинки» одного целого ключа, связанные друг с другом.
Ключи устроены так, что сообщение, зашифрованное одной половинкой, можно расшифровать только другой половинкой (не той, которой оно было закодировано). Создав пару ключей, Инспекция широко распространяет публичный ключ (открытую половинку) и надежно сохраняет закрытый ключ (свою половинку).
Как публичный, так и закрытый ключ представляют собой некую кодовую последовательность. Публичный ключ ЭО может быть опубликован на его сервере, откуда каждый желающий может его получить. Если адресат передаёт в ЭО корреспонденцию (отчётность), он возьмет ее публичный ключ и с его помощью закодирует свою корреспонденцию. После кодирования это сообщение может прочесть только владелец закрытого ключа. Никто из участников цепочки, по которой пересылается информация, не в состоянии это сделать. Даже сам отправитель не может прочитать собственное сообщение, хотя ему хорошо известно содержание. Лишь получатель сможет прочесть сообщение, поскольку только у него есть закрытый ключ, дополняющий использованный публичный ключ.
Если ЭО необходимо отправить адресату квитанцию, он закодирует ее своим закрытым ключом. Адресат сможет прочитать квитанцию, воспользовавшись имеющимся у него публичным ключом данного ЭО, и быть уверен, что квитанцию ему отправила именно этот ЭО, и никто иной, поскольку, никто иной, доступа к закрытому ключу ЭО. Системой несимметричного шифрования обеспечивается делопроизводство в Интернете. Благодаря данной системе каждый из участников обмена может быть уверен, что полученное сообщение отправлено именно тем, кем оно подписано
.3 Принцип достаточности защиты
Защита публичным ключом (впрочем, как и большинство других видов защиты информации) не является абсолютно надежной. Дело в том, что поскольку каждый желающий может получить и использовать чей-то публичный ключ, то он может сколь угодно подробно изучить алгоритм работы механизма шифрования и пытаться установить метод расшифровки сообщения, то есть реконструировать закрытый ключ.
Это настолько справедливо, что алгоритмы кодирования публичным ключом даже нет смысла скрывать. Обычно к ним есть доступ, а часто они просто широко публикуются. Тонкость заключается в том, что знание алгоритма еще не означает возможности провести реконструкцию ключа - в разумно приемлемые сроки. Так, например, правила игры в шахматы известны всем, и нетрудно создать алгоритм для перебора всех возможных шахматных партий, но он никому не нужен, поскольку даже самый быстрый современный суперкомпьютер будет работать над этой задачей дольше, чем существует жизнь на нашей планете.
Разумеется, не всегда реконструкцию закрытого ключа производят методами простого перебора комбинаций. Для этого существуют специальные методы, основанные на исследовании особенностей взаимодействия открытого ключами с определенными структурами данных. Область науки, посвященная этим исследованиям, называется криптоанализом, а средняя продолжительность времени, необходимого для реконструкции закрытого ключа по его опубликованному открытому ключу, называется криптостойкостъю алгоритма шифрования.
Для многих методов несимметричного шифрования криптостойкость, полученная в результате криптоанализа, существенно отличается от величин, заявляемых разработчиками алгоритмов на основании теоретических оценок. Поэтому во многих странах вопрос применения алгоритмов шифрования данных находится в поле законодательного регулирования. В частности, в России к использованию в государственных и коммерческих организациях разрешены только те программные средства шифрования данных, которые прошли государственную сертификацию в административных органах, в частности, в ФСБ.
.4 Понятие об электронной подписи
Мы рассмотрели, как клиент может переслать ЭО свои конфиденциальные данные (например, электронную отчётность). Ему не надо ездить в ЭО и стоять в очереди - все можно сделать, не отходя от компьютера. Однако здесь возникает проблема: как ЭО узнает, что отчётность поступила именно от данного лица, а не от противника, выдающего себя за него.
Эта проблема решается с помощью, так называемой, электронной цифровой подписи (ЭЦП), которая путём аутентификации (процесса проведения проверки, для выяснения принадлежности данного сообщения его отправителю, путём сравнения, с имеющимся в ЭО оригинала сгенерированного закрытого ключа).
Принцип создания ЭЦП тот же, что и рассмотренный выше. Если налогоплательщику необходимо создать себе электронную подпись, то с помощью специальной программы в ЭО, либо другой государственной организации, осуществляется генерация ЭЦП для конкретного лица). В этом случае создаются те же два ключа: закрытый и публичный. Публичный ключ передается ЭО. Если надо отправить финансовый платёж или отчётность, она кодируется публичным ключом, а своя подпись под ним кодируется собственным закрытым ключом клиента. Работники ЭО поступают наоборот. Они читают полученные документы с помощью своего закрытого ключа, а подпись - с помощью публичного ключа клиента. Если подпись читаема, ЭО может быть уверена, что электронные документы отправлены обладателем закрытого ключа.
3.5 Понятие об электронных сертификатах
Системой несимметричного шифрования обеспечивается делопроизводство в Интернете. Благодаря данной системе, каждый из участников обмена может быть уверен, что полученное сообщение отправлено именно тем, кем оно подписано. Однако возникает еще ряд проблем, например, проблема регистрации даты отправки сообщения. Такая проблема возникает во всех случаях, когда через Интернет заключаются договоры между сторонами. Отправитель документа может легко изменить текущую дату средствами настройки операционной системы. Поэтому обычно дата и время отправки электронного документа не имеют юридической силы. В тех же случаях, когда это важно, выполняют сертификацию даты/времени.
Сертификация даты. Сертификация даты выполняется при участии третьей, независимой стороны. Например, это может быть сервер организации, авторитет которой в данном вопросе признают оба партнера. В этом случае документ, зашифрованный открытым ключом партнера и снабженный своей электронной подписью, отправляется сначала на сервер сертифицирующей организации. Там он получает «приписку» с указанием точной даты и времени, зашифрованную закрытым ключом этой организации. Партнер декодирует содержание документа, электронную подпись отправителя и отметку о дате с помощью своих «половинок» ключей. Вся работа автоматизирована.
Сертификация Web-узлов. Сертифицировать можно не только даты. При заказе товаров в Интернете важно убедиться в том, что сервер, принимающий заказы и платежи от имени некоей фирмы, действительно представляет эту фирму. Тот факт, что он распространяет ее открытый ключ и обладает ее закрытым ключом, строго говоря, еще ничего не доказывает, поскольку за время, прошедшее после создания ключа, он мог быть скомпрометирован. Подтвердить действительность ключа тоже может третья организация путем выдачи сертификата продавцу. В сертификате указано, когда он выдан и на какой срок. Если добросовестному продавцу станет известно, что его закрытый ключ каким-либо образом скомпрометирован, он сам уведомит сертификационный центр, старый сертификат будет аннулирован, создан новый ключ и выдан новый сертификат. Прежде чем выполнять платежи через Интернет или отправлять данные о своей кредитной карте кому-либо, следует проверить наличие действующего сертификата у получателя, путем обращения в сертификационный центр. Это называется сертификацией Web-узлов.
Сертификация издателей. Схожая проблема встречается и при распространении программного обеспечения через Интернет. Так, например, мы указали, что Web-браузеры, служащие для просмотра Web-страниц, должны обеспечивать механизм защиты от нежелательного воздействия активных компонентов на компьютер клиента. Можно представить, что произойдет, если кто-то от имени известной компании начнет распространять модифицированную версию ее браузера, в которой специально оставлены бреши в системе защиты. Злоумышленник может использовать их для активного взаимодействия с компьютером, на котором работает такой браузер. Это относится не только к браузерам, но и ко всем видам программного обеспечения, получаемого через Интернет, в которое могут быть имплантированы «троянские кони», «компьютерные вирусы», «часовые бомбы» и прочие нежелательные объекты, в том числе и такие, которые невозможно обнаружить антивирусными средствами. Подтверждение того, что сервер, распространяющий программные продукты от имени известной фирмы, действительно уполномочен ею для этой деятельности, осуществляется путем сертификации издателей. Она организована аналогично сертификации Web-узлов. Средства для проверки сертификатов обычно предоставляют браузеры.
Литература
1. Абросимова, М.А. Информационные технологии в государственном и муниципальном управлении: Учебное пособие / М.А. Абросимова. - М.: КноРус, 2013. - 248 c.
. Акперов, И.Г. Информационные технологии в менеджменте: Учебник / И.Г. Акперов, А.В. Сметанин, И.А. Коноплева. - М.: НИЦ ИНФРА-М, 2013. - 400 c.
. Алешин, Л.И. Информационные технологии: Учебное пособие / Л.И. Алешин. - М.: Маркет ДС, 2011. - 384 c.
. Алиев, В.С. Информационные технологии и системы финансового менеджмента: Учебное пособие / В.С. оглы Алиев. - М.: Форум, ИНФРА-М, 2011. - 320 c.
. Балдин, К.В. Информационные технологии в менеджменте: Учеб. для студ. учреждений высш. проф. образования / К.В. Балдин. - М.: ИЦ Академия, 2012. - 288 c.
. Вдовин, В.М. Информационные технологии в налогообложении: Практикум / В.М. Вдовин, Л.Е. Суркова. - М.: Дашков и К, 2012. - 248 c.
. Вдовин, В.М. Информационные технологии в налогообложении: Практикум / В.М. Вдовин, Л.Е. Суркова. - М.: Дашков и К, 2014. - 248 c.
. Вдовин, В.М. Информационные технологии в налогообложении: Учебное пособие / В.М. Вдовин, Л.Е. Суркова, А.В. Смирнова. - М.: Дашков и К, 2012. - 208 c.
. Вдовин, В.М. Информационные технологии в финансово-банковской сфере: Практикум / В.М. Вдовин. - М.: Дашков и К, 2012. - 248 c.
. Венделева, М.А. Информационные технологии в управлении: Учебное пособие для бакалавров / М.А. Венделева, Ю.В. Вертакова. - М.: Юрайт, 2013. - 462 c.
. Ветитнев, А.М. Информационные технологии в социально-культурном сервисе и туризме. Оргтехника: Учебное пособие / А.М. Ветитнев. - М.: Форум, 2010. - 400 c.
. Гаврилов, Л.П. Информационные технологии в коммерции: Учебное пособие / Л.П. Гаврилов. - М.: НИЦ ИНФРА-М, 2013. - 238 c.
. Гаврилов, М.В. Информатика и информационные технологии: Учебник для бакалавров / М.В. Гаврилов, В.А. Климов; Рецензент Л.В. Кальянов, Н.М. Рыскин. - М.: Юрайт, 2013. - 378 c.
. Гвоздева, В.А. Информатика, автоматизированные информационные технологии и системы: Учебник / В.А. Гвоздева. - М.: ИД ФОРУМ, НИЦ ИНФРА-М, 2013. - 544 c.
. Голицына, О.Л. Информационные технологии: Учебник / О.Л. Голицына, Н.В. Максимов, Т.Л. Партыка, И.И. Попов. - М.: Форум, ИНФРА-М, 2013. - 608 c.
. Голубенко, Н.Б. Информационные технологии в библиотечном деле / Н.Б. Голубенко. - Рн/Д: Феникс, 2012. - 282 c.