Основні заходи та засоби захисту комп’ютерної інформації
Важливим попередженням злочинів, вчинених у галузі використання інформаційно-комунікаційних технологій (ІКТ), є застосування сучасних програмно-технічних заходів захисту інформації. Ці заходи можуть відіграти серйозну загально профілактичну роль у боротьбі з комп’ютерними злочинами при їх умілому та комплексному використанні.
Розглянемо окремі організаційно-технічні заходи попередження комп’ютерних злочинів, що застосовують у розвинених зарубіжних країнах.
У даний час попередження комп’ютерних злочинів у цих країнах здійснюють за наступними напрямками:
1. відповідність управлінських процедур вимогам комп’ютерної безпеки;
2. розроблення питань технічного захисту комп’ютерних залів комп’ютерного обладнання;
3. розроблення стандартів опрацювання даних і стандартів комп’ютерної безпеки;
4. здійснення кадрової політики з метою забезпечення комп’ютерної безпеки.
Національним бюро стандартів США були розроблені базові вимоги безпеки, що висувають до комп’ютерних мереж. А саме:
1. придатність – гарантія того, що мережа придатна для забезпечення санкціонованого доступу;
2. доступність – гарантія того, що мережа забезпечить доступ лише санкціонованому користувачу для вирішення санкціонованих задач;
3. недоторканість – захист даних від несанкціонованої зміни та знищення;
4. конфіденційність – захист даних від несанкціонованого розкриття;
5. безпека передавання даних – гарантія того, що ідентифікація користувачів, якість даних, які передають, тривалість передавання даних забезпечені.
На основі даних вимог були створені відповідні механізми технічного контролю, які відповідають наступним критеріям:
1. цілісність, базова надійність, яка гарантує, що механізм працює як потрібно;
2. можливість перевірки – здатність записувати інформацію, яка може мати значення в розкриті та розслідуванні спроб посягання на засоби комп’ютерної техніки й інших подій, що відносять до питань безпеки систем.
У результаті практичної реалізації цих заходів стало можливо:
Ø контролювати фізичний доступ до засобів комп’ютерної техніки (ЗКТ);
Ø контролювати електромагнітне випромінювання апаратних ЗКТ;
Ø спостерігати за можливою загрозою ЗКТ і фіксувати кожну таку спробу (методом моніторингу).
Отже, основні положення захисту інформації передбачають:
Ø запобігання витоку, розкраданню, втраті, спотворенню та підробці інформації;
Ø запобігання загрозам безпеки держави та кожної людини;
Ø запобігання несанкціонованим діям зі знищення, модифікації, спотворення, копіювання, блокування інформації;
Ø забезпечення правового режиму функціонування інформації як об’єкта власності;
Ø збереження державної таємниці конфіденційності;
Ø збереження прав суб’єктів в інформаційних процесах і при виробництві, розробленні, застосуванні ІКТ і засобів їх забезпечення.
За методами застосування тих або інших організаційно-технічних заходів попередження комп’ютерних злочинів фахівці окремо виділяють три їх основні групи:
Ø організаційні;
Ø технічні;
Ø комплексні (які поєднують у собі окремі методи двох перших груп);
Організаційні заходи захисту ЗКТ включають в себе сукупність організаційних заходів щодо добору, перевірки та навчання персоналу, який бере участь на всіх стадіях інформаційного процесу:
Ø розроблення плану відновлення інформаційних об’єктів після виходу їх з ладу;
Ø організації програмно-технічного обслуговування ЗКТ;
Ø покладання дисциплінарної відповідальності на осіб з забезпечення безпеки конкретних ЗКТ;
Ø здійснення режиму секретності при функціонуванні комп’ютерних систем; забезпеченню режиму фізичної охорони об’єктів;
Ø матеріально-технічне забезпечення.
Організаційні заходи, на думку фахівців, які займаються питаннями безпеки комп’ютерних систем, є важливим і одним з ефективних засобів захисту інформації.
Аналіз матеріалів кримінальних справ уможливлює висновок, про те, що основними причинами й умовами, які сприяють здійсненню комп’ютерних злочинів, в більшості випадків стають:
1. неконтрольований доступ співробітників до управління комп’ютерами, які використовують як автономно, так і для дистанційного передавання даних;
2. безконтрольність за діями обслуговуючого персоналу, що забезпечує можливість злочинцю вільно використовувати комп’ютер як знаряддя вчинення злочину;
3. низький рівень програмного забезпечення, яке не має контрольного захисту, та не забезпечує перевірку відповідності та правильності інформації;
4. недосконалість парольної системи захисту;
5. відсутність посадової особи, що відповідає за режим секретності та конфіденційність інформації та її безпеку в частині захисту;
6. відсутність категоричності допуску співробітників до таємної інформації;
7. відсутність договорів зі співробітниками на предмет нерозголошення службової та комерційної таємниці.
Інформаційні системи, які застосовують у більшості організацій, звичайно уможливлюють використання таких заходів безпеки, як паролі, недоступність програмних і інформаційних файлів, а також інші заходи, які майже не практикують або використовують у обмеженому масштабі. Для ефективності безпеки від комп’ютерних злочинів необхідно:
1. переглянути всю документацію в установі, організації;
2. ознайомитися з функціями та мірою відповідальності кожного співробітника;
3. визначити можливі канали витоку інформації;
4. ліквідувати виявлені слабкі ланцюги у системі захисту.
Для будь-якої організації практично існують два варіанти доступу до засобів комп’ютерної техніки, які і будуть надалі зумовлювати комплекс захисних заходів.
У першому варіанті організація купує власний комп’ютер, який і використовує для вирішення своїх задач, при цьому організація є його єдиним користувачем. У цьому випадку всі питання комп’ютерної безпеки більш-менш контролюють.
У другому випадку організація стає (нарівні з іншими) користувачами будь-якої розгалуженої колективної комп’ютерної мережі. Це може бути зроблене за допомогою розподілення користувачів за часом, мережною системою в межах організації або шляхом створення спільної мережі користування з іншими громадськими, державними або комерційними організаціями, в результаті чого відбувається об’єднання їх інформаційних ресурсів, отже у багато разів зростає і ризик стати потерпілою стороною від комп’ютерного злочину через практично доступну мережу.
Зарубіжний досвід свідчить, що найефективнішим заходом у цьому напрямі є введення в штатний розклад організацій посади фахівця з комп’ютерної безпеки (адміністратора з захисту інформації) або створення спеціальних служб як приватних, так і централізованих, виходячи з конкретної ситуації. Наявність такого відділу, наприклад, в банківській структурі знижує ймовірність вчинення злочинів у галузі використання ІКТ. У обов’язковому порядку цей захід необхідно здійснювати в кредитно-фінансових установах і організаціях.
У функціональні обов’язки зазначених осіб передусім повинні входити наступні позиції здійснення організаційних заходів забезпечення безпеки ЗКТ:
1. забезпечення підтримки з боку керівництва конкретної організації вимог захисту ЗКТ;
2. розроблення комплексного плану захисту інформації;
3. визначення пріоритетних напрямів захисту інформації у відповідності зі специфікою діяльності організації;
4. складання загального кошторису витрат фінансування охоронних заходів відповідно до розробленого плану та затвердження його як додатку до плану керівництвом організації;
5. визначення відповідальності співробітників організації за безпеку інформації у межах встановленої компенсації шляхом висновку відповідних договорів між співробітником і організацією;
6. розроблення, впровадження та контроль за виконанням різного виду інструкцій, правил, наказів, які регламентують форми допуску, рівні секретності інформації, конкретних осіб, допущених до роботи з конфіденційними даними тощо;
7. розроблення ефективних заходів боротьби з порушниками захисту ЗКТ.
При цьому, як показує практика, найнадійнішим засобом підвищення ефективності заходів безпеки ЗКТ є навчання та інструктаж працюючого персоналу з організаційно-технічними заходами захисту, які застосовують у конкретній організації.
Крім цього, в обов’язковому порядку повинні бути реалізовані наступні організаційні заходи:
1. для всіх осіб, що мають право доступу до ЗКТ, повинні бути визначені критерії допуску, тобто необхідно визначити галузь службових інтересів кожної особи, види інформації, до яких вона має доступ, а також вигляд дозволу цього доступу, правомірність особи, яка призначена здійснювати маніпуляції з ЗКТ, виходячи з прямих функціональних обов’язків особи;
2. проведена класифікація інформації відповідно до її важливості, диференціація на основі цього заходів захисту; визначений порядок її охорони та знищення;
3. визначена адміністративна відповідальність для осіб за збереження та санкціонування доступу до інформаційних ресурсів, при цьому за кожний їх вид відповідальність повинна нести одна конкретна особа;
4. налагоджений періодичний системний контроль за якістю захисту інформації за допомогою проведення регламентних робіт як самою особою, так і з залученням компетентних фахівців з інших організацій;
5. організаційний фізичний захист ЗКТ.
Крім організаційно-управлінських заходів, істотну загально профілактичну роль у боротьбі з комп’ютерними злочинами можуть відігравати заходи технічного характеру:
Ø захист від несанкціонованого доступу (НСД), стихійного лиха й аварії, від розкривання ЗКТ, диверсій;
Ø резервування особливо важливих ЗКТ;
Ø правильна організація комунікаційних мереж і ресурсів;
Ø установка охоронно-пожежної сигналізації й інших рубежів охорони.
Програмні методи захисту призначають для безпосереднього захисту інформації у трьох напрямках:
Ø апаратури;
Ø програмного забезпечення;
Ø даних,
Ø для забезпечення належного контролю за правильністю здійснення процесів її введення, виведення, опрацювання, запису, стирання, читання та передавання.
Для захисту інформації при її передаванні звичайно використовують різні методи шифрування даних перед їх введенням у канал зв’язку або на фізичний носій з наступною розшифровкою. Як свідчить практика, методи шифрування уможливлюють досить надійний захист комп’ютерної інформації від злочинних посягань.
Отже, одним з методів захисту від потенційних комп’ютерних злочинців, що завойовує все більшу популярність останнім часом, є застосування криптографічного захисту, тобто кодування тексту за допомогою складних математичних алгоритмів. Звичайно, жоден з шифрувальних алгоритмів не дає цілковитої гарантії захисту від зловмисників, але деякі методи шифрування настільки складні, що ознайомитися зі змістом зашифрованих повідомлень практично неможливо.
Захистити інформацію від несанкціонованого доступу можна за допомогою апаратно-програмних, програмних, біометричних, технічних і адміністративних засобів.
До апаратно-програмних засобів належать:
ü спеціальні криптографічні плати, що вбудовують у комп’ютер, за допомогою яких інформацію можна зашифрувати, створити електронний підпис, а також аутентифікувати[1] користувача;
ü smart Card — магнітна картка для зберігання секретного ключа, шифрування паролів;
ü пристрої ActivCard для введення паролів, де пароль не вводять, а розраховують (динамічний пароль), а також Smart Reader для зчитування паролів. В цих пристроях вмонтовано мікропроцесор, у пам’яті якого зберігається секретний код. Пароль, що вводить користувач (чотири цифри), в комп’ютері перераховують, тобто створюють спеціальний код.
Програмні заходи включають:
ü вбудовані у програми функції захисту даних. Наприклад, система Netware після трьох спроб користувача ввійти в мережу з неправильним паролем «блокує» цього користувача, і лише адміністратор мережі може розблокувати доступ;
ü спеціальні криптографічні розробки.
За принципом побудови існуючі засоби захисту інформації, в яких використовують криптографічні методи захисту, можна поділити на два типи:
ü засоби, в основі роботи яких лежать симетричні алгоритми для побудови ключової системи і системи аутентифікації;
ü засоби, основу роботи яких складають асиметричні алгоритми, що застосовують для тих самих цілей.
У засобах першого типу обов’язковою є наявність центру розподілення ключів, що відповідає за їх створення, поширення та вилучення. При цьому носії ключової інформації передають абонентам з використанням фізично захищених каналів зв’язку. Ключі мають змінюватися досить часто, кількість абонентів має бути значною, тому ці засоби негнучкі та дорогі. Питання аутентифікації вирішують довірою користувачів. Центр розподілення ключів контролює всю інформацію. Захист інформації низький.
У засобах другого типу ключі для шифрування автоматично генерують, поширюють і вилучають для кожного сеансу зв’язку. Функції служби поширення ключів виконує сертифікаційний центр, де користувач реєструється, встановлюється його аутентифікація, після чого ключі вилучають. У таких засобах можливими є організація цифрового підпису та його перевірка. Протокол встановлення аутентичного зв’язку відповідає певному стандарту.
Аутентифікація є простою та суворою. При простій аутентифікації відбувається обмін паролями між абонентами, які встановили зв’язок, з подальшою перевіркою відповідності цих паролів еталонним. При суворій аутентифікації кожен абонент має два криптографічних ключі – секретний, відомий тільки даному абоненту, та відкритий, який передають у банк. Використовуючи секретний ключ і спеціальний алгоритм, абонент формує цифровий підпис — послідовність бітів, яка однозначно відповідає документу, який підписують. Перевірка відповідності підпису виконують за допомогою відкритого ключа.
До біометричних засобів належать:
ü візерунки сітківки ока;
ü відбитки пальців;
ü геометрія долоні;
ü динаміка підпису тощо.
Адміністративні заходи включають:
ü систему електронних перепусток для персоналу та відвідувачів;
ü системи відеоспостереження та відеореєстрації, які уможливлюють введення цілодобового візуального нагляду як за периметром об’єкта, так і всередині з можливістю запису інформації на відеомагнітофон або комп’ютер;
ü розподілення доступу до інформації. Тут необхідним є чітке визначення осіб, які мають право на ту чи іншу інформацію. Наприклад, програмісти не повинні мати доступу до БД, а користувачі — до програмного забезпечення;
ü систематичний аналіз мережного протоколу роботи, блокування спроб введення паролів кілька разів;
ü ретельний добір співробітників, навчання, стажування, тренування. Кандидат повинен мати задовільні свідоцтва, атестати та характеристики з попередніх робочих місць, не мати нахилу до зловживання наркотиками й алкоголем, не мати вагомих заборгованостей, не виявляти недоброзичливості до наймачів.
Основними способами резервування інформації є:
ü її зберігання в захищених місцях (спеціальних приміщеннях, сейфах тощо);
ü зберігання інформації в територіально розподілених місцях.
Технічні заходи можна поділити на такі групи:
ü заходи захисту від підслуховування, що включають:
Ø встановлення фільтрів на лініях зв’язку;
Ø обстеження приміщень з метою виявлення підслуховуючих пристроїв;
Ø використання звукопоглинаючих стін, стелі, підлоги;
Ø застосування систем віброакустичного й акустичного зашумлення для захисту мовної інформації від прослуховування за допомогою акустичних мікрофонів, стетоскопів, лазерних і інфрачервоних систем добору інформації;
ü заходи захисту від електромагнітного випромінювання, куди входять:
Ø використання оптико-волоконного кабелю;
Ø застосування захисної плівки на вікнах;
Ø використання захищених дисплеїв.
ü заходи захисту від поновлення вилучених даних.
Технічні заходи. Один із технічних заходів захисту інформації — використання безперебійних джерел живлення, які уможливлюють коректне закінчення роботи та вихід з програми в разі перебою електропостачання. Ці пристрої залежно від складності задачі та потужності встановленого комп’ютерного обладнання можуть підтримувати роботу системи від 20 хвилин до кількох годин. Надійнішу роботу забезпечують при підключенні до запасної енергопідстанції. На підприємствах, що мають неперервний робочий цикл опрацювання інформації (наприклад, головні банки), слід використовувати власні енергогенератори.
Адміністративні заходи. Керівники інформаційних відділів повинні:
ü чітко визначити функції всіх учасників інформаційного процесу;
ü досліджувати й аналізувати ризики безпеки інформації;
ü створити інструкції щодо дій персоналу в разі виникнення загроз безпеці інформації;
ü мінімізувати ризик для тих, хто працює з важливою інформацією, та їх родин із метою запобігання їх викраденню та вимаганню інформації;
ü визначити стратегію резервування, створити окрему інструкцію з резервування (наприклад, «Цю інформацію копіювати кожен день о 12 годин»). При цьому слід враховувати фізичне руйнування магнітних носіїв з часом. Копій має бути як мінімум дві, одна з яких зберігається у вогнетривкому сейфі біля комп’ютера, інша – якнайдалі від офісу (на випадок вибуху, пожежі, землетрусу).