Для забезпечення наведених вимог до безпечної інформаційної системи використовують такі засоби захисту. Підзвітність (протоколювання). Мета підзвітності — у кожний момент часу знати, хто працює в системі і що він робить. У безпечній системі обов'язково мають фіксуватися всі події, що стосуються безпеки. До таких подій належать: вхід у систему (успішний або ні); вихід із системи; звернення до віддаленої системи; операції з файлами (відкриття, закриття, перейменування, знищення); зміна привілеїв або інших атрибутів безпеки (режиму доступу, рівня надійності користувача тощо). Ведення протоколів має бути обов'язково доповнене аудитом, тобто аналізом реєстраційної інформації. До ключових засобів підзвітності належать ідентифікація і аутентифікація. Ідентифікація дає змогу впізнати користувача системи (і визначити, чи користувався він системою раніше). Ідентифікація — це засоби, за допомогою яких користувач надає системі інформацію про себе. Аутентифікація — це процес достовірної перевірки відповідності когось чи чогось. Вона підтверджує, ким є користувач, а також його права в системі. Іншими словами, аутентифікація — підтвердження правильності ідентифікації. Можливі два види віддаленої аутентифікації: коли комп'ютер аутентифікує інший комп'ютер; коли комп'ютер виконує якісь операції для користувача, якщо той передасть пароль. Є три основні підходи до аутентифікації: використання для аутентифікації чогось, що знає користувач (пароль, ідентифікаційний номер, криптографічний ключ). Цей спосіб аутентифікації є найдешевшим, найпростішим у реалізації і досить надійним. Небезпеки, пов'язані з цим способом аутентифікації — можливість втрати (забув пароль) або перехоплення інформації; використання для аутентифікації чогось, що має ко ристувач, — токен (token — електронний пристрій, який в процесі аутентифікації засвідчує особу власника). Цей спосіб дорожчий, ніж перший. Токен легко загубити або викрасти, проте важко скопіювати або підробити; • використання для аутентифікації того, ким є користувач — біометрія. Цей спосіб аутентифікації поки що не дуже поширений, але він є найбільш перспективним. Біометрія є найдорожчим з трьох перерахованих способів аутентифікації, але вона позбавлена недоліків перших двох способів (частину тіла, за якою ідентифікують користувача, втратити набагато важче, ніж забути пароль або загубити токен). Перераховані способи аутентифікації майже завжди використовують не в чистому вигляді, а в комбінації по два або по три (наприклад, пароль і токен). Ідентифікація й аутентифікация — перший і найважливіший програмно-технічний рубіж інформаційної безпеки. Якщо не є проблемою одержати доступ до системи під будь-яким ім'ям, то інші механізми безпеки, наприклад, керування доступом, втрачають зміст. Очевидно, що без ідентифікації користувачів неможливе протоколювання їхніх дій (тобто втрачають сенс підзвітність і аудит). Близьким до аутентифікації є поняття авторизації користувача системи. Авторизацією називають процес визначення прав користувача у системі (знову ж таки, на підставі ідентифікації та аутентифікації цього користувача). У зв'язку з перерахованими причинами перевірці істинності має надаватися першочергове значення. Є ціла серія публікацій урядових відомств різних країн з роз'ясненням питань аутентификації і, зокрема, проблем, пов'язаних із паролями. Наприклад, декларується, що користувачу має бути дозволено змінювати свій пароль, паролі не мають залишатися незмінними тривалий час, паролі, як правило, мають бути згенерованими комп'ютером (а не обраними "вручну"), а користувачу варто надавати деяку реєстраційну інформацію (дата і час останнього входу в систему тощо). Шифрування — процес, в результаті якого інформація змінюється таким чином, що може бути розпізнаною тільки відповідними особами. Шифрування використовують, щоб захистити інформацію від несанкціонованого перегляду та використання, особливо під час передачі даних або коли вона зберігається на переносному магнітному носієві. Шифрування, як правило, базується на ключах, без яких неможливо розшифрувати інформацію. Надійність алгоритмів шифрування характеризує такий показник, як кількість ресурсів, необхідна для того, щоб "зламати" зашифроване послання. Найчастіше цей параметр показує час, необхідний для зламу послання, зашифрованого певним алгоритмом, якщо для зламу використовується метод простого перебору. Потрібно зазначити, що цей параметр є не досить об'єктивним через те, що сучасні хакери використовують інші, більш складні методи для "зламу". Сучасне шифрування базується на використанні спеціального математичного апарата і так званих односторонніх перетворень. Зараз найдосконалішою і найпоширенішою системою шифрування є шифрування з відкритим ключем (Publik Key Encryption — РКЕ). Для сучасних криптографічних систем захисту інформації сформульовані такі загальноприйняті вимоги: зашифроване повідомлення має піддаватися читанню тільки за наявності ключа; число операцій, необхідних для визначення використаного ключа шифрування за фрагментом шифрованого повідомлення і відповідного йому відкритого тексту, має бути не менше загального числа можливих ключів; число операцій, необхідних для розшифровування інформації шляхом перебирання різноманітних ключів, повинне мати строгу нижню оцінку і виходити за межі можливостей сучасних комп'ютерів (з урахуванням можливості використання розподілених обчислень); знання алгоритму шифрування не має впливати на надійність захисту; незначна зміна ключа має приводити до істотної зміни вигляду зашифрованого повідомлення навіть при використанні того самого ключа; структурні елементи алгоритму шифрування мають бути незмінними; додаткові біти, що вводяться в повідомлення в про цесі шифрування, мають бути повністю і надійно сховані в шифрованому тексті; довжина шифрованого тексту має дорівнювати довжині вихідного тексту; не має бути простих і легко встановлюваних залежностей між ключами, які послідовно використовуються в процесі шифрування; ключ будь-який з можливих, має забезпечувати на дійний захист інформації (не має бути слабких ключів); алгоритм має допускати як програмну, так і апарат ну реалізацію, при цьому зміна довжини ключа не повинна вести до якісного погіршення алгоритму шифрування. Власне, шифрування є настільки потужним засобом забезпечення конфіденційності, що органи влади намагаються регулювати його законодавчо. Яскравим прикладом цього є факт, що національне бюро стандартів СІЛА ще у 1971 р. розробило стандарт шифрування DES (Data Encryption Standard), який тривалий час був стандартом у шифруванні інформації у США. За цим стандартом алгоритм шифрування DES класифікується як зброя, а експорт його за межі Сполучених Штатів карається як карний злочин. Найбільш поширеним способом тестування конфіденційності інформації в системі є тестовий злом системи. При цьому аудитор або фахівець з безпеки намагаються будь-яким способом отримати неавторизований доступ або розшифрувати зашифровані дані. Це може бути метод підбору паролю або елементи соціальної інженерії, які дають змогу довідатися пароль від легітимних користувачів інформаційної системи. Залежно від складності отримання неавторизованого доступу до інформації і робиться висновок про рівень забезпечення конфіденційності інформації у системі. Інформаційна система, як і будь-яка інша, не може розвиватися замкнено, вона має взаємодіяти із зовнішнім середовищем. Взаємодію між суб'єктами в полі інформаційної безпеки підприємства можна представити таким чином (рис. 6.3). Головним суб'єктом у цій сфері є, безумовно, підприємство. Воно має у своєму розпорядженні технологічну інформацію про процес виробництва (якщо це виробниче підприємство), дані про ринки збуту, контакти з постачальниками. Інтерес, що виявляється до фірми, прямо пропорційний ступеню її процвітання. У тих сферах промисловості і комерції, де одержують високі доходи і конкуренція особливо сильна, з'являються мотиви для порушення інформаційної безпеки підприємства. Зловмисники, які з певних причин хочуть порушити безпеку інформаційної системи підприємства чи організації, можуть скористатися послугами так званих хакерів. У хакерів є свої Інтернет-конференції, об'єднання й групи (фактично банди). Щоб зрозуміти ступінь загрози, яку становлять ха-керські групи, потрібно розуміти їх мотивацію. М. Кілджер розробив класифікацію мотивацій хакерів, яку назвав МЕЕСЕ: гроші, самоствердження, справа, розвага, входження у соціальні групи, статус (Money, Ego, Entertainment, Cause, Entrance to social groups, and Status). Оскільки деякі хакери бачать у своїй діяльності джерело доходу, то їх легко може найняти зацікавлена особа (несумлінний конкурент, злочинець, уряд іноземної держави) для атаки на певний об'єкт. Крім того, веб-сайт підприємства або організації може бути атакований і без жодного замовлення, якщо його злом може принести характеру самоствердження або популярність. Саме тому сайти багатьох державних організацій США, таких як Міністерство оборони, ФБР, НАСА, були атаковані й зламані багато разів і надалі, мабуть, теж не зможуть уникнути ха-керських атак. Крім прямої шкоди, якої завдають хакери, зламуючи інформаційні системи, порушуючи їх роботу і виводячи з ладу або викрадаючи й знищуючи інформацію, є непряма погроза, пов'язана з тим, що хакери виявляють слабкі місця (security holes) операційних систем і програмних продуктів і роблять їх надбанням громадськості. Крім того, хакерські групи розробляють спеціальне програмне забезпечення для злому, створюють комп'ютерні віруси й конструктори вірусів, які дають змогу навіть посереднім програмістам створювати нові комп'ютерні віруси. Однак у нашій країні такий спосіб нечесної конкурентної боротьби поки що непоширений. Причина — у низькому рівні комп'ютерної грамотності населення України та незначному використанні Інтернету в бізнесі. За даними "The World Factbook 2002", в Україні на 2002 р. Інтерне-том користувалось 750 тис. людей, що становить лише 1,5 % населення (в той час, як у країнах "Великої сімки" Інтер-нет використовують майже 50 % жителів). За абсолютною кількістю користувачів глобальних інформаційних мереж Україна стоїть поряд зі Словакією та Словенією, де чисельність населення в 10 і 20 разів менша. Як відповідь спільнотам хакерів, які обмінюються знаннями з написання вірусів та методами зламу нових версій програмних продуктів і операційних систем, виникають Інтернет-спільноти фахівців з інформаційної безпеки.
Рис.6.3. Схема взаємодії суб’єктів у полі інформаційної безпеки підприємства
Такі спільноти розробляють стандарти безпеки інформаційної безпеки для найрізноманітніших інформаційних систем, які вільно доступні в Інтернеті. Крім того, подібні спільноти пропонують послуги із сертифікації програмних продуктів на відповідність власним стандартам безпеки. Яскравий представник подібних спільнот — громадська організація "Центр безпеки Інтернету" (Center for the Internet Security — CIS, www.cisecurity.org). Його місія полягає в тому, щоб допомогти організаціям зменшити ризик банкрутства бізнесу та електронної комерції через неефективні засоби управління безпекою. До складу організації входить велика кількість спеціалістів з інформаційної безпеки, приватних фірм, що працюють в галузі інформаційної безпеки, державні установи, аудитори. Основними напрямками діяльності CIS є сертифікація безпечності програмного забезпечення, а також розробка методик дослідження безпечності інформаційних систем, що передбачає розробку методичних рекомендацій у вигляді так званих "еталонних тестів" (benchmarks) та розробку програмного забезпечення (scoring tools), яке автоматично оцінює рівень захищеності системи, порівнює його з еталонним тестом і надає рекомендації з поліпшення безпеки системи. Еталонні тести розробляються шляхом погодження з усіма членами CIS, і саме тому є, на думку розробників, прийнятним компромісом між захищеністю інформаційної системи і зручністю користувача при роботі з цією системою. Якщо підприємство, яке було атаковане, хоче посилити свій захист, то може звернутися до державних установ або до приватних фірм, які забезпечують захист інформаційних систем. Крім того, більшість аудиторських компаній надає послуги з дослідження надійності інформаційної системи підприємства. Проте, як свідчить опитування з комп'ютерних злочинів і безпеки, проведене ФБР та Інститутом комп'ютерної безпеки у 2004 p., більшість фірм намагаються не передавати функції, пов'язані із забезпеченням комп'ютерної безпеки, третім особам. Держава представлена в полі інформаційної безпеки двома типами організацій. Організації першого типу — це науково-дослідні установи, які займаються теоретичними і практичними аспектами інформаційної безпеки в організаціях як приватного, так і державного секторів. Результатом діяльності подібних організацій є технічні документи — стандарти, рекомендації, довідники, посібники тощо. На державні установи другого типу покладено завдання стежити за дотриманням законодавства у сфері інформаційної безпеки. Зазвичай цим займаються спеціальні підрозділи силових відомств — міністерств внутрішніх справ, спеціальних служб тощо. У США провідними державними установами другого типу безпеки інформаційних систем є Агентство з національної безпеки (National Security Agency — NSA), Міністерство оборони (Department of Defence — DAD) та Федеральне бюро розслідувань (Federal Bureau of Investigation — FBI). Методичними ж питаннями захисту інформації в СІЛА займається Національний інститут стандартів і технологій (National Institute of Standards and Technology — NIST). NIST — це технічна адміністрація Міністерства торгівлі США (Commerce Department's Technology Administration). Інститут був заснований у 1901 p. як перша національна лабораторія з фізичних досліджень. За роки роботи співробітники Інституту зробили чималий внесок у розвиток різних науки і техніки. З 1980 p. NIST займається проблемами безпеки інформації. За 25 років ним було видано більше двохсот посібників і технічних рекомендацій з найрізноманітниших аспектів безпеки інформаційних систем50. Найвідомішим з документів Національного інституту стандартів і технологій є, безумовно, документ SP 800-12 "Введення в комп'ютерну безпеку: довідник NIST"(An. Introduction to Computer Security: The NIST Handbook), виданий у жовтні 1995 p. "Європейською відповіддю" NIST є Британська організація зі стандартів (British Standards Institution — BSI). Вона була створена у 1902 р. як урядова організація, до якої входили переважно представники промисловості й уряду Великої Британії. Протягом перших 10 років роботи було розроблено більше шістдесяти стандартів, переважно на продукцію важкої промисловості. Протягом наступних років BSI розробляла стандарти у найрізноманітніших галузях — від стандартів на розмір паперу (А1, А2 та ін.) до стандартів на системи управління компанією. Найвідомішим продуктом BSI у галузі інформаційної безпеки є стандарт з управління інформаційною безпекою ISO 17799 / BS7799, опублікований Міжнародною організацією зі стандартизації (International Organization for Standardisation — ISO) у грудні 2000 p.51 В Україні питаннями інформаційної безпеки займається Департамент спеціальних телекомунікаційних систем та захисту інформації Служби безпеки України (ДСТСЗІ), створений указом Президента України від 6 жовтня 2000 р. № 112О/2ООО. З одного боку, ДСТСЗІ СБУ виконує науково-методичні функції: бере участь у формуванні та реалізації державної політики у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації, забезпечує функціонування державної системи урядового зв'язку; формує загальну стратегію і визначає пріоритетні напрями діяльності у сфері захисту державних інформаційних ресурсів у мережах передачі даних, криптографічного та технічного захисту інформації, а також розвитку спеціальних інформаційно-телекомунікаційних систем; розробляє і вживає заходи щодо розвитку систем криптографічного та технічного захисту інформації, здійснює державний контроль за їх функціонуванням; визначає порядок та вимоги щодо захисту інформації, необхідність охорони якої визначено законодавством, у процесі її оброблення, збирання, зберігання та передачі мережами передачі даних, у тому числі загального користування; установлює порядок і вимоги щодо використання мереж передачі даних установам, які обробляють, збирають, зберігають та передають інформацію, що є власністю держави; вносить пропозиції щодо стандартизації у сфері криптографічного та технічного захисту інформації, організовує розроблення державних стандартів та забезпечує у встановленому порядку введення їх у дію; забезпечує формування та супроводження моделей загроз безпеці інформації. З іншого боку, на Департамент покладені організаційні, координаційні й контрольно-наглядові функції: • організація та координація проведення науково-дослідних і дослідно-конструкторських робіт з питань, що належать до його компетенції, та сприяння впровадженню їх результатів; організація і здійснення науково-методичного керівництва підготовкою кадрів у сфері криптографічного та технічного захисту інформації; в межах своєї компетенції виконання контрольно - наглядових функцій щодо захисту інформації, необхідність охорони якої визначено законодавством; координація діяльності у сфері криптографічного та технічного захисту інформації; видання відповідно до законодавства ліцензії на право провадження окремих видів господарської діяльності у сфері криптографічного та технічного захисту інформації та здійснення контролю за виконанням ліцензійних умов; координація в межах своєї компетенції діяльності щодо забезпечення протидії технічним розвідкам, оцінка стану та ефективності цієї протидії; здійснення державного контролю за станом захисту державних інформаційних ресурсів в мережах передачі даних, виконанням вимог нормативно-правових актів у сфері криптографічного та технічного захисту інформації, необхідність охорони якої визначено законодавством; здійснення відповідно до законодавства функції з управління об'єктами державної власності, утворення, реорганізація та ліквідація підприємства, установи та організації; здійснення контролю за додержанням вимог безпеки у процесі розроблення, виробництва, розповсюдження, експлуатації, зберігання, використання і знищення криптографічних систем та засобів криптографічного захисту інформації й обладнання спеціального зв'язку. Таким чином, ДСТСЗІ СБУ суміщає в собі державні організації першого і другого роду. У цьому є певні недоліки, оскільки, на нашу думку, розробка наукових і методологічних засад забезпечення інформаційної безпеки краще могла б бути виконана науково-дослідними установами, як це прийнято в усьому світі, аніж департаментом державної силової служби. Крім того, події останнього часу — зокрема, наявність "тіньового" серверу, що коригував інформацію, яка надходила до Центральної виборчої комісії під час обробки результатів голосування другого туру виборів Президента України 21 листопада 2004 p., і роботі якого ДСТСЗІ СБУ та інші служби ніяк не завадили, дещо підірвали довіру фахівців до ефективності роботи таких державних установ. Питанням законодавчого захисту від подібних загроз та безпеки даних в інформаційних комп'ютерних технологіях в розвинутих країнах приділяється велика увага. Так, комітет Ради Європи з проблем злочинності у 1990 р. підготував рекомендації з метою визначення правопорушень, пов'язаних з комп'ютерами, і вніс їх до "мінімального" (обов'язкового) та "необов'язкового" списків, рекомендованих всім європейським країнам до внесення в законодавство. В опублікованій в 1983 р. "Помаранчевій книзі" Міністерства оборони США, вперше були визначені основні поняття стосовно надійності програмних інформаційних систем. Питання безпеки інформаційних систем у Європі регулюються Міжнародним стандартом ISO 17799/BS7799, прийнятим у грудні 2000 року. У Сполучених Штатах Америки головним документом, що регулює питання інформаційної безпеки, є Закон Сарбейнса - Окслі 2002 (Sarbanes-Oxley Act of 2002 — SOX 2002). Засади інформаційної безпеки в Україні визначають такі Закони України: "Про інформацію", "Про захист інформації в автоматизованих системах", "Про авторське право та суміжні права", "Про електронний цифровий підпис", "Про електронні документи та електронний документообіг". Крім того, діють "Концепція технічного захисту інформації в Україні", яка визначає основні загрози безпеці інформації, стан її технічного захисту, його систему та основні напрями державної політики у цій сфері, та "Положення про технічний захист інформації", яке визначає порядок роботи і повноваження органів, що займаються діяльністю з технічного захисту інформації.
Ви переглядаєте статтю (реферат): «Засоби і методи захисту інформаційних систем» з дисципліни «Комп’ютерний аудит»