Главная цель создания системы защиты информации (СЗИ) – достижение максимальной эффективности защиты за счет одновременного использования всех необходимых ресурсов, методов и средств, исключающих несанкционированный доступ к защищаемой информации и обеспечивающих физическую сохранность ее носителей.
Система информационной безопасности представляет собой целый комплекс средств, методов и мер по защите информации. Создание такой системы информационной безопасности (СИБ) в ИС и ИТ основано на определенных принципах, которые мы рассмотрим ниже.
Первым принципом организации является системный подход к построению системы защиты. Системный подход есть оптимальное сочетание связанных между собой, программных, физических, организационных, аппаратных и прочих свойств, которые подтверждены практикой создания отечественных и зарубежных систем защиты и применяемых на всех этапах технологического цикла обработки информации.
Одним из основных является принцип непрерывного развития системы безопасности. Принцип постоянного развития системы безопасности является очень актуальным для СИБ. Как известно, способы нанесения вреда для ИС постоянно совершенствуются, злоумышленники придумывают всё новые способы несанкционированного доступа в систему, нанесения ей ущерба. Вместе с тем, соответственно, должны развиваться и способы защиты. Постоянно должны устраняться недоработки в системе безопасности, бреши в защите, модернизироваться программный и аппаратный комплексы защиты. Поэтому, только непрерывное развитие системы поможет эффективно защищать систему.
Принцип разделения и минимизации полномочий по доступу к обрабатываемой информации и процедурам ее обработки подразумевает собой предоставление пользователям и работникам ИС полномочий необходимых только для выполнения ими конкретных заданий. То есть излишних полномочий в данном случае не должно быть.
Принцип полноты контроля и регистрации попыток несанкционированного доступа предполагает проведение постоянного контроля над пользователями, которые пытаются совершить несанкционированные действия в системе. Постоянный мониторинг безопасности.
Принцип обеспечения надежности системы защиты предполагает невозможность снижения уровня надежности функционирования ИС при возникновении попыток взлома, сбоев в системе, выхода из строя оборудования и ПО. Для этого часто необходимо еще и создание системы постоянного контроля безопасности.
Принцип обеспечения всевозможных средств борьбы с вредоносным ПО (вирусами). Данный принцип подразумевает комплекс мер по защите системы от воздействия такого программного обеспечения. В частности, защиту системы антивирусными программами, устранение возможных путей проникновения вирусов, постоянное обновление и оптимизация работы антивирусных программ.
Криптография – это одна из старейших наук, ее история насчитывает несколько тысяч лет, наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.
Для современной криптографии характерно использование открытых алгоритмов шифрования, предполагающих использование вычислительных средств. Известно более десятка проверенных алгоритмов шифрования, которые при использовании ключа достаточной длины и корректной реализации алгоритма криптографически стойки.
Криптоанализ - наука о методах получения исходного значения зашифрованной информации, не имея доступа к секретной информации (ключу), необходимой для этого. В большинстве случаев под этим подразумевается нахождение ключа. В нетехнических терминах, криптоанализ есть взлом шифра (кода).
Под термином «криптоанализ» также понимается попытка найти уязвимость в криптографическом алгоритме или протоколе. Хотя основная цель осталась неизменной с течением времени, методы криптоанализа претерпели значительные изменения, эволюционировав от использования лишь ручки и бумаги до широкого применения вычислительных мощностей специализированных криптоаналитических компьютеров в наши дни. Если раньше криптоаналитиками были большей частью лингвисты, то в наше время это удел «чистых» математиков.
Результаты криптоанализа конкретного шифра называют криптографической атакой на этот шифр. Успешную криптографическую атаку, дискредитирующую атакуемый шифр, называют взломом или вскрытием.
Электронно-цифровая подпись (ЭЦП) – это криптографическое средство, которое позволяет удостовериться в отсутствие искажений в тексте электронного документа, а в соответствующих случаях – идентифицировать лицо, создавшее такую подпись.
Алгоритм применения ЭЦП состоит из ряда операций:
- генерируется пара ключей: открытых и закрытых;
- открытый ключ передается заинтересованной стороне (получателю документов, подписанных стороной, сгенерировавшей ключи);
- отправитель сообщения шифрует его своим закрытым ключом и передает получателю по каналам связи;
- получатель дешифрует сообщение открытым ключом отправителя.
Суть в том, что создать зашифрованное сообщение, при расшифровке которого открытым ключом получается исходный текст, может только обладатель закрытого ключа, т. е. отправитель сообщения. Использовать для этого открытый ключ невозможно.
Для обеспечения конфиденциальности (секретности) сообщения применяется шифрование. Для шифрования сообщения используется пара открытого и закрытого ключей, тех же, что и для формирования ЭЦП. Для шифрования сообщения (возможно, уже подписанного ЭЦП) используется открытый ключ адресата, а полученное зашифрованное сообщение может расшифровать только сам адресат с использованием своего закрытого ключа. Даже отправитель, только что зашифровавший сообщение, не может его расшифровать. Таким образом, для подписания сообщения используется закрытый ключ отправителя, а для шифрования — открытый ключ получателя. Соответственно, получатель применяет свой закрытый ключ для дешифрования и открытый ключ отправителя для проверки подлинности ЭЦП.
Защиту данных криптографическими методами принято классифицировать по месту применения шифрования:
- уровень приложений;
- уровень файловой системы;
- сетевой уровень;
- уровень устройства.
Электронная подпись предназначена для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом.
Использование электронной подписи позволяет осуществить:
- контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;
- защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;
- невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом;
- доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Электронно-цифровая подпись применяется для подтверждения авторства и неизменности информации (того или иного электронного документа). В системе электронных торгов поставщик, подавший ценовое предложение или заявку на конкурс, обязуется осуществить поставку товара или осуществить услуги на условиях, указанных в его предложении. Будучи подписанным ЭЦП, данное предложение обретает юридическую значимость и влечет за собой ответственность в соответствии с законодательством. Таким образом, заказчик в системе электронных торгов имеет дело с реальными предложениями, исполнение которых гарантировано законодательством.