Методы защиты информации от несанкционированного доступа кратко

Обновлено: 04.07.2024

Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Установленные термины обязательны для применения во всех видах документации.

Для каждого понятия установлен один термин. Применение синонимов термина не допускается.

Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.

Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках.

1. Термины и определения

1. Доступ к информации
(Доступ)
Access to information

Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации

2. Правила разграничения доступа
(ПРД)
Security policy

Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

3. Санкционированный доступ к информации
Authorized access to information

Доступ к информации, не нарушающий правила разграничения доступа

4. Несанкционированный доступ к информации
(НСД)
Unauthorized access to information

Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем

5. Защита от несанкционированного доступа
(Защита от НСД)
Protection from unauthorized access

Предотвращение или существенное затруднение несанкционированного доступа

6. Субъект доступа
(Субъект)
Access subject

Лицо или процесс, действия которого регламентируются правилами разграничения доступа

7. Объект доступа
(Объект)
Access object

Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа

8. Матрица доступа
Access matrix

Таблица, отображающая правила разграничения доступа

9. Уровень полномочий субъекта доступа
Subject privilege

Совокупность прав доступа субъекта доступа

10. Нарушитель правил разграничения доступа
(Нарушитель ПРД)
Security policy violator

Субъект доступа, осуществляющий несанкционированный доступ к информации

11. Модель нарушителя правил разграничения доступа
(Модель нарушителя ПРД)
Security policy violator’s model

Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа

12. Комплекс средств защиты
(КСЗ)
Trusted computing base

Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации

13. Система разграничения доступа
(СРД)
Security policy realization

Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах

14. Идентификатор доступа
Access identifier

Уникальный признак субъекта или объекта доступа

15. Идентификация
Identification

Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов

16. Пароль
Password

Идентификатор субъекта доступа, который является его (субъекта) секретом

17. Аутентификация
Authentication

Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

18. Защищенное средство вычислительной техники
(защищенная автоматизированная система)
Trusted computer system

Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты

19. Средство защиты от несанкционированного доступа
(Средство защиты от НСД)
Protection facility

Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа

20. Модель защиты
Protection model

Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа

21. Безопасность информации
Information security

Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз

22. Целостность информации
Information integrity

Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

23. Конфиденциальная информация
Sensitive information

Информация, требующая защиты

24. Дискреционное управление доступом
Discretionary access control

Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту

25. Мандатное управление доступом
Mandatory access control

Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности

26. Многоуровневая защита
Multilevel secure

Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности

27. Концепция диспетчера доступа
Reference monitor concept

Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам

28. Диспетчер доступа
(ядро защиты)
Security kernel

Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа

29. Администратор защиты
Security administrator

Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации

30. Метка конфиденциальности
(Метка)
Sensitivity label

Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте

31. Верификация
Verification

Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие

32. Класс защищенности средств вычислительной техники (автоматизированной системы)
Protection class of computer systems

Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации

33. Показатель защищенности средств вычислительной техники
(Показатель защищенности)
Protection criterion of computer systems

Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники

34. Система защиты секретной информации
(СЗСИ)
Secret information security system

Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах

35. Система защиты информации от несанкционированного доступа
(СЗИ НСД)
System of protection from unauthorized access to information

Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах

36. Средство криптографической защиты информации
(СКЗИ)
Cryptographic information protection facility

Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности

37. Сертификат защиты
(Сертификат)
Protection certificate

Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных

38. Сертификация уровня защиты
(Сертификация)
Protection level certification

Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите

2. Алфавитный указатель терминов на русском языке

Дискреционное управление доступом

Доступ к информации

Защита от несанкционированного доступа

Защищенное средство вычислительной техники (защищенная автоматизированная система)

Класс защищенности средств вычислительной техники (автоматизированной системы)

В современных информационных системах (ИС) информация обладает двумя противоречивыми свойствами – доступностью и защищенностью от несанкционированного доступа. Во многих случаях разработчики ИС сталкиваются с проблемой выбора приоритета одного из этих свойств.

Под защитой информации обычно понимается именно обеспечение ее защищенности от несанкционированного доступа. При этом под самим несанкционированным доступом принято понимать действия, которые повлекли "…уничтожение, блокирование, модификацию, либо копирование информации…"(УК РФ ст.272). Все методы и средства защиты информации можно условно разбить на две большие группы: формальные и неформальные.

Рис. 1. Классификация методов и средств защиты информации

Формальные методы и средства

Это такие средства, которые выполняют свои защитные функции строго формально, то есть по заранее предусмотренной процедуре и без непосредственного участия человека.

Техническими средствами защиты называются различные электронные и электронно-механические устройства, которые включаются в состав технических средств ИС и выполняют самостоятельно или в комплексе с другими средствами некоторые функции защиты.

Физическими средствами защиты называются физические и электронные устройства, элементы конструкций зданий, средства пожаротушения, и целый ряд других средств. Они обеспечивают выполнение следующих задач:

  • защиту территории и помещений вычислительного центра от проникновения злоумышленников;
  • защиту аппаратуры и носителей информации от повреждения или хищения;
  • предотвращение возможности наблюдения за работой персонала и функционированием оборудования из-за пределов территории или через окна;
  • предотвращение возможности перехвата электромагнитных излучений работающего оборудования и линий передачи данных;
  • контроль за режимом работы персонала;
  • организацию доступа в помещение сотрудников;
  • контроль за перемещением персонала в различных рабочих зонах и т.д.

Криптографические методы и средства

Криптографическими методами и средствами называются специальные преобразования информации, в результате которых изменяется ее представление.

В соответствии с выполняемыми функциями криптографические методы и средства можно разделить на следующие группы:

  • идентификация и аутентификация;
  • разграничение доступа;
  • шифрования защищаемых данных;
  • защита программ от несанкционированного использования;
  • контроль целостности информации и т.д.

Неформальные методы и средства защиты информации

Неформальные средства – такие, которые реализуются в результате целенаправленной деятельности людей, либо регламентируют ( непосредственно или косвенно) эту деятельность.

К неформальным средствам относятся:

Организационные средства

Это организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации ИС с целью обеспечения защиты информации. По своему содержанию все множество организационных мероприятий условно можно разделить на следующие группы:

  • мероприятия, осуществляемые при создании ИС;
  • мероприятия, осуществляемые в процессе эксплуатации ИС: организация пропускного режима, организация технологии автоматизированной обработки информации, организация работы в сменах, распределение реквизитов разграничения доступа(паролей, профилей, полномочий и т.п.) ;
  • мероприятия общего характера: учет требований защиты при подборе и подготовке кадров, организация плановых и превентивных проверок механизма защиты, планирование мероприятий по защите информации и т.п.

Законодательные средства

Это законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного использования и устанавливаются меры ответственности за нарушение этих правил. Можно сформулировать пять ”основных принципов”, которые лежат в основе системы законов о защите информации:

Морально – этические нормы

Эти нормы могут быть как не писанными (общепринятые нормы честности, патриотизма и т.п.) так и писанными, т.е. оформленными в некоторый свод правил и предписаний (устав).

С другой стороны, все методы и средства защиты информации можно разделить на две большие группы по типу защищаемого объекта. В первом случае объектом является носитель информации, и здесь используются все неформальные, технические и физические методы и средства защиты информации. Во втором случае речь идет о самой информации, и для ее защиты используются криптографические методы.

1.3.2. Угрозы безопасности информации и их источники

Наиболее опасными (значимыми) угрозами безопасности информации являются:

  • нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую, судебную, врачебную и коммерческую тайну, а также персональных данных;
  • нарушение работоспособности (дезорганизация работы) ИС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
  • нарушение целостности (искажение, подмена, уничтожение) информационных, программных и других ресурсов ИС, а также фальсификация (подделка) документов.

Приведем ниже краткую классификацию возможных каналов утечки информации в ИС – способов организации несанкционированного доступа к информации.

Косвенные каналы, позволяющие осуществлять несанкционированный доступ к информации без физического доступа к компонентам ИС:

  • применение подслушивающих устройств;
  • дистанционное наблюдение, видео и фотосъемка;
  • перехват электромагнитных излучений, регистрация перекрестных наводок и т.п.

Каналы, связанные с доступом к элементам ИС, но не требующие изменения компонентов системы, а именно:

Каналы, связанные с доступом к элементам ИС и с изменением структуры ее компонентов :

  • незаконное подключение специальной регистрирующей аппаратуры к устройствам системы или к линиям связи;
  • злоумышленное изменение программ таким образом, чтобы эти программы наряду с основными функциями обработки информации осуществляли также несанкционированный сбор и регистрацию защищаемой информации;
  • злоумышленный вывод из строя механизма защиты.

1.3.3. Ограничение доступа к информации

В общем случае система защиты информации от несанкционированного доступа состоит из трех основных процессов:

  • идентификация;
  • аутентификация;
  • авторизация.

При этом участниками этих процессов принято считать субъекты – активные компоненты (пользователи или программы) и объекты – пассивные компоненты (файлы, базы данных и т.п.).

Задачей систем идентификации, аутентификации и авторизации является определение, верификация и назначение набора полномочий субъекта при доступе к информационной системе.

Идентификацией субъекта при доступе к ИС называется процесс сопоставления его с некоторой, хранимой системой в некотором объекте, характеристикой субъекта – идентификатором. В дальнейшем идентификатор субъекта используется для предоставления субъекту определенного уровня прав и полномочий при пользовании информационной системой.

Аутентификацией субъекта называется процедура верификации принадлежности идентификатора субъекту. Аутентификация производится на основании того или иного секретного элемента (аутентификатора), которым располагают как субъект, так и информационная система. Обычно в некотором объекте в информационной системе, называемом базой учетных записей, хранится не сам секретный элемент, а некоторая информация о нем, на основании которой принимается решение об адекватности субъекта идентификатору.

Авторизацией субъекта называется процедура наделения его правами соответствующими его полномочиям. Авторизация осуществляется лишь после того, как субъект успешно прошел идентификацию и аутентификацию.

Весь процесс идентификации и аутентификации можно схематично представить следующим образом:

Рис. 2. Схема процесса идентификации и аутентификации

1- запрос на разрешение доступа к ИС;

2- требование пройти идентификацию и аутентификацию;

3- отсылка идентификатора;

4- проверка наличия полученного идентификатора в базе учетных записей;

5- запрос аутентификатора;

6- отсылка аутентификаторов;

7- проверка соответствия полученного аутентификатора указанному ранее идентификатору по базе учетных записей.

Из приведенной схемы (рис.2) видно, что для преодоления системы защиты от несанкционированного доступа можно либо изменить работу субъекта, осуществляющего реализацию процесса идентификации/аутентификации, либо изменить содержимое объекта – базы учетных записей. Кроме того, необходимо различать локальную и удаленную аутентификацию.

При локальной аутентификации можно считать, что процессы 1,2,3,5,6 проходят в защищенной зоне, то есть атакующий не имеет возможности прослушивать или изменять передаваемую информацию. В случае же удаленной аутентификации приходится считаться с тем, что атакующий может принимать как пассивное, так и активное участие в процессе пересылки идентификационной /аутентификационной информации. Соответственно в таких системах используются специальные протоколы, позволяющие субъекту доказать знание конфиденциальной информации не разглашая ее (например, протокол аутентификации без разглашения).

Общую схему защиты информации в ИС можно представить следующим образом (рис.3):

Рис. 3. Съема защиты информации в информационной системе

Таким образом, всю систему защиты информации в ИС можно разбить на три уровня. Даже если злоумышленнику удастся обойти систему защиты от несанкционированного доступа, он столкнется с проблемой поиска необходимой ему информации в ИС.

Семантическая защита предполагает сокрытие места нахождения информации. Для этих целей может быть использован, например, специальный формат записи на носитель или стеганографические методы, то есть сокрытие конфиденциальной информации в файлах-контейнерах не несущих какой-либо значимой информации.

В настоящее время стеганографические методы защиты информации получили широкое распространение в двух наиболее актуальных направлениях:

  • сокрытие информации;
  • защита авторских прав.

Последним препятствием на пути злоумышленника к конфиденциальной информации является ее криптографическое преобразование. Такое преобразование принято называть шифрацией. Краткая классификация систем шифрования приведена ниже (рис.4):

Рис. 4. Классификация систем шифрования

Основными характеристиками любой системы шифрования являются:

В настоящее время принято считать, что алгоритм шифрации/дешифрации открыт и общеизвестен. Таким образом, неизвестным является только ключ, обладателем которого является легальный пользователь. Во многих случаях именно ключ является самым уязвимым компонентом системы защиты информации от несанкционированного доступа.

Из десяти законов безопасности Microsoft два посвящены паролям:

Именно поэтому выбору, хранению и смене ключа в системах защиты информации придают особо важное значение. Ключ может выбираться пользователем самостоятельно или навязываться системой. Кроме того, принято различать три основные формы ключевого материала:

1.3.4. Технические средства защиты информации

В общем случае защита информации техническими средствами обеспечивается в следующих вариантах:
источник и носитель информации локализованы в пределах границ объекта защиты и обеспечена механическая преграда от контакта с ними злоумышленника или дистанционного воздействия на них полей его технических средств

  • соотношение энергии носителя и помех на входе приемника установленного в канале утечки такое, что злоумышленнику не удается снять информацию с носителя с необходимым для ее использования качеством;
  • злоумышленник не может обнаружить источник или носитель информации;
  • вместо истинной информации злоумышленник получает ложную, которую он принимает как истинную.

Эти варианты реализуют следующие методы защиты:

  • воспрепятствование непосредственному проникновению злоумышленника к источнику информации с помощью инженерных конструкций, технических средств охраны;
  • скрытие достоверной информации;
  • "подсовывание" злоумышленнику ложной информации.

Применение инженерных конструкций и охрана - наиболее древний метод защиты людей и материальных ценностей. Основной задачей технических средств защиты является недопущение (предотвращение) непосредственного контакта злоумышленника или сил природы с объектами защиты.

Под объектами защиты понимаются как люди и материальные ценности, так и носители информации, локализованные в пространстве. К таким носителям относятся бумага, машинные носители, фото- и кинопленка, продукция, материалы и т.д., то есть всё, что имеет четкие размеры и вес. Для организации защиты таких объектов обычно используются такие технические средства защиты как охранная и пожарная сигнализация.

Носители информации в виде электромагнитных и акустических полей, электрического тока не имеют четких границ и для защиты такой информации могут быть использованы методы скрытия информации. Эти методы предусматривают такие изменения структуры и энергии носителей, при которых злоумышленник не может непосредственно или с помощью технических средств выделить информацию с качеством, достаточным для использования ее в собственных интересах.

1.3.5. Программные средства защиты информации

Эти средства защиты предназначены специально для защиты компьютерной информации и построены на использовании криптографических методов. Наиболее распространенными программными средствами являются:

1.3.6. Антивирусные средства защиты информации

Настоящий руководящий документ устанавливает термины и определения понятий в области защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации.

Установленные термины обязательны для применения во всех видах документации.

Для каждого понятия установлен один термин. Применение синонимов термина не допускается.

Для отдельных терминов даны (в скобках) краткие формы, которые разрешается применять в случаях, исключающих возможность их различного толкования.

Для справок приведены иностранные эквиваленты русских терминов на английском языке, а также алфавитные указатели терминов на русском и английском языках.

1. Термины и определения

1. Доступ к информации
(Доступ)
Access to information

Ознакомление с информацией, ее обработка, в частности, копирование модификация или уничтожение информации

2. Правила разграничения доступа
(ПРД)
Security policy

Совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа

3. Санкционированный доступ к информации
Authorized access to information

Доступ к информации, не нарушающий правила разграничения доступа

4. Несанкционированный доступ к информации
(НСД)
Unauthorized access to information

Доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники или автоматизированными системами.
Примечание. Под штатными средствами понимается совокупность программного, микропрограммного и технического обеспечения средств вычислительной техники или автоматизированных систем

5. Защита от несанкционированного доступа
(Защита от НСД)
Protection from unauthorized access

Предотвращение или существенное затруднение несанкционированного доступа

6. Субъект доступа
(Субъект)
Access subject

Лицо или процесс, действия которого регламентируются правилами разграничения доступа

7. Объект доступа
(Объект)
Access object

Единица информационного ресурса автоматизированной системы, доступ к которой регламентируется правилами разграничения доступа

8. Матрица доступа
Access matrix

Таблица, отображающая правила разграничения доступа

9. Уровень полномочий субъекта доступа
Subject privilege

Совокупность прав доступа субъекта доступа

10. Нарушитель правил разграничения доступа
(Нарушитель ПРД)
Security policy violator

Субъект доступа, осуществляющий несанкционированный доступ к информации

11. Модель нарушителя правил разграничения доступа
(Модель нарушителя ПРД)
Security policy violator’s model

Абстрактное (формализованное или неформализованное) описание нарушителя правил разграничения доступа

12. Комплекс средств защиты
(КСЗ)
Trusted computing base

Совокупность программных и технических средств, создаваемая и поддерживаемая для обеспечения защиты средств вычислительной техники или автоматизированных систем от несанкционированного доступа к информации

13. Система разграничения доступа
(СРД)
Security policy realization

Совокупность реализуемых правил разграничения доступа в средствах вычислительной техники или автоматизированных системах

14. Идентификатор доступа
Access identifier

Уникальный признак субъекта или объекта доступа

15. Идентификация
Identification

Присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов

16. Пароль
Password

Идентификатор субъекта доступа, который является его (субъекта) секретом

17. Аутентификация
Authentication

Проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности

18. Защищенное средство вычислительной техники
(защищенная автоматизированная система)
Trusted computer system

Средство вычислительной техники (автоматизированная система), в котором реализован комплекс средств защиты

19. Средство защиты от несанкционированного доступа
(Средство защиты от НСД)
Protection facility

Программное, техническое или программно-техническое средство, предназначенное для предотвращения или существенного затруднения несанкционированного доступа

20. Модель защиты
Protection model

Абстрактное (формализованное или неформализованное) описание комплекса программно-технических средств и (или) организационных мер защиты от несанкционированного доступа

21. Безопасность информации
Information security

Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз

22. Целостность информации
Information integrity

Способность средства вычислительной техники или автоматизированной системы обеспечивать неизменность информации в условиях случайного и (или) преднамеренного искажения (разрушения)

23. Конфиденциальная информация
Sensitive information

Информация, требующая защиты

24. Дискреционное управление доступом
Discretionary access control

Разграничение доступа между поименованными субъектами и поименованными объектами. Субъект с определенным правом доступа может передать это право любому другому субъекту

25. Мандатное управление доступом
Mandatory access control

Разграничение доступа субъектов к объектам, основанное на характеризуемой меткой конфиденциальности информации, содержащейся в объектах, и официальном разрешении (допуске) субъектов обращаться к информации такого уровня конфиденциальности

26. Многоуровневая защита
Multilevel secure

Защита, обеспечивающая разграничение доступа субъектов с различными правами доступа к объектам различных уровней конфиденциальности

27. Концепция диспетчера доступа
Reference monitor concept

Концепция управления доступом, относящаяся к абстрактной машине, которая посредничает при всех обращениях субъектов к объектам

28. Диспетчер доступа
(ядро защиты)
Security kernel

Технические, программные и микропрограммные элементы комплекса средств защиты, реализующие концепцию диспетчера доступа

29. Администратор защиты
Security administrator

Субъект доступа, ответственный за защиту автоматизированной системы от несанкционированного доступа к информации

30. Метка конфиденциальности
(Метка)
Sensitivity label

Элемент информации, который характеризует конфиденциальность информации, содержащейся в объекте

31. Верификация
Verification

Процесс сравнения двух уровней спецификации средств вычислительной техники или автоматизированных систем на надлежащее соответствие

32. Класс защищенности средств вычислительной техники (автоматизированной системы)
Protection class of computer systems

Определенная совокупность требований по защите средств вычислительной техники (автоматизированной системы) от несанкционированного доступа к информации

33. Показатель защищенности средств вычислительной техники
(Показатель защищенности)
Protection criterion of computer systems

Характеристика средств вычислительной техники, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню, глубине в зависимости от класса защищенности средств вычислительной техники

34. Система защиты секретной информации
(СЗСИ)
Secret information security system

Комплекс организационных мер и программно-технических (в том числе криптографических) средств обеспечения безопасности информации в автоматизированных системах

35. Система защиты информации от несанкционированного доступа
(СЗИ НСД)
System of protection from unauthorized access to information

Комплекс организационных мер и программно-технических (в том числе криптографических) средств защиты от несанкционированного доступа к информации в автоматизированных системах

36. Средство криптографической защиты информации
(СКЗИ)
Cryptographic information protection facility

Средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности

37. Сертификат защиты
(Сертификат)
Protection certificate

Документ, удостоверяющий соответствие средства вычислительной техники или автоматизированной системы набору определенных требований по защите от несанкционированного доступа к информации и дающий право разработчику на использование и (или) распространение их как защищенных

38. Сертификация уровня защиты
(Сертификация)
Protection level certification

Процесс установления соответствия средства вычислительной техники или автоматизированной системы набору определенных требований по защите

2. Алфавитный указатель терминов на русском языке

Дискреционное управление доступом

Доступ к информации

Защита от несанкционированного доступа

Защищенное средство вычислительной техники (защищенная автоматизированная система)

Класс защищенности средств вычислительной техники (автоматизированной системы)


В статье расскажем, какие способы защиты информации используют в 2020 году, какие работают на 100%, а какие не эффективны, а также как защититься при подключении к незапароленному Wi-Fi.

Способы защиты информации

Начнём с того, как защитить информацию как таковую. О способах защиты рассказал эксперт RTM Group Евгений Царёв.

Физические средства защиты информации

Это сейфы, в случае с компанией – системы контроля доступа, запираемые шкафы и прочее. Подходят для безопасности тех носителей, которые не используются, но хранятся продолжительное время. Важно отметить, что металлические шкафы не подходят для хранения магнитных носителей (жёсткие диски), т.к. могут размагничивать носитель. Для жёстких дисков следует применять специальные сейфы.

Аппаратные средства защиты информации

Электрические, электронные, оптические, лазерные и другие устройства. Многие пользуются токенами. Например, для доступа в интернет-банк это самое популярное аппаратное средство защиты информации. Это надёжные средства, если используются правильно, но с удобством есть проблемы. Аппаратные средства можно потерять, сломать и прочее, нужно поддерживать систему управления, причём с элементами логистики.

Программные средства защиты информации

Это простые и комплексные программы. Пример – антивирусы, установленные на большинстве компьютеров.

DLP-система (от англ. Data Leak Prevention)

Это специализированное ПО, которое блокирует передачу конфиденциальной информации и даёт возможность наблюдать за ежедневной работой сотрудников, чтобы найти слабые места в безопасности и предотвратить утечки. Система анализирует циркулирующую внутри компании информацию. Если появляется угроза опасности, информация блокируется, о чём автоматически уведомляют ответственного сотрудника. DLP и SIEM – решения высокого класса, требуют наличия качественной системы обеспечения информационной безопасности. Используются средними и крупными компаниями. Важна правильная настройка. Это основной инструментарий в работе служб информационной безопасности.

Криптографические средства

Храните данные удалённо

Удалённое хранение информации – часто залог сохранности, уверен Луис Корронс, ИБ-евангелист компании Avast: «Лучший способ защитить информацию – хранить непосредственно на устройствах, не загружая на внешние хранилища. Тогда, чтобы украсть данные, злоумышленникам придётся получить доступ к конкретному физическому устройству.

Но такой способ хранения информации трудно применим на практике, а потому не 100% эффективен. Пользователи обмениваются информацией, личными сведениями, часто требуется удалённый доступ.

Итак, подведём итог. Обычному человеку достаточно установить на компьютер антивирус. Если информация хранится на флешке (что лучше всего), носитель можно зашифровать или убрать в сейф. Что касается компаний, лучшее решение – нанять эксперта по информационной безопасности. Не стоит экономить на таких сотрудниках. Ценную информацию следует хранить на флешках и жёстких дисках в сейфе, а на рабочие компьютеры установить ПО, отслеживающее угрозы безопасности.

Как защитить информацию при денежных переводах

Отдельно стоит упомянуть о передаче данных при подключении к бесплатному незапароленному Wi-Fi. Если подключились к такой сети, лучше не передавайте конфиденциальную информацию (например, номер карты), не совершайте и не оплачивайте покупки – информация о карте не защищена и доступна мошенникам.

Несмотря на то, что банки блокируют подозрительные операции, лучше перестраховаться. Чтобы не переживать за сохранность информации, пользуйтесь специальным программным обеспечением. Например, бесплатным сервисом Hotspot Shield, который создан для организации виртуальной частной сети, гарантирующей безопасную передачу данных по зашифрованному соединению.

Как защитить информацию в почте и соцсетях

Гиганты, такие как Google, Яндекс, придумывают новые способы защитить данные, хранящиеся в почтовых ящиках пользователей. Например, в гугл-почту пользователи теперь заходят через разблокировку смартфона (при попытке зайти в почту на экране мобильного выскочит просьба подтвердить личность), используется двухфакторная аутентификация (такая же опция доступна, к примеру, в Инстаграм) и т.д.

Ещё недавно защита аккаунтов посредством введения кода из СМС (двухфакторная аутентификация) считалась надёжным методом. Однако эксперты говорят, что время этого способа защиты информации ушло.

Такую опцию запустил и Инстаграм. На практике это выглядит так. Пользователь скачивает приложение, которое генерирует уникальные коды. Коды нужно записать или сделать скриншот. По ним, а не по коду из СМС, пользователь попадёт в аккаунт, если возникнут проблемы с доступом.

Читайте также: