Информационная безопасность и защита данных

Главная

Защита от вирусов

Подробнее
Статьи
До начала рассмотрения различных аспектов защиты информации необходимо выяснить, что и от кого предполагается защищать. Без этого рассуждать о преимуществах и недостатках систем информационной безопасности просто бессмысленно.

Характеристики информации

Прежде всего, у каждой «единицы» защищаемой информации есть несколько параметров, которые необходимо учитывать:
— статичность;
— размер и тип доступа;
— время жизни;
— стоимость создания;
— стоимость потери конфиденциальности;
— стоимость скрытого нарушения целостности;

Статичность определяет, может ли защищаемая информация изменяться в процессе нормального использования. Так, например, передаваемое по сети зашифрованное сообщение и документ с цифровой подписью изменяться не должны, а данные на зашифрованном диске, находящемся в использовании, изменяются постоянно. Также изменяется содержимое базы данных при добавлении новых или модификации существующих записей.
Размер единицы защищаемой информации может накладывать дополнительные ограничения на используемые средства защиты. Так блочные алгоритмы шифрования в некоторых режимах оперируют порциями данных фиксированной длины, а использование асимметричных криптографических алгоритмов приводит к увеличению размера данных при зашифровании. Тип доступа (последовательный или произвольный) также накладывает ограничения на средства защиты — использование потокового алгоритма шифрования для больших объемов данных с произвольным доступом требует разбиения данных на блоки и генерации уникального ключа для каждого из них.

Время жизни информации — очень важный параметр, определяющий, насколько долго информация должна оставаться защищенной. Существует информация, время жизни которой составляет минуты, например отданный приказ о начале атаки или отступления во время ведения боевых действий. Содержимое приказа и без расшифровки сообщения станет ясно противнику по косвенным признакам. Время жизни большей части персональной информации (банковской, медицинской и т. п.) соответствует времени жизни владельца — после его смерти разглашение такой информации уже никому не принесет ни вреда, ни выгоды. Для каждого государственного секрета, как правило, тоже определен период, в течение которого информация не должна стать публичной. Однако с некоторых документов грифы не снимаются никогда — это случай, когда время жизни информации не ограничено. Никогда не должна разглашаться информация и о ключах шифрования, вышедших из употребления, т. к. у противника могут иметься в наличии все старые зашифрованные сообщения и, получив ключ, он сможет обеспечить себе доступ к тексту сообщений.

Стоимость создания является численным выражением совокупности ресурсов (финансовых, человеческих, временнь/х), затраченных на создание информации. Фактически, это ее себестоимость.

Стоимость потери конфиденциальности выражает потенциальные убытки, которые понесет владелец информации, если к пей получат неавторизован-ный доступ сторонние лица. Как правило, стоимость потери конфиденциальности многократно превышает себестоимость информации. По истечении времени жизни информации стоимость потери ее конфиденциальности становится равной нулю.

Стоимость скрытого нарушения целостности выражает убытки, которые могут возникнуть вследствие внесения изменений в информацию, если факт модификации не был обнаружен. Нарушения целостности могут носить различный характер. Они могут быть как случайными, так и преднамеренными. Модификации может подвергаться не только непосредственно текст сообщения или документа, но также дата отправки или имя автора.
Стоимость утраты описывает ущерб от полного или частичного разрушения информации. При обнаружении нарушения целостности и невозможности получить ту же информацию из другого источника информация считается утраченной.

Четыре различных стоимости, перечисленные выше, могут очень по-разному соотноситься друг с другом. Рассмотрим два примера.
Представим следующую ситуацию. Человек при помощи специализированной программы заносит информацию обо всех своих счетах и финансовых операциях в базу данных. Вследствие особенностей налоговой системы подобная практика является обычной для жителей некоторых стран. Стоимость создания подобной базы данных складывается преимущественно из времени, потраченного на ее заполнение актуальными данными. Финансовая информация, по большому счету, является конфиденциальной. Для того чтобы защитить эту информацию от потенциальных похитителей, почти все программы ведения личной финансовой истории, такие как Microsoft Money или Intuit Quicken, позволяют зашифровать базу данных и защитить ее паролем. Утечка информации крайне нежелательна, но однозначно оценить величину возможного ущерба довольно тяжело. Для кого-то потеря конфиденциальности финансовой информации пройдет бесследно, для кого-то создаст значительные трудности. Если в базу будут внесены скрытые изменения, это может привести к ошибкам в налоговой отчетности, а это, в свою очередь, чревато серьезными последствиями, вплоть до уголовного преследования. Ущерб от утраты содержимого зашифрованной базы зачастую оказывается больше ущерба от нарушения конфиденциальности вследствие попадания базы в чужие руки. В таком случае при утере пароля к базе владелец может обратиться в компанию, оказывающую услуги по восстановлению забытых паролей.

В качестве второго примера возьмем смарт-карту, в памяти которой хранится секретный ключ криптосистемы с открытым ключом, используемый как для шифрования, так и для подписи сообщений. Стоимость создания такой карты сравнительно мала. В случае потери конфиденциальности (если противнику удастся извлечь секретный ключ, получить неограниченный доступ к самой карте или создать ее точную копию) могут наступить весьма тяжелые последствия: противник получает возможность читать все зашифрованные сообщения и подписывать сообщения от имени владельца карты. Скрытое нарушение целостности в данном случае почти не имеет смысла. Даже если противнику удастся подменить в карте секретный ключ, владелец карты не сможет не заметить, что не в состоянии расшифровать старые сообщения, а создаваемая подпись не опознается как принадлежащая ему, т. к. опубликованный открытый ключ не соответствует новому секретному ключу. То же самое произойдет и при утрате карты или ключа. Как видно, в этом случае, несмотря на невозможность повторного создания карты с тем же самым секретным ключом, утрата карты предпочтительнее потери конфиденциальности. Именно поэтому современные смарт-карты не позволяют прочитать секретный ключ стандартными средствами, а при попытке физического вмешательства во «внутренности» карты, данные просто уничтожаются.

Эксклюзивные коллекции ТМ Атем плитка Киев по самым вкусным ценам.
Купить отличные смесители для мойки в киеве
Виктория, spa тур израиль.