теме; перечня применяемых системных и прикпадных программ (комплексов) с указанием используемых и порождаемых ими информационных объектов; описания топологии комплекса технических средств компьютерной системы.

Потом производится обработка и систематизация полученных данных. Информационные объекты могут быть классифицированы по тематике, по иерархическому признаку, по предполагаемому размеру ущерба от потери данной информации (или по выгоде для конкурента при ее получении), по трудоемкости ее восстановления.

Наконец, планируется организационное обеспечение информационной безопасности. Идеальная схема предполагает наличие независимого подразделения информационной безопасности, которое подчинено одному из первых лиц организации. Основными функциями этого подразделения являются предоставление пользователям доступа к информации в соответствии с принятой в организации политикой безопасности, а также контроль за соблюдением принятой политики безопасности и ее проведение на различных уровнях.

Анализ рисков заключается в определении, изучении и систематизации. Также формируются требования к средствам обеспечения информационной безопасности и осуществляется выбор соответствующих программных и технических решений.

По результатам анализа составляется отчет, содержащий перечень рисков, упорядоченных по степени их опасности , и рекомендации по снижению вероятности возникновения опасных ситуаций. Проведенный анализ должен предоставить руководству предприятия всю информацию, которая необходима для принятия решений, по возможности, альтернативных. Например, принять меры, снижающие вероятность возникновения опасной ситуации и/или уменьшающие возможный ущерб в случае отказа информационной системы, а также несанкционированного доступа к данным, воздержаться от принятия определенных защитных мер и пойти на рассчитанный риск.

Планирование обеспечения безопасности состоит в разработке документа, содержащего описание мер, средств и способов обеспечения информационной безопасности. Этот документ определяет и последовательность действий, направленных на реализацию комплекса мер по обеспечению информационной безопасности, которая должна быть утверждена руководством организации.

Планирование действий в чрезвычайной ситуации состоит в разработке документа, определяющего, за счет каких резервных средств будет обеспечено функционирование организации в условиях выхода из строя ее информационной системы, а также намечающего меры по Восстановлению работоспособности этой системы. План действий в чрезвычайной ситуации разрабатывается на основе результатов анализа рисков.

Средства обеспечения информационной безопасности можно условно разделить на следующие группы:

- системы контроля доступа (управляют правами доступа пользователей, регистрируют обращения к защищаемым данным, осуществляют аутентификацию пользователей и сетевых систем);

- системы шифрования информации (кодируют данные, хранящиеся на локальных дисках пользователей и передаваемые по телекоммуникационным каналам);

- системы электронно-цифровой подписи (обеспечивают аутентификацию получаемой информации и контроль ее целостности);

- системы антивирусной защиты (контролируют состояние памяти вычислительных систем, предотвращают заражение файлов на локальных и сетевых дисках, а также распространение вирусов по сети);

- системы защиты firewall (осуществляют авторизацию входящего и исходящего трафика между локальной компьютерной сетью и Internet);

- системы резервного хранения и восстановления информации (обеспечивают запись информации на резервные носители и, в случае необходимости, ее восстановление на жестких дисках компьютеров предприятия).

В заключение необходимо отметить, что само по себе наличие даже самых совершенных планов обеспечения информационной безопасности не может служить гарантией безопасности данных и надежности работы информационной инфраструктуры. Залогом эффективной работы информационной инфраструктуры и системы безопасности являются постоянный контроль за выполнением всех требований политики информационной безопасности, взаимодействие всех ответственных лиц, обучение специалистов и пользователей тому, как нужно действовать в чрезвычайной ситуации.

17.3. Технические аспекты информационной безопасности

Криптографические методы и средства защиты. Методы криптографии (шифрования) позволяют решить комплекс проблем, связанных с защитой информации. Они направлены на обеспечение скрытия информации, содержащейся в сообщении. Кроме того, они используются в аутентификации пользователей и обеспечении подлинности принимаемых сообщений. Исходное сообщение, над которым производится операция шифрования, называется открытым текстом, а результат шифрования - шифротекстом, или криптограммой.

В криптографии обычно рассматриваются два типа криптографических алгоритмов [5-8]. Это классические криптографические алгоритмы, основанные на использовании секретных ключей, и новые

криптографические алгоритмы с открытым ключом, основанные на использовании ключей двух типов: секретного (закрытого) и открытого, так называемые двухключевые алгоритмы.

В классической криптографии ( криптографии с секретным ключом или одноключевой криптографии ) используется только одна единица секретной информации - ключ, знание которого позволяет отправителю зашифровать информацию (текстовое, графическое или речевое сообщение), а получателю - расшифровать. К наиболее известным стандартам на засекречивание данных относится стандарт по цифровой криптографии (DES - Digital Encryption Standart), принятый в США. Этот стандарт, в частности, определяет размер блока исходного текста в 64 бита и величину ключа 56 бит [5]. Качество алгоритма DES считается достаточно хорошим, так как с момента опубликования стандарта в 1974 г. не известен ни один случай расшифровки шифрограмм без знания ключа.

Классические (одноключевые) системы шифрования требуют для передачи ключа получателю информации защищенного канала , и если число взаимодействующих абонентов велико, то проблема обмена ключами становится весьма затруднительной. Действительно, в сети с N абонентами имеется N(N- 1)/2 пар абонентов, каждая из которых требует свой ключ шифрования. Таким образом, в сети с числом абонентов N = 10 000 потребуется 5-10 ключей, что создает серьезную проблему по их распределению между абонентами. В соответствии с этим в последнее время широко распространились методы шифрования, базирующиеся на двухключевой системе шифрования (ДКСШ). В рекомендациях МСЭ Х.200, Х.400, Х.509 ДКСШ предлагается как основной метод шифрования.

Использование ДКСШ технологии открытых ключей снимает сложную проблему, возникающую в большой сети при распространении и хранении огромного числа секретных паролей. Особенность технологии состоит в том, что одновременно генерируется уникальная пара ключей, при этом текст, зашифрованный одним из них, может быть расшифрован только с использованием второго ключа, и наоборот. Каждый пользователь генерирует пару ключей, оставляет один закрытый у себя и никому никогда не передает, а второй открытый передает тем, с кем ему необходима защищенная связь. Если этот пользователь хочет аутентифицировать себя (поставить электронную подпись), то он шифрует текст своим закрытым ключом и передает этот текст своим корреспондентам. Если им удастся расшифровать текст открытым ключом этого пользователя, то становится ясно, что тот, кто его зашифровал, имеет в своем распоряжении парный закрытый ключ. Если пользователь хочет получать секретные сообщения, то его корреспонденты зашифровывают их с помощью открытого ключа этого пользователя. Расшифровать эти сообщения может