Защита персональных данных

Основой этих всех документов является концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации и основные принципы защиты компьютерных систем.

Глава 2 Основные методы защиты информации

2.1. Обеспечение достоверности и сохранности информации в автоматизированных системах

 

Проблема обеспечения (повышения) достоверности информации при ее обработке в автоматизированных системах заключается главным образом  в контроле правильности информационных массивов, обнаружении ошибок и их исправлении на различных этапах обработки информации.⁷ Исследование проблемы обеспечения достоверности информации в автоматизированных системах осуществляется на трех уровнях:

• Синтаксическом (связан с контролем и защитой элементарных составляющих информационных массивов – знаков или символов);
• Семантическом (связан с обеспечением достоверности смыслового значения информационных массивов, их логичности, непротиворечивости и согласованности);
• Прагматическом (связан с изучением вопросов ценности информации при принятии управленческих решений, ее доступности и своевременности, влияния ошибок на качество и эффективность функционирования автоматизированных систем).

Ошибки, возникающие в процессе обработки информации, связаны с помехами, сбоями и отказами технических и программных средств, ошибками пользователей и обслуживающего персонала, недостаточной точностью или ошибками в исходных, промежуточных и выходных  данных, неадекватностью реализованных математических моделей реальным процессам.

Для достижения требуемой или максимальной достоверности обработки информации в автоматизированных системах используются специальные методы, основанные на введении в структуры обработки информационных массивов информационной, временной или структурной избыточности.

Информационная избыточность характеризуется введением дополнительных разрядов в используемые информационные массивы и дополнительных операций в процедуры переработки информационных массивов, имеющих математическую или логическую связь с алгоритмом переработки, обеспечивающих выявление и исправление ошибок определенного типа.

Временная избыточность связана с  возможностью неоднократного повторения определенного контролируемого  этапа обработки информации.

Структурная избыточность характеризуется  введением в состав автоматизированных систем дополнительных элементов.⁸

По виду реализации известные методы обеспечения достоверности обрабатываемой информации в автоматизированных системах можно разделить на две основные группы: организационные (системные  и административные) и аппаратно-программные (программные и аппаратные) (рис. 1).

Надежность автоматизированных систем – свойство автоматизированных систем выполнять функции, сохраняя во времени  значения установленных эксплуатационных показателей в заданных пределах, соответствующих данным режимам и условиям использования, технического обслуживания, ремонта, хранения и транспортирования.

Надежность комплекса аппаратных средств определяется в основном случайными сбоями и отказами, а  надежность комплекса программных  средств – наличием систематических ошибок, допущенных при его разработке.

Для обеспечения достоверности  в автоматизированных системах используются общие типовые методы обеспечения  надежности аппаратуры, целью которых  служит поддержание характеристик  аппаратных средств автоматизированных систем в заданных пределах. Надежность технических (аппаратных) средств достигается на этапах разработки, производства и эксплуатации.⁹

 

Рис.1. Классификация методов повышения  достоверности обработки информации в Автоматизированных системах

АС – автоматизированные системы; ИМ – информационные массивы;

 

 

Для программных средств рассматривают  два этапа – этап разработки и  этап эксплуатации. Этап разработки программных  средств является определяющим при  создании надежных компьютерных систем.

На этапе эксплуатации программные средства дорабатываются, в них устраняются замеченные ошибки, поддерживается целостность программных средств и актуальность данных, используемых этими средствами.¹⁰

Аппаратно-программные методы повышения  достоверности перерабатываемой в автоматизированных системах информации представляют собой совокупность методов контроля и выявления ошибок в исходных и получаемых информационных массивах, их локализации и исправления.¹¹

При эксплуатации автоматизированных систем существует возможность разрушения информационных массивов, которое приводит к появлению ошибок в результатах, невозможности решения некоторых функциональных задач или к полному отказу автоматизированных систем. Основными причинами нарушения целостности и готовности информационных массивов в процессе их непосредственного использования или хранения на носителях являются ошибки и преднамеренные действия операторов и обслуживающего персонала, деструктивные действия компьютерных вирусов, агрессивность внешней среды (температура, влажность и др.), износ носителей информации, приводящие к разрушению информационных массивов или их носителей.

Проблема обеспечения целостности  и готовности информации при эксплуатации автоматизированных систем заключается  в разграничении доступа к  информационным массивам и программно-техническим ресурсам, контроле правильности информационных массивов, обнаружении ошибок, резервировании и восстановлении информационных массивов во внутримашинной информационной базе по зарезервированным информационным массивам.¹²

Методы повышения сохранности  информации в автоматизированных системах в зависимости от вида их реализации можно разделить на организационные  и аппаратно-программные.

I. Организационные методы повышения сохранности состоят в создании и использовании рациональной технологии эксплуатации информационных массивов, предусматривающей профилактические меры по снижению доли искажений информационных массивов до определенного допустимого уровня и по обеспечению своевременного предоставления необходимых аутентичных информационных массивов для автоматизированного решения задач автоматизированных систем. Основными из них являются:

1) учет и хранение информационных  массивов в базах данных автоматизированных  систем;

2) контроль за качеством работы  операторов и обслуживающего персонала;

3) контроль износа и старения  технических средств, функционирования  автоматических систем, а также  правильности их эксплуатации;

4) профотбор, обучение и стимулирование  персонала автоматизированных систем;

5) организация труда персонала автоматизированных систем, обеспечивающая уменьшение возможностей нарушения им требований сохранности информационных массивов;

6) обеспечение  противопожарной защиты и температурно-влажностного  режима.

II. Аппаратно-программными методами повышения сохранности информации являются:

1) резервирование  информации (обеспечивает защиту  информации как от случайных  угроз, так и от преднамеренных воздействий):

- оперативное резервирование – создание и хранение резервных рабочих копий информационных массивов, используемых для решения функциональных задач автоматизированных систем в реальном масштабе времени;

- восстановительное  резервирование – создание и  хранение дополнительных копий  информационных массивов, используемых  только для восстановления разрушенных  рабочих копий информационных массивов;

- долговременное  резервирование – создание, длительное  хранение и обслуживание архивов  оригиналов, дубликатов и резервных  копий информационных массивов.

2) контроль, обнаружение  и исправление ошибок информационных  массивов (реализуются как в аппаратном варианте, так и в виде программных модулей):

- получение контрольных  сумм – сумма всех символов, полученная циклическим сложением  после обновления информационных  массивов;

- использование  контрольных чисел – цифра, связанная с символами информационных массивов некоторым соотношением;

- использование  избыточных кодов – позволяют  выявлять и автоматически исправлять  имеющиеся в информационных массивах  ошибки;

- программная  проверка по четности – обеспечивает  более качественный контроль по сравнению со схемной проверкой четности;

- контроль верности  входных информационных массивов  – контроль допустимого диапазона  изменения некоторого показателя.

3) контроль верности  входных данных и защита от  вирусов:

- обнаружение вирусов в автоматизированных  системах (сканирование, обнаружение  изменений, эвристический анализ, вакцинация программ, аппаратно-программная  защита от вирусов);

- блокирование работы программ-вирусов

- устранение последствий воздействия  вирусов.

Для решения данных задач используются специальные антивирусные средства.

4) блокировка ошибочных операций (действий) – использует технические  и аппаратно-программные средства. Технические средства применяются  в основном для предотвращения  ошибочных действий людей (блокировочные тумблеры, защитные экраны и ограждения, предохранители, средства блокировки записей на магнитные ленты, дискеты и т.п.). Аппаратно-программные средства позволяют, например, блокировать вычислительный процесс при нарушениях программами адресных пространств оперативной памяти.¹³

Все эти методы позволяют повысить достоверность информации и сохранить  целостность и готовность информационных массивов в процессе их непосредственного  использования или хранения на носителях.

2.2. Обеспечение конфиденциальности информации

 

В общей проблеме обеспечения защищенности информации в автоматизированных системах особая роль отводится обеспечению  требуемого уровня конфиденциальности информационных массивов. Это обусловлено  тем, что возможное нарушение конфиденциальности информационных массивов и как следствие раскрытие, модификация ( с целью дезинформации), случайное или преднамеренное разрушение, а также несанкционированное использование информации могут привести к крайне тяжелым последствиям с нанесением неприемлемого ущерба владельцам или пользователям информации.

Основными направлениями обеспечения  конфиденциальности информации в автоматизированных системах являются:

- защита информации от утечки  по техническим каналам;

- криптографическая защита информационных массивов;

- защита объектов от несанкционированного  доступа посторонних лиц;

- разграничение доступа в автоматизированных  системах.

Всю совокупность мер и мероприятий  по обеспечению конфиденциальности информации в автоматизированных системах можно условно разделить на две группы:

1. организационные (административные, законодательные);
2. инженерно-технические (физические, аппаратные, программные и криптографические).

Административные – комплекс организационно-правовых мер и мероприятий, регламентирующих (на основе нормативно правовых актов: приказов, директив, инструкций и т.п.) процессы функционирования автоматизированных систем, использование ее аппаратно-программных средств, а также взаимодействие пользователей и обслуживающего персонала с автоматизированными системами с целью исключения возможностей или существенного затруднения несанкционированного доступа к информационным массивам.

Комплекс законодательных мер  определяется законами страны, постановлениями, регламентирующими правила переработки  и использования информации ограниченного доступа и ответственность за их нарушение.

Комплекс физических мер и мероприятий  предназначен для создания физических препятствий для потенциальных  нарушителей на пути в места, в  которых можно иметь доступ к  защищаемой информации.

Аппаратные методы обеспечения  конфиденциальности информации – это  комплекс мероприятий по разработке и использованию механических, электрических, электронных и других устройств, предназначенных для защиты информации от несанкционированного доступа, утечки и модификации.

Программными решениями (методами) обеспечения конфиденциальности информации являются комплексы специальных  программ и компонентов общего программного обеспечения автоматизированных систем, предназначенных для выполнения функций контроля, разграничения доступа и исключения несанкционированного использования информации.

Криптографические методы обеспечения  конфиденциальности информации в автоматизированных системах – это комплекс процедур и алгоритмов преобразования информации, обеспечивающих скрытность смыслового содержания информационных массивов.¹⁴