Правни /юридически/ мерки при защита на информация в системите в Интернет и на сървърно ниво
Правните мерки включват - юридически нормативни актове (законови и подзаконови), и други нормативни документи, регламентиращи достъпа до информация и отговорността в случай на нарушения. Всяка страна създава своя нормативна база от документи. Както във всички развити страни, така и в нашата страна са приети редица документи: „Закон за защита на класифицираната информация” /ЗЗКИ/, „Закон за достъп до обществената информация”, „Закон за защита на личните данни”, „Правилник за прилагане на закона за защита на класифицираната информация” /ППЗЗКИ/, „Наредба за криптографска сигурност на класифицирана информация”, „Наредба за задължителните общи условия за сигурност на автоматизираните информационни системи (АИС) или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация” и др.
Нормативни документи:
„Законът за защита на класифицираната информация” регламентира конкретно кои въпроси, свързани с отбраната, външната политика, вътрешната и икономическата сигурност на страната подлежат на класификация като държавна тайна. Съгласно ЗЗКИ видовете защити на класифицирана информация /КИ/са:
1) Физическа сигурност на КИ, представена като „система от организационни, физически и технически мерки за предотвратяване на нерегламентиран достъп до материали, документи, техника и съоръжения, класифицирани като държавна или служебна тайна”(чл. 72 ал.1).
2) Документална сигурност, представляваща „система от мерки, способи и средства за защита на класифицираната информация при създаването, обработването и съхраняването на документи, както и при организирането и работата на регистратури за класифицирана информация” (чл..80 ал.1).
3) Персонална сигурност, дефинирана като „система от принципи и мерки, прилагани от компетентните органи по съответния ред спрямо лица с цел гарантиране на тяхната надеждност с оглед защита на класифицираната информация” (чл.83 ал.1).
4) Криптографска сигурност представена, като „система от криптографски методи и средства, които се прилагат с цел защита на класифицираната информация от нерегламентиран достъп при нейното създаване, обработка, съхраняване и пренасяне”(чл.84).
5) Сигурност на автоматизираните информационни системи (АИС) или мрежи дефинирана, като „система от принципи и мерки за защита от нерегламентиран достъп до класифицираната информация,
класифицирана информация по смисъла на този закон е информацията, представляваща държавна или служебна тайна, както и чуждестранната класифицирана информация.(чл.1 ал.3). създавана, обработвана, съхранявана и пренасяна в АИС или мрежи” (чл.89 ).
6) Индустриална сигурност чиято система от принципи и мерки, намира приложение „по отношение на кандидати - физически и юридически лица, при сключването или изпълнението на договор, свързан с достъп до класифицирана информация, с цел защитата й от нерегламентиран достъп” (чл.95 ал.1).
Органите за криптографска сигурност на класифицираната информация в Република България, както и условията и редът за реализирането на криптографската сигурност, се определят с “Наредба за Криптографска сигурност на класифицирана информация”. Задължителните общи условия за сигурност АИС или мрежи, обработващи класифицирана информация, се определят на основание изискванията на приетата от Министерския съвет „Наредба за задължителните общи условия за сигурност на АИС или мрежи, в които се създава, обработва, съхранява и пренася класифицирана информация”. Наредбата определя, органа по акредитация на АИС или мрежи.
Контролни органи за защита на КИ.
По смисъла на ЗЗКИ (чл.4 ал.1) политиката на Република България за защита на класифицирана информация, се осъществява от Държавната комисия по сигурността на информацията (ДКСИ) към МС . Пряк контрол по защита на КИ и по спазването на законовите разпоредби се извършва от ръководителите на Национална служба “Сигурност” на МВР и служба “Сигурност- военна полиция и военно контраразузнаване” при МО. Дирекция „Защита на средствата за връзка” (ДЗСВ) на МВР е орган, който акредитира сигурността на АИС и мрежите, 4 задължителните общи условия за сигурност на АИС или мрежи обхващат компютърната, комуникационната, криптографската, физическата и персоналната сигурност, сигурността на самата информация на всякакъв електронен носител, както и защитата от паразитни електромагнитни излъчвания (ЗЗКИ, чл.90.ал.1) осъществява дейностите по криптографската защита на КИ, координира и контролира дейностите по защита от паразитни електромагнитни излъчвания на техническите средства за класифицирана информация, осъществява и контролира обучението за работа с криптографски методи и средства.
В. Физически мерки за защита.
Мерките за физическа защита на съоръженията и ресурсите се определят от типа на системата (военна, банкова, промишлена и др.) и от нейната конкретна реализация. Тези мерки имат класически характер и са насочени към :
защита на съоръженията и ресурсите срещу евентуално физическо проникване на нарушители: алармена система против взлом (СОТ), система за видеонаблюдение и видеодокументиране (видеокамери, които се поставят на възловите места за наблюдение) и др.;
ограничаване на физическия достъп на неоторизирани лица до помещенията на фирмата до необходимата достатъчност „система за контрол на достъпа”. Популярни средства, които се използват в практиката са: кодови брави;системи с персонални магнитни карти и безконтактни четци; биометрични системи - чрез датчици за опознаване на личностните характеристики на потребителя (подпис, тембър на гласа, пръстови отпечатъци, ирис на окото и др.);
екраниране на техническите средства от електромагнитните излъчвания;
ограничаване на възможностите за дистанционно наблюдение на съоръженията и работата на операторите;
защита срещу пожари и други злоумишлени повреди (предвижда се монтиране на система за пожароизвестяване и пожарогасене) ;
поддържане на резервни аварийни съоръжения и др. Физическият достъп на неоторизирани лица до съоръженията и ресурсите на комуникационните мрежи е основен проблем при тяхната защитата. Изборът на подходящи помещения до голяма степен намалява риска както от физическо проникване на неоторизирани лица, така и от природни бедствия и аварии, но не винаги това е достатъчно. Затова за критичните от гледна точка на сигурността места трябва да бъдат използвани допълнителни технически средства за защита.
Технически методи.
Техническата защита е част от проекта за изграждане на цялостната система за защита. В зависимост от избора на конкретните средства, както и разработването на съответните механизми, техническите методи за защита на информацията могат да бъдат:
А. Пасивни
Основната им задача е, да намалят интензивността на нежелателните излъчвания и полета - екраниране (на цели помещения, или частично на апаратурата); филтрация на сигналите в различните стъпала на апаратурата, филтрация на сигналите в захранващите електроизточници, в сигналните и пожарните сигнализации; заземяване (допълнително); използване на поглъщащи и неотразяващи покрития и съгласувани товари;
Б. Активни
Базират се на създаване на маскиращи и имитиращи шумове за енергетично заглушаване на опасните сигнали. Използват се линийно зашумяване (кабели, проводници и др.) чрез генератори на шумови сигнали, включени в съответните вериги и пространствено зашумяване (чрез антени, които излъчват маскиращи шумове в околното пространство);
В. Софтуерни/програмни
Към софтуерните средства за защита се отнасят специалните програми, предназначени да изпълняват функциите на защита. Тези средства за защита най-често включват пароли, потребителски имена, PIN- ове, защитни стени (firewalls), прокси (proxy) и др., както и криптиращ софтуер. Положителните свойства на програмната защита, като универсалност, гъвкавост, простота за реализация, практически неограничени възможности за изменение и развитие, я определят, за най-популярният вид защита.
Г. Хардуерни
Най - общо представляват, използване на високозащитени физически елементи и технологии (например оптически влакна в линиите за свръзка, електронно - механични, електронно – оптични, биометрични и др. устройства), които осигуряват защита на информацията. Съществено предимство на тези методи пред софтуерните е тяхното бързодействие, а недостатък е липсата на гъвкавост.
Д. Криптографски
При защитата на комуникационната част на ИКС най-популярни и ефективни са криптографските методи за защита на информацията.
Използването на криптографията е един от най- разпространените методи за защита на информацията при предаването на данни в компютърните мрежи и предимно при обмен на информация в свързочни канали между отдалечени обекти. Криптографските методи се считат за основа на защитените комуникации. Те са единственото ефективно средство за защитата на информацията при предаването й по съобщителни канали. Допуска се софтуерна и хардуерна реализация .
Цялостен механизъм за защита на информацията.
Практиката показва необходимост от съчетаване на различни методи и организационни мерки за защита на информацията. Пълната система за защита включва следните основни методи и средства:
1. Организационни;
2. Технически;
3. Програмни;
4. Криптографски.
Най-голям ефект се постига тогава, когато всички от изброените по-горе методи и средства заедно се обединят в един цялостен механизъм за защита на информацията. Този механизъм трябва да се проектира паралелно със създаването и построяването на сигурната ИКС. И не на последно място за правилното му функциониране, е осъществяване - постоянен контрол.