Шифрование в Word и Excel

Фирма Microsoft включила в свои продукты некоторое подобие криптозащиты. Но это весьма законопослушная фирма, которая чётко соблюдает все экспортные ограничения США, да ещё и перестраховывается. Это не позволяет надеяться на стойкость такой защиты. К тому же, алгоритм шифровки не описан, что, как было показано выше, является показателем ненадёжности.

Кроме того, имеются данные, что Майкрософт оставляет в используемых криптоалгоритмах “чёрный ход”. Если вам очень нужно расшифровать файл, пароль к которому утрачен (или враг не хочет говорить), можно обратиться в фирму. По официальному запросу, при достаточных основаниях они проводят расшифровку файлов Word и Excel. Так, кстати, поступают и некоторые другие производители ПО.

Шифрованные диски (каталоги)

Шифрование – достаточно надёжный метод защиты информации на вашем жёстком диске. Однако если количество закрываемой информации не исчерпывается двумя-тремя файлами, то вам будет несколько сложно с ней работать: каждый раз нужно будет файлы расшифровывать, а после редактирования – зашифровывать обратно. При этом на диске могут остаться страховочные копии файлов, которые создают многие редакторы.

Поэтому удобно использовать специальные программы (драйверы), которые автоматически зашифровывают и расшифровывают всю информацию при записи её на диск и чтении с диска.

Меры организационного характера

Обязательные

· Познакомить всех сотрудников с принципами ЗИ и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.

· Чётко классифицировать всю информацию по степени её закрытости и ввести правила обращения с документами ограниченного распространения.

· Обязать сотрудников исполнять требования по ЗИ, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

· Заставить всех сотрудников изучить современные средства ЗИ и сдать по ним зачёт.

· Иметь в штате специалиста, профессионально разбирающегося в проблемах ЗИ.

· Не использовать в работе ПО, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Internet сведений изготовителю ПО. Особенно подобным поведением "грешат" программные продукты фирмы Microsoft.

· Поставив себя на место вероятного противника (конкурента), подумать, что он мог бы предпринять для получения несанкционированного доступа к вашей информации. Продумать ответные меры защиты.

· Приобрести сертифицированные средства ЗИ.

· Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое ПО. При получении любых исполняемых файлов по электроной почте стирать их, не разбираясь.

Дополнительные

· Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.

· Провести "испытание" имеющихся у вас средств ЗИ, поручив стороннему специалисту испробовать на прочность вашу защиту.

Комплексные меры по защите информации

Принцип “слабейшего звена”

Когда мы реализуем целый комплекс мер по защите информации, мы как бы выстраиваем сплошную стену, охраняющую нашу территорию от вторжения врагов. Если хотя бы один участок стены окажется с брешью или недостаточно высок, вся остальная конструкция лишается смысла. Так и с защитой информации - устойчивость всей системы защиты равна устойчивости её слабейшего звена. Отсюда делаются следующие выводы.

· ЗИ может осуществляться лишь в комплексе; отдельные меры не будут иметь смысла;

· Стойкость защиты во всех звеньях должна быть примерно одинакова; усиливать отдельные элементы комплекса при наличии более слабых элементов – бессмысленно;

· При преодолении ЗИ усилия прикладываются именно к слабейшему звену.

Рассмотрим, какие есть “звенья” в системе защиты, и какое из них слабейшее. Надёжность защиты можно классифицировать по следующим группам:

· количество вариантов ключа (определяет устойчивость к прямому перебору);

· качество алгоритма (устойчивость к косвенным методам дешифровки);

· наличие у противника априорной информации;

· надёжность хранения или канала передачи секретного ключа;

· надёжность допущенных сотрудников;

· надёжность хранения незашифрованной информации.

Экономическая целесообразность защиты

Абсолютно надёжной защиты не существует. Это следует помнить всем, кто организует ЗИ. Любую защиту можно преодолеть. Но лишь “в принципе”. Это может потребовать таких затрат сил, средств или времени, что добытая информация их не окупит. Поэтому практически надёжной признаётся такая защита, преодоление которой потребует от противника затрат, значительно превышающих ценность информации.

Поэтому прежде чем защищать ту или иную информацию, следует подумать, а имеет ли это смысл. Прежде всего - с экономической точки зрения.

Итак, при построении защиты нужно руководствоваться следующим принципом. На защиту информации можно потратить средств для обеспечения уровня защиты не свыше необходимого. Необходимый же уровень определяется тем, чтобы затраты вероятного противника на преодоление защиты были выше ценности этой информации с точки зрения этого противника.

Категоризация информации

Для исключения лишних расходов по защите вся информация делится на категории в соответствии с требуемой степенью защиты. Эта степень определяется, исходя из:

· возможного ущерба для владельца при несанкционированном доступе к защищаемой информации;

· экономической целесообразности преодоления защиты для противника.

Естественно, производить такую оценку для каждого документа было бы слишком трудоёмко. Поэтому сложилась практика определения категорий секретности документов, по которым документы распределяются по формальным признакам. Например, в государственных органах используются 4 категории секретности:

· “для служебного пользования”;

· “секретно”;

· “совершенно секретно”;

· “совершенно секретно особой важности”.

Для упрощения решения вопросов защиты следует применять аналогичную схему. Издаётся инструкция, которая определяет, по каким признакам документ (информация) относится к той или иной категории, и какие сотрудники к какой категории имеют доступ.

Комплекс мер защиты

Постановка задач

Систематический подход к вопросам ЗИ требует прежде всего поставить задачи. Для этого мы должны ответить на следующие вопросы.

1. Что именно мы намереваемся защищать?

Эта группа вопросов относится к информационному процессу, нормальное течение которого мы намерены обеспечить:

· кто является участником информационного процесса;

· каковы задачи участников информационного процесса;

· каким именно образом участники процесса выполняют стоящие перед ними задачи.

2. От чего мы собираемся защищать нашу систему?

Эта группа вопросов охватывает возможные отклонения от нормального течения процесса информационного взаимодействия:

· каков критерий "нормального" прохождения процесса информационного взаимодействия;

· какие возможны отклонения от "нормы".

3. От кого мы собираемся защищать нашу систему?

Эта группа вопросов относится к тем субъектам, которые предпринимают те или иные действия для того, чтобы отклонить процесс от нормы:

· кто может выступать в качестве злоумышленника, то есть предпринимать усилия для отклонения процесса информационного взаимодействия от нормального течения;

· каких целей добиваются злоумышленники;

· какими ресурсами могут воспользоваться злоумышленники для достижения своих целей;

· какие действия могут предпринять злоумышленники для достижения своих целей.

Развернутый ответ на первый вопрос является моделью информационного процесса управления. Подробный ответ на второй вопрос должен включать критерий "нормальности" процесса и список возможных отклонений от этой "нормальности", называемых в криптографии угрозами, - ситуаций, которые мы бы хотели сделать невозможными. Субъект, препятствующий нормальному протеканию процесса информационного взаимодействия, в криптографической традиции называется "злоумышленником", в качестве него может выступать, в том числе, и законный участник информационного обмена, желающий добиться преимуществ для себя. Развернутый ответ на третий вопрос называется в криптографии моделью злоумышленника.

Злоумышленник - это не конкретное лицо, а некая персонифицированная сумма целей и возможностей, для которой справедлив принцип Паули из физики элементарных частиц: два субъекта, имеющие идентичные цели и возможности по их достижению, в криптографии рассматриваются как один и тот же злоумышленник.

Ответив на все перечисленные выше вопросы, вы получите постановку задачи защиты своего информационного процесса.

Физическая защита

Физический доступ к носителю информации, как правило, дает возможность получить доступ и к самой информации. Воспрепятствовать в таком случае может лишь криптография, да и то не всегда. Например, если злоумышленник получил физический доступ к компьютеру, на котором хранятся секретные данные в зашифрованном виде, он может считать свою задачу выполненной. Он устанавливает на компьютер резидентную программу, которая перехватывает информацию в процессе ее зашифровки или расшифровки.

Прежде всего, следует позаботиться о физической сохранности вашей компьютерной техники и носителей. Наиболее сложно осуществить физическую защиту линий связи. Если ваши коммуникации проходят вне охраняемого объекта, то все передаваемые по ним данные должны априори считаться известными противнику.

Электромагнитная защита

Практически любой электронный прибор как сам излучает электромагнитные колебания, так и может воспринимать электромагнитные поля извне. При помощи таких полей возможен как дистанционный съём информации с ваших компьютеров, так и целенаправленное воздействие на них. Электромагнитные поля могут быть экранированы любым проводящим материалом. Металлический корпус, металлическая сетка, обёртка из фольги станут защитой от электромагнитных волн.

Разуметься, экранировать помещение будет очень дорого. При решении такого вопроса главным станет фактор экономической целесообразности защиты, о котором говорилось выше.

Человеческий фактор

Как правило, человек является наименее надёжным звеном в системе ЗИ. Из всех известных удачных попыток преступлений в сфере компьютерной информации подавляющее большинство было совершено при помощи сообщников в учреждении, которое подвергалось атаке.

Активная защита

Этот вид защиты - самый эффективный в тех случаях, когда точно известен источник угрозы для вашей информации. Если это так, то предпринимаются следующие активные мероприятия против попыток получить доступ к вашей информации:

· поиск и выведение из строя устройств для скрытого съёма вашей информации;

· выявление и задержание лиц, устанавливающих такие устройства или совершающих иные незаконные действия по доступу к вашей информации;

· выявление возможных каналов утечки или несанкционированного доступа к вашей информации и направление по таким каналам дезинформации;

· создание ложных потоков информации с целью маскировки истинных потоков и отвлечения сил противника на их дешифровку;

· демонстрации противнику возможностей вашей защиты (не обязательно истинных) для создания у него впечатления бесперспективности преодолеть вашу защиту;

· контрразведывательные мероприятия с целью получить сведения о том, как именно противник получает доступ к вашей информации и соответствующего противодействия.

Не нашли, что искали? Воспользуйтесь поиском по сайту: