1 перечислить наиболее важные аспекты защиты информации. Основные аспекты информационной безопасности

Составляющие информационной безопасности

В общем случае информационную безопасность (ИБ) можно определить как "защищенность информации, ресурсов и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений – производителям, владельцам и пользователям информации и поддерживающей инфраструктуре" .

Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации: это принципиально более широкое понятие, включающее защиту информации, технологий и систем.

Требования по обеспечению безопасности в различных аспектах информационной деятельности могут существенно отличаться, однако они всегда направлены на достижение следующих трех основных составляющих информационной безопасности:

  • целостности . Это в первую очередь актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения, а именно: данные и информация, на основе которой принимаются решения, должны быть достоверными, точными и защищенными от возможных непреднамеренных и злоумышленных искажений;
  • конфиденциальности . Засекреченная информация должна быть доступна только тому, кому она предназначена. Такую информацию невозможно получить, прочитать, изменить, передать, если на это нет соответствующих прав доступа;
  • доступности (готовности). Это возможность за приемлемое время получить требуемую информационную услугу, т.е. данные, информация и соответствующие службы, автоматизированные сервисы, средства взаимодействия и связи должны быть доступны и готовы к работе всегда, когда в них возникает необходимость.

Деятельность по обеспечению информационной безопасности направлена на то, чтобы не допустить, предотвратить или нейтрализовать следующие действия:

  • несанкционированный доступ к информационным ресурсам (НСД, Unauthorized Access – UAA);
  • искажение, частичную или полную утрату конфиденциальной информации;
  • целенаправленные действия (атаки) по разрушению целостности программных комплексов, систем данных и информационных структур;
  • отказы и сбои в работе программно-аппаратного и телекоммуникационного обеспечения.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных технологий и систем (ИТ/ИС).

Оценка реальной ситуации сводится в большинстве случаев к ответу на ключевые вопросы, составляющие системную основу для обеспечения информационной безопасности, и в частности надо ли защищаться, от кого и чего следует защищаться, что и как требуется защищать, какие меры обеспечат эффективность защиты, а также оценить предполагаемую стоимость разработки, внедрения, эксплуатации, сопровождения и модернизации систем безопасности.

Первые три вопроса непосредственным образом относятся к проблеме оценки реальных угроз (рис. 7.1) 16]. Ответы на эти вопросы неоднозначны – многое зависит от структуры, области деятельности и целей компании. При интеграции индивидуальных и корпоративных информационных систем и ресурсов в единую информационную инфраструктуру определяющим фактором является обеспечение должного уровня информационной безопасности для каждого субъекта, принявшего решение войти в единую инфраструктуру.

Рис. 7.1.

В едином информационном пространстве государственной структуры или коммерческой фирмы должны быть созданы механизмы и инструмент аутентификации для проверки подлинности пользователя, сообщения и контента. Таким образом, должна быть создана система информационной безопасности, которая включала бы необходимый комплекс мероприятий и технических решений по защите:

  • от нарушения функционирования информационного пространства путем исключения воздействия на информационные каналы и ресурсы;
  • несанкционированного доступа к информации путем обнаружения и ликвидации попыток по использованию ресурсов информационного пространства, приводящих к нарушению его целостности;
  • разрушения встраиваемых средств защиты с возможностью выявления неправомочности действий пользователей и обслуживающего персонала;
  • внедрения программных " вирусов " и "закладок " в программные продукты и технические средства.

Особо следует отметить задачи обеспечения безопасности разрабатываемых и модифицируемых систем в интегрированной информационной среде, так как в процессе модификации КИС неизбежно возникновение нештатных ситуаций незащищенности системы (так называемые "дыры в системе").

Наряду с анализом существующих в компании конкретных средств защиты должна осуществляться разработка политики в области информационной безопасности, включающей совокупность организационно-распорядительных мер и документов, а также методологических и технических решений, являющихся основой для создания инфраструктуры информационной безопасности (рис. 7.2) .

Рис. 7.2.

Следующим этапом по разработке комплексной системы информационной безопасности служит приобретение, установка и настройка средств и механизмов защиты информации. К таким средствам можно отнести системы защиты информации от несанкционированного доступа, системы криптографической защиты, межсетевые экраны (брандмауэры, файерволы), средства анализа защищенности и др. Для правильного и эффективного применения установленных средств защиты необходим квалифицированный персонал.

С течением времени имеющиеся средства защиты устаревают, выходят новые версии систем обеспечения информационной безопасности, постоянно расширяется список найденных уязвимых мест и атак, меняются технология обработки информации, программные и аппаратные средства, а также персонал компании. Поэтому необходимо регулярно пересматривать разработанные организационнораспорядительные документы, проводить обследование ИС или ее подсистем, обучать персонал и обновлять средства защиты.

Любое предприятие, получающее ресурсы, в том числе и информационные, перерабатывает их, чтобы в конечном итоге реализовать на рынке собственный коммерческий продукт. При этом оно порождает специфическую внутреннюю среду, которая формируется усилиями персонала всех структурных подразделений, а также техническими средствами и технологическими процессами, экономическими и социальными отношениями как внутри предприятия, так и во взаимодействии с внешней средой.

Корпоративная информация отражает финансово- экономическое состояние предприятия и результаты его деятельности. Примеры подобной информации – это регистрационные и уставные документы, долгосрочные и текущие планы, приказы, распоряжения, отчеты, производственные данные, данные о движении финансов и других ресурсов, сведения о подготовке персонала и сферах применения продуктов деятельности, включая методы и каналы сбыта, технику продаж, заказы, логистику, информацию о поставщиках и партнерах.

Источники корпоративной информации – директорат и администрация предприятия, планово-финансовые подразделения, бухгалтерия, ИТ-отделы и вычислительные центры, отделы главного инженера и главного механика, производственные подразделения, юридические, эксплуатационные и ремонтные службы, отделы логистики, закупки и сбыта и т.д.

Корпоративная среда включает государственные, экономические, политические и социальные субъекты, действующие за пределами предприятия. Информация вне корпоративной среды часто неполна, противоречива, приблизительна, разнородна и неадекватно отражает состояние внешней среды. Примерами внешней информации, выходящей за пределы корпоративной среды, являются состояние рынка (его долговременное и текущее состояние, тенденции в деловой среде, колебания спроса и предложения, нестабильность ситуации, изменчивость, противоречивость требований), изменения в законодательстве, ожидания потребителей, "происки" конкурентов, последствия политических событий и т.д.

Бо́льшая часть этой информации является открытой, однако в зависимости от особенностей внутренней деятельности и взаимодействия с внешним миром часть информации может быть предназначена "для служебного пользования", т.е. быть "строго конфиденциальной" или "секретной". Такая информация является, как правило, "закрытой" и требует соответствующих мер защиты.

Для обеспечения безопасности при работе с охраняемой информацией следует, во-первых, выстроить политику работы с конфиденциальной и служебной информацией, разработать и внедрить соответствующие руководства и процедуры и, во-вторых, обеспечить необходимые программно-аппаратные ресурсы.

Программно-аппаратные средства для работы с охраняемой информацией либо встраиваются в соответствующие модули корпоративной информационной системы (КИС), либо используются локально в системах, оговоренных в политике ИБ. К ним относятся устройства, осуществляющие:

  • мониторинг перемещения конфиденциальной информации по информационной системе (Data-in-Shell);
  • управление контролем утечки данных через сетевой трафик по протоколам TCP/IP, SMTP, IMAP, HTTP(s), IM (ICQ, AOL, MSN), FTP, SQL, собственных протоколов посредством фильтрации контента на уровне:
  • – шлюза, через который идет трафик из внутренней сети во внешнюю сеть (Data-in-Motion);
  • – сервера, обрабатывающего определенный тип трафика (Data-at-Rest);
  • – рабочей станции (Data-in-Use);
  • – внутренних каналов почты Microsoft Exchange, Lotus Notes и др.
  • – управления контролем утечки охраняемой информации с рабочих станций, периферийных и мобильных
  • – установления проактивной защиты и персональных сетевых экранов;
  • – теневого копирования информационных объектов в единую базу контентной фильтрации для всех каналов по единым правилам.

Грамотно организовать защиту охраняемых данных и информации нелегко и недешево. Для этого нужно провести классификацию данных, тщательную инвентаризацию информационных ресурсов, выбрать адекватное программноаппаратное решение, разработать и внедрить совокупность регламентирующих документов по обеспечению внутренней безопасности. Главную роль в этой непростой работе по минимизации рисков утечки данных играют компетентность и воля высшего руководства предприятия, актуальные политики и эффективные программные средства, а также режим коммерческой тайны при работе с охраняемой информацией.

Быстро развивающиеся компьютерные информационные технологии вносят заметные изменения в нашу жизнь. Информация стала товаром, который можно приобрести, продать, обменять. При этом стоимость информации часто в сотни раз превосходит стоимость компьютерной системы, в которой она хранится.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

  • доступность (возможность за разумное время получить требуемую информационную услугу);
  • целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);
  • конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

  • аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);
  • программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
  • данные - хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;
  • персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

  • аварийные ситуации из-за стихийных бедствий и отключений электропитания;
  • отказы и сбои аппаратуры;
  • ошибки в программном обеспечении;
  • ошибки в работе персонала;
  • помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

  • недовольством служащего своей карьерой;
  • взяткой;
  • любопытством;
  • конкурентной борьбой;
  • стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

  • квалификация нарушителя на уровне разработчика данной системы;
  • нарушителем может быть как постороннее лицо, так и законный пользователь системы;
  • нарушителю известна информация о принципах работы системы;
  • нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

  • Через человека:
    • хищение носителей информации;
    • чтение информации с экрана или клавиатуры;
    • чтение информации из распечатки.
  • Через программу:
    • перехват паролей;
    • дешифровка зашифрованной информации;
    • копирование информации с носителя.
  • Через аппаратуру:
    • подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;
    • перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки . Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

  1. законодательный (законы, нормативные акты, стандарты и т.п.);
  2. морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);
  3. административный (действия общего характера, предпринимаемые руководством организации);
  4. физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);
  5. аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты .

Надежная система защиты должна соответствовать следующим принципам:

  • Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.
  • Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.
  • Защита тем более эффективна, чем проще пользователю с ней работать.
  • Возможность отключения в экстренных случаях.
  • Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать.
  • Под защитой должна находиться вся система обработки информации.
  • Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать.
  • Система защиты должна предоставлять доказательства корректности своей работы.
  • Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.
  • Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.
  • Надежная система защиты должна быть полностью протестирована и согласована.
  • Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.
  • Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.
  • Наиболее важные и критические решения должны приниматься человеком.
  • Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

Аппаратно-программные средства защиты информации

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

  1. Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.
  2. Системы шифрования дисковых данных.
  3. Системы шифрования данных, передаваемых по сетям.
  4. Системы аутентификации электронных данных.
  5. Средства управления криптографическими ключами.

1. Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

  • секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;
  • физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными . Системы, использующие второй тип информации, называют биометрическими . Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

2. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией [от греч. kryptos - скрытый и grapho - пишу].

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt.

Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:

  • системы "прозрачного" шифрования;
  • системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.

3. Системы шифрования данных, передаваемых по сетям

Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:

  • шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);
  • шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

Оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.

4. Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

  • с помощью прямого обмена сеансовыми ключами;
  • используя один или несколько центров распределения ключей.

Перечень документов

  1. О ГОСУДАРСТВЕННОЙ ТАЙНЕ. Закон Российской Федерации от 21 июля 1993 года № 5485-1 (в ред. Федерального закона от 6 октября 1997 года № 131-ФЗ).
  2. ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ. Федеральный закон Российской Федерации от 20 февраля 1995 года № 24-ФЗ. Принят Государственной Думой 25 января 1995 года.
  3. О ПРАВОВОЙ ОХРАНЕ ПРОГРАММ ДЛЯ ЭЛЕКТРОННЫХ ВЫЧИСЛИТЕЛЬНЫХ МАШИН И БАЗ ДАННЫХ. Закон Российской Федерации от 23 фентября 1992 года № 3524-1.
  4. ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ. Федеральный закон Российской Федерации от 10 января 2002 года № 1-ФЗ.
  5. ОБ АВТОРСКОМ ПРАВЕ И СМЕЖНЫХ ПРАВАХ. Закон Российской Федерации от 9 июля 1993 года № 5351-1.
  6. О ФЕДЕРАЛЬНЫХ ОРГАНАХ ПРАВИТЕЛЬСТВЕННОЙ СВЯЗИ И ИНФОРМАЦИИ. Закон Российской Федерации (в ред. Указа Президента РФ от 24.12.1993 № 2288; Федерального закона от 07.11.2000 № 135-ФЗ.
  7. Положение об аккредитации испытательных лабораторий и органов по сертификации средств защиты информации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
  8. Инструкция о порядке маркирования сертификатов соответствия, их копий и сертификационных средств защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
  9. Положение по аттестации объектов информатизации по требованиям безопасности информации / Государственная техническая комиссия при Президенте Российской Федерации.
  10. Положение о сертификации средств защиты информации по требованиям безопасности информации: с дополнениями в соответствии с Постановлением Правительства Российской Федерации от 26 июня 1995 года № 608 "О сертификации средств защиты информации" / Государственная техническая комиссия при Президенте Российской Федерации.
  11. Положение о государственном лицензировании деятельности в области защиты информации / Государственная техническая комиссия при Президенте Российской Федерации.
  12. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  13. Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  14. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  15. Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  16. Защита информации. Специальные защитные знаки. Классификация и общие требования: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.
  17. Защита от несанкционированного доступа к информации. Термины и определения: Руководящий документ / Государственная техническая комиссия при Президенте Российской Федерации.

К орпоративная безопасность - явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

Современные реалии корпоративной безопасности компании

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайны;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов - быть беде. Не так давно в Великобритании разразился скандал - жесткие диски с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay.

Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности - уничтожить носители - выставлял диски с данными на продажу.

В этом случае «слабыми звеньями» можно назвать два пункта - внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам - техническое упущение сотрудников.

Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Как вычислить вора в компании с помощью «КИБ СёрчИнформ»?

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать:

1. Выявление критически важной информации.

2. Выявление слабых мест в корпоративной безопасности.

3. Оценка возможностей защиты этой информации.

Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа - более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний - результат будет надежнее. Это поможет избежать наиболее распространенных ошибок в обеспечении информационной безопасности.

«Самые частые ошибки - это недооценка и переоценка угроз предпринимательской деятельности, - считает Александр Доронин , эксперт в области экономической безопасности и автор книги «Бизнес-разведка». - В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется».

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка - несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов - лучшее доказательство необходимости защиты такой информации.

Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент - наличие разграничения прав доступа сотрудников к той или иной информации, соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе - всё это входит в обязанности отдела по работе с персоналом.

Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию - кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности.

Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер.

Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в возникает, если в организации используется 50 и более компьютеров.

Установку DLP-системы всегда предваряет технический аудит. После заказа заказчика консультируют инженеры «СёрчИнформ», которые оценивают ИТ-инфраструктуру компании и определяют, сколько мощностей потребуется для установки программы.

Двусторонняя защита

Информационная безопасность - лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер - технических и организационных.

К техническим решениям по защите корпоративных секретов относится установка DLP-системы (от англ. Data Leak Prevention - предотвращение утечек данных). Этот комплекс программных средств отслеживает все информационные потоки в организации - от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки.

Важная особенность DLP-систем - их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов.

Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита.

DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем - это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование.

Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», -делится опытом Александр Доронин .

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы - еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом.

Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи - не больше, но и не меньше.

Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах - тоже немаловажная часть корпоративной безопасности.

Только добившись такой двусторонней - технической и организационной - защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.

В проблеме информационной безопасности можно выделить следующие аспекты:

Целостность информации

Целостность информации – это её физическая сохранность, защищённость от разрушения и искажения, а также её актуальность и непротиворечивость.

Целостность информации подразделяется на:

· статическую,

· динамическую.

Статическая целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации.

Динамическая целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др.

Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т.д.

Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.

Целостность – гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.

Например, записывая на винчестер компьютера информацию о студентах колледжа, мы надеемся, что она будет храниться там неопределённо долгое время (пока мы сами её не сотрём) в неизменном виде (то есть самопроизвольно, без нашего ведома, в этом списке не изменяются фамилии студентов). Кроме того, мы рассчитываем на непротиворечивость информации, например, на то, что в списке студентов не окажется годовалого ребёнка, или что один и тот же студент не окажется в списках сразу двух групп.

Доступность информации

Доступность информации – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.

Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т.п.

Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: "Дорога ложка к обеду"

Доступность информации подразумевает, что субъект информационных отношений (пользователь) имеет возможность за приемлемое время получить требуемую информационную услугу.

Например, создавая информационную систему с информацией о студентах колледжа, мы рассчитываем, что с помощью этой системы в любое время в течение нескольких секунд сможем получить требующуюся информацию (список студентов любой группы, полную информацию о конкретном студенте, итоговые данные, например, средний возраст студентов, число юношей и девушек и так далее).

Следует отметить, что системы электронной обработки данных создаются именно для предоставления определённых информационных услуг. Если предоставление таких услуг становится невозможным, то это наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, её выделяют как важнейший элемент информационной безопасности.

Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.

Конфиденциальность информации – это гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена.

Конфиденциальная информация – это информация, на доступ к которой имеет право ограниченный круг лиц.

Если же доступ к конфиденциальной информации получает лицо, не имеющее такого права, то такой доступ называется несанкционированным и рассматривается как нарушение защиты конфиденциальной информации. Лицо, получившее или пытающееся получить несанкционированный доступ к конфиденциальной информации, называется злоумышленником .

Например, если Саша отправил Маше письмо по электронной почте, то информация в этом письме является конфиденциальной, так как тайна личной переписки охраняется законом. Если Машин брат, взломав пароль, получил доступ к Машиному почтовому ящику и прочитал письмо, то имеет место несанкционированный доступ к конфиденциальной информации, а Машин брат является злоумышленником.

Обеспечение конфиденциальности информации является наиболее проработанным разделом информационной безопасности.

Федеральным законом «Об информации, информатизации и защите информации» определено, что информационные ресурсы, то есть отдельные документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним. Закон также устанавливает, что «конфиденциальной информацией считается такая документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации». При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальной информации или доступ к ним ограничивается. Так, федеральный закон «Об информации, информатизации и защите информации» напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РФ «О банках и банковской деятельности» ограничивает доступ к сведениям по операциям и счетам клиентов и корреспондентов банка.

Однако не, по всем сведениям, составляющим конфиденциальную информацию, применяется прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это, в частности, относятся к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ и являются следующими:

 соответствующая информация неизвестная третьим лицам

 к данной информации не установлено на законном основании свободного доступа

 меры по обеспечению конфиденциальности информации принимает собственник информации.

Конфиденциальная информация подразделяется на:

· предметную,

· служебную.

Предметная информация - это сведения о какой-то области реального мира. которые, собственно, и нужны злоумышленнику, например, чертежи подводной лодки или сведения о месте нахождения Усамы Бен-Ладена. Служебная информация не относится к конкретной предметной области, а связана с параметрами работы определенной системы обработки данных. К служебной информации относятся в первую очередь пароли пользователей для работы в системе. Получив служебную информацию (пароль), злоумышленник с ее помощью может затем получить доступ к предметной конфиденциальной информации.

Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

Этот аспект информационной безопасности стал исключительно актуальным в последнее время в связи с принятием ряда международных правовых актов по защите интеллектуальной собственности. Данный аспект касается в основном предотвращения нелегального использования программ.

Так, например, если пользователь устанавливает на свой компьютер нелицензионную систему Windows, то имеет место факт нарушения защиты информации.

Кроме того, данный аспект касается использования информации, полученной из электронных источников. Эта проблема стала наиболее актуальной в связи с развитием сети Интернет. Сложилась ситуация, когда пользователь Интернет рассматривает всю размещенную там информацию как свою личную собственность, и пользуется ей без каких-либо ограничений, зачастую выдавая за собственный интеллектуальный продукт.

Например, студент «скачивает» из Интернета реферат и сдает преподавателю под своей фамилией.

Законодательные акты и правоприменительная практика, касающиеся данной проблемы, пока находятся в стадии становления.

Следует отметить, что хотя во всех цивилизованных странах на страже безопасности граждан (в том числе информационной) стоят законы, но в сфере вычислительной техники правоприменительная практика пока развита недостаточно, а законотворческий процесс не успевает за развитием технологий, поэтому процесс обеспечения информационной безопасности во многом опирается на меры самозащиты.

Следовательно, необходимо представлять, откуда могут исходить и в чем состоять угрозы информационной безопасности, какие меры могут быть предприняты для защиты информации, и уметь грамотно применять эти меры.

Информационная безопасность: понятие, цели, принципы.

Государственная политика обеспечения информационной безопасности.

Состояние информационной безопасности в России.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ПОНЯТИЕ, ЦЕЛИ, ПРИНЦИПЫ

В последние десятилетия мир переживает период перехода от индустриального общества к обществу информационному. Происходи кардинальная смена способа производства, мировоззрения людей, межгосударственных отношений. По своему значению и воздействию на общество это сравнимо с новой всемирной промышленной революцией, нисколько не уступающей по своему значению революциям прошлого. Фактически речь идет о развертывании и реализации. Уровень развития информационного пространства общества определяющим образом влияет на экономику, политику и многие элементы государственности.

Использование возможностей, открываемых развитием новых информационно-телекоммуникационных технологий, рассматривается руководством развитых странах как основа своего социально-экономического, политического и культурного развития, как средство решения наиболее острых внутренних и внешних проблем. Богатство страны и ее безопасность обеспечивается сегодня не только частной собственностью, капиталом, рынком, но и их соединением с колоссальными ресурсами самых разнообразных знаний и информационными технологиями. Подобное соединение формирует информационное общество, основными характеристиками которого являются:

Открытость информации и доступ к ней для любого субъекта в

любое время и в любом месте;

  • наличие технологических систем, гарантирующих эту открытость;
  • наличие национального интеллектуального потенциала;
  • автоматизация, роботизация и технологизания любых систем в любой области хозяйственной деятельности;
  • подключенность к мировым информационным каналам. Современная информационная революция связана с изобретением интеллектуальных технологий, основанных на гигантских скоростях обработки информации. Она дает колоссальное увеличение циркулирующей в обществе информации, что позволяет эффективно решать экономические, социальные, культурные, политические и другие проблемы. Современные информационные технологии в условиях эффективного открытого общества открывают доступ практически ко всем материальным и духовным благам, умножают интеллектуальный ресурс, а следовательно, и все другие ресурсы, способствуя развитию. Без информационных технологий нельзя обеспечить эффективный экономический рост, повысить уровень образования и квалификацию населения, создать современную кредитно-финансовую систему, наладить рациональное управление общественными процессами, повысить уровень жизни граждан. Информационное общество - средство достижения общенационального благополучия, понимаемого как достаток, комфорт, духовное и интеллектуальное богатство, свобода, справедливость, защищенность.

Расширение информационного пространства экономической деятельности требует обеспечения безопасности производителей, собственников и потребителей информации. Современная «зависимость» бизнеса от информационных технологий может отрицательно отразиться на экономической безопасности предприятия, так как высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки данных. Таким образом, одной из составляющих экономической безопасности является информационная.

  • информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления;
  • информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;
  • документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
  • информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
  • информационная система - организационно упорядоченная совокупность документов и информационных технологий;
  • информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
  • информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
  • конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством данного государства.

Под информационной безопасностью государства понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития информационной инфраструктуры, реализации конституционных прав и свобод человека в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности государства, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

На основе национальных интересов государства в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Выделяются четыре основные составляющие национальных интересов в информационной сфере:

  • 1) соблюдение конституционных прав и свобод человека в области получения информации и пользования ею, сохранение и укрепление нравственных ценностей общества, традиции, патриотизма и гуманизма, культурного и научного потенциала страны;
  • 2) информационное обеспечение государственной политики, связанное с доведением до общественности достоверной информации о государственной политике, ее приоритетов и официальной позиции по социально значимым событиям, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
  • 3) развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники;
  • 4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Основными целями информационной безопасности являются:

  • защита национальных интересов государства в условиях глобализации информационных процессов, формирования мировых информационных сетей и стремления развитых стран к информационному доминированию;
  • обеспечение органов власти и управления, предприятий и граждан достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;
  • реализация прав граждан, организаций и государства на получение, распространение и использование информации.

К объектам информационной безопасности относятся:

  • информационные ресурсы, независимо от форм хранения, содержащие информацию, составляющую государственную тайну и ограниченного доступа, коммерческую тайну и другую конфиденциальную информацию, а также открытую (общедоступную) информацию и знания;
  • система формирования, распространения и использования информационных ресурсов, включающая информационные системы различного класса и назначения, библиотеки, архивы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
  • информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
  • система формирования общественного сознания (мировоззрение, моральные ценности и т.д.), базирующаяся на средствах массовой информации;
  • права граждан, предприятий и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности. Информационная безопасность перечисленных объектов создает

условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.

Необходимо различать понятия «информационная безопасность», «безопасность информации» и «защита информации». Как было показано выше, само общее понятие «безопасность» означает «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». В этой связи ее можно разложить на две составляющие:

  • безопасность содержательной части (смысла) информации - отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом);
  • защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения).

Вторая составная часть понятия «безопасность информации» будет называться защитой информации. Таким образом, выстраивается ряд из трех научных категорий: информационная безопасность, безопасность информации и защита информации. При этом каждая последующая категория является составной частью предыдущей.

Событие, которое может вызвать нарушение функционирования экономического объекта (фирмы, предприятия, организации и др.), включая искажение, уничтожение или несанкционированное использование обрабатываемой информации, является угрозой. Возможность реализации угроз зависит от наличия уязвимых мест. Состав и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями обработки информации на предприятии, наличием средств защиты и их характеристиками.

Источники угроз информационной безопасности можно разделить на внешние и внутренние.

К внешним источникам относятся: недружественная политика иностранного государства в области глобального информационного мониторинга, распространения информации и новых информационных технологий; деятельность иностранных разведывательных и специальных служб; деятельность иностранных экономических структур, направленная против интересов данного государства; преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.

Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; нарушение установленных регламентов сбора, обработки и передачи информации; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

Следует выделить два основных класса угроз информационной безопасности.

  • 1. Непреднамеренные, или случайные, действия , выражающиеся в неадекватной поддержке механизмов защиты и ошибками в управлении (например, если пользователи пишут пароли на бумажках и приклеивают их к мониторам, ни о какой защите информации не может быть и речи).
  • 2. Преднамеренные угрозы - несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами (например, попадание накопителей на жестких (оптических) дисках и магнитных лентах в руки посторонних лиц часто приводит к утечке конфиденциальной информации). Сегодня, например, повсеместное распространение мобильных накопителей информации, таких как флэш-диски, винчестеры С иБВ интерфейсом и т.д., обусловило появление нового класса угроз информационной безопасности. Несанкционированное использование таких устройств нелояльными сотрудниками может привести к утечке информации из корпоративной сети. Единственной альтернативой физическому отключению Ш"Я-портов может быть использование специальной системы защиты информации. Большинство специалистов в области информационной безопасности считают мобильные накопители главной угрозой бизнеса сегодня (рис. 12.1).

Интернет-пейджеры

Мобильные накопители

Электронная почта

Интернет (веб-почта, форумы)

Печатающие устройства

Фотопринадлежности

2008 год 2007 год

Рис. 12.1. Наиболее распространенные каналы утечки информации

Электронная почта достаточно долго занимала лидирующие позиции в рейтинге самых опасных каналов утечки. Причина в том, что мобильные накопители являются менее заметными: миниатюрные запоминающие устройства, способные вмещать десятки гигабайтов данных - объем, сравнимый с возможностями жестких дисков. Их вместимость, мобильность и простота подключения - главные причины распространения как оружия инсайдеров. С другой стороны, за электронной почтой на большинстве предприятий зорко наблюдает служба безопасности. А также, очевидно, сложно таким образом переслать большой массив данных. Просто запретить использование мобильных накопителей не всегда возможно, так как очень часто флэш-карты требуются по производственной необходимости. Вместе с тем сегодня уже есть широкий выбор специализированного программного обеспечения, способного предотвратить утечку программным способом.

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.

К информационным способам относятся: нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государств; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации.

Программно-математические способы включают: внедрение программ-вирусов; установку программных и аппаратных устройств; уничтожение или модификацию данных в информационных системах.

Физические способы включают: уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение машинных и других оригиналов носителей информации; хищение программных ключей и средств криптографической зашиты информации; воздействие на персонал; поставка «зараженных» компонентов информационных систем.

Радиоэлектронными способами являются: перехват информации в технических каналах ее утечки; внедрение электронных устройств перехвата информации в технических средствах и помещениях; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают: закупку несовершенных или устаревших информационных технологий и средств информатизации; невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

В сфере экономики наиболее подвержены воздействию угроз информационной безопасности:

  • система государственной статистики;
  • источники, порождающие информацию о коммерческой деятельности хозяйственных субъектов всех форм собственности, о потребительских свойствах товаров и услуг;
  • системы сбора и обработки финансовой, биржевой, налоговой, таможенной информации, информации о внешнеэкономической деятельности государства и коммерческих структур.

Система государственной статистики должна обладать достаточной защищенностью от серьезных и массовых искажений. Основное внимание должно уделяться защите первичных источников информации и обобщенных отчетных данных. В конечном итоге информация в этой системе должна обладать полнотой, достоверностью, достаточностью, сопоставимостью и регулярностью - свойствами, необходимыми для принятия национальных решений на уровне государства, отрасли, предприятия для проведения общеэкономического анализа и прогнозирования развития экономики.

Нормальное функционирование хозяйственных объектов нарушается из-за отсутствия нормативно-правовых положений, определяющих ответственность источников информации о коммерческой деятельности и потребительских свойствах товаров и услуг, за недостоверность и сокрытие сведений (о результатах реальной хозяйственной деятельности, инвестициях и др.). С другой стороны, существенный экономический ущерб может быть нанесен государственным и предпринимательским структурам вследствие разглашения информации, содержащей коммерческую тайну.

В системах сбора и обработки финансовой, биржевой, налоговой, таможенной информации наибольшую опасность с точки зрения информационной безопасности представляют хищения и преднамеренное искажение информации, возможность которых связана с преднамеренным или случайным нарушением технологии работы с информацией, несанкционированным доступом к ней, что обусловлено недостаточными мерами защиты информации. Такая же опасность существует в органах, занятых формированием и распространением информации о внешнеэкономической деятельности.

Серьезную опасность для нормального функционирования сферы экономики в целом представляют все более изощренные компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети.

Высочайшая степень автоматизации, к которой стремится информационное общество, ставит его в зависимость от степени безопасности используемых им информационных технологий, от которых, в свою очередь, зависит благополучие и даже жизнь множества людей.

В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов в развитии экономики особую остроту приобретает проблема надежной защиты информации, циркулирующей в критически важных информационных системах, т.е. предупреждение ее искажения и уничтожения, несанкционированной модификации, незаконного получения и использования. Получившие известность факты красноречиво свидетельствуют об актуальности проблемы безопасности информационных технологий: каждые 20 с в США имеет место преступление с использованием программных средств. При этом более чем в 80% компьютерных преступлений «взломщики» проникают в атакуемую систему через глобальную сеть Интернет.

Интенсивное развитие информационных процессов не могло не вызвать роста противоправных действий. К ошибкам компьютеров добавилась компьютерная преступность, грозящая перерасти в проблему, экономические, экологические, политические и военные последствия которой могут стать катастрофическими. Преступные группы и сообщества начинают активно использовать в своей деятельности новейшие достижения науки и техники.

Уязвимость информации растет. При этом особую опасность представляет «информационный терроризм» с использованием глобальных компьютерных сетей, предотвращение которого затруднительно, а ликвидация последствий чрезвычайно дорога.

Как уже отмечалось, применение современных средств и способов массовой информации обеспечивает управляемость обществом. Говоря о проблеме «новой колонизации», русский философ А. Зиновьев среди исторических видов колонизации выделял захват с принудительным преобразованием по своему образцу. Этот вид колонизации отвечает настоящему времени. Имеется в виду захват не военный, а идеологический: внесение в структуру жизненных ценностей колонизируемой страны несвойственных идеалов и устремлений, т.е. ведение информационной войны. Результатом этого процесса, по словам Зиновьева, «западнизации» является то, что в «колонизируемой стране принудительно создается социально-политический строй колониальной демократии. Колониальная демократия - нечто искусственное, навязанное стране извне и вопреки сложившимся возможностям и тенденциям эволюции. Сохраняется видимость суверенитета. Создаются очаги экономики западного образца под контролем западных банков или в форме совместных предприятий» .

Сегодня список информационно колонизируемых стран не исчерпывается перечнем так называемых стран третьего мира, поскольку единое информационное пространство требует унификации информационных и телекоммуникационных технологий всех стран - субъектов сетевого пространства, а необходимая сегодня степень информатизации может быть достигнута лишь в обществе с высоким научно-техническим и промышленным потенциалами и достаточным культурно-образовательным уровнем населения. Это дает возможность мощным постиндустриальным державам, таким как США и Япония, усиливать свое экономическое, политическое и военное превосходство за счет лидерства в информатизации, осуществлять глобальный информационный контроль над мировым сообществом и фактически навязывать свои нормы и правила.

Информационно-культурная и информационно-идеологическая экспансия лидеров Запада, осуществляемая по мировым телекоммуникационным сетям, вызывает тревогу в разных странах мира. Перспектива зависимости и возможность утраты самостоятельности беспокоят как лидеров государств, гак и общественные институты и граждан. Многие страны уже принимают меры для защиты своей культуры, традиций и духовных ценностей от чуждого информационного влияния, выстраивая эффективную систему обеспечения информационной безопасности.

  • См.: Зиновьев А.А. Без иллюзий. L’Age d’Homme. Lausanne, 1979.