Аудит информационной безопасности

Требования информационной безопасности должны органически включаться во все уровни законодательства, в том числе и в конституционное законодательство, основные общие законы, законы по организации государственной системы управления, специальные законы, ведомственные правовые акты и другие,

В литературе приводится такая структура правовых актов, ориентированных на правовую защиту информации, которую условно можно разделить на семь блоков. Это:

Первый блок -- конституционное законодательство. Нормы, касающиеся вопросов информатизации и защиты информации, входят в него как составные элементы.

Второй блок -- общие законы, кодексы (о собственности, о недрах, о земле, о правах граждан, о гражданстве, о налогах, об антимонопольной деятельности), которые включают нормы по вопросам информатизации и информационной безопасности.

Третий блок -- законы об организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и определяющие их статус. Они включают отдельные нормы по вопросам защиты информации. Наряду с общими вопросами информационного обеспечения и защиты информации конкретного органа эти нормы должны устанавливать его обязанности по формированию, актуализации и безопасности информации, представляющей общегосударственный интерес.

Четвертый блок -- специальные законы, полностью относящиеся к конкретным сферам отношений, отраслям хозяйства, процессам. В их число входит и Закон РФ «Об информации, информатизации и защите информации». Именно состав и содержание этого блока законов и создает специальное законодательство как основу правового обеспечения информационной безопасности.

Пятый блок -- законодательство субъектов Российской Федерации, касающееся защиты информации.

Шестой блок -- подзаконные нормативные акты по защите информации.

Седьмой блок -- это правоохранительное законодательство России, содержащее нормы об ответственности за правонарушения в сфере информатизации.

Схематически вышесказанное можно представить следующим образом, как это показано на рисунке 12.

Рис.12



Основу формирования законодательства в этой сфере составляют: Конституция РФ, законодательные и подзаконные акты, образующие структуру законодательства России в области защиты информации. Иными словами являются основой защиты информации на правовом уровне рис 13.

Рис.13 Структура законодательства России в области защиты информации

В дополнение к базовому закону от 20.02.1995 N 24-ФЗ "Об информации, информатизации и защите информации" (принят ГД ФС РФ 25.01.1995) в мае 1992 г. были приняты Законы «О правовой охране программ для электронно-вычислительных машин и баз данных» и «О правовой охране топологии интегральных микросхем».

Оба закона устанавливают охрану соответствующих объектов с помощью норм авторского права, включая в перечень объектов авторского права наряду с традиционными базами данных топологии интегральных микросхем и программы для ЭВМ.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах.

Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.

2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Вторая часть Гражданском кодексе РФ статьи 139 определяет правовые основы ответственности за несанкционированное получение информации или причинение ущерба. Звучит это так: «Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки.

Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Указ Президента РФ от 6 марта 1997 г. № 188 определяет понятие и содержание конфиденциальной информации (рис.14).

Таким образом, правовая защита информации обеспечивается нормативно-законодательными актами, представляющими собой по уровню иерархическую систему от Конституции РФ до функциональных обязанностей и контракта отдельного конкретного исполнителя, определяющих перечень сведений, подлежащих охране, и меры ответственности за их разглашение.

Важно помнить, что во всех законах призванных обеспечить информационную безопасность отражены общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

Одним из новых для нас направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией.

К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события.

В основе российского страхового законодательства лежит Закон РФ «О страховании». Он призван гарантировать защиту интересов страхователей, определять единые положения по организации страхования и принципы государственного регулирования страховой деятельности.

Рис.14

Закон «О страховании» дает следующее понятие страхования: «Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов». Действия по защите информации от утечки по техническим каналам регламентируются следующими правовыми документами:

1. ГОСТ 29339-92 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке СВТ». (ПЭМИН -- побочные электромагнитные излучения и наводки.).

2. ГОСТ Р 50752 «Информационная технология. Защита информации от утечки за счет ПЭМИН при ее обработке средствами вычислительной техники. Методы испытаний».

3. Нормы эффективности и защиты АСУ и ЭВМ от утечки информации за счет ПЭМИН.

4. Специальные требования и рекомендации по защите объектов ЭВТН и III категории от утечки информации за счет ПЭМИН.

Действия по защите информации от несанкционированного доступа (НСД) регламентируют Постановление Правительства РФ от 15.09.93 № 912-51 «Положение о государственной системе защиты информации от иностранной технической разведки и от утечки по техническим каналам», а также Указы Президента РФ «О создании государственной технической комиссии при Президенте РФ» (от 05.01.92 № 9); «О защите информационно- телекоммуникационных систем и баз данных от утечки конфиденциальной информации по техническим каналам связи» (от 08.05.93 № 644); «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» (от 03.04.95 № 334); «Положение о государственной системе защиты информации в Российской Федерации».

Правовыми документами являются и государственные стандарты на информационную деятельность с учетом обеспечения ее безопасности, в частности ГОСТ Р 50739-95 «СВТ. Защита от НСД к информации»; ГОСТ 28147- 89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; ГОСТ Р.34.10-94 «Процедуры выработки и проверки электронной подписи на базе асимметрического криптографического алгоритма»; ГОСТ Р.34.11-94 «Функция хеширования»; ГОСТ Р.В.50170-92 «Противодействие ИТР. Термины и определения».

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

· Положение о сохранении конфиденциальной информации;

· Перечень сведений, составляющих конфиденциальную информацию;

· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;

· Положение о специальном делопроизводстве и документообороте;

· Перечень сведений, разрешенных к опубликованию в открытой печати;

· Положение о работе с иностранными фирмами и их представителями;

· Обязательство сотрудника о сохранении конфиденциальной информации;

· Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия, В зависимости от характера информации, ее доступности для заинтересованных потребителей, а также экономической целесообразности конкретных защитных мер могут быть избраны следующие формы защиты информации:

· Патентование;

· Авторское право;

· Признание сведений конфиденциальными;

· Товарные знаки;

· Применение норм обязательственного права.

В таблице 1 приводятся некоторые характеристики этих форм и анализируется взаимосвязь между ними, а в таблице 2 приведены определения и основные параметры коммерческой тайны. Существуют определенные различия между авторским правом и коммерческой тайной. Авторское право защищает только форму выражения идеи. Коммерческая тайна относится непосредственно к содержанию. Авторское право защищает от копирования независимо от конфиденциальных отношений с владельцем. К авторскому праву прибегают при широкой публикации своей информации, в то время как коммерческую тайну держат в секрете. Очевидно, что по сравнению с патентом и авторским правом, коммерческая и производственная тайны являются наиболее удобными, надежными и гибкими формами защиты информации.

Помимо вышеизложенных форм правовой защиты и права принадлежности информации находит широкое распространение официальная передача права на пользование ею в виде лицензии. Лицензия -- это разрешение, выдаваемое государством на проведение некоторых видов хозяйственной деятельности, включая внешнеторговые операции (ввоз и вывоз) и предоставление права использовать защищенные патентами изобретения, технологии, методики.

Лицензионные разрешения предоставляются на определенное время и на определенные виды товаров.

Таблица 1.Взаимосвязь патентов и коммерческой тайны

Характеристики	Патенты	Коммерческая тайна
Объект защиты	Специфический и четко определенный документ	Применима к широкому спектру интеллектуальной собственности и деловой информации
Требования к информации	Информация должна быть: полезной, новой, неочевидной	Информация должна: быть: - потенциально полезной, не должна быть общеизвестной, не обязательно должна быть новой и неочевидной
Степень определенности	Четко определена в заявке	Часто трудно четко определить
Необходимость опубликования	Строго необходима. Публикуется обязательно.	Любое обнародование должно быть под контролем и ограничено в неизвестной степени (храниться в тайне)
Порядок защиты	Определяется узким, но четким статусом Предоставляется монополия	Определяется в зависимости от обстоятельств. Реализуется только от недобросовестной конкуренции
Продолжительность защиты	15-20 лет с момента опубликования	Практически не ограничена
Стоимость	По получению патента	Защита от утечки и использования информации другими лицами
Стоимость риска	Недействительность по истечении срока	Независимое открытие другими лицами

Коммерческая тайна -- не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам.

Определения	Содержание
СУБЪЕКТ	Предприятия, организации, коллективы, граждане
ОБЪЕКТ	Понятие применимо к широкому спектру интеллектуальной и промышленной собственности
ХАРАКТЕРИСТИКИ	1. Активный ресурс 2. Конфиденциальная информация 3. Особая форма собственности 4. Товар рыночной новизны
ЦЕННОСТЬ	Реально (потенциально) создает преимущества в конкурентной борьбе
ТРЕБОВАНИЯ	1. Потенциально полезная 2. Не общеизвестная
СРОК ДЕЙСТВИЯ	Определяется жизненным циклом товара
ЗАЩИТА	1. Правовая 2. Организационная 3. Инженерно-техническая

К коммерческой тайне не относятся:

· Охраняемые государством сведения;

· Общеизвестные на законных основаниях сведения;

· Общедоступные сведения, патенты, товарные знаки;

· Сведения о негативной стороне деятельности;

· Учредительные документы и сведения о хозяйственной деятельности.

На все эти формы защиты интеллектуальной собственности имеются соответствующие законы РФ -- закон о патентах, закон об авторском праве, проект закона о коммерческой тайне, закон о товарных знаках и другие. Создавая систему информационной безопасности, необходимо четко понимать, что без правовогообеспечения защиты информации любые последующие претензии с вашей стороны к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся просто беспочвенными.

Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (естественно, если он допущен по должностным обязанностям) в письменном виде, то сотрудник, укравший важную информацию в нарушение установленного порядка работы с ней, скорее всего разведет руками: мол, откуда мне это знать!

В этом случае никакие инстанции, вплоть до судебных, не смогут Вам помочь. Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов. Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:

· Предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;

· Предприятие обязано обеспечить сохранность конфиденциальной информации.

Такие требования дают право администрации предприятия:

· Создавать организационные структуры по защите конфиденциальной информации;

· Издавать нормативные и распорядительные документы, определяющие порядок выделения сведений конфиденциального характера и механизмы их защиты;

· Включать требования по защите информации в договоры по всем видам хозяйственной деятельности;

· Требовать защиты интересов предприятия со стороны государственных и судебных инстанций;

· Распоряжаться информацией, являющейся собственностью предприятия, в целях извлечения выгоды и недопущения экономического ущерба коллективу предприятия и собственнику средств производства;

· Разработать «перечень сведений конфиденциальной информации». Требования правовой обеспеченности защиты информации предусматриваются в коллективном договоре. Коллективный договор должен содержать следующие требования:

Раздел «Предмет договора»: Администрация предприятия (в том числе и администрация самостоятельных подразделений) обязуется обеспечить разработку и осуществление мероприятий по определению и защите конфиденциальной информации.

Трудовой коллектив принимает на себя обязательства по соблюдению установленных на предприятии требований по защите конфиденциальной информации. Администрация обязана учесть требования защиты конфиденциальной информации в правилах внутреннего распорядка.

Раздел «Кадры. Обеспечение дисциплины труда»: Администрация обязуется: нарушителей требований по защите коммерческой тайны привлекать к административной и уголовной ответственности в соответствии с действующим законодательством. Правила внутреннего трудового распорядка для рабочих и служащих предприятия целесообразно дополнить следующими требованиями.



Раздел «Порядок приема и увольнения рабочих и служащих»:

· При поступлении рабочего или служащего на работу или переводе его в установленном порядке на другую работу, связанную с конфиденциальной информацией предприятия, а также при увольнении администрация обязана проинструктировать работника или служащего по правилам сохранения коммерческой тайны с оформлением письменного обязательства о ее неразглашении.

· Администрация предприятия вправе принимать решение об отстранении от работ лиц, которые нарушают установленные требования по защите конфиденциальной информации.

Раздел «Основные обязанности рабочих и служащих»: Рабочие и служащие обязаны соблюдать требования нормативных документов по защите конфиденциальной информации предприятия.

Раздел «Основные обязанности администрации»:Администрация предприятия, руководители подразделений обязаны:

· Обеспечить строгое сохранение конфиденциальной информации, постоянно осуществлять организаторскую и воспитательно-профилактическую работу, направленную на защиту секретов предприятия;

· Включить в должностные инструкции и положения обязанности по сохранению конфиденциальной информации;

· Неуклонно выполнять требования устава, коллективного договора, трудовых договоров, правил внутреннего трудового распорядка и других организационных и хозяйственных документов в части обеспечения экономической и информационной безопасности.

Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). В соответствии с КЗоТ (гл, III) при заключении трудового договора трудящийся обязуется выполнять определенные требования, действующие на данном предприятии. Независимо от формы заключения договора (устного или письменного) подпись трудящегося на приказе о приеме на работу подтверждает его согласие с условиями договора (КЗоТ РФ ст. 18). Требования по защите конфиденциальной информации могут быть оговорены в тексте договора, если договор заключается в письменной форме. Если же договор заключается в устной форме, то действуют требования по защите информации, вытекающие из нормативно-правовых документов предприятия. При заключении трудового договора и оформлении приказа о приеме на работу нового сотрудника делается отметка об осведомленности его с порядком защиты информации предприятия. Это создает необходимый элемент включения данного лица в механизм обеспечения информационной безопасности.

Использование договоров о неразглашении тайны -- вовсе не самостоятельная мера по ее защите. Не следует думать, что после подписания такого соглашения с новым сотрудником тайна будет сохранена. Это только предупреждение сотруднику, что в дело вступает система мероприятий по защите информации, и 'правовая основа к тому, чтобы пресечь его неверные или противоправные действия. Дальше задача -- не допустить утраты коммерческих секретов.

Реализация правовых норм и актов, ориентированных на защиту информации на организационном уровне, опирается на те или иные организационно-правовые формы, к числу которых относятся соблюдение конфиденциальности работ и действий, договоры (соглашения) и различные формы обязательного права. Конфиденциальность -- это форма обращения со сведениями, составляющими коммерческую тайну, на основе организационных мероприятий, исключающих неправомерное овладение такими сведениями. Договоры -- это соглашения сторон (двух и более лиц) об установлении, изменении или прекращении взаимных обязательств.

Обязательство -- гражданское правоотношение, в силу которого одна сторона (должник) обязана совершить в пользу другой стороны определенные действия (рис. 13). Правовое регулирование необходимо для совершенствования механизма предупреждения противоправных действий по отношению к информационным ресурсам, для уточнения и закрепления задач и правомочий отдельных субъектов в сфере предупредительной деятельности, охраны прав и законных интересов граждан и организаций. Анализ законодательства, регулирующего деятельность субъектов в сфере информационной безопасности, показывает наличие определенных недостатков. Существующие правовые нормы разбросаны по различным нормативным актам, издававшимся в разное время, в разных условиях и на разных уровнях. Действующее законодательство не систематизировано, что создает большие трудности в его использовании на практике.

Правовые меры, обеспечения безопасности и защиты информации,

являются основой порядка деятельности и поведения сотрудников предприятия. Правовые нормы определяют меры ответственности за нарушение установленных норм.

2.2 Организационно-технические методы обеспечения информационной безопасности

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или по крайней мере сводили бы к минимуму возможность возникновения опасности конфиденциальной информации.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, призванная исключить или существенно затруднить неправомерное овладение конфиденциальной информацией или проявления внутренних и внешних угроз.

Организационная защита обеспечивает:

· Организацию охраны, режима, работу с кадрами, с документами;

· Использование технических средств безопасности и информационно- аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

К основным организационным мероприятиям можно отнести:

· Организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию, в помещения, или на объект посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

· Создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

· Контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

· Организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

· - организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение,

· Обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· Организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

· Организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· Организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

· Организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях:

· Определение границ охраняемой зоны (территории); определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

· Определение «опасных», с точки зрения возможности образования, каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

· Выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

· Реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.

Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов.



Организационные средства защиты ПЭВМ и информационных сетей применяются:

· При проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;

· При подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;

· При хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);

· При соблюдении надежного пропускного режима к техническим средствам, к ПЭВМ и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);

· При внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);

· При подготовке и контроле работы пользователей.

Схематично организационную защиту информации можно показать так (рис.15)

Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств. информационный конфиденциальный безопасность аудит

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.

2.3 Инженерно-техническая защита

Инженерно-техническая защита (ИТЗ) по определению -- это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации. Многообразие целей, задач, объектов защиты и проводимых мероприятий предполагает рассмотрение некоторой системы классификации средств по виду, ориентации и другим характеристикам.

Средства инженерно-технической защиты: По функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

· Физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

· Аппаратные средства. Приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации.

· Программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

· Криптографические средства, специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Схема средств инженерно технических средств защиты показана на рис. 16.

Рис.16

Такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации.

Физические средства защиты. К физическим средствам защиты относятся разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

· Охрана территории предприятия и наблюдение за ней;

· Охрана зданий, внутренних помещений и контроль за ними;

· Охрана оборудования, продукции, финансов и информации;

· Осуществление контролируемого доступа в здания и помещения

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз.

Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз.

Заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.

В общем плане, по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

· Охранные и охранно-пожарные системы;

· Охранное телевидение;

· Охранное освещение;

· Средства физической защиты.

Охранные системы. Охранные системы и средства охранной сигнализации предназначены для обнаружения различных видов угроз: попыток проникновения на объект защиты, в охраняемые зоны и помещения, попыток проноса средств промышленного шпионажа, краж материальных и финансовых ценностей и других действий; оповещения сотрудников охраны или персонала объекта о появлении угроз и необходимости усиления контроля доступа на объект.

Важнейшими элементами охранных систем являются датчики, обнаруживающие появление угрозы.

На сегодня известны датчики следующих типов: механические выключатели, проволока с выключателем, магнитный выключатель, ртутный выключатель, коврики давления, металлическая фольга, проволочная сетка, шифроволновый датчик, ультразвуковой датчик, инфракрасный датчик, фотоэлектрический датчик, акустический датчик, вибрационный датчик, индуктивный датчик, емкостный датчик и другие. Каждый тип датчика реализует определенный вид защиты: точечная защита, защита по линии, защита по площади или защита по объему.

Охранное телевидение. Одним из распространенных средств охраны является охранное телевидение.

Привлекательной особенностью охранного телевидения является возможность не только отметить нарушение режима охраны объекта, но и контролировать обстановку вокруг него в динамике ее развития, определять опасность действий, вести скрытое наблюдение и производить видеозапись для последующего анализа правонарушения как с целью анализа, так и для привлечения к ответственности нарушителя.

Охранное освещение. Обязательной составной частью системы защиты любого объекта является охранное освещение.

Различают два вида охранного освещения:

-- дежурное

- тревожное.

Дежурное освещение предназначается для постоянного использования в нерабочие часы, в вечернее и ночное время как на территории объекта, так и внутри здания.

Тревожное освещение включается при поступлении сигнала тревоги от средства охранной сигнализации.

Кроме того, по сигналу тревоги в дополнение к освещению могут включаться и звуковые приборы (звонки, сирены и пр.).

Сигнализация и дежурное освещение должны иметь резервное электропитание на случай аварии или выключения электросети.

Ограждения и физическая изоляция. В последние годы большое внимание уделяется созданию систем физической защиты, совмещенных с системами сигнализации.

Запирающие устройства. Запирающие устройства и специальные шкафы занимают особое место в системах ограничения доступа, поскольку они несут в себе признаки, как систем физической защиты, так и устройств контроля доступа.

Физические средства являются первой преградой для злоумышленника при реализации им заходовых методов доступа.

Классификация систем физической защиты показана на рис. 17



Рис.17

Аппаратные средства защиты. К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям, технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

· Проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

· Выявление каналов утечки информации на разных объектах и в помещениях;

· Локализация каналов утечки информации;

· Поиск и обнаружение средств промышленного шпионажа;

· Противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе.

Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.

Программные средства защиты. Средства защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

· Средства собственной защиты, предусмотренные общим программным обеспечением. Элементы защиты присущие самому программному обеспечению или сопровождающие его продажу.

· Средства защиты в составе вычислительной системы. Защита аппаратуры, дисков и штатных устройств. Выполнение программ зависит от определенных действий, специальных мер предосторожности.

· Средства защиты с запросом информации. Требуют ввода дополнительной информации с целью идентификации полномочий пользователя.

· Средства активной защиты. Инициируются при возникновении особых обстоятельств (ввод неправильного пароля и т.д.).

· Средства пассивной защиты. Направлены на предостережение, контроль, поиск улик и т.д.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

· Защита информации от несанкционированного доступа;

· Защита информации и программ от копирования;

· Защита информации и программ от вирусов;

· Программная защита каналов связи.

Средства программной защиты показаны более подробно на рис. 18



Рис.18

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

· Защита информации от несанкционированного доступа;

· Защита информации и программ от копирования;

· Защита информации и программ от вирусов;

· Программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

· Идентификация технических средств, файлов и аутентификации пользователей;

· Регистрация и контроль работы технических средств и пользователей;

· Обслуживание режимов обработки информации ограниченного пользования;

· Защита операционных средств эвм и прикладных программ пользователей;

· Уничтожение информации в зу после использования;

· Контроль использования ресурсов;

· Вспомогательные программы защиты различного назначения.

Криптографические средства защиты. Преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц.

2.4 Система защиты (безопасности)

Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз (Рис. 19).

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной.

2. Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.

4. Конкретной. Защищаются конкретные данные, объективно подлежащие защите.

5. Активной.

6. Надежной.

7. Универсальной. Распространяется на любые каналы утечки информации,

8. Комплексной. Применяются все необходимые виды и формы защиты.

Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации. Способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам. Обеспечение информационной безопасности достигается системой мер, направленных:

· На предупреждение угроз. Предупреждение угроз -- это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· На выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· На обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· На локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· На ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение угроз возможно и путем получения (если хотите -- и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований. В предупреждении угроз весьма существенную роль играет информационно аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.

Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

Ликвидация последствий имеет целью восстановление состояния предшествовавшего наступлению угрозы. Естественно предположить, что каждому виду угроз присущи его специфические способы, силы и средства.



Рис.19 Требования к системе безопасности

Непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

Плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

Конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

Активной. Защищать информацию необходимо с достаточной степенью настойчивости;

Надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам; несанкционированного доступа его необходимо перекрывать разумными и достаточными средствами;

Комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме.

Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.

Вопросы для самоконтроля

1. Какие существуют методы обеспечения информационной безопасности в РФ?

2. Что понимаем под правовыми методами защиты информации?

3. Перечислите законы регулирующие обеспечение правовых методов защиты информации.

4. Перечислите и раскройте составляющие национальных интересов в информационной сфере.

5. Дайте понятие конфиденциальной информации, перечислите её виды.

6. Что такое коммерческая тайна?

7. Дайте понятие организационной защиты информации.

8. Перечислите мероприятия организационной защиты информации. Покажите перечисленное в виде схемы.

9. Что такое инженерно-техническая защита информации. Перечислите средства инженерно-технической защиты.

10. Перечислите физические средства защиты информации.

11. Какие задачи решают аппаратные средства защиты?

12. Дайте классификацию программных средств защиты.

13. Что такое система безопасности?

14. Какие требования предъявляются к система защиты

15. Балтийский институт экономики и финансов

Глава 3. Аудит информационной безопасности

3.1 Цели, задачи и направления аудита информационной безопасности

Аудит (контроль) состояния защиты информации -- специальная проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам.

Собственник информационных ресурсов или уполномоченные им лица имеют право осуществлять контроль за выполнением требований по защите информации и запрещать или приостанавливать обработку информации в случае невыполнения этих требований. (Закон РФ «Об информации, информатизации и защите информации»)

Постулаты:

1. Угрозы легче предупредить, чем устранять результаты их воздействия.

2. На бога надейся, а сам не плошай.

3. Дружба дружбой, а табачок врозь.

Проведение независимого аудита позволяет своевременно выявить существующие бреши и объективно оценить соответствие параметров, характеризующих режим информационной безопасности (ИБ), необходимому уровню.

Для решения этих задач создаются специальные организации аудиторов в области информационной безопасности Они ставят своей целью проведение экспертизы соответствия системы информационной безопасности определенным требованиям, оценки системы управления безопасностью, повышения квалификации специалистов в области информационной безопасности Такие организации могут быть как государственными (например, подразделения государственной технической комиссии при Президенте РФ), так и иметь статус независимых, негосударственных Аудит позволяет оценить текущую безопасность функционирования информационной системы, оценить и прогнозировать риски, управлять их влиянием на бизнес-процессы фирмы, корректно и обоснованно подойти к вопросу обеспечения безопасности ее информационных активов, стратегических планов развития, маркетинговых программ, финансовых и бухгалтерских ведомостей, содержимого корпоративных баз данных. В конечном счете, грамотно проведенный аудит безопасности информационной системы позволяет добиться максимальной отдачи от средств, инвестируемых в создание и обслуживание системы безопасности фирмы

Основными направлениями деятельности в области аудита безопасности информации являются (рис.20):

1. Аттестация объектов информатизации по требованиям безопасности информации(рис.21):

1. Аттестация автоматизированных систем, средств связи, обработки и передачи информации,

2. Аттестация помещений, предназначенных для введения конфиденциальных переговоров,

3. Аттестация технических средств, установленных в выделенных помещениях

2. Контроль защищенности информации ограниченного доступа (рис 22):

1. Выявление технических каналов утечки информации и способов несанкционированного доступа к ней,

2. Контроль эффективности применяемых средств защиты информации

3. Специальные исследования технических средств на наличие побочных электромагнитных излучений и наводок (ПЭМИН) (рис.23):

1. Персональные ЭВМ, средства связи и обработки информации;

2. Локальные вычислительные системы;

3. Оформления результатов исследований в соответствии с требованиями Гостехкомиссии России.

4. Проектирование объектов в защищенном исполнении (рис.24):

1. Разработка концепции информационной безопасности (первая глава учебника);

2. Проектирование автоматизированных систем, средств связи, обработки и передачи информации в защищенном исполнении;

3. Проектирование помещений, предназначенных для ведения конфиденциальных переговоров.

Рис.20

Рис.21 Аттестация объектов информатизации по требованиям безопасности информации



Рис.22 Контроль защищенности информации ограниченного доступа

Рис.23 Спец исследования технических средств на наличие побочных электромагнитных излучений и наводок

3.2 Аудит выделенных помещений

Общепринятая методика аудита выделенных помещений условно разделяет действия по выявлению средств несанкционированного съема информации (НСИ) на три этапа:

· Подготовительный этап;

· Этап непосредственного проведения аудита;

· Заключительный этап.

Подготовительный этап аудита выделенных помещений:

1. Уточнение границ и ранжирование по степени важности информации, относимой к конфиденциальной.

2. Уточнение вероятного злоумышленника, оценка его возможностей, тактики внедрения средств НСИ и их использования.

3. Разработка замысла проведения аудита выделенных помещений:

1. Выработка целевой установки;

2. Определение масштаба и места проведения поисковых мероприятий, выбор времени проведения;

3. Разработка легенды, под прикрытием которой будет проводиться аудит;

4. Выработка замысла активации внедренных средств нсд;

5. Выбор вариантов действий в случае обнаружения средств НСИ,

4. Изучение планов помещений, схем технических коммуникаций, связи, организации охраны, доступа и других необходимых документов.

5. Предварительный осмотр объекта.

6. Разработка перечня аппаратуры, необходимой для проведения проверки помещений и объектов.

7. Разработка дополнительных мер по активации внедренных средств НСИ на время проведения поиска с различными типами аппаратуры.

8. Распределение привлекаемых сил и средств по объектам и видам работ.

9. Уточнение частных методик использования привлекаемой аппаратуры в конкретных условиях проверки.

10. Оформление плана проведения комплексной проверки помещений и объектов и утверждение его у руководителя предприятия.

11. Подготовка аппаратуры для проведения поисковых и исследовательских работ.

12. Предварительный сбор данных и анализ радиоэлектронной обстановки в районе обследуемых объектов и помещений.

13. Подготовка документов прикрытия работ по проверке помещений в соответствии с выбранной легендой прикрытия.

14. Подготовка бланков, схем, заготовок других документов, необходимых для проведения работ на последующих этапах.

Перечень специального оборудования и технических средств, рекомендуемых для проведения аудита помещений.

1. Комплект досмотровых зеркал (ПОИСК-2, ШМЕЛЬ-2) -- Визуальный осмотр оборудования, мебели, технологических коммуникаций.

2. Комплект луп, фонарей -- Визуальный осмотр поверхностей и отверстий.

3. Технический эндоскоп с дистальным концом (серия ЭТ, Olimpus) -- Визуальный осмотр труднодоступных полостей и каналов.

4. Комплект отверток, ключей и радиомонтажного инструмента -- Разборка и сборка коммутационных, электроустановочных и других устройств и предметов.

...