Экономическая безопасность информационных систем: институциональный подход
Институциональная концепция безопасности информационных систем. Правовые основы управления системой. Рынок технических средств защиты, система контроля и управления доступом. Оценка элементов объекта защиты, анализ рисков и выявление опасных угроз.
Рубрика | Программирование, компьютеры и кибернетика |
Вид | дипломная работа |
Язык | русский |
Дата добавления | 17.04.2015 |
Размер файла | 251,2 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
1.2 Концепция безопасности информационных систем
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных и преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.
Состояние защищённости объекта - обязательное условие нормального функционирования организации. Только в условиях защищённости деятельность организации является оправданной, а планы будущего развития реальными.
Концепция информационной безопасности объекта представляет собой научно обоснованную систему взглядов на определение основных направлений, условий и порядка практического решения задач защиты от противоправных действий.
Объектами безопасности являются:
- персонал (руководство, ответственные исполнители, сотрудники);
- финансовые средства, материальные ценности, новейшие технологии;
- информационные ресурсы (информация с ограниченным доступом, составляющая коммерческую тайну, иная конфиденциальная информация, предоставленная в виде документов и массивов независимо от формы и вида их представления).
Субъектами правоотношений при решении проблемы безопасности являются:
- государство (Российская Федерация) как собственник ресурсов, создаваемых, приобретаемых и накапливаемых за счет средств государственных бюджетов, а также информационных ресурсов, отнесенных к категории государственной тайны;
- организация как юридическое лицо, являющееся собственником финансовых, а также информационных ресурсов, составляющих служебную и коммерческую тайну;
- другие юридические и физические лица, в том числе партнеры и клиенты по финансовым отношениям, задействованные в процессе функционирования организации как внутри страны, так и во внешнефинансовых связях (органы государственной власти, исполнительные органы, организации, привлекаемые для оказания услуг в области безопасности, обслуживающий персонал, клиенты и др.).
Концепция определяет цели и задачи системы безопасности, принципы ее организации, функционирования и правовые основы, виды угроз безопасности и ресурсы, подлежащие защите, а также основные направления разработки системы безопасности, включая правовую, организационную и инженерно-техническую защиту.
Основной целью системы безопасности является охрана законных интересов и прав собственника, нормальное функционирование объекта информатизации в ведении коммерческой деятельности, предотвращение угроз безопасности объекта. Кроме того, система безопасности призвана охранять жизнь и здоровье работников предприятия, предотвращать утечку, искажение и уничтожение ценной информации, не допустить кражу имущества и материальных ценностей, снизить вероятность сбоев и нарушения работы технических средств, обеспечить бесперебойное осуществление производственной деятельности.
Кроме того, целями являются: обеспечение сохранности сведений конфиденциального характера; эффективное управление, сохранность и защита государственных информационных ресурсов; обеспечение правового режима использования документов, информационных массивов, баз данных, прикладных программных продуктов, обеспечение полноты, целостности, достоверности информации в системах обработки.
Главные задачи системы информационной безопасности:
- прогнозирование и своевременное выявление, и устранение угроз безопасности персоналу и ресурсам объекта; причин и условий, способствующих нанесению финансового, материального и морального ущерба, нарушению его нормального функционирования и развития;
- категорирование информации, выявление объектов ограниченного доступа, отнесение материальных ресурсов к различным степеням важности;
- предотвращение утечки информации по техническим каналам;
- предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в системах информатизации;
- создание механизма и условий оперативного реагирования на угрозы безопасности и проявление негативных тенденций в функционировании объекта;
- эффективное пресечение угроз персоналу и посягательств на ресурсы на основе правовых, организационных и инженерно-технических мер и средств обеспечения безопасности;
- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерным действиям физических и юридических лиц, ослабление негативного влияния последствий нарушения безопасности на достижение стратегических целей объекта.
1.3 Методы обеспечения информационной безопасности
Основными направлениями обеспечения информационной безопасности являются:
- разработка, создание и эксплуатация системы информационной безопасности;
- организационно-режимное обеспечение защиты сведений конфиденциального характера, а также информации, несанкционированный доступ к которой может нанести экономический ущерб;
- обеспечение физической охраны объектов информатизации;
- разграничение доступа к помещениям различных категорий, ограничение доступа к информационным ресурсам;
- предотвращение утечки по техническим каналам информации, обрабатываемой на объектах информатизации, а также передаваемой по каналам связи;
- исключение несанкционированного доступа к информационным ресурсам;
- обеспечение сохранности информационных ресурсов;
- обучение сотрудников правилам поведения на объекте.
Для того, чтобы реализация системы защиты себя оправдала, то есть её функционирование было эффективным, необходимо, чтобы выполнялись следующие основные принципы.
1) Приоритет мер предупреждения. Данный принцип подразумевает, что гораздо эффективнее уберечь объект от самого факта нарушения состояния защищённости, чем устранять последствия вторжения, уменьшать ущерб от вмешательства. Таким образом, основные силы должны быть направлены на предупреждение реализации угрозы. Другими словами, лучше исключить возможность нарушения безопасности, чем иметь возможность возместить ущерб.
2) Законность. Предполагает создание системы информационной безопасности на основе федерального законодательства в области защиты информации, других нормативных и правовых актов по информационной безопасности, утвержденных органами государственного управления в пределах их компетенции, с применением всех дозволенных методов обнаружения и пресечения правонарушений при работе с информацией. При этом принятые меры информационной безопасности не должны препятствовать доступу к информации в предусмотренных законодательством случаях.
3) Комплексное использование сил и средств. Предполагает согласование и комплексное использование разнообразных мер, методов и средств защиты информации при построении целостной системы информационной безопасности, перекрывающей все возможные каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонент. Обосновывается тем, что слабость в элементе системы ведёт к слабости системы вцелом.
4) Координация и взаимодействие внутри и вне предприятия. Заключается в согласовании и взаимодействии со всеми заинтересованными сторонами, а также объединиении усилий с правоохранительными органами для защиты законных интересов государства, юридических и физических лиц при реализации защиты.
5) Сочетание гласности с конспирацией. Информация о том, что система защиты существует, должна быть доступна злоумышленнику, но ключевые моменты системы безопасности, особенности защитных возможностей должны быть скрыты, чтобы максимально усложнить задачу злоумышленника.
6) Компетентность. Предполагает привлечение к разработке и внедрению мер и средств защиты информации специализированных организаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Эксплуатация системы информационной безопасности должна осуществляться профессионально подготовленными специалистами.
7) Экономическая целесообразность. Подразумевает сопоставление возможного ущерба врезультате нарушения состояния защищённости и затрат на систему защиты, что предполагает адекватность уровня затрат на обеспечение защиты информационных ресурсов величине возможного ущерба от их утраты, утечки, искажения или блокирования.
8) Плановая основа деятельности. Предполагает обязательность чёткого планирования мер и мероприятий по интеграции системы защиты информации, тщательную проработку всех аспектов реализации системы, в том числе документальную подготовку, распределение ролей и др.
9) Системность и непрерывность. Предполагает, что функционирование комплексной системы обеспечения информационной безопасности предприятия должно осуществляться постоянно. Заключается в непрерывном, целенаправленном процессе, который предполагает обеспечение безопасности информационных ресурсов на протяжении всего их жизненного цикла, на всех технологических этапах их обработки и использования, во всех режимах функционирования технических средств.
10) Дифференциация мер. Подразумевает, что выбор мер по преодолению возникших угроз происходит в зависимости от характера угрозы и степени тяжести последствий ее реализации.
11) Техническая обоснованность. Предполагает использование технических и программных средств, а также информационных технологий, средств и мер защиты информации, обоснованных с точки зрения достижения заданного уровня защиты информации, соответствия установленным нормам и требованиям информационной безопасности. Внедряемые технические и программные средства защиты инфрмации не должны существенно ухудшать основные функциональные характеристики автоматизированных систем, систем связи и управления;
12) Полная подконтрольность системы обеспечения безопасности руководству предприятия. Это необходимо и для того, чтобы система безопасности не превратилась в замкнутое образование, ориентированное на решение узких задач без учета интересов предприятия в целом, и для оценки эффективности деятельности системы и ее возможного совершенствования.
К объектам, подлежащим защите от потенциальных угроз и противоправных посягательств, относятся:
- персонал компании (руководящие работники, производственный персонал, имеющий непосредственный доступ к финансам, валюте, ценностям, хранилищам, осведомленные в сведениях, составляющих коммерческую тайну, работники внешнеэкономических служб и другие);
- финансовые средства;
- информационные ресурсы с ограниченным доступом, составляющие служебную и коммерческую тайну, а также иная конфиденциальная информация на бумажной, магнитной, оптической основе, информационные массивы и базы данных, программное обеспечение, информативные физические поля различного характера;
- средства и системы информатизации (автоматизированные системы и вычислительные сети различного уровня и назначения, линии телеграфной, телефонной, факсимильной, радиосвязи, технические средства передачи информации, средства размножения и отображения информации, вспомогательные технические средства и системы);
- материальные средства (здания, сооружения, хранилища, техническое оборудование, транспорт и иные средства);
- технические средства и системы охраны и защиты материальных и информационных ресурсов.
Категории информационных ресурсов, подлежащих защите.
В организации циркулирует информация различных уровней конфиденциальности (секретности) содержащая сведения ограниченного распространения (служебная, коммерческая, банковская информация, персональные данные) и открытые сведения.
В документообороте организации присутствуют:
- платежные поручения и другие расчетно-денежные документы;
- отчеты (финансовые, аналитические и др.);
- сведения о лицевых счетах;
- обобщенная информация и другие конфиденциальные (ограниченного распространения) документы и др.
Защите подлежит вся информация, циркулирующая в организации и содержащая:
- сведения, составляющие коммерческую тайну, доступ к которым ограничен собственником информации (организации) в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации» правами;
- сведения, составляющие банковскую тайну, доступ к которым ограничен в соответствии с Федеральным законом «О банках и банковской деятельности»;
- сведения о частной жизни граждан (персональные данные), доступ к которым ограничен в соответствии с Федеральным законом «Об информации информатизации и защите информации».
Все объекты, в отношении которых могут быть осуществлены угрозы безопасности или противоправные посягательства, имеют различную потенциальную уязвимость с точки зрения возможного материального или морального ущерба. Исходя из этого они должны быть классифицированы по уровням уязвимости (опасности), степени риска.
Наибольшую уязвимость представляют финансовые и информационные ресурсы и некоторые категории персонала.
Ухудшение состояния криминогенной обстановки в стране, усиление межрегиональных связей организованных преступных групп, рост их финансовой мощи и технической оснащенности дает основание полагать, что тенденция к осложнению оперативной обстановки вокруг компаний в ближайшее будущее сохранится. Отсюда определение и прогнозирование возможных угроз и осознание их опасности необходимы для обоснования, выбора и реализации защитных мероприятий, адекватных угрозам интересам компании.
В процессе выявления, анализа и прогнозирования потенциальных угроз интересам компании в рамках концепции учитываются объективно существующие внешние и внутренние условия, влияющие на их опасность.
Таковыми являются:
- нестабильная политическая, социально-экономическая обстановка и обострение криминогенной ситуации;
- невыполнение законодательных актов, правовой нигилизм, отсутствие ряда законов по жизненно важным вопросам;
- снижение моральной, психологической и производственной ответственности граждан.
Наиболее опасными (значимыми) угрозами безопасности информации организации (способами нанесения ущерба субъектам информационных отношений) являются:
- нарушение конфиденциальности (разглашение, утечка) сведений, составляющих банковскую или коммерческую тайну, а также персональных данных;
- нарушение работоспособности (дезорганизация работы) организации, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
- нарушение целостности (искажение, подмена, уничтожение) информационных и других ресурсов организации, а также фальсификация (подделка) документов.
Основными источниками угроз безопасности информации организации являются:
- непреднамеренные (ошибочные, случайные, необдуманные, без злого умысла и корыстных целей) нарушения установленных регламентов сбора, обработки и передачи информации, а также требований безопасности информации и другие действия сотрудников (в том числе администраторов средств защиты) структурных подразделений организации, приводящие к непроизводительным затратам времени и ресурсов, разглашению сведений ограниченного распространения, потере ценной информации или нарушению работоспособности отдельных рабочих станций, подсистем или организации в целом;
- преднамеренные (в корыстных целях, по принуждению третьими лицами, со злым умыслом и т.п.) действия сотрудников подразделений организации, допущенных к работе с конфиденциальной информацией организации, а также сотрудников подразделений организации, отвечающих за обслуживание, администрирование средств обработки информации, средств защиты и обеспечения безопасности информации;
- деятельность международных и отечественных преступных групп и формирований, политических и экономических структур, а также отдельных лиц по добыванию информации, навязыванию ложной информации, нарушению работоспособности системы в целом и ее отдельных компонент;
- деятельность иностранных разведывательных и специальных служб, направленная против интересов организации;
- ошибки, допущенные при проектировании системы защиты организации, ошибки в программном обеспечении, отказы и сбои технических средств (в том числе средств защиты информации и контроля эффективности защиты) организации;
- аварии, стихийные бедствия и т.п.
На стадии концептуальной проработки вопросов безопасности компании представляется возможным рассмотрение общего состава потенциальных угроз. Конкретные перечни, связанные со спецификой компании, и условий требуют определенной детализации и характерны для этапа разработки конкретного проекта системы безопасности.
В общем плане к угрозам безопасности личности относятся:
- похищения и угрозы похищения сотрудников, членов их семей и близких родственников;
- убийства, сопровождаемые насилием, издевательствами и пытками;
- психологический террор, угрозы, запугивание, шантаж, вымогательство;
- нападение с целью завладения денежными средствами, ценностями и документами.
Преступные посягательства в отношении помещений (в том числе и жилых), зданий и персонала проявляются в виде:
- взрывов;
- обстрелов из огнестрельного оружия;
- минирования, в том числе с применением дистанционного управления;
- поджогов;
- нападения, вторжения, захватов, пикетирования, блокирования;
- повреждения входных дверей, решеток, ограждений, витрин, мебели, а также транспортных средств личных и служебных;
- технологические аварии, пожары.
Цель подобных акций:
- нанесение серьезного морального и материального ущерба;
- срыв на длительное время нормального функционирования;
- вымогательство значительных сумм денег или каких-либо льгот (кредиты, отсрочка или погашение платежей и т.п.) перед лицом террористической угрозы.
Угрозы финансовым ресурсам проявляются в виде:
- мошенничества со счетами клиентов;
- незаконных подключений;
- подложных платежных документов и пластиковых карт;
- хищения финансовых средств из касс.
Угрозы информационным ресурсам проявляются в виде:
- разглашения конфиденциальной информации;
- утечки конфиденциальной информации через технические средства обеспечения производственной деятельности различного характера и исполнения;
- несанкционированного доступа к охраняемым сведениям со стороны конкурентных организаций и преступных формирований.
Осуществление угроз информационным ресурсам может быть произведено:
- путем неофициального доступа и съема конфиденциальной информации;
- путем подкупа лиц, работающих в компании или структурах, непосредственно связанных с ее деятельностью;
- путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
- через переговорные процессы между иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
- через отдельных сотрудников компании, стремящихся заполучить больший, чем их зарплата, доход или имеющих иную корыстную либо личную заинтересованность.
2. Анализ практики обеспечения экономической безопасности информационных систем
2.1 Правовые основы системы безопасности
Правовые основы безопасности компании определяют соответствующие положения Конституции Российской Федерации, Закон «О безопасности», «Закон об информации, информатизации и защите информации». Кроме того законодательной основой являются Гражданский и Уголовный кодексы, законы, указы, постановления, другие нормативные документы действующего законодательства Российской Федерации, документы Государственной технической комиссии при Президенте Российской Федерации (Гостехкомиссии России), Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ), а также нормативно-методические материалы и организационно-распорядительные документы организации, отражающие вопросы обеспечения информационной безопасности на объектах информатизации.
Правовая защита персонала компании, материальных и экономических интересов компании и их клиентов от преступных посягательств обеспечивается на основе норм Уголовного и Уголовно-процессуального кодексов, законов Российской Федерации о прокуратуре, о федеральной службе безопасности, о милиции, об оперативно-розыскной деятельности, о частной детективной и охранной деятельности, об оружии и др.
Защиту имущественных и иных материальных интересов и деловой репутации компании призваны обеспечивать также гражданское, гражданско-процессуальное и арбитражное и арбитражно-процессуальное законодательство.
Обеспечение информационной безопасности регулируется законом Российской Федерации: «Об информации, информатизации и защите информации». Существующие правовые условия обеспечения безопасности в основном позволяют государственным и иным правоохранительным и охранным структурам организовывать противостояние противоправным посягательствам на безопасность компании в различных ее аспектах.
Успешное и эффективное решение задач обеспечения безопасности конкретного объекта достигается формированием системы внутренних нормативных актов, инструкций, положений, правил, регламентов и функциональных обязанностей сотрудников. Требования по правовому обеспечению безопасности предусматриваются во всех структурно-функциональных правовых документах, начиная с Устава компании и кончая функциональными обязанностями каждого сотрудника. Необходимым условием обеспечения безопасности компании является совокупность правил входа (выхода) лиц в помещения компании, вноса (выноса) документов, денежных средств и материальных ценностей и другие элементы регламента информационной безопасности.
2.2 Техническое обеспечение безопасности объекта
Техническое обеспечение безопасности должно базироваться:
а) на системе стандартизации и унификации;
б) на системе лицензирования деятельности;
в) на системах сертификации средств защиты;
г) на системе сертификации ТС и ПС объекта информатизации;
д) на системе аттестации защищенного объекта информатизации.
Система физической защиты (безопасности) материальных объектов и финансовых ресурсов включает в себя следующие элементы.
а) Система инженерно-технических и организационных мер охраны. Предусматривает:
- многорубежность построения охраны территории, здания, помещения по нарастающей от наименее ценной к наиболее ценной оберегаемой информации;
- комплексное применение современных технических средств охраны, обнаружения, наблюдения, сбора и обработки информации, обеспечивающих достоверное отображение и объективное документирование событий;
- надежную инженерно-техническую защиту вероятных путей несанкционированного вторжения в охраняемые пределы;
- устойчивую (дублированную) систему связи и управления всех взаимодействующих в охране структур;
- высокую подготовку и готовность основных и резервных сил охраны к оперативному противодействию нарушителю;
- самоохрану персонала.
б) Система регулирования доступа. Предусматривает:
- объективное определение "надежности" лиц, допускаемых к критичной информации;
- максимальное ограничение количества лиц, допускаемых на объект защиты;
- установление для каждого работника (или посетителя) дифференцированного по времени, месту и виду деятельности права доступа на объект;
- оборудование контрольного пункта техническими средствами, обеспечивающими достоверный контроль проходящих, объективную регистрацию прохода и предотвращение несанкционированного (в том числе силового) проникновения посторонних лиц.
в) Система мер (режим) сохранности и контроль вероятных каналов утечки информации. Предусматривает:
- максимальное ограничение посещений режимных зон лицами, не участвующими в работе;
- организацию и осуществление присутственного (явочного) и дистанционного - по техническим каналам (скрытого) контроля над соблюдением режима безопасности;
- организацию тщательного контроля любых предметов и веществ, перемещаемых за пределы режимных зон;
- обеспечение защищенного хранения документов, финансовых средств и ценных бумаг;
- соблюдение персональной и коллективной материальной и финансовой ответственности в процессе открытого обращения финансовых ресурсов и материальных ценностей;
- организацию тщательного контроля на каналах возможной утечки информации;
- оперативное выявление причин тревожных ситуаций и пресечение их развития или ликвидацию во взаимодействии с силами охраны.
г) Система мер возврата материальных ценностей (или компенсации). Система мер возврата утраченных материальных и финансовых ресурсов слагается из совместных усилий служб и государственных органов охраны правопорядка и безопасности.
Основными составляющими обеспечения безопасности ресурсов компании являются:
а) Система физической защиты (безопасности) материальных объектов и финансовых ресурсов.
Условие надежности хранения реализуется с помощью:
- хранилищ конфиденциальных документов, оборудованных техническими средствами охраны в соответствии с установленными требованиями, доступ в которые ограничен и осуществляется в установленном порядке;
- выделения помещений, в которых разрешается работа с конфиденциальной документацией, оборудованных сейфами и металлическими шкафами, а также ограничения доступа в эти помещения;
б) Система безопасности информационных ресурсов. Система обеспечения безопасности информационных ресурсов должна предусматривать комплекс организационных, технических и программных средств и мер по защите информации в процессе традиционного документооборота при работе исполнителей с конфиденциальными документами и сведениями, при ведении конфиденциальных переговоров.
При этом основными направлениями реализации технической политики обеспечения информационной безопасности в этих сферах деятельности является защита информационных ресурсов от хищения, утраты, уничтожения, разглашения, утечки, искажения и подделки за счет несанкционированного доступа (НСД).
В рамках указанных направлений технической политики обеспечения информационной безопасности необходима реализация разрешительной системы допуска исполнителей (пользователей) к работам, документам и информации конфиденциального характера.
Требование обоснованности доступа реализуется в рамках разрешительной системы допуска к работам, документам и сведениям, в которой устанавливается: кто, кому, в соответствии с какими полномочиями, какие документы и сведения (носители информации, информационные массивы) для каких действий или для какого вида доступа может предоставить и при каких условиях.
Положение о персональной ответственности реализуется с помощью:
- росписи исполнителей в журналах, карточках учета, других разрешительных документах, а также на самих документах;
- проверки подлинности (аутентификации) исполнителей (пользователей) на основе использования паролей, ключей, магнитных карт, а также биометрических характеристик личности при доступе в выделенные помещения (зоны).
Правило разграничения информации по уровню конфиденциальности реализуется с помощью предварительно учтенных тетрадей для ведения конфиденциальных записей или носителей информации, предназначенных для информации определенного уровня секретности.
Для снижения риска нарушения конфиденциальности следует осуществить следующие меры:
- ограничение доступа исполнителей и посторонних лиц в здания, помещения, где проводятся работы конфиденциального характера, в том числе на объекты информатики, на которых обрабатывается (хранится) информация конфиденциального характера;
- учет документов, информационных массивов, регистрация действий пользователей информационных систем, контроль над несанкционированным доступом и действиями пользователей;
- снижение уровня и информативности ПЭМИН, создаваемых различными элементами технических средств обеспечения производственной деятельности и автоматизированных информационных систем;
- снижение уровня акустических излучений;
- электрическая развязка цепей питания, заземления и других цепей технических средств, выходящих за пределы контролируемой территории;
- активное зашумление в различных диапазонах;
- противодействие оптическим и лазерным средствам наблюдения;
- проверка технических средств и объектов информатизации на предмет выявления включенных в них закладных устройств;
Защита информационных ресурсов от несанкционированного доступа должна предусматривать:
- обоснованность доступа, когда исполнитель (пользователь) должен иметь соответствующую форму допуска для ознакомления с документацией (информацией) определенного уровня конфиденциальности и ему необходимо ознакомление с данной информацией или необходимы действия с ней для выполнения производственных функций;
- персональную ответственность, заключающуюся в том, что исполнитель (пользователь) должен нести ответственность за сохранность доверенных ему документов (носителей информации, информационных массивов), за свои действия в информационных системах;
- надежность хранения, когда документы (носители информации, информационные массивы) хранятся в условиях, исключающих несанкционированное ознакомление с ними, их уничтожение, подделку или искажение;
- разграничение информации по уровню конфиденциальности, заключающееся в предупреждении показания сведений более высокого уровня конфиденциальности в документах (носителях информации, информационных массивах) с более низким уровнем конфиденциальности, а также предупреждение передачи конфиденциальной информации по незащищенным линиям связи;
- контроль над действиями исполнителей (пользователей) с документацией и сведениями.
Система контроля над действиями исполнителей реализуется с помощью:
- организационных мер контроля при работе исполнителей с конфиденциальными документами и сведениями;
- соблюдения целостности технической среды, обрабатываемой информации и средств защиты, заключающегося в физической сохранности средств информатизации, выполнении средствами защиты предусмотренных функций, изолированности средств защиты от пользователей.
Безопасное использование технических средств информатизации
Одним из методов технической разведки и промышленного шпионажа является внедрение в конструкцию технических средств информатизации закладных устройств перехвата, трансляции информации или вывода технических средств из строя.
В целях противодействия такому методу воздействия на объекты информатики, для технических средств информатизации, предназначенных для обработки конфиденциальной информации, в обязательном порядке проводится проверка этих средств, осуществляемая специализированными организациями с помощью специальных установок и оборудования, как правило, в стационарных условиях в соответствии с установленными требованиями. Защита речевой информации при проведении конфиденциальных переговоров. Исходя из возможности перехвата речевой информации при проведении разговоров конфиденциального характера с помощью внедрения закладных устройств, акустических, виброакустических и лазерных технических средств разведки, противодействие этим угрозам должно осуществляться всеми доступными средствами и методами.
Обеспечение качества в системе безопасности
Необходимой составляющей системы безопасности должно быть обеспечение качества работ и используемых средств и мер защиты, нормативной базой которого является система стандартов и других руководящих нормативно-технических и методических документов по безопасности, утвержденных федеральными органами государственного управления в соответствии с их компетенцией и определяющие нормы защищенности информации и требования в различных направлениях защиты информации.
2.3 Управление системой безопасности
Действующие в настоящее время и разрабатываемые законодательные и иные нормативные акты предусматривают право компании на выработку собственной концепции системы безопасности и создания соответствующей службы как системы исполнительных органов, реализующей эту концепцию.
Исходя из представленных в задач, принципов организации и функционирования системы безопасности, основных угроз безопасности компании, целесообразно выделить следующие основные направления деятельности по обеспечению её безопасности:
- информационно-аналитические исследования и прогнозные оценки безопасности, в том числе экономической;
- безопасность персонала;
- сохранность и физическая защита финансовых средств и объектов;
- безопасность информационных ресурсов.
Основными задачами направления информационно-аналитических исследований и прогнозных оценок безопасности являются:
- организация работ по выявлению конфиденциальной информации, обоснованию уровня ее конфиденциальности и документальному оформлению в виде перечней сведений, подлежащих защите;
- учет официальных претензий правоохранительных и контролирующих органов к возможным партнерам на рынке, фирмам и т.п.;
- выявление и прогнозирование уязвимых мест в денежно-финансовой деятельности, реальных и потенциальных угроз безопасности, разработка и осуществление комплекса оперативных и долговременных мер по их предупреждению и нейтрализации;
- анализ и прогнозирование негативных тенденций социально-экономического развития с точки зрения влияния на ее безопасность;
- информационное обеспечение руководства в области безопасности;
- координация деятельности подразделений службы безопасности и обеспечения взаимодействия со всеми структурными подразделениями компании в решении проблемы безопасности.
Главной заботой о безопасности персонала является охрана личности от любых противоправных посягательств на его жизнь, материальные ценности и личную информацию.
Основными задачами направления сохранности и физической защиты продукции и объектов являются:
- установление режима охраны производственных объектов и объектов жизнедеятельности;
- осуществление допускного и пропускного режима;
- обеспечение защищенного хранения ценностей и документов (носителей информации), оснащение современными инженерно-техническими средствами охраны;
- осуществление контроля над сохранностью продукции на всех стадиях технологического процесса;
- организация личной безопасности определенной категории руководящего состава и ведущих специалистов из так называемой группы повышенного риска;
- обеспечение взаимодействия всех структур, участвующих в обеспечении физической защиты.
Основными задачами направления безопасности информационных ресурсов являются:
- организация и осуществление разрешительной системы допуска исполнителей к работе с документами и сведениями ограниченного доступа;
- организация хранения и обращения с конфиденциальными документами (носителями информации);
- осуществление закрытой переписки и шифрованной связи;
- организация и координация работ по защите информации;
- обеспечение безопасности в процессе проведения конфиденциальных совещаний, переговоров;
- осуществление контроля над сохранностью конфиденциальных документов (носителей информации), за обеспечением защиты информации, обрабатываемой и передаваемой средствами и системами вычислительной техники и связи.
Основными задачами в работе с персоналом компании являются:
- набор персонала: создание резерва потенциальных кандидатов по всем должностям. Набор персонала, как правило, проводится из внутренних (перемещение и продвижение по службе своих сотрудников) и внешних (найм по объявлениям и по личным рекомендациям) источников. Основным требованием при этом должны стать объективная оценка не только поступающего на работу сотрудника, но и предлагаемой ему работы.
- отбор кандидатов. К основным группам качеств для сравнения кандидатов относятся: профессиональные, образовательные, организационные и личные. Основным требованием при отборе является тщательное изучение деловых, моральных и этических данных каждого кандидата путем глубокого изучения трудового прошлого кандидата. В процессе анализа сведений о кандидате следует пользоваться услугами органов внутренних дел, которые должны оказывать платные услуги о наличии (отсутствии) судимости кандидата и сведения о лицах, находящихся в розыске. Заключение контракта и получение у сотрудника добровольного согласия на соблюдение требований, регламентирующих режим безопасности и сохранения коммерческой тайны.
- обучение кандидатов перед допуском к работе предусматривает введение в должность, обучение установленным правилом выполнения порученного дела, обеспечения безопасности и защиты информации.
- текущий контроль (мониторинг) за деятельностью сотрудника по повышению его бдительности в отношении угроз безопасности компании.
- своевременное выявление и устранение конфликтных ситуаций в работе с персоналом.
Общая характеристика организации
Название объекта защиты - ООО “Дивизион”. Основной целью организации является осуществление коммерческой деятельности.
Организация осуществляет следующую деятельность:
- создание физической системы безопасности объектов информатизации
- оборудование объектов информатизации приборами противопожарной безопасности
- подбор и установка камер видеонаблюдения на объекты защиты
- установка периметрических систем ограничения доступа на территорию объекта
- распространение портативных и стационарных шумогенераторов, приборов подавления частот, обнаружителей закладных устройств и др.
Исследование объекта
Здание расположено на первом этаже 9-этажного кирпичного жилого дома. В здании 4 оконных проёма, 2 из которых выходят на север, другие 2 - на юг. Все окна с двойным стеклом, рамы стоят плотно, каждое окно оборудовано решётками. Внутренние двери деревянные, одностворчатые с обычными замками. Входная дверь металлическая, оборудована замком повышенной стойкости. Стены здания находятся в хорошем состоянии.
Режим работы объекта: с понедельника по пятницу с 9:30 до 17:30. Численность рабочих составляет 12 человек. Охрана объекта и пропускной режим осуществляется 2 охранниками специального подразделения. Охранники вооружены табельным оружием. В нерабочее время на объекте дежурит 1 охранник.
Прежде, чем приступить к формированию системы защиты, необходимо ответить на вопрос “что защищать?” Другими словами, нужно выяснить, какие элементы требуют повышенного уровня защищённости, а какие являются объектами общего пользования (свободного доступа). Элементарными объектами физической защиты являются помещения предприятия. Опишем каждую комнату объекта защиты с целью определения её ценности с точки зрения защиты информации.
Рисунок 1 - План здания (составлено автором на основе [20])
В исследуемом здании находятся 11 помещений:
а) 1 - главный рабочий компьютерный кабинет. Здесь расположено 4 компьютера, сканер, ксерокс, принтер, факс, телефоны. В этом помещении осуществляется основная деятельность организации. Здесь производится анализ поступающей информации, поддерживаются контакты с клиентами, разрабатываются проекты.
б) 2, 3, 4 - туалеты и подсобные помещения;
в) 5 - пост охраны. В этом помещении располагаются охранники;
г) 6 - кабинет директора;
д) 7 - бухгалтерия. Здесь находится 1 компьютер, телефон;
е) 8 - складское помещение;
ж) 9 - проходная;
з) 10, 11 - неиспользуемые помещения. Единственный вход в них (с улицы) заблокирован;
Согласно РД 78.36.003-2002, все помещения любого объекта можно разделить условно (по виду и размещению в них ценностей) на четыре категории:
а) Помещения, где размещены товары, предметы, и изделия особой ценности и важности, утрата которых может привести к особо крупному или невосполнимому материальному и финансовому ущербу, создать угрозу здоровью и жизни большого числа людей, находящихся на объекте и вне его, привести к другим тяжким последствиям.
К этой категории относят: хранилища и кладовые денежных и валютных средств, ценных бумаг, хранилища ювелирных изделий, драгоценных металлов и камней; хранилища секретной документации, изделий; специальные хранилища взрывчатых, наркотических, ядовитых, бактериологических, токсичных и психотропных веществ и препаратов; специальные фондохранилища музеев и библиотек.
б) Помещения, где размещены ценные и важные товары, предметы и изделия, утрата которых может привести к значительному материальному и финансовому ущербу, создать угрозу здоровью и жизни людей, находящихся на объекте.
В том числе: ювелирные магазины, базы, склады и другие объекты, использующие в своей деятельности ювелирные изделия, драгоценные металлы и камни; объекты и помещения для хранения оружия и боеприпасов, радиоизотопных веществ и препаратов, предметов старины, искусства и культуры; объекты кредитно-финансовой системы (банки, операционные кассы вне кассового узла, дополнительные офисы, пункты обмена валюты, банкоматы); кассы предприятий, организаций, учреждений, головные кассы крупных торговых предприятий; сейфовые комнаты, предназначенные для хранения денежных средств, ювелирных изделий, драгоценных металлов и камней; другие аналогичные объекты и имущественные комплексы.
в) Помещения, где размещены товары, предметы и изделия повседневного спроса и использования.
Это: служебные, конторские помещения, торговые залы и помещения промышленных товаров, бытовой техники, продуктов питания.
г) Помещения, где размещены товары, предметы и изделия технологического и хозяйственного назначения.
В эту категорию входят: подсобные и вспомогательные помещения, помещения с постоянным или временным хранением технологического и хозяйственного оборудования, технической и конструкторской документации и т.п.
Исходя из этого помещения объекта, описанные выше, можно разбить по категориям следующим образом:
- вторая категория: главный рабочий кабинет, пост охраны, кабинет директора, склад (кабинеты 1, 5, 6, 8);
- третья категория: бухгалтерия (7);
- четвёртая категория: туалеты, подсобные помещения, проходная, неиспользуемые помещения (2, 3, 4, 9, 10, 11).
Институциональная модель потенциального нарушителя
Нарушитель - это лицо, которое предприняло попытку выполнения запрещенных операций (действий) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п.) и использующее для этого различные возможности, методы и средства.
Система защиты информации организации должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др.):
а) «Неопытный (невнимательный) пользователь» - сотрудник организации, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым информационным ресурсам с превышением своих полномочий, действуя по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему) средства.
б) «Любитель» - сотрудник организации, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей, ключей и т.п. других сотрудников), недостатки в построении системы защиты и доступные ему штатные средства (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств). Помимо этого он может пытаться использовать дополнительно нештатные инструментальные и технологические средства, самостоятельно разработанные приборы или стандартные дополнительные технические средства.
в) «Мошенник» - сотрудник организации, который может предпринимать попытки выполнения незаконных технологических операций, добавления подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (доступные ему) средства от своего имени или от имени другого сотрудника (зная его пароль или ключ доступа, используя его кратковременное отсутствие на рабочем месте и т.п.).
г) «Внешний нарушитель (злоумышленник)» - постороннее лицо или сотрудник организации, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор радиоэлектронных способов нарушения безопасности информации, методов и средств взлома систем защиты, включая использование специальных инструментальных и технологических средств, используя имеющиеся слабости системы защиты организации.
д) «Внутренний злоумышленник» - сотрудник подразделения организации, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести за нанесенную обиду, возможно в сговоре с лицами, не являющимися сотрудниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, использование специальных инструментальных и технологических средств), а также комбинации воздействий как изнутри, так и извне.
Внутренним нарушителем может быть лицо из следующих категорий персонала организации:
- зарегистрированные сотрудники организации (сотрудники подразделений организации);
- сотрудники подразделений организации, не допущенные к работе;
- персонал, обслуживающий технические средства организации (инженеры, техники);
- сотрудники отделов разработки и сопровождения ПО (прикладные и системные программисты);
- технический персонал, обслуживающий здания (уборщицы, электрики, сантехники и другие сотрудники, имеющие доступ в здания и помещения, где обрабатывается конфиденциальная информация организации);
- сотрудники службы безопасности организации;
- руководители различных уровней.
Категории лиц, которые могут быть внешними нарушителями:
- уволенные сотрудники организации;
- представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго-, водо-, теплоснабжения и т.п.);
- посетители (приглашенные представители организаций, граждане) представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
- члены преступных организаций, сотрудники спецслужб или лица, действующие по их заданию;
- лица, случайно или умышленно проникшие в организацию.
Пользователи и обслуживающий персонал из числа сотрудников организации имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации и защитных мер. Действия этой группы лиц напрямую связано с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами или спецслужбами.
Уволенные сотрудники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа. Полученные в организации знания и опыт выделяют их среди других источников внешних угроз.
Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность сотрудников организации всеми доступными им силами и средствами.
Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры и спецслужбы могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации организации.
Принимаются следующие ограничения и предположения о характере действий возможных нарушителей:
- работа по подбору кадров и специальные мероприятия исключают возможность создания коалиций нарушителей, т.е. объединения (сговора) и целенаправленных действий двух и более нарушителей - сотрудников организации по преодолению системы защиты;
- нарушитель скрывает свои несанкционированные действия от других сотрудников организации;
- несанкционированные действия могут быть следствием ошибок сотрудников, службы безопасности, эксплуатирующего и обслуживающего персонала, а также недостатков принятой технологии обработки, хранения и передачи информации;
- в своей противоправной деятельности вероятный нарушитель может использовать любое имеющееся средство перехвата информации, воздействия на информацию и информационные системы, адекватные финансовые средства для подкупа персонала, шантаж и другие средства и методы для достижения стоящих перед ним целей.
Анализ рисков
При проектировании системы физической защиты информации необходимо определить, насколько серьезный ущерб может принести фирме реализация той или иной угрозы. Анализ рисков включает в себя мероприятия по обследованию объекта, целью которого является определение того, какие ресурсы и от каких угроз надо защищать, а также в какой степени те или иные ресурсы нуждаются в защите. Определение набора адекватных мер защиты осуществляется в ходе управления рисками. В первом приближении риском называется произведение "возможного ущерба" на "вероятность атаки".
Существует множество схем вычисления рисков. За основу возьмём одну из них. Она включает в себя оценку величины ущерба и оценку вероятности реализации атаки.
Ущерб от атаки представлен в таблице 1.
Таблица 1
Оценка величины ущерба (составлено автором)
Величина ущерба |
Описание |
|
0 |
Распространение информации не нанесёт ущерба фирме |
|
1 |
Ущерб от реализации атаки незначителен, основные финансовые операции и положение фирмы на рынке не затронуты |
|
2 |
Нарушено устойчивое функционирование компании. В течение некоторого времени остановлена коммерческая деятельность фирмы. Организация терпит убытки, при этом её положение на рынке остаётся устойчивым. Клиенты продолжают поддерживать деловые контакты. |
|
3 |
Значительные потери на рынке и в прибыли. От фирмы уходит ощутимая часть клиентов |
|
4 |
Сильное потрясение для финансового положения компании, для её репутации. Потери очень значительны, фирма на период до года теряет положение на рынке. Для восстановления положения требуются крупные финансовые займы и длительное время. |
|
5 |
Фирма прекращает своё существование. |
Вероятность атаки представлена в таблице 2.
Таблица 2
Оценка вероятности реализации успешной атаки (составлено автором)
Вероятность |
Средняя частота появления |
|
0 |
Данный вид атаки отсутствует |
|
1 |
реже, чем раз в год |
|
2 |
около 1 раза в год |
|
3 |
около 1 раза в месяц |
|
4 |
около 1 раза в неделю |
|
5 |
практически ежедневно |
Далее требуется оценить наиболее уязвимые элементы объекта защиты. Для этого составляется таблица рисков предприятия (таблица 3).
Таблица 3
Таблица рисков предприятия (составлено автором)
Описание угрозы |
Ущерб |
Вероятность |
Риск |
|
Дефекты, сбои, отказы, аварии технических средств и систем обработки информации |
4 |
1 |
4 |
|
Разглашение информации лицам, не имеющим права доступа к защищаемой информации |
2 |
2 |
4 |
|
Копирование информации на незарегистрированный носитель информации |
1 |
3 |
3 |
|
Передача носителя информации лицу, не имеющему доступа к ней |
4 |
1 |
4 |
|
Утеря носителя с информацией |
2 |
2 |
4 |
|
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации. |
4 |
1 |
4 |
|
Несанкционированное копирование информации |
2 |
2 |
4 |
|
Использование закладных устройств |
3 |
1 |
3 |
|
Использование слабостей системы защиты |
2 |
2 |
4 |
|
Бесконтрольное (незаметное) перемещение посторонних по объекту ... |
Подобные документы
Определение информационных и технических ресурсов, объектов ИС подлежащих защите. Представление элементов матрицы. Внедрение и организация использования выбранных мер, способов и средств защиты. Осуществление контроля целостности и управление системой.
контрольная работа [498,3 K], добавлен 26.06.2014Основные понятия и методы оценки безопасности информационных систем. Содержание "Оранжевой книги" Национального центра защиты компьютеров США (TCSEC). Суть гармонизированных критериев Европейских стран (ITSEC). Проектирование системы защиты данных.
курсовая работа [28,8 K], добавлен 21.10.2010Безопасность информационной системы как ее способность противостоять различным воздействиям. Виды компьютерных угроз, понятие несанкционированного доступа. Вирусы и вредоносное программное обеспечение. Методы и средства защиты информационных систем.
реферат [25,6 K], добавлен 14.11.2010Основные виды угроз безопасности экономических информационных систем. Воздействие вредоносных программ. Шифрование как основной метод защиты информации. Правовые основы обеспечения информационной безопасности. Сущность криптографических методов.
курсовая работа [132,1 K], добавлен 28.07.2015Организационные основы защиты информации на предприятии. Общие принципы построения систем контроля и управления доступом. Характеристика объекта, текущего оборудования и программного обеспечения. Классификация воздушных и воздушно-тепловых завес.
дипломная работа [5,7 M], добавлен 13.04.2014Факторы угроз сохранности информации в информационных системах. Требования к защите информационных систем. Классификация схем защиты информационных систем. Анализ сохранности информационных систем. Комплексная защита информации в ЭВМ.
курсовая работа [30,8 K], добавлен 04.12.2003Определение назначения и характеристика видов систем защиты информации. Описание структур систем по защите накапливаемой, обрабатываемой и хранимой информации, предупреждение и обнаружение угроз. Государственное регулирование защиты информационных сетей.
реферат [43,6 K], добавлен 22.05.2013Основы защиты компьютерной информации: основные понятия и определения. Классификация угроз безопасности информации. Формы и источники атак на объекты информационных систем. Анализ угроз и каналов утечки информации. Анализ рисков и управление ими.
курс лекций [60,3 K], добавлен 31.10.2009Особенности решения задачи контроля и управления посещением охраняемого объекта. Создание системы как совокупности программных и технических средств. Классификация систем контроля и управления доступом. Основные устройства системы и их характеристика.
презентация [677,7 K], добавлен 03.12.2014Цели информационной безопасности. Источники основных информационных угроз для России. Значимость безопасности информации для различных специалистов с позиции компании и заинтересованных лиц. Методы защиты информации от преднамеренных информационных угроз.
презентация [200,6 K], добавлен 27.12.2010Анализ локальной сети предприятия, оценка возможных угроз. Основные понятия безопасности компьютерных систем. Пути несанкционированного доступа, классификация способов и средств защиты информации. Идетификация и аутификация, управление доступом.
отчет по практике [268,1 K], добавлен 16.01.2013Анализ информации как объекта защиты и изучение требований к защищенности информации. Исследование инженерно-технических мер защиты и разработка системы управления объектом защиты информации. Реализация защиты объекта средствами программы Packet Tracer.
дипломная работа [1,2 M], добавлен 28.04.2012Применение программного обеспечения и технических средств контроля и управления доступом для предупреждения угроз несанкционированного доступа к защищаемой информации. Построение интегрированной системы безопасности "FortNet" и ее составных элементов.
лабораторная работа [1,3 M], добавлен 14.11.2014Анализ существующих систем контроля и управления доступом различных фирм-производителей. Анализ технических и эксплуатационных характеристик различных систем, разработка системы контроля и управления доступом. Предложение плана реализации системы.
дипломная работа [2,7 M], добавлен 07.06.2011Нормативно-правовые документы в сфере информационной безопасности в России. Анализ угроз информационных систем. Характеристика организации системы защиты персональных данных клиники. Внедрение системы аутентификации с использованием электронных ключей.
дипломная работа [2,5 M], добавлен 31.10.2016Виды угроз безопасности в экономических информационных системах, проблема создания и выбора средств их защиты. Механизмы шифрования и основные виды защиты, используемые в автоматизированных информационных технологиях (АИТ). Признаки современных АИТ.
курсовая работа [50,8 K], добавлен 28.08.2011Общие сведения о компании ООО "ВТИ-Сервис", ее система защиты информации и описание организации основных информационных потоков. Классификация средств, выявление основных угроз важной информации. Характеристика технических средств по обеспечению ЗИ.
курсовая работа [378,8 K], добавлен 28.04.2014Необходимость защиты информации. Виды угроз безопасности ИС. Основные направления аппаратной защиты, используемые в автоматизированных информационных технологиях. Криптографические преобразования: шифрование и кодирование. Прямые каналы утечки данных.
курсовая работа [72,1 K], добавлен 22.05.2015Изучение деятельности фирмы СООО "Гейм Стрим", занимающейся разработкой программного обеспечения интеллектуальных систем. Проведение работы по тестированию информационных систем на степень защищенности и безопасности от разного рода информационных атак.
отчет по практике [933,1 K], добавлен 05.12.2012Анализ объекта информатизации. Политику информационной безопасности. Подсистемы технической защиты информации: управления доступом, видеонаблюдения, охранной и пожарной сигнализаций, защиты от утечки по техническим каналам, защиты корпоративной сети.
презентация [226,0 K], добавлен 30.01.2012