Обеспечение безопасности конфиденциальной информации при взаимодействии абонентов с сетью Интернет в ООО "Инфотелеком"

Размещено на http://www.allbest.ru/

Департамент образования города Москвы

Государственное бюджетное профессиональное образовательное учреждение

Колледж связи № 54 им. П.М. Вострухина

"Информационная безопасность телекоммуникационных систем"

Курсовая работа

Тема: "Обеспечение безопасности конфиденциальной информации при взаимодействии абонентов с сетью Интернет в ООО "Инфотелеком"

Студент Тешко С.И.

Руководитель: В.П. Шаманин

Москва 2015

Оглавление

Введение

Раздел 1. Нормативно-правовые акты, регулирующие вопросы по защите конфиденциальной информации

Раздел 2. Организация защиты информации при работе сети Интернет

Раздел 3. Обеспечение безопасности конфиденциальной информации на предприятии ООО "Инфотелеком"

Заключение

Список используемой литературы

Приложения

Введение

В данной курсовой работе изложены основные принципы обеспечения безопасности конфиденциальной информации, а также взаимодействие абонентов с сетью Интернет, которые необходимо предпринимать для обеспечения безопасности персональных данных и прочих видов конфиденциальной информации.

С развитием информационного общества все большее значение приобретают проблемы, связанные с защитой конфиденциальной информации.

Конфиденциальная информация является важнейшей составляющей любых информационных отношений. Вопросы правового регулирования по поводу использования и распространения информации в последнее время занимают одно из значительных мест в юридической литературе. Это обусловлено, прежде всего, тем, что содержание юридически значимой тайны заключается в том, что ее предмет образует информация, не предназначенная для широкого круга лиц, а ее разглашение может повлечь нежелательные последствия для владельцев и обладателей тайны. Целью курсовой работы является рассмотреть порядок работ с конфиденциальной информацией, обрабатываемые в АС имеющий доступ к сети Интернет. Для достижения цели были поставлены следующие задачи:

1) Изучить действующие законодательство РФ.

2) Раскрыть понятие конфиденциальной информации.

3) Рассмотреть угрозы в сети Интернет.

4) Рассмотреть методы защиты от НСД по сети.

5) Рассмотреть способы защиты от вредоносных программ.

6) Дать экономическое обоснование выбора средств защиты.

Раздел 1. Нормативно-правовые акты, регулирующие вопросы по защите конфиденциальной информации

В соответствии с Федеральным законом от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" (далее - Закон об информации), циркулирующая в обществе информация подразделяется на общедоступную информацию и информацию ограниченного доступа. Законом также установлено, что ограничения на доступ к информации устанавливаются только федеральными законами (ч. 2 ст. 5).

Закон об информации подразделяет информацию в зависимости от порядка ее предоставления или распространения (ст. 5):

1) информацию, свободно распространяемую;

2) информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;

3) информацию, которая в соответствии с ФЗ подлежит предоставлению или распространению;

4) информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Законодательством Российской Федерации установлено, что информация ограниченного доступа может составлять государственную тайну или относиться к конфиденциальной информации.

К государственной тайне относятся защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации. Отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности Российской Федерации, регулируются Законом РФ от 21.07.1993 № 5485-1 "О государственной тайне" (в ред. от 01.12.2007).

Виды конфиденциальной информации установлены Указом Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении перечня сведений конфиденциального характера" (с изменениями от 23.09.2005 №1111). К ней относятся: правовой информация защита

1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.

2. Сведения, составляющие тайну следствия и судопроизводства.

3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).

4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).

5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).

6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Персональные данные, в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных", - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Указанным Законом установлен порядок обработки персональных данных, осуществляемой федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами, органами местного самоуправления, не входящими в систему органов местного самоуправления муниципальными органами, юридическими лицами, физическими лицами с использованием средств автоматизации или без использования таких средств.

Законом об информации (ст. 11) установлено, что не допускаются сбор, хранение, использование и распространение информации о частной жизни, а равно информации, нарушающей личную тайну, семейную тайну, тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений физического лица без его согласия, кроме как на основании судебного решения.

Порядок обработки персональных данных в рамках трудовых отношений установлен Трудовым кодексом Российской Федерации (гл. 14), согласно которому работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

Положение о неразглашении персональных данных содержится и в Федеральном законе от 15.11.1997 № 143-ФЗ "Об актах гражданского состояния" (в ред. от 18.07.2006), в ст. 12 которого говорится о том, что сведения, ставшие известными работнику органа записи актов гражданского состояния в связи с государственной регистрацией акта гражданского состояния, являются персональными данными, относятся к категории конфиденциальной информации, имеют ограниченный доступ и разглашению не подлежат.

Уголовный кодекс Российской Федерации (ст. 137) предусматривает уголовную ответственность за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующим в произведении или средствах массовой информации, если эти деяния совершены из корыстной или иной личной заинтересованности и причинили вред правам и законным интересам граждан.

Тайна следствия и судопроизводства. Положения о недопустимости разглашения следственных данных установлены, в частности, Уголовно-процессуальным кодексом Российской Федерации: "Данные предварительного расследования не подлежат разглашению… Данные предварительного расследования могут быть преданы гласности лишь с разрешения прокурора, следователя, дознавателя и только в том объеме, в каком ими будет признано это допустимым, если разглашение не противоречит интересам предварительного расследования и не связано с нарушением прав и законных интересов участников уголовного судопроизводства. Разглашение данных о частной жизни участников уголовного судопроизводства без их согласия не допускается" (ч. 1, 3 ст. 161).

Разглашение данных предварительного расследования лицом, предупрежденным в установленном законом порядке о недопустимости их разглашения, если оно совершено без согласия прокурора, следователя или лица, производящего дознание, влечет уголовную ответственность.

Служебные сведения ограниченного доступа (служебная тайна). Указ Президента РФ от 06.03.1997 № 188 "Об утверждении Перечня сведений конфиденциального характера" (в ред. от 23.09.2005) определяет служебную тайну как служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами.

Сведения, связанные с профессиональной деятельностью: врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и др. Порядок обращения и порядок доступа к информации, составляющей различные виды профессиональной тайны, регламентируется рядом законодательных актов Российской Федерации. Как правило, это законодательные акты, регулирующие отношения в определенных сферах деятельности. Например, Федеральный закон от 31.05.2002 № 63-ФЗ "Об адвокатской деятельности и адвокатуре в Российской Федерации" (в ред. 24.07.2007, с изм. от 03.12.2007) содержит ст. 8 "Адвокатская тайна", в которой установлено, что адвокатской тайной являются любые сведения, связанные с оказанием адвокатом юридической помощи своему доверителю. Адвокат не может быть вызван и допрошен в качестве свидетеля об обстоятельствах, ставших ему известными в связи с обращением к нему за юридической помощью или в связи с ее оказанием.

В Основах законодательства Российской Федерации об охране здоровья граждан от 22.07.1993 № 5487-1 (в ред. от 18.10.2007) установлено, что информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных Законом (ч. 1, 2 ст. 61 "Врачебная тайна").

Приказом Федерального фонда обязательного медицинского страхования от 25.03.1998 № 30 "О соблюдении конфиденциальности сведений, составляющих врачебную тайну" установлен комплекс организационных мер по обеспечению защиты информации, составляющей врачебную тайну.

Федеральный закон от 17.07.1999 № 176-ФЗ "О почтовой связи" (в ред. от 26.06.2007) содержит положения, направленные на защиту тайны связи, - тайны переписки, почтовых, телеграфных и иных сообщений, входящих в сферу деятельности операторов почтовой связи. Тайна связи не подлежит разглашению без согласия пользователя услуг почтовой связи. Все операторы почтовой связи обязаны обеспечивать соблюдение тайны связи. Информация об адресных данных пользователей услуг почтовой связи, о почтовых отправлениях, почтовых переводах денежных средств, телеграфных и иных сообщениях, входящих в сферу деятельности операторов почтовой связи, а также сами эти почтовые отправления, переводимые денежные средства, телеграфные и иные сообщения являются тайной связи и могут выдаваться только отправителям (адресатам) или их представителям (ст. 15).

Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений в соответствии с Уголовным кодексом Российской Федерации (ст. 138) влечет уголовную ответственность.

Сведения, связанные с коммерческой деятельностью, доступ к которым ограничивается (коммерческая тайна). Определение коммерческой тайны приведено в Гражданском кодексе Российской Федерации (ст. 139) и Федеральном законе от 29.07.2004 № 98-ФЗ "О коммерческой тайне" (в ред. от 24.07.2007). Закон трактует коммерческую тайну как конфиденциальность информации, позволяющую ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду (ст. 3).

Закон "О коммерческой тайне" устанавливает виды информации, которая не может составлять коммерческую тайну. Это информация, содержащаяся:

1) в учредительных документах юридического лица;

2) документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

3) в документах, дающих право на осуществление предпринимательской деятельности;

4) в документах о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

5) в документах о загрязнении окружающей среды;

6) в документах о состоянии противопожарной безопасности;

7) в документах о санитарно-эпидемиологической и радиационной обстановке;

8) в документах о безопасности пищевых продуктов и других факторах,

9) оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов;

Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них, в соответствии с Указом Президента РФ 06.03.1997 № 188, также являются конфиденциальной информацией. Меры по защите такого рода информации установлены Гражданским кодексом Российской Федерации (ч. 4).

Постановление Правительства РФ от 03.02.2012 № 79 "О лицензировании деятельности по технической защите конфиденциальной информации.

Постановление Правительства Российской Федерации от 03.03.2012 №171 "О лицензировании деятельности по разработке и производству средств защиты конфиденциальной информации".

Приказ ФСБ России от 28 декабря 2012 года N 683 "Об утверждении Административного регламента Федеральной службы безопасности Российской Федерации по предоставлению государственной услуги по осуществлению лицензирования деятельности по разработке и производству средств защиты конфиденциальной информации".

Постановление Правительства Российской Федерации от 16 апреля 2012 года № 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (графических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических средств)".

Раздел 2. Организация защиты информации при работе сети Интернет

Согласно действующему ФЗ "Об информации, информационных технологиях и защите информации" от 27.07.2006 г. № 149-ФЗ определение понятия "конфиденциальная информация" не содержит. Однако данное определение может быть получено на основании анализа его норм. Согласно п. 1 ст. 2 указанного закона информация - это сведения (сообщения, данные) независимо от формы их представления.

В п. 7 той же статьи сказано, что конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя.

Конфиденциальная информация - это сведения, независимо от формы их предоставления, которые не могут быть переданы лицом, получившим доступ к данным сведениям, третьим лицам без согласия их правообладателя.

Таким образом, конфиденциальной информацией является информация требующей защиты. Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам. Обладателями информации могут быть гражданин (физическое лицо), юридическое лицо, государственные органы и органы местного самоуправления в пределах их полномочий.

Обладатель информации вправе:

• разрешать или ограничивать доступ к информации, определять порядок и условия такого доступа;

• использовать информацию, в том числе распространять её по своему усмотрению;

• передать информацию другим лицам по договору или на ином установленном законом основании;

• распространять информацию;

• защищать в установленном законодательством Российской Федерации порядке свои права в случае незаконного получения или использования информации третьими лицами, а также требовать возмещения убытков, причиненных в связи с нарушением его прав;

• осуществлять действия или разрешать осуществление иных действий с информацией, обладателем которой он является.

Интернет - глобальная информационная сеть, части которой логически взаимосвязаны друг с другом посредством единого адресного пространства, основанного на протоколе TCP/IP.

В Internet нет единого пункта подписки или регистрации, вместо этого вы контактируете с поставщиком услуг, который предоставляет вам доступ к сети через местный компьютер. Последствия такой децентрализации с точки зрения доступности сетевых ресурсов также весьма значительны. Среду передачи данных в Internet нельзя рассматривать только как паутину проводов или оптоволоконных линий. Оцифрованные данные пересылаются через маршрутизаторы, которые соединяют сети и с помощью сложных алгоритмов выбирают наилучшие маршруты для информационных потоков

В отличие от локальных сетей, в составе которых имеются свои высокоскоростные каналы передачи информации, глобальная (а также региональная и, как правило, корпоративная) сеть включает подсеть связи (иначе: территориальную сеть связи, систему передачи информации), к которой подключаются локальные сети, отдельные компоненты и терминалы (средства ввода и отображения информации).

Подсеть связи состоит из каналов передачи информации и коммуникационных узлов, которые предназначены для передачи данных по сети, выбора оптимального маршрута передачи информации, коммутации пакетов и реализации ряда других функций с помощью компьютера (одного или нескольких) и соответствующего программного обеспечения, имеющихся в коммуникационном узле. Компьютеры, за которыми работают пользователи-клиенты, называются рабочими станциями, а компьютеры, являющиеся источниками ресурсов сети, предоставляемых пользователям, называются серверами. Такая структура сети получила название узловой.

К техническим ресурсам сети Интернет относятся компьютерные узлы, маршрутизаторы, шлюзы, каналы связи и др.

В основу архитектуры сетей положен многоуровневый принцип передачи сообщений. Формирование сообщения осуществляется на самом верхнем уровне модели ISO/OSI.. Затем (при передаче) оно последовательно проходит все уровни системы до самого нижнего, где и передается по каналу связи адресату. По мере прохождения каждого из уровней системы сообщение трансформируется, разбивается на сравнительно короткие части, которые снабжаются дополнительными заголовками, обеспечивающими информацией аналогичные уровни на узле адресата. В этом узле сообщение проходит от нижнего уровня к верхнему, снимая с себя заголовки. В результате адресат принимает сообщение в первоначальном виде.

В территориальных сетях управление обменом данных осуществляется протоколами верхнего уровня модели ISO/OSI. Независимо от внутренней конструкции каждого конкретного протокола верхнего уровня для них характерно наличие общих функций: инициализация связи, передача и прием данных, завершение обмена. Каждый протокол имеет средства для идентификации любой рабочей станции сети по имени, сетевому адресу или по обоим этим атрибутам. Активизация обмена информацией между взаимодействующими узлами начинается после идентификации узла адресата узлом, инициирующим обмен данными. Инициирующая станция устанавливает один из методов организации обмена данными: метод дейтаграмм или метод сеансов связи. Протокол предоставляет средства для приема/передачи сообщений адресатом и источником. При этом обычно накладываются ограничения на длину сообщений.

Наиболее распространенным протоколом управления обменом данных является протокол TCP/IP. Главное отличие сети Internet от других сетей заключается именно в ее протоколах TCP/IP, охватывающих целое семейство протоколов взаимодействия между компьютерами сети. TCP/IP - это технология межсетевого взаимодействия, технология Internet. Поэтому глобальная сеть, объединяющая множество сетей с технологией TCP/IP, называется Internet.

Протокол TCP/IP - это семейство программно реализованных протоколов старшего уровня, не работающих с аппаратными прерываниями. Технически протокол TCP/IP состоит из двух частей - IP и TCP.

Протокол IP (Internet Protocol - межсетевой протокол) является главным протоколом семейства, он реализует распространение информации в IP-сети и выполняется на третьем (сетевом) уровне модели ISO/OSI.

Протокол IP обеспечивает дейтаграммную доставку пакетов, его основная задача - маршрутизация пакетов. Он не отвечает за надежность доставки информации, за ее целостность, за сохранение порядка потока пакетов. Сети, в которых используется протокол IP, называются IP-сетями. Они работают в основном по аналоговым каналам (т.е. для подключения компьютера к сети требуется IP-модем) и являются сетями с коммутацией пакетов. Пакет здесь называется дейтаграммой.

Высокоуровневый протокол TCP (Transmission Control Protocol - протокол управления передачей) работает на транспортном уровне и частично - на сеансовом уровне. Это протокол с установлением логического соединения между отправителем и получателем. Он обеспечивает сеансовую связь между двумя узлами с гарантированной доставкой информации, осуществляет контроль целостности передаваемой информации, сохраняет порядок потока пакетов.

Для компьютеров протокол TCP/IP - это то же, что правила разговора для людей. Он принят в качестве официального стандарта в сети Internet, т.е. сетевая технология TCP/IP де-факто стала технологией всемирной сети Интернет.

Ключевую часть протокола составляет схема маршрутизации пакетов, основанная на уникальных адресах сети Internet. Каждая рабочая станция, входящая в состав локальной или глобальной сети, имеет уникальный адрес, который включает две части, определяющие адрес сети и адрес станции внутри сети. Такая схема позволяет передавать сообщения как внутри данной сети, так и во внешние сети.

Для того, чтобы компьютеры могли обмениваться информацией, они должны "понимать" друг друга. Для этого были придуманы протоколы. Протокол - это совокупность правил, в соответствии с которыми происходит передача информации через сеть.

Основные протоколы, используемые в работе Интернет:

1) TCP/IP;

2) POP3;

3) SMTP;

4) FTP;

5) HTTP;

6) IMAP4;

6) WAIS;

7) Gorpher;

8) WAP.

TCP/IP - набор сетевых протоколов передачи данных, используемых в сетях, включая сеть Интернет. Название TCP/IP происходит из двух наиважнейших протоколов семейства - Transmission Control Protocol (TCP) и Internet Protocol (IP), которые были разработаны и описаны первыми в данном стандарте.

FTP (File Transfer Protocol) - протокол передачи файлов. Это один из протоколов передачи информации по сети Интернет. Фактически это общепринятая спецификация команд, которые используют программы для своей работы. Протоколы создаются для того, чтобы разные программы на разных типах компьютеров могли общаться друг с другом. Это что-то типа универсального языка.

HTTP (англ. HyperText Transfer Protocol- "протокол передачи гипертекста")

- протокол прикладного уровня передачи данных (изначально - в виде гипертекстовых документов в формате HTML, в настоящий момент используется для передачи произвольных данных).

POP3 (англ. Post Office Protocol Version 3 - протокол почтового отделения, версия 3) - стандартный интернет-протокол прикладного уровня, используемый клиентами электронной почты для получения почты с удаленного сервера по TCP/IP-соединению.

SMTP (Simple Mail Transfer Protocol) - протокол, который задает набор правил для передачи почты. Сервер SMTP возвращает либо подтверждение о приеме, либо сообщение об ошибке, либо запрашивает дополнительную информацию.

TELNET - это протокол удаленного доступа. TELNET дает возможность абоненту работать на любой ЭВМ находящейся с ним в одной сети, как на своей собственной, то есть запускать программы, менять режим работы и так далее.

IMAP (англ. Internet Message Access Protocol) - протокол прикладного уровня для доступа к электронной почте. Базируется на транспортном протоколе TCP и использует порт 143. IMAP предоставляет пользователю обширные возможности для работы с почтовыми ящиками, находящимися на центральном сервере.

WAIS (Wide Area Information Servers) - сетевая информационная поисковая система. WAIS использует протокол TCP/IP для взаимодействия клиентской прикладной программы с информационным сервером. Клиентская часть имеет возможность получать тексты или мультимедийные документы, хранящиеся на сервере. Она запрашивает документы, используя ключевые слова.

Gopher - сетевой протокол распределённого поиска и передачи документов, который был широко распространён в Интернете до 1993 года. Протокол предназначался для предоставления доступа к документам в Интернет, но имел меньше возможностей, чем HTTP, и впоследствии был полностью вытеснен им.

Wireless Application Protocol (WAP) (англ HYPERLINK "https://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D0%B8%D0%B9%D1%81%D0%BA%D0%B8%D0%B9_%D1%8F%D0%B7%D1%8B%D0%BA". Wireless Application Protocol - беспроводной протокол передачи данных). Протокол создан специально для сетей GSM, где нужно устанавливать связь портативных устройств (мобильный HYPERLINK "https://ru.wikipedia.org/wiki/%D0%9C%D0%BE%D0%B1%D0%B8%D0%BB%D1%8C%D0%BD%D1%8B%D0%B9_%D1%82%D0%B5%D0%BB%D0%B5%D1%84%D0%BE%D0%BD"телефон, КПК, пейджеры, устройства двусторонней радиосвязи, смартфоны, и другие терминалы) с сетью Интернет.

Под угрозами конфиденциальной информации принятии понимать потенциальные или реальные возможные действия по отношению к информационным ресурсам, приводящие к овладению охраняемыми сведениям. Такими действиями являются:

1) Ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;

2) Конфискация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;

3) Разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

В конечном итоге противоправные действия с информацией приводят к нарушению конфиденциальности, полноты, достоверности доступности, что в свою очередь приводит к нарушению, как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально, значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого могут быть классифицированы по следующим классам: по величине принесенного ущерба; предельный, после которого фирма может стать банкротом; значительный, но не приводящий к банкротству; значительный, который фирма за какое-то время может компенсировать; по вероятности возникновения.

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:

1) владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;

2) источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;

3) промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.

1. Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и т.д.). Неформальные коммуникации включают личное общение (встречи, переписка), выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).

2. Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами.

Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Такой подход к классификации действий, способствующих неправомерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.

Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия.

Интернет угроза безопасности является на сегодня одной из самых больших проблем в Интернете. Угроза - это потенциально возможное событие, действие, которое посредством воздействия на объект защиты может привести к нанесению ущерба.

Цель вредоносных программ - причинить ущерб компьютеру, серверу или компьютерной сети. Они могут, например, испортить, украсть или стереть данные, хранящиеся на компьютере, замедлить или полностью остановить работу устройства. Вредоносные программы часто "прячутся" в письмах и сообщениях с заманчивыми предложениями от неизвестных лиц и компаний, в страницах новостных сайтов или других популярных ресурсах, которые содержат уязвимости. Пользователи заходят на эти сайты, и вредоносные программы незаметно проникают на компьютер.

Также вредоносные программы распространяются через электронную почту, съемные носители информации или скачанные из Интернета файлы. Файлы или ссылки, присланные по электронной почте, могут подвергать устройство заражению.

Вредоносные программы могут скрываться и под видом звуковых или графических сообщений. Например, красивая экранная заставка, которой с удовольствием любуется пользователь, может оказаться троянской программой (что это такое, читайте ниже). Ссылки, которые появляются во всплывающих окнах и в рекламных объявлениях на различных сайтах, также могут содержать вирусы.

К вредоносным программам относятся вирусы, черви, троянские программы. Вирус - разновидность компьютерной программы, отличительной особенностью которой является способность к размножению (саморепликации) и незаметному для пользователя внедрению в файлы, загрузочные секторы дисков и документы. Название "вирус" по отношению к компьютерным программам пришло из биологии именно по признаку способности к саморазмножению. Лежащий в виде зараженного файла на диске вирус не опасен до тех пор, пока его не открыть или не запустить. Он начинает действовать только тогда, когда пользователь его активирует. Вирусы разработаны, чтобы копировать себя, заражая компьютеры, при этом обычно они уничтожают файлы.

Черви - это разновидность вирусов. Они полностью оправдывают свое название, поскольку распространяются путем "переползания" из устройства в устройство. Так же, как и вирусы, они представляют собой саморазмножающиеся программы, но в отличие от вирусов, червю не нужна помощь пользователя, чтобы распространиться. Он сам находит лазейку.

Троянские программы - вредоносные программы, которые целенаправленно внедряются злоумышленниками для сбора информации, ее разрушения или модификации, нарушения работоспособности компьютера или использования его ресурсов в неблаговидных целях. Внешне троянские программы выглядят как легальные программные продукты и не вызывают подозрений. В отличие от вирусов, они полностью готовы к выполнению своих функций. На это и делается расчет злоумышленников: их задача - сделать такую программу, которую пользователи не побоятся запускать и использовать.

Злоумышленники могут заражать компьютер, чтобы сделать его частью ботнета - сети из зараженных устройств, расположенных по всему миру. Крупные ботнеты могут включать в себя десятки и сотни тысяч компьютеров. Пользователи часто даже не догадываются, что их компьютеры заражены вредоносными программами и используются злоумышленниками. Ботнеты создаются путем рассылки разными способами вредоносных программ, а зараженные машины в дальнейшем регулярно получают команды от администратора ботнета, так что оказывается возможным организовать согласованные действия компьютеров-ботов по атаке других устройств и ресурсов.

DoS-атака (отказ в обслуживании) - это атака, приводящая к парализации работы сервера или персонального компьютера вследствие огромного количества запросов, с высокой скоростью поступающих на атакуемый ресурс.

Суть DoS-атаки заключается в том, что злоумышленник пытается сделать временно недоступным конкретный сервер, перегрузить сеть, процессор или переполнить диск. Цель атаки - просто вывести компьютер из строя, а не получить информацию, захватить все ресурсы компьютера-жертвы, чтобы другие пользователи не имели к ним доступа. К ресурсам относятся: память, процессорное время, дисковое пространство, сетевые ресурсы и т. д.

Осуществить DoS-атаку можно двумя способами. При первом способе для DoS-атаки используется уязвимость программного обеспечения, установленного на атакуемом компьютере. Уязвимость позволяет вызвать определенную критическую ошибку, которая приведет к нарушению работоспособности системы.

При втором способе атака осуществляется при помощи одновременной отсылки большого количества пакетов информации на атакуемый компьютер, что вызывает перегрузку сети.

Если подобная атака проводится одновременно сразу с большого числа компьютеров, то в этом случае говорят о DDoS-атаке.

DDoS-атака (распределенный отказ в обслуживании) - это разновидность DoS-атаки, которая организуется при помощи очень большого числа компьютеров, благодаря чему атаке могут быть подвержены сервера даже с очень большой пропускной способностью Интернет-каналов.

Для организации DDoS-атак злоумышленники используют ботнет - специальную сеть компьютеров, зараженных особым видом вирусов. Каждым таким компьютером злоумышленник может управлять удаленно, без ведома владельца. При помощи вируса или программы, искусно маскирующейся под легальную, на компьютер-жертву устанавливается вредоносный программный код, который не распознается антивирусом и работает в фоновом режиме. В нужный момент по команде владельца ботнета такая программа активизируется и начинает отправлять запросы на атакуемый сервер, в результате чего заполняется канал связи между сервисом, на который проводится атака, и Интернет-провайдером и сервер перестает работать.

Фишинг является наиболее популярным способом атаки на пользователей и одним из методов социальной инженерии. Он представляет собой особый вид Интернет-мошенничества. Цель фишинга - получение доступа к конфиденциальным данным, таким как адрес, телефон, номера кредитных карт, логины и пароли, путем использования поддельных веб-страниц.

Наиболее действенными методами защиты от несанкционированного доступа по компьютерным сетям являются виртуальные частные сети (VPN - Virtual Private Network) и межсетевое экранирование.

Виртуальные частные сети обеспечивают автоматическую защиту целостности и конфиденциальности сообщений, передаваемых через различные сети общего пользования, прежде всего, через Интернет. Фактически, VPN - это совокупность сетей, на внешнем периметре которых установлены VPN-агенты.

VPN-агент - это программа (или программно-аппаратный комплекс), собственно обеспечивающая защиту передаваемой информации путем выполнения описанных ниже операций. Перед отправкой в сеть любого IP-пакета VPN-агент производит следующее:

• Из заголовка IP-пакета выделяется информация о его адресате. Согласно этой информации на основе политики безопасности данного VPN-агента выбираются алгоритмы защиты (если VPN-агент поддерживает несколько алгоритмов) и криптографические ключи, с помощью которых будет защищен данный пакет. В том случае, если политикой безопасности VPN-агента не предусмотрена отправка IP-пакета данному адресату или IP-пакета с данными характеристиками, отправка IP-пакета блокируется.

• С помощью выбранного алгоритма защиты целостности формируется и добавляется в IP-пакет электронная цифровая подпись (ЭЦП), имитоприставка или аналогичная контрольная сумма.

• С помощью выбранного алгоритма шифрования производится зашифрование IP-пакета.

• С помощью установленного алгоритма инкапсуляции пакетов зашифрованный IP-пакет помещается в готовый для передачи IP-пакет, заголовок которого вместо исходной информации об адресате и отправителе содержит соответственно информацию о VPN-агенте адресата и VPN-агенте отправителя. Т.е. выполняется трансляция сетевых адресов.

• Пакет отправляется VPN-агенту адресата. При необходимости, производится его разбиение и поочередная отправка результирующих пакетов.

При приеме IP-пакета VPN-агент производит следующее:

• Из заголовка IP-пакета выделяется информация о его отправителе. В том случае, если отправитель не входит в число разрешенных (согласно политике безопасности) или неизвестен (например, при приеме пакета с намеренно или случайно поврежденным заголовком), пакет не обрабатывается и отбрасывается.

• Согласно политике безопасности выбираются алгоритмы защиты данного пакета и ключи, с помощью которых будет выполнено расшифрование пакета и проверка его целостности.

• Выделяется информационная (инкапсулированная) часть пакета и производится ее расшифрование.

• Производится контроль целостности пакета на основе выбранного алгоритма. В случае обнаружения нарушения целостности пакет отбрасывается.

• Пакет отправляется адресату (по внутренней сети) согласно информации, находящейся в его оригинальном заголовке.

VPN-агент может находиться непосредственно на защищаемом компьютере (например, компьютеры "удаленных пользователей". В этом случае с его помощью защищается информационный обмен только того компьютера, на котором он установлен, однако описанные выше принципы его действия остаются неизменными.

Основное правило построения VPN - связь между защищенной ЛВС и открытой сетью должна осуществляться только через VPN-агенты. Категорически не должно быть каких-либо способов связи, минующих защитный барьер в виде VPN-агента. Т.е. должен быть определен защищаемый периметр, связь с которым может осуществляться только через соответствующее средство защиты.

Политика безопасности является набором правил, согласно которым устанавливаются защищенные каналы связи между абонентами VPN. Такие каналы обычно называют туннелями, аналогия с которыми просматривается в следующем:

1. Вся передаваемая в рамках одного туннеля информация защищена как от несанкционированного просмотра, так и от модификации.

2. Инкапсуляция IP-пакетов позволяет добиться сокрытия топологии внутренней ЛВС: из Интернет обмен информации между двумя защищенными ЛВС виден как обмен информацией только между их VPN-агентами, поскольку все внутренние IP-адреса в передаваемых через Интернет IP-пакетах в этом случае не фигурируют.

Межсетевой экран (МЭ) - это специализированное программное или аппаратное (или программно-аппаратное) средство, позволяющее разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения сетевых пакетов из одной части в другую.

МЭ, установленные в точках соединения с сетью Интернет, обеспечивают защиту внешнего периметра сети предприятия и защиту собственных Internet -серверов, открытых для общего пользования, от несанкционированного доступа.

Механизмы защиты, реализуемые МЭ:

1. Фильтрация сетевого трафика.

2. Шифрование (создание VPN).

3. Трансляция адресов.

4. Аутентификация (дополнительная).

5. Противодействие некоторым сетевым атакам (наиболее распространённым).

6. Управление списками доступа на маршрутизаторах (необязательно).

Основная функция МЭ - фильтрация сетевого трафика. Она может осуществляться на любом уровне модели OSI . В качестве критериев может выступать информация с разных уровней: адреса отправителя/получателя, номера портов, содержимое поля данных.

Для эффективной защиты компьютера от вредоносных программ используют следующие способы:

1) Обновлять операционную систему

2) Необходимо установить антивирусную программу и регулярно пользоваться ею для проверки компьютеров. Оперативно пополняйте базу данных антивирусной программы набором файлов сигнатур вирусов, как только появляются новые сигнатуры.

3) Использовать лицензионное программное обеспечение

4) Необходимо регулярно сканировать жесткие диски в поисках вирусов. Сканирование обычно выполняется автоматически при каждом включении ПК и при размещении внешнего диска в считывающем устройстве. При сканировании антивирусная программа ищет вирус путем сравнения кода программ с кодами известных ей вирусов, хранящихся в базе данных.

5) Создавать надежные пароли, чтобы вирусы не могли легко подобрать пароль и получить разрешения администратора. Регулярное архивирование файлов позволит минимизировать ущерб от вирусной атаки.

6) Ограничить физический доступ к компьютеру посторонних лиц.

7) Делать резервное копирование важной информации на внешние носители и отключать их от компьютера

8) Постоянно работать на персональном компьютере исключительно под правами пользователя, а не администратора, что не позволит большинству вредоносных программ инсталлироваться на персональном компьютере и изменить системные настройки.

9) Использовать межсетевой экран, контролирующий выход в сеть Интернет с персонального компьютера на основании политик, которые устанавливает сам пользователь.

Эффективная защита информации в компьютерных системах достигается путем применения соответствующих средств, которые условно можно разделить на несколько групп:

1) разграничения доступа к информации;

2) защиты информации при передаче ее по каналам связи;

3) защиты от утечки информации по различным физическим полям, возникающим при работе технических средств компьютерных систем;

4) защиты от воздействия программ-вирусов;

5) безопасности хранения и транспортировки информации на носителях и ее защиты от копирования.

Основное назначение таких средств - разграничение доступа к локальным и сетевым информационным ресурсам компьютерных систем, которые обеспечивают: идентификацию и аутентификацию пользователей, разграничение доступа зарегистрированных пользователей к информационным ресурсам, регистрацию действий пользователей, защиту загрузки операционной системы с гибких носителей, контроль целостности средств защиты информации и информационных ресурсов. Несмотря на функциональную общность средств защиты информации данной группы, они отличаются друг от друга условиями функционирования, сложностью настройки и управления параметрами, используемыми идентификаторами, перечнем регистрируемых событий и стоимостью. Средства защиты информации делятся на формальные, которые выполняют эту функцию по заранее предусмотренной процедуре без участия человека, и неформальные (ограничивающие деятельность персонала или жестоко регламентирующие ее).

К основным средствам защиты относятся технические и программные; технические средства принято делить на физические и аппаратные.

Физические средства реализуются за счет автономных устройств и охранных систем (охранная сигнализация, экранирующие оболочки для аппаратуры, внутренняя экранирующая защита отдельных помещений, средства внешнего и внутреннего наблюдения, замки на дверях и т.п.).

Аппаратные средства - это приборы, непосредственно встраиваемые в устройства, которые сопрягаются с аппаратурой, используемой для обработки данных по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу и специальные регистры).

К программным средствам относятся специальные программы, и/или модули, выполняющие функции защиты информации. Применение лишь одного из названных способов защиты информации не решает проблемы - необходим комплексный подход. Обычно используют два основных метода: преграда и управление доступом.

Преграда - создание физических препятствий (для доступа на территорию организации, напрямую к физическим носителям информации).

Управление доступом - регламентация и регулирование санкционированного обращения к техническим, программным, информационным ресурсам системы.

В свою очередь санкционированное управление доступом обеспечивается за счет определенных функций защиты:

1) идентификация - присвоение субъектам и объектам доступа идентификатора и (или) сравнение предъявляемого идентификатора с перечнем присвоенных идентификаторов;

2) аутентификация - проверка принадлежности субъекту доступа предъявленного им идентификатора; подтверждение подлинности;

3) создание условий для работы в пределах установленного регламента, то есть разработка и реализация комплексных мероприятий, при которых несанкционированный доступ сводится к минимуму;

4) регистрация обращений к защищаемым ресурсам;

5) адекватное реагирование на совершение несанкционированных действий.

Антивирусные программы - самое распространенное средство защиты - от отдельных компьютеров домашних пользователей до огромных корпоративных сетей (Kaspersky Antivirus 7.0, Dr. Web 4.44 + antispam, AVPersonal, Panda, NOD32).

Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.

Средства прозрачного шифрования обеспечивают защиту данных от непреднамеренного разглашения и не позволяют шпионам проникать в данные других пользователей. При этом ключи шифрования хранятся в учетных записях, поэтому для легальных владельцев информации ее дешифрация происходит незаметно. Таких решений на рынке несколько; в частности их предлагает компания Microsoft. Решение Microsoft используется в операционной системе в виде криптографической файловой системы EFS. Однако если сотрудник, который имеет права доступа к зашифрованным данным, случайно отправит их по электронной почте или перенесет на незашифрованный носитель, то защита будет нарушена. Чтобы исключить риск таких случайных утечек, компания может контролировать передачу данных по протоколам электронной почты и Web (для защиты пересылки по Web-почте). Но от скрытой пересылки данных, которую могут придумать шпионы, подобные системы, скорее всего, не смогут обеспечить безопасность. В частности, ни одна защита не может вскрыть правильно зашифрованный файл, а, значит, не может проверить его содержание. Впрочем, для отечественных компаний наиболее интересными являются услуги по разработке комплексной системы защиты, которая подразумевает в том числе и создание механизмов для предотвращения внутренних угроз.

...