Анализ средств защиты информации в ООО "Электронные платежи"

Размещено на http://www.allbest.ru/

Введение

Информация давно перестала быть просто необходимым для производства вспомогательным ресурсом или побочным проявлением всякого рода деятельности. Она приобрела ощутимый стоимостный вес, который четко определяется реальной прибылью, получаемой при ее использовании, или размерами ущерба, с разной степенью вероятности наносимого владельцу информации. Однако создание индустрии переработки информации порождает целый ряд сложных проблем. Одной из таких проблем является надежное обеспечение сохранности и установленного статуса информации, циркулирующей и обрабатываемой в информационно-вычислительных системах и сетях.

Данная проблема вошла в обиход под названием проблемы защиты информации.

Говоря о защите информации, вводят следующую классификацию тайн по шести категориям: государственная тайна, коммерческая тайна, банковская тайна, профессиональная тайна, служебная тайна, персональные данные. Последние пять составляют конфиденциальную информацию. В отношении конфиденциальной информации режим защиты устанавливается собственником информационных ресурсов.

При создании комплексной системы защиты конфиденциальной информации необходимо защищать информацию во всех фазах ее существования - документальной (бумажные документы, микрофильмы и т.п.), электронной, содержащейся и обрабатываемой в автоматизированных системах (АС) и отдельных средствах вычислительной техники (СВТ), включая персонал, который ее обрабатывает - всю информационную инфраструктуру. При этом защищать информацию необходимо не только от несанкционированного доступа (НСД) к ней, но и от неправомерного вмешательства в процесс ее обработки, хранения и передачи на всех фазах, нарушения работоспособности АС и СВТ, воздействия на персонал и т.п. Обобщая, можно сказать, что информационная структура должна быть защищена от любых несанкционированных действий. Защищать необходимо все компоненты информационной структуры предприятия - документы, сети связи, персонал и т.д.

Целью дипломной работы является проведение анализа объекта с последующей разработкой системы комплексной защиты информации в компании.

Объектом исследования в дипломной работе является ООО "Электронные платежи".

Основной задачей дипломной работы является построение надежной системы защиты информации в данной компании.

Достижение этой цели предполагает необходимость использования, создания и разработки совокупности методологических, организационных и технических элементов комплексной системы защиты информации (КСЗИ), взаимообусловленных и взаимоувязанных, и базируется на использовании методологии построения КСЗИ.



1. Теоретические аспекты анализа и организации средств защиты информации в компании

1.1 Основные положения теории защиты информации

Информация любой компании при потере или краже обладает уникальным качеством видимости ее сохранности, а последствия такого события становятся ощутимыми постепенно, проявляясь в снижении активности клиентов и партнеров и падении финансовых результатов. Еще серьезнее последствия у компаний IT-сферы при потере информации - баз данных, результатов аналитических исследований, исходных кодов, программных продуктов, персональных данных клиентов, без которых дальнейшее продолжение бизнеса становится проблемным, если вообще возможным, а с уничтожением улик и расследование становится бесперспективным. Определяющий фактор экономической безопасности такой компании - информационная безопасность, а ее ключевой аргумент - уровень защиты информации.

Что же такое защита информации или информационная безопасность?

Под информационной безопасностью информационной системы подразумевается техника защиты информации от преднамеренного или случайного несанкционированного доступа и нанесения тем самым вреда нормальному процессу документооборота и обмена данными в системе, а также хищения, модификации и уничтожения информации.

Другими словами вопросы защиты информации и защиты информации в информационных системах решаются для того, чтобы изолировать нормально функционирующую информационную систему от несанкционированных управляющих воздействий и доступа посторонних лиц или программ к данным с целью хищения.

Под фразой "угрозы безопасности информационных систем" понимаются реальные или потенциально возможные действия или события, которые способны исказить хранящиеся в информационной системе данные, уничтожить их или использовать в каких-либо целях, не предусмотренных регламентом заранее.

Отличительным признаком коммерческой деятельности является соизмерение затрат и результатов работы, стремление к получению максимальной прибыли. Кроме того, одной из отличительных особенностей коммерческой деятельности является то, что она осуществляется в условиях жесткой конкуренции, соперничества, борьбы предприятий за получение выгод и преимуществ по сравнению с предприятиями аналогичного профиля.

Конкурентная борьба это спутник и двигатель коммерческой деятельности, а также условие выживания коммерческих предприятий. Отсюда их стремление сохранить в секрете от конкурента приемы и особенности своей деятельности, которые обеспечивают им преимущество над конкурентом. Отсюда и стремление конкурентов выявить эти секреты, чтобы использовать их в своих интересах для получения превосходства в конкурентной борьбе. Несанкционированное получение, использование (разглашение) таких секретов без согласия их владельцев отнесены к одной из форм недобросовестной конкуренции, называемой промышленным шпионажем.

Защищаемые секреты коммерческой деятельности получили название коммерческой тайны. Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью компании, разглашение, которых может нанести ущерб ее интересам.

В Гражданском кодексе РФ изложены основания отнесения информации к коммерческой тайне: информация составляет коммерческую тайну в случае, когда она имеет действительную или потенциальную ценность в силу неизвестности ее третьим лицам, к ней нет доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.

Нарушение статуса любой информации заключается в нарушении ее логической структуры и содержания, физической сохранности ее носителя, доступности для правомочных пользователей. Нарушение статуса конфиденциальной информации дополнительно включает нарушение ее конфиденциальности или закрытости для посторонних лиц.

Уязвимость информации следует понимать, как неспособность информации самостоятельно противостоять дестабилизирующим воздействиям, т.е. таким воздействиям, которые нарушают ее установленный статус.

Уязвимость информации проявляется в различных формах. К таким формам, выражающим результаты дестабилизирующего воздействия на информацию, относятся:

- хищение носителя информации или отображенной в нем информации (кража);

- потеря носителя информации (утеря);

- несанкционированное уничтожение носителя информации или отображенной в нем информации (разрушение);

- искажение информации (несанкционированное изменение, подделка, фальсификация);

- блокирование информации;

- разглашение информации (распространение, раскрытие ее содержания).

Та или иная форма уязвимости информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или на саму информацию со стороны источников воздействия.

Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение программ обработки информации вирусом, нарушение технологии обработки и хранения информации, вывод (или выход) из строя и нарушение режима работы технических средств обработки и передачи информации, физическое воздействие на информацию и др.

Реализация форм проявления уязвимости информации приводит или может привести к двум видам уязвимости - утрате или потере конфиденциальности информации.

Потеря конфиденциальности информации в компьютерных системах может быть допущена как случайно, так и преднамеренно, с использованием технических средств съема информации.

Средства противодействию случайной потере конфиденциальности информации, причиной которой может быть программно-аппаратный сбой или человеческий фактор, могут быть разделены на следующие основные функциональные группы:

- дублирование информации;

- повышение надежности компьютерных систем;

- создание отказоустойчивых компьютерных систем;

- оптимизация взаимодействия человека и компьютерной системы;

- минимизация ущерба от аварий и стихийных бедствий (в том числе, за счет создания распределенных компьютерных систем);

- блокировка ошибочных операций пользователей.

К утрате информации приводят хищение и потеря носителей информации, несанкционированное уничтожение носителей информации или только отображенной в них информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.

Известно большое количество разноплановых угроз безопасности информации различного происхождения. В литературе встречается множество разнообразных классификаций, где в качестве критериев деления используются виды порождаемых опасностей, степень злого умысла, источники появления угроз и т.д. Одна из самых простых классификаций приведена на рисунке 1.1.

Рисунок 1.1 - Общая классификация угроз безопасности

Естественные угрозы - это угрозы, вызванные воздействиями на информационную безопасность и ее элементы объективных физических процессов или стихийных природных явлений, независящих от человека.

Искусственные угрозы - это угрозы, вызванные деятельностью человека. Среди них, исходя из мотивации действий, можно выделить:

- непреднамеренные (неумышленные, случайные);

- преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).

Анализ негативных последствий реализации угроз предполагает обязательную идентификацию возможных источников угроз, уязвимостей, способствующих их проявлению и методов реализации. И тогда цепочка вырастает в схему, представленную на рисунке 1.2.

Угрозы классифицируются по возможности нанесения ущерба субъекту отношений при нарушении целей безопасности. Ущерб может быть причинен каким-либо субъектом (преступление, вина или небрежность), а также стать следствием, не зависящим от субъекта проявлений. Угроз не так уж и много. При обеспечении конфиденциальности информации это может быть хищение (копирование) информации и средств ее обработки, а также ее утрата (неумышленная потеря, утечка). При обеспечении целостности информации список угроз таков: модификация (искажение) информации; отрицание подлинности информации; навязывание ложной информации.

Рисунок 1.2 - Модель реализации угроз информационной безопасности

Все источники угроз можно разделить на классы, обусловленные типом носителя, а классы на группы по местоположению (рисунок 1.3а). Уязвимости также можно разделить на классы по принадлежности к источнику уязвимостей, а классы на группы и подгруппы по проявлениям (рисунок 1.3б). Методы реализации можно разделить на группы по способам реализации (рисунок 1.3в). При этом необходимо учитывать, что само понятие "метод", применимо только при рассмотрении реализации угроз антропогенными источниками. Для техногенных и стихийных источников это понятие трансформируется в понятие "предпосылка".

Классификация возможностей реализации угроз (атак), представляет собой совокупность возможных вариантов действий источника угроз определенными методами реализации с использованием уязвимостей, которые приводят к реализации целей атаки. Цель атаки может не совпадать с целью реализации угроз и может быть направлена на получение промежуточного результата, необходимого для достижения в дальнейшем реализации угрозы. В случае такого несовпадения атака рассматривается как этап подготовки к совершению действий, направленных на реализацию угрозы, т.е. как "подготовка к совершению" противоправного действия. Результатом атаки являются последствия, которые являются реализацией угрозы и/или способствуют такой реализации.

Рисунок 1.3 - Структура классификаций: а) "Источники угроз"; б) "Уязвимости"; в) "Методы реализации"

Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым сведениям.

Наиболее распространенными путями несанкционированного доступа к информации являются:

- перехват электронных излучений;

- принудительное электромагнитное облучение (подсветка) линий связи с целью получения "паразитной" модуляции несущей;

- применение подслушивающих устройств (закладок);

- дистанционное фотографирование;

- перехват акустических излучений и восстановление текста принтера;

- копирование носителей информации с преодолением мер защиты;

- маскировка под зарегистрированного пользователя;

- маскировка под запросы системы;

- использование программных ловушек;

- использование недостатков языков программирования и операционных систем;

- незаконное подключение к аппаратуре и линиям связи специально разработанных аппаратных средств, обеспечивающих доступ информации;

- злоумышленный вывод из строя механизмов защиты;

- расшифровка специальными программами зашифрованной информации;

- информационные инфекции.

Перечисленные пути несанкционированного доступа требуют достаточно больших технических знаний и соответствующих аппаратных или программных разработок со стороны взломщика. Например, используются технические каналы потери информации - это физические пути от источника конфиденциальной информации к злоумышленнику, посредством которых возможно получение охраняемых сведений. Причиной возникновения каналов утечки являются конструктивные и технологические несовершенства схемных решений либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам канал передачи информации - канал потери конфиденциальности.

Однако есть и достаточно примитивные пути несанкционированного доступа:

- хищение носителей информации и документальных отходов;

- инициативное сотрудничество;

- склонение к сотрудничеству со стороны взломщика;

- подслушивание;

- наблюдение и др.

Для обеспечения эффективного применения системы защиты информации в телекоммуникационной сети предприятия при ее построении необходимо учитывать следующие требования:

- Эшелонированность. Система защиты должна состоять из нескольких уровней. Нарушение защиты на каком-либо уровне не должно повлечь за собой ослабления других уровней или недееспособности системы защиты в целом.

- Согласованность. Средства защиты, в том числе входящие в региональные составляющие телекоммуникационной сети предприятия, должны обеспечивать возможность их эксплуатации в рамках единой системы.

- Интегрируемость. Средства защиты информации должны оптимальным образом встраиваться в инфраструктуру телекоммуникационной сети.

- Контролируемость. События, связанные с функционированием системы защиты, должны контролироваться средствами мониторинга безопасности.

- Сертифицируемость. Применяемые при построении системы защиты средства должны удовлетворять установленным стандартам и требованиям.

- Масштабируемость. При построении системы защиты должна быть обеспечена возможность ее развития с учетом развития телекоммуникационных сетей предприятия.

Рассмотрев основные положения теории защиты информации необходимо перейти непосредственно к основным методам защиты информации в телекоммуникационных сетях компаний.

1.2 Основные методы защиты информации в телекоммуникационных сетях компаний

Отраслевой стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение потери конфиденциальности информации, несанкционированных и непреднамеренных воздействий на информацию. И если первое направление (предотвращение потери конфиденциальности) должно предупреждать разглашение конфиденциальных сведений, несанкционированный доступ к ним и/или их получение разведками (например, коммерческой разведкой фирм-конкурентов), то два других направления защищают от одинаковых угроз (искажение конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные действия с носителем информации). Вся разница заключается в наличии или отсутствии умысла в действиях с информацией. Основные направления защиты информации представлены на рисунке 1.4.

Рисунок 1.4 - Основные направления защиты информации

Больше всего угроз по-прежнему создают компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т.п. вредоносных программ входят также "трояны", "вандалы", перехватчики паролей и т.д.) и атаки распространителей спама.

Многие сети годами остаются открытыми для пришельцев из Интернета, и неизвестно, что в этом случае опаснее - сознательный взлом злоумышленником корпоративной сети для съема конфиденциальной информации или же осуществляемая дезорганизация работы сети с помощью атак типа "отказ в обслуживании". Поскольку для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как перехватом этой информации, так и нарушением ее целостности или подменой.

Внутри локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору "бумажки" с записанным логином и паролем.

Зачастую не придается значения разграничению доступа между легальными пользователями. Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, принцип "каждому - по интересам", и сведения, предназначенные двум-трем менеджерам высшего звена, становятся известны чуть ли не половине фирмы.

В качестве еще одного канала вероятной потери конфиденциальности информации можно назвать, к примеру, сервисные центры, в которые поступают диски с не уничтоженной должным образом информацией. Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде, и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать конкурентам больше, чем хитроумные атаки и попытки взлома.

Таким образом, можно сделать вывод: защита информации - одно из ключевых направлений деятельности любой успешной фирмы. Перед специально отобранным для этого сотрудником (или подразделением) стоят следующие задачи:

- анализ угроз конфиденциальной информации, а также уязвимых мест автоматизированной системы и их устранение;

- формирование системы защиты информации;

- закупка и установка необходимых средств, их профилактика и обслуживание;

- обучение пользователей работе со средствами защиты, контроль соблюдения регламента их применения;

- разработка алгоритма действий в экстремальных ситуациях и проведение регулярных “учений”;

- разработка и реализация программы непрерывной деятельности автоматизированной системы и плана восстановительных мероприятий (в случае вирусной атаки, сбоя/ошибки/отказа технических средств и т.д.).

Итак, можно констатировать, что деятельность по защите информации протекает в рамках треугольника "руководство компании - служба защиты информации - пользователи", и от доброй воли всех этих сторон зависит, будет ли их сотрудничество эффективным.

С какими же проблемами приходится сталкиваться при построении системы защиты информации?

Метод заплаток. "Кусочное" обеспечение информационной безопасности лишь на отдельных направлениях. Следствие - невозможность отразить атаки на незащищенных участках и дискредитация идеи информационной безопасности в целом.

Синдром амебы. Фрагментарное реагирование на каждый новый раздражитель; часто сочетается с применением "метода заплаток". Следствие - запаздывание с отражением новых угроз, усталость от бесконечной гонки по кругу.

Лекарство от всего. Попытки возложить на одно средство защиты информации все функции обеспечения информационной безопасности (например, стремление отождествить аутентификацию и полный комплекс задач защиты от несанкционированного доступа).

Следствие - непрерывный переход, миграция от одного средства защиты к другому, "более комплексному", последующее разочарование и паралич дальнейших действий.

Волшебная палочка. Вторая ипостась поисков "универсального лекарства", искреннее непонимание необходимости дополнения технических мер защиты организационными мерами. Следствие - предъявление завышенных требований к системе или средству защиты.

Стремление к экономии. Желание построить систему защиты на беззатратной основе. Следствие - применение непроверенных и/или нелицензионных средств защиты, отсутствие поддержки со стороны производителей, постоянные попытки разобраться во всем самостоятельно, неэффективные и разорительные, как и любая самодеятельность.

Таким образом, на предприятии должен быть создан следующий набор средств и методов для защиты информации в сети (таблица 1.1).

Таблица 1.1 - Набор средств и методов для защиты информации в сети

Минимальный пакет	Оптимальный пакет (в дополнение к минимуму)
Средства антивирусной защиты рабочих станций, файловых и почтовых серверов	Антивирусные средства в программно-аппаратном исполнении; средства контроля содержимого (Content Inspector) и борьбы со спамом
Программный межсетевой экран (МЭ)	Программно-аппаратный МЭ, система обнаружения атак (Intrusion Detection System)
Программные средства формирования защищенных корпоративных сетей (VPN - Virtual Private Network)	То же в программно-аппаратном исполнении и интеграции с межсетевым экраном
Аппаратные средства аутентификации пользователей (токены, смарт-карты, биометрия и т.п.)	То же в интеграции со средствами защиты от несанкционированного доступа (НСД) и криптографическими средствами
Разграничение доступа пользователей к конфиденциальной информации штатными механизмами защиты информации и разграничение доступа операционных систем, прикладных программ, маршрутизаторов и т. п.	Программно-аппаратные средства защиты от НСД и разграничения доступа
Программные средства шифрования и электронной цифровой подписи (ЭЦП) для обмена конфиденциальной информацией по открытым каналам связи	Аппаратные шифраторы для выработки качественных ключей шифрования и ЭЦП; интеграция со средствами защиты от НСД и аутентификации
Средства “прозрачного” шифрования логических дисков пользователей, используемых для хранения конфиденциальной информации	Средства “прозрачного” шифрования конфиденциальной информации, хранимой и обрабатываемой на серверах
Средства уничтожения неиспользуемой конфиденциальной информации (например, с помощью соответствующих функций шифраторов)	Аппаратные уничтожители носителей информации
Средства резервного копирования, источники бесперебойного питания, уничтожители бумажных документов

1.3 Экономические аспекты защиты информации

Сегодня высшее руководство любой компании при осуществлении управления, по существу имеет дело только с информацией - и на ее основе принимает решения. Информация в настоящее время решает все.

Информация уже давно стала товаром, который можно покупать и продавать на рынке, иногда - за достаточно большие деньги. Как и любой товар, информация имеет свою цену, за которую она покупается и продается, и как любой ценный ресурс - подлежит защите.

Отечественный IT-рынок в последние годы динамично развивается, по оценкам экспертов его рост превышает 10% в год. При этом сектор информационной безопасности (ИБ) развивается еще более быстрыми темпами - более чем на 25% в год. Такой рост определяется в основном двумя факторами: возросшим вниманием руководства к обеспечению ИБ и недостаточным уровнем ИБ в существующих информационных системах (ИС). Понятно, что долго такие темпы роста сектора ИБ сохраняться не смогут, они замедлятся, и вопросы оценки эффективности затрат в области ИБ встанут весьма остро.

Уже сейчас в отечественных ИС с повышенными требованиями в области ИБ (банковские системы, ответственные производства, и т.д.) затраты на обеспечение режима ИБ составляют до 30% всех затрат на ИС. Владельцы информационных ресурсов серьезно рассматривают экономические аспекты обеспечения ИБ. Даже в тех ИС, уровень ИБ которых явно не достаточен, у технических специалистов зачастую возникают проблемы обоснования перед руководством (владельцами информационных ресурсов) затрат на повышение этого уровня. Начальники служб автоматизации, исполнительные директора, начальники служб информационной безопасности должны иметь понятные для бизнеса аргументы для обоснования инвестиций в ИБ, т.е., по сути, представлять обоснование стоимости системы ИБ для бизнеса.

Таким образом, в настоящее время комплексное управление процессами обеспечения ИБ подразумевает не просто бесцельное внедрение совокупности средств и систем защиты. ИБ превратилась в науку о реализации адекватного и эффективного по качеству и стоимости подхода к обеспечению защищенности всех элементов информационных технологий (IT). Такой взгляд на проблему ИБ неизбежно требует определения показателей и метрик, позволяющих сравнивать защищенность различных систем IT, сравнивать эффективность контрмер, ранжировать угрозы и уязвимости по своей важности.

Для любых компаний очень важно деньги в защиту информации (ЗИ) вкладывать обоснованно. В информационной безопасности известен принцип разумной достаточности, который гласит следующее: "Создание 100% надежной системы защиты информации (СЗИ) невозможно в принципе, в любых случаях остается ненулевая возможность реализации какой-либо угрозы либо уязвимости". Любая система ЗИ может быть взломана, это вопрос только времени и потраченных злоумышленником средств. Поэтому бесконечно вкладывать деньги в обеспечение ИБ бессмысленно, необходимо когда-то остановиться (вопрос только в выборе этого порога). Согласно принципу разумной достаточности, стойкость СЗИ считается достаточной, если время взлома злоумышленником СЗИ превосходит время старения информации (либо некоторый разумный предел), либо стоимость взлома системы защиты информации превосходит стоимость полученной злоумышленником выгоды от взлома. В последнем случае, если злоумышленник является нормальным экономическим субъектом, то он, конечно, не будет работать себе в убыток.

Существует, как минимум, два подхода к обоснованию стоимости корпоративной системы защиты.

Первый подход - наукообразный, который заключается в том, чтобы применить на практике необходимый инструментарий получения метрики и меры безопасности, а для этого привлечь руководство компании (как ее собственника) к оценке стоимости защищаемой информации, определению возможностей реализации потенциальных угроз и уязвимостей, а также потенциального ущерба. Наиболее известный показатель, позволяющий характеризовать меру безопасности, сравнивать защищенность различных систем IT, сравнивать эффективность контрмер - есть риск ИБ. Через риск достаточно эффективно считается наиболее экономичный вариант реализации контрмер.

Второй подход - практический состоит в следующем: можно попробовать найти инвариант разумной стоимости корпоративной системы защиты информации. Ведь существуют аналогичные инварианты в других областях, где значимые для бизнеса события носят вероятностный характер. Например, на рынке автострахования некоторая общая оценка разумной стоимости такой услуги, как страхование собственного автомобиля, составляет от 5 до 15% его рыночной цены - в зависимости от локальных условий эксплуатации, культуры и опыта вождения водителя, интенсивности движения, состояния дорог и т.д.

Эксперты-практики в области защиты информации нашли некий оптимум, позволяющий чувствовать себя относительно уверенно, - стоимость системы ИБ должна составлять примерно 10-20% от стоимости корпоративной информационной системы (КИС) - в зависимости от уровня конфиденциальности информации (но надо их еще правильно вложить). Это и есть та самая оценка на основе практического опыта (best practice), на которую можно положиться. И на вопрос "А почему для создания адекватной целям и задачам бизнеса комплексной системы защиты информации (КСЗИ) требуется сто тысяч долларов?" отвечать "Потому что на сегодняшний день стоимость нашей КИС составила один миллион долларов!". Очевидно, что второй подход не лишен недостатков. Здесь, скорее всего, не удастся заставить руководство глубоко осознать проблемы ИБ. Но зато можно смело прогнозировать объем бюджета на ИБ и существенно сэкономить на услугах внешних консультантов.

1.4 Организация аналитической работы в сфере защиты информации в компании

Анализ состояния защиты информации - это комплексное изучение фактов, событий, процессов, явлений, связанных с проблемами защиты информации, в том числе данных о состоянии работы по выявлению возможных каналов потери информации, о причинах и обстоятельствах, способствующих потере и нарушениям режима секретности (конфиденциальности) в ходе повседневной деятельности компаний.

Основное предназначение аналитической работы - выработка эффективных мер, предложений и рекомендаций руководству компаний, направленных на недопущение потери конфиденциальной информации о деятельности компании и проводимых работах. Аналитическая работа должна включать элементы прогнозирования возможных действий противника по получению важной защищаемой информации.

Основные направления аналитической работы в компаниях следующие:

- анализ объекта защиты;

- анализ внутренних и внешних угроз информационной безопасности компаний;

- анализ возможных каналов несанкционированного доступа к информации;

- анализ системы комплексной безопасности объектов;

- анализ имеющих место нарушений режима конфиденциальности информации;

- анализ предпосылок к разглашению информации, а также к утрате носителей конфиденциальной информации.

Функции анализа в компаниях возлагаются на специально создаваемое в их структуре аналитическое подразделение, которое комплектуется квалифицированными специалистами в области защиты информации.

Вместе с тем, данные специалисты должны в полной мере владеть информацией по всем направлениям деятельности компаний: знать виды, характер и последовательность выполнения производственных работ, взаимодействующие организации, специфику деятельности структурных подразделений компаний и т.д. Как правило, аналитическое подразделение включается в состав службы безопасности компаний.

Аналитическое подразделение должно обеспечивать руководство компаний достоверной и аналитически обработанной информацией, необходимой для принятия эффективных управленческих решений по всем направлениям защиты информации. Основными функциями аналитического подразделения являются:

- обеспечение своевременного поступления достоверных и всесторонних сведений по проблемам защиты информации;

- учет, обобщение и постоянный анализ материалов о состоянии дел в системе защиты информации компаний (их филиалов и представительств);

- анализ возможных угроз защите информации, моделирование реального сценария возможных действий конкурентов (злоумышленников), затрагивающих интересы компаний;

- обеспечение эффективности работы по анализу имеющейся информации, исключение дублирования при ее сборе, обработке и распространении;

- мониторинг ситуации на рынке продукции, товаров и услуг, а также во внешней среде в целях выявления событий и фактов, которые могут иметь значение для деятельности компаний;

- обеспечение безопасности собственных информационных ресурсов, ограничение доступа сотрудников компаний к аналитической информации;

- подготовка выводов и предложений, направленных на повышение эффективности планируемых и принимаемых мер по защите информации, а также уточнение (корректировку) организационно-планирующих документов компаний и их структурных подразделений;

- выработка рекомендаций по внесению изменений и дополнений в методические документы, регламентирующие алгоритм действий сотрудников компаний по защите информации (стандарты компаний).

Наличие постоянной аналитической работы, ее характер и результаты определяют необходимость, основы организации, структуру и содержание системы комплексной защиты информации, требования к ее эффективности и направления ее развития и совершенствования. Анализ состояния системы защиты информации существенно влияет на количество, состав и структуру подразделений компаний, непосредственно решающих эти задачи (служба безопасности компаний, служба охраны, режимно-секретное подразделение и др.).

От эффективности и качества ведения в компаниях аналитической работы в полной мере зависит состояние защищенности информационных ресурсов компаний, отнесенных к категории охраняемых, а также своевременность и обоснованность принятия мер по исключению потери конфиденциальной информации и утрат носителей информации. Эффективность аналитической работы и ее результаты служат основой для принятия руководством компаний управленческих решений по вопросам организации защиты информации. С учетом результатов аналитической работы могут вырабатываться следующие основные меры:

- уточнение (доработка) планов работы компаний по защите информации, включение в них дополнительных мероприятий;

- уточнение распределения задач и функций между структурными подразделениями компаний;

- переработка (уточнение) должностных (функциональных) обязанностей сотрудников компаний, в том числе руководящего звена, совершенствование систем пропускного и внутри-объектового режимов;

- ограничение круга лиц, допускаемых к конфиденциальной информации по различным направлениям деятельности компаний;

- пересмотр степени конфиденциальности сведений и их носителей;

- усиление системы охраны компаний и их объектов, применение особых мер защиты информации на отдельных объектах (в служебных помещениях);

- принятие решений об ограничении публикации в открытой печати, использования в рекламной и издательской деятельности отдельных материалов (материалов по отдельным темам), доступа командированных лиц, об исключении рассмотрения этих материалов на конференциях, семинарах, встречах и т.д.

Ведение эффективной аналитической работы возможно лишь при наличии необходимой информации. Для ее получения нужна четко сформулированная цель, определяющая конкретные источники информации. Аналитическая работа в компаниях должна вестись последовательно и непрерывно, представлять собой в полной мере целостное исследование.

В аналитической работе можно выделить следующие основные этапы:

формулирование целей аналитической работы, разработка программы исследований, формулирование предварительных гипотез (результатов аналитической работы);

отбор и анализ источников информации, сбор и обобщение информации;

полноценный анализ имеющейся информации и подготовка выводов.

Основная форма ведения аналитической работы - аналитические исследования.

Проведение аналитических исследований требует четкой организации процесса, оценки имеющихся ресурсов для выполнения исследований и достижения необходимого результата. Итогом исследования должны быть выводы, предложения и рекомендации по совершенствованию системы защиты информации.

На первом этапе аналитического исследования формулируются цели и задачи исследования, разрабатывается программа исследования, которая составляет научную основу сбора, обобщения, обработки и анализа всей полученной информации. Типовая программа исследований включает следующие основные разделы:

- цели и задачи аналитического исследования;

- предметы и объекты исследования;

- сроки (период) проведения аналитического исследования;

- методики проведения исследования;

- ожидаемые результаты и предполагаемые выводы.

При формулировании целей и задач исследования нужно учитывать, кто является его организатором и непосредственным исполнителем, какие силы и средства могут быть задействованы для его проведения, какие будут использоваться источники информации, способы и методы ее сбора, обработки и анализа, какие существуют возможности для реализации предложений и рекомендаций, которые будут выработаны в ходе исследований.

В зависимости от поставленных целей и задач определяются конкретные методы и технологии исследования, а также процедуры сбора и обработки информации.

Наиболее типичны следующие задачи аналитического исследования:

- получение данных о состоянии системы защиты информации в компаниях (их конкретных объектах, в филиалах, представительствах);

- выявление возможных каналов потери информации, подлежащей защите;

- определение обстоятельств, причин и факторов, способствующих возникновению каналов потери и созданию предпосылок для потери информации;

- подготовка для руководства компаний (филиалов, представительств) и их структурных подразделений конкретных рекомендаций по закрытию выявленных каналов потери информации.

Под объектом исследования понимается все то, что изучается и анализируется в ходе исследования. Предмет исследования - та сторона объекта, которая непосредственно подлежит изучению в ходе аналитического исследования.

Особое значение на первом этапе аналитической работы имеет формулирование предварительных гипотез (версий). Предварительные гипотезы должны объяснить роль и место выводов аналитических исследований в логической последовательности происходящих событий в сфере защиты охраняемой информации.

Построение предварительных гипотез проводится в следующем порядке. Сначала формируется полный список сведений, которые предполагается исследовать (проанализировать). Вошедшие в список сведения систематизируются и располагаются по степени важности.

Далее из всего объема информации выделяется группа наиболее значимых сведений, роль которых особенно очевидна в ситуации, подлежащей анализу и оценке. Выбранные сведения классифицируются по актуальности, способу получения и степени достоверности источника. Наиболее актуальные сведения анализируются в первую очередь.

Затем проводится выбор предварительных гипотез, объясняющих проявления тех или иных событий (появление тех или иных сведений). Причем в отношении одного события осуществляется проверка нескольких гипотез (версий). При последовательной проверке гипотез особое внимание уделяется наиболее реальным гипотезам. Эти гипотезы фиксируются. Наименее реальные гипотезы отклоняются.

Таким образом, последовательно выбираются и формулируются наиболее вероятные предположения, объясняющие появление тех или иных конкретных событий (возникновение сведений). Возможные противоречия в полученных выводах о предполагаемых версиях происходящих событий устраняются путем всесторонней последовательной проверки реальности гипотез.

Результатом работы по формулированию предварительных гипотез является выбор версии, которая наиболее точно по сравнению с другими версиями объясняет причину возникновения конкретной ситуации, связанной с появлением возможного канала потери конфиденциальной информации, и характеризует состояние системы защиты информации, в том числе - действия соответствующих должностных лиц, качество выполнения мероприятий и т.д.

На втором этапе проводится отбор и анализ источников информации, сбор и обобщение данных в целях выявления канала несанкционированного доступа к сведениям конфиденциального характера, исключения возможности возникновения такого канала.

Для этого осуществляется постоянный контроль объектов защиты (информационных ресурсов), а также степени защищенности обрабатываемой (циркулирующей) в них информации, проводится анализ данных, получаемых из различных источников.

Для решения конкретной задачи аналитического исследования в рамках второго этапа из всех имеющихся в распоряжении аналитического подразделения источников информации отбираются те, из которых поступает информация, наиболее близкая к исследуемым проблемам, и в то же время достаточно достоверная.

Аналитическое исследование источников информации предусматривает проведение следующих основных мероприятий:

- Формирование исчерпывающего перечня источников конфиденциальной информации в компаниях.

- Формирование и своевременное уточнение перечня и состава конфиденциальной информации, реально циркулирующей (обрабатываемой) на объектах компаний, с указанием конкретных носителей, на которых она хранится.

- Организация и ведение учета осведомленности сотрудников компаний с конфиденциальной информацией, накопление данных об их ознакомлении с конкретными сведениями конфиденциального характера с указанием носителей этих сведений.

- Изучение и оценка соответствия степени конфиденциальности, присвоенной информации, реальной ценности этой информации.

- Изучение внутренних и внешних угроз каждому имеющемуся в компаниях источнику конфиденциальной информации.

- Выявление компаний, заинтересованных в получении конфиденциальной информации (фирм-конкурентов), а также отдельных лиц-злоумышленников и их систематизация (классификация).

- Анализ полноты и качества мер по защите конфиденциальной информации, принимаемых (принятых) в конкретных ситуациях. Учет и анализ попыток представителей фирм-конкурентов, а также других злоумышленников получить конфиденциальную информацию.

- Учет и анализ контактов сотрудников компаний с представителями фирм-конкурентов вне зависимости от того, касались ли они вопросов конфиденциального характера или нет.

В ходе изучения и исследования источников информации производится их оценка с точки зрения надежности и достоверности получаемой из них информации. Оценка источников информации осуществляется методом ранжирования (классификации) самих источников, поступающей из них информации и способов ее получения. В большинстве случаев может использоваться система экспертной оценки (непосредственно аналитиком) надежности и достоверности полученных данных. Уровень подготовки и практические навыки позволяют сотруднику аналитического подразделения наиболее точно оценить собственно информацию, ее источник и способ ее получения.

При проведении оценки указанных элементов, как правило, используются следующие критерии:

Оценка источника:

надежный источник;

обычно надежный источник;

довольно надежный источник;

не всегда надежный источник;

ненадежный источник;

источник неустановленной надежности.

Оценка полученной информации:

информация, подтвержденная другими фактами;

информация, подтвержденная другими источниками;

информация, с высокой степенью вероятности соответствующая действительности;

информация, возможно соответствующая действительности;

сомнительная информация;

неправдоподобная информация;

информация, установить (подтвердить) достоверность которой не представляется возможным.

Оценка способа получения информации источником:

информация получена источником самостоятельно;

информация получена источником из другого постоянного источника информации (например, открытого источника);

информация получена источником из другого "разового" источника (например, в ходе переговоров, неформального общения).

В ходе оценки достоверности информации, а также ее источника необходимо учитывать возможность преднамеренной дезинформации, а также получения непреднамеренно искаженной информации. В обоих случаях необходимо проведение дополнительной проверки и более подробного всестороннего анализа полученной информации для принятия решения о ее использовании в ходе аналитических исследований.

С учетом результатов оценки полученной информации, а также источников и способов ее получения осуществляются сбор и обобщение (систематизация) необходимых для проведения полноценного анализа сведений.

В ходе третьего этапа аналитической работы проводится полноценный анализ полученной информации и, на основе его результатов, - всесторонний анализ состояния системы защиты информации, вырабатываются эффективные меры по ее совершенствованию. На этом этапе оформляются результаты аналитических исследований, готовятся выводы, рекомендации и предложения в области защиты охраняемой информации.

Анализ состояния системы защиты информации включает изучение возможных каналов потери информации, оценку эффективности мер по их закрытию, оценку действий персонала компаний по решению задач в области защиты информации, определение основных направлений деятельности по защите информации.

Содержание и основные виды аналитических отчетов.

Основной формой представления результатов аналитических исследований является аналитический отчет. Отчеты могут оформляться в письменном виде, также они могут быть представлены в устной форме, сопровождаться графиками, диаграммами, рисунками, таблицами, поясняющими или отражающими результаты проведенной работы.

Основные разделы аналитического отчета следующие:

- цели и задачи аналитического исследования (цели и задачи аналитического исследования, пути решения поставленных задач, вопросы, подлежащие анализу и оценке; предполагаемые результаты исследования);

- источники информации, степень достоверности полученной информации (оценки полученной информации, источников и способов ее получения, результаты анализа степени достоверности полученной с использованием этих источников аналитической информации);

- обобщение полученной информации (алгоритм сбора и обобщения необходимой для проведения полноценного анализа информации - из всего объема полученной и обработанной информации выделяются наиболее значимые факты);

- основные и альтернативные версии или гипотезы (мотивированное деление версий, объясняющих или характеризующих исследуемые события и факты, на основную версию и дополнительные или альтернативные);

- недостающая информация (дополнительная информация, необходимая для подтверждения основной версии, ее источники и способы ее получения);

- заключение, выводы (результаты анализа и оценки поставленных вопросов, выводы о степени важности полученной и обработанной информации, значение этой информации для принятия конкретных решений в области защиты конфиденциальной информации, взаимосвязь результатов данного аналитического исследования с другими направлениями аналитической работы в сфере защиты информации, возможные угрозы защищаемой информации, а также возможные последствия воздействия негативных факторов);

- предложения и рекомендации по совершенствованию работы в области зашиты информации (конкретные предложения и рекомендации руководству компаний и руководителям структурных подразделений по совершенствованию работы в области защиты конфиденциальной информации; выработанные на основе проведенного анализа полученной информации, а также различных событий и фактов конкретные меры, принятие которых необходимо для закрытия возможных каналов потери информации и предотвращения потенциальных угроз защищаемой информации).

В отдельных случаях, на основе результатов проведения более глубокого анализа состояния системы защиты информации вырабатываются алгоритм и способы действий персонала компаний в конкретных ситуациях.

В зависимости от предназначения используются следующие основные виды аналитических отчетов:

- оперативный (тактический) отчет;

- перспективный (стратегический) отчет;

- периодический отчет.

Оперативные (тактические) отчеты отражают результаты аналитических исследований, проводимых для подготовки и принятия какого-либо оперативного (экстренного) решения по вопросу кратковременного (срочного) характера. В ходе проведения таких исследований анализу и оценке подвергается информация, как правило, небольшого объема.

Перспективные (стратегические) отчеты содержат информацию, более полную по содержанию. Анализ этой информации не ограничен по сроку (времени) его проведения. В такие отчеты, как правило, включается информация, содержащая более полный анализ предпосылок конкретных ситуаций, фактов, событий. В отчетах излагаются прогнозы и перспективы развития этих ситуаций. Отчеты этого вида соответствуют постоянным направлениям аналитических исследований.

Периодические отчеты предназначены для анализа состояния системы защиты информации (отдельных направлений защиты информации) в соответствии с разработанным и утвержденным руководством компаний графиком. Эти отчеты не зависят от происходящих событий (возникновения различных ситуаций), связанных с защитой информации. Такие отчеты готовятся по проблемам (направлениям), являющимся объектами постоянного внимания со стороны службы безопасности компаний (их аналитического подразделения).

К составлению отчетов, независимо от формы их представления, предъявляются общие требования, такие, как наличие глубокого анализа событий (фактов, полученной информации), простота, четкость и грамотность изложения материала, логичность приводимых рассуждений и выводов, соответствие отчетов установленной форме.

Одно из наиболее важных требований, предъявляемых к отчетам, заключается в том, что их содержание и уровень подготовки аналитического материала должны отвечать запросам конкретных потребителей аналитической информации - руководителей структурных подразделений или отдельных сотрудников компаний.

Полнота и качество проведения аналитических исследований, достоверность полученных результатов и эффективность выработанных предложений и рекомендаций в полной мере зависят от тех методов анализа информации, которые были выбраны и использовались сотрудниками аналитического подразделения непосредственно в ходе проведения исследований.

Применяемые в ходе аналитических исследований методы анализа информации делятся на три группы:

общенаучные (качественные) методы;

количественные методы;

частнонаучные методы.

Основные методы анализа, относящиеся к первой группе, включают метод выдвижения гипотез, метод интуиции, метод наблюдения, метод сравнения, метод эксперимента.

Из количественных методов наиболее распространен метод статистических исследований.

К третьей группе относятся методы письменного и устного опроса, метод индивидуальной беседы и метод экспертной оценки. Метод выдвижения гипотез состоит в процедуре отделения известного от неизвестного и вычленения в неизвестном отдельных, наиболее важных элементов и фактов (событий).

Метод интуиции заключается в использовании аналитиком своей способности к непосредственному постижению истины (достижению требуемого результата) без предварительного логического рассуждения.

Во многом этот метод основывается на личном опыте аналитика.

Метод наблюдения заключается в непосредственном исследовании (обследовании) конкретного объекта (источника информации, события, действия, факта), в самостоятельном описании аналитиком каких-либо фактов (событий, процессов), а также их логических связей в течение определенного времени.

...