Организация безопасности в области защиты информации

Размещено на http://www.allbest.ru

Размещено на http://www.allbest.ru

Введение

Одной из важнейших составных частей национальной безопасности любой страны, в том числе и Республики Узбекистан, в настоящее время называют ее информационную безопасность.

Проблемы обеспечения информационной безопасности становятся все более сложными и концептуально значимыми в связи с массовым переходом информационно-коммуникационных технологий в управлении на безбумажную автоматизированную основу. Рождается новая современная технология - технология защиты информации в компьютерных информационных системах и системах передачи данных.

Объективными факторами повышенного интереса к данной проблеме послужили также высокие темпы роста вычислительной и коммуникационной техники, расширение областей использования ЭВМ, высокая степень концентрации информации в вычислительных системах и сетях, качественное и количественное совершенствование методов и средств доступа пользователей к информационным и вычислительным ресурсам. Кроме того, появление программных злоупотреблений, служащих основой компьютерных преступлений, значительно повысило требования к информационной безопасности, потребовало направить усилия на разработку систем по предотвращению несанкционированного доступа к информации.

При всей прогрессивности этого явления одновременно существенно расширяются и содержательно обновляются комплекс организационных, технических и технологических проблем (трудностей) в предотвращении преступного и достаточно простого вмешательства в информационные ресурсы, которые стали легкой добычей посторонних лиц.

Термин «информационная безопасность» имеет различные определения, общего или частного свойства, однако они все связывают безопасность именно с ее защитой, что в определенной степени сужает содержание этого понятия и не отражает ее глобального значения в современном управлении.

В общей трактовке под «информационной безопасностью» понимается защищенность информации на любых носителях от случайных и преднамеренных воздействий естественного или искусственного свойства, направленного на уничтожение тех или иных данных, изменение степени доступности ценных сведений.

Если раньше опасность состояла в основном в краже (воровстве, копировании) секретных или конфиденциальных сведений и документов, то в настоящее время получило развитие незаконное оперирование компьютерными базами данных (без фактической кражи), незаконное использование электронных массивов без согласия их собственника или владельца или даже извлечение материальной выгоды из таких действий.

Проблемы информационной безопасности постоянно усугубляются процессами проникновения практически во все сферы деятельности общества технических средств обработки и передачи данных и, прежде всего, вычислительных систем. Объектами посягательств могут быть сами технические средства (компьютеры и периферия) как материальные объекты, а также программное обеспечение и базы данных, для которых технические средства являются окружением.

Каждый сбой работы компьютерной сети это не только "моральный" ущерб для работников предприятия и сетевых администраторов. По мере развития технологий платежей электронных, "безбумажного" документооборота и других, серьезный сбой локальных сетей может просто парализовать работу целых корпораций и банков, что приводит к ощутимым материальным потерям. Не случайно, что защита данных в компьютерных сетях становится одной из самых острых проблем в современной информатике.

На сегодняшний день сформулировано два базовых принципа информационной безопасности, которая должна обеспечивать:

· целостность данных - защиту от сбоев, ведущих к потере информации, а также неавторизованного создания или уничтожения данных.

· конфиденциальность информации и, одновременно, ее доступность для всех авторизованных пользователей.

Следует также отметить, что отдельные сферы деятельности (банковские и финансовые институты, информационные сети, системы государственного управления, оборонные и специальные структуры) требуют специальных мер безопасности данных и предъявляют повышенные требования к надежности функционирования информационных систем, в соответствии с характером и важностью решаемых ими задач.

1. Защита информации и информационная безопасность

Концептуальное содержание защиты информации. Защита информации в концептуальном понимании представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение целостности, достоверности, доступности и конфиденциальности ценных информационных ресурсов организации и, в конечном счете, обеспечивающий реальную информационную безопасность управленческой и производственной деятельности.

Концепция находит практическое выражение в механизме (системе) защиты информации. Эта система всегда имеет в основе персональную ответственность руководителей различного уровня в соответствии с функциональными обязанностями.

Важно, что архитектура защиты должна охватывать не только компьютерные (электронные) информационные системы, а весь управленческий комплекс организации в единстве его реальных функциональных, структурных и традиционных документационных процессов. Отказаться от бумажных документов и, часто рутинной, сложившейся в организации управленческой технологии не всегда представляется возможным.

Основные понятия и определения. Учитывая, что предметом данной работы являются организация безопасности в области защиты информации прежде необходимо дать ряд основных понятий данной сферы деятельности.

Защита информации - комплекс мероприятий, проводимых с целью предотвращения утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации (подделки), несанкционированного копирования, блокирования информации и т.п.

Средства защиты информации - технические, криптографические, программные и другие средства, предназначенные для защиты информации, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Эффективность защиты информации - степень соответствия достигнутых результатов действий по защите информации поставленной цели защиты.

Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты.

Безопасность информации (информационная безопасность) - состояние информации, информационных ресурсов и информационных и телекоммуникационных систем, в которой с требуемой вероятностью обеспечивается защита информации.

Требования по безопасности информации - руководящие документы, регламентирующие качественные и количественные критерии безопасности информации и нормы эффективности ее защиты.

Криптографическая защита - защита данных при помощи криптографического преобразования данных.

Криптографическое преобразование - преобразование данных при помощи шифрования и (или) выработки имитовставки.

Цели защиты информации. Защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб его собственнику, владельцу, пользователю и иному лицу. Целями защиты являются:

· предотвращение утечки, хищения, утраты, искажения, подделки информации;

· предотвращение угроз безопасности личности, общества, государства;

· предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;

· предотвращение других форм незаконного вмешательства в информационные системы;

· обеспечение правового режима документированной информации как объекта собственности;

· защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;

· сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;

· обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

Система защиты информации. Система защиты информации (СЗИ) представляет собой комплекс организационных, технических, технологических и иных средств, методов и мер, снижающих уязвимость информации и препятствующих несанкционированному (незаконному) доступу к информации, ее утечке и утрате.

Собственники соответствующей информации, в том числе соответствующие государственные органы, лично определяют необходимую степень ее защищенности и тип системы, способы и средства защиты, исходя из ценности информации, размера ущерба от ее утраты или утечки и стоимости защитного механизма. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости.

Система защиты информации должна быть непрерывной, плановой, централизованной, целенаправленной, конкретной, активной, надежной, комплексной, легко совершенствуемой и быстро видоизменяемой. Она должна быть эффективной как в обычных условиях, так и в экстремальных ситуациях.

В процессе разработки систем защиты информации выработались некоторые общие правила, которые были сформулированы Ж. Солцером и М. Шредером (США):

Простота механизма защиты. Так как средства защиты усложняют и без того сложные программные и аппаратные средства, обеспечивающие обработку данных в ЭВМ, естественно стремление упростить эти дополнительные средства. Чем лучше совпадает представление пользователя о системе защиты с ее фактическими возможностями, тем меньше ошибок возникает в процессе работы.

Разрешения должны преобладать над запретами. Нормальным режимом работы считается отсутствие доступа, а механизм защиты должен быть основан на условиях, при которых доступ разрешается. Допуск дается лишь тем пользователям, которым он необходим.

Проверка полномочий любого обращения к любому объекту информации. Это означает, что защита выносится на общесистемный уровень и предполагает абсолютно надежное определение источника любого обращения.

Разделение полномочий заключается в определении для любой программы и любого пользователя в системе минимального круга полномочий. Это позволяет уменьшить ущерб от сбоев и случайных нарушений и сократить вероятность преднамеренного или ошибочного применения полномочий.

Трудоемкость проникновения в систему. Фактор трудоемкости зависит от количества проб, которые нужно сделать для успешного проникновения. Метод прямого перебора вариантов может дать результат, если для анализа используется сама ЭВМ.

Регистрация проникновений в систему. Иногда считают, что выгоднее регистрировать случаи проникновения, чем строить сложные системы защиты.

Защита информации в небольших организациях. В некрупных организациях с небольшим объемом информации, подлежащей защите, наиболее целесообразны и эффективны простейшие методы ее защиты. Например: выделение в отдельную группу и маркирование ценных бумажных машиночитаемых и электронных документов, назначение и обучение служащего, работающего с этими документами, организация охраны здания, введение обязательства для сотрудников о неразглашении ценных сведений, контроль за посетителями, проведение простейших действий по защите ЭВМ, ведение аналитической и контрольной работы и другие методы. Как правило, применение простейших методов защиты дает значительный эффект.

Защита информации в крупных организациях. В крупных организациях со сложной структурой, множеством информационных систем и значительными объемами информации, подлежащей защите, формируются комплексные системы защиты информации, характеризующиеся многоуровневым построением и иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе.

информационный криптографический цифровой шифрование

2. Комплексность системы защиты информации

Элементы комплексной системы защиты информации. Комплексность системы защиты информации достигается наличием в ней ряда обязательных элементов - правовых, организационных, инженерно-технических и программно-математических. Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации организации, и гарантирует ее неповторимость и трудность преодоления.

Структура комплексной системы защиты информации представлена на рис. 1.

Конкретную систему можно представить из множества разнообразных элементов. Содержание элементов системы определяет не только ее индивидуальность, но и конкретный заданный уровень защиты с учетом ценности информации и стоимости системы.

Элемент правовой защиты информации. Элемент правовой защиты информации предполагает юридическое закрепление взаимоотношений организации и государства по поводу правомерности защитных мероприятий, а также организации и персонала по поводу обязанности персонала соблюдать порядок защиты ценной информации организации и ответственности за нарушение этого порядка. Элемент включает:

· наличие в организационных документах организации, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, и в должностных инструкциях положений и обязательств по защите ценной информации организации;

· разъяснения лицам, принимаемым на работу, связанную с защищаемой информацией фирмы, о добровольности принимаемых ими на себя ограничений, обусловленных соблюдением правил допуска, доступа к такой информации и, ее использования;

· формулирование и доведения до сведения всех сотрудников организации (в том числе не связанных в своей работе с защищаемой информацией) о правовой ответственности за разглашение, уничтожение или фальсификацию информации.



Рис. 1. Структура комплексной системы защиты информации.

Элемент организационной защиты информации. Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, устанавливающего технологию защиты и, побуждающего персонал соблюдать правила защиты ценной информации организации. Элемент включает в себя:

· формирование и регламентацию деятельности службы безопасности организации (или менеджера по безопасности), обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации;

· регламентацию и регулярное обновление состава (перечня, списка, матрицы) ценной информации организации, подлежащей защите, составление и ведения перечня (описи) бумажных, машинно-читаемых и электронных ценных документов организации;

· регламентацию системы (иерархической схемы) разграничения доступа персонала к ценной информации;

· регламентацию методов отбора персонала для работы с закрытой информацией, методике обучения и инструктирования сотрудников;

· регламентацию технологии защиты и обработки бумажных, машинно-читаемых и электронных документов организации (делопроизводственной, автоматизированной и смешанной технологии);

· регламентацию порядка защиты ценной информации организации от случайных или умышленных несанкционированных действий персонала;

· регламентацию порядка защиты информации при проведении совещаний, заседаний, проведения переговоров, приеме посетителей, работе с представителями средств массовой информации;

· регламентацию аналитической работы по выявлению угроз ценной информации и каналов разглашения, утечки информации;

· оборудование и аттестацию помещений и рабочих зон, выделенных для работы с ценной информацией, лицензирование технических средств и средств защиты информации и охраны, сертификацию информационных систем, предназначенных для работы с закрытой информацией;

· регламентацию пропускного режима на территории, в зданиях и помещениях организации, идентификация посетителей и персонала;

· регламентацию системы охраны территории, здания, помещений, оборудования, транспорта и персонала организации;

· регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны;

· регламентацию организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

· регламентацию действий службы безопасности и персонала организации в экстремальных ситуациях;

· регламентацию работы по управлению системой защиты информации;

· регламентацию критериев и порядка проведения оперативных мероприятий по установлению степени эффективности системы защиты информации.

Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы. По мнению большинства специалистов, меры организационной защиты информации составляют 50-60% в структуре большинства систем защиты информации. Это связано с рядом факторов и также тем, что важной стороной организационной защиты информации является подбор, расстановка и обучение персонала, который будут осуществлять на практике принципы и методы защиты.

Организационные методы защиты информации отражаются в нормативно-методических документах службы безопасности организации. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты информации - элемент организационно-правовой защиты информации.

Элемент инженерно - технической защиты информации. Элемент инженерно - технической защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, зданий, помещения и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты информации и охраны очень велика. Элемент включает в себя:

· сооружение физической защиты от проникновения посторонних лиц на территорию, в здания, помещения и т.п. (заборы, решетки, стальные двери, сейфы и др.);

· средства защиты технических средств утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов, других приборов и офисного оборудования;

· средства защиты помещений от визуальных и акустических способов технической разведки;

· средства обеспечения охраны территорий, зданий и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации);

· средства противопожарной охраны;

· средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной звукозаписывающей и телевизионной аппаратуры и т.п.);

· технические средства контроля, предотвращающие вынос персоналом специально маркированных предметов, документов, дискет, книг и т.п.

Элемент программно-математической защиты информации. Элемент программно-математической защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, локальных сетях и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно- технической и организационной защите. Элемент включает в себя:

· регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;

· регламентацию специальных средств и продуктов программной защиты;

· регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирование (шифрования) текста документов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой.

3. Информационные ресурсы ограниченного распространения и угрозы ресурсам

Информационные ресурсы. Предметом информационной безопасности в единстве сформированной политике безопасности и обеспечивающей комплексной системы защиты информации рассматриваются информационные ресурсы организации. Информационные ресурсы включают в себя отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банка данных, других информационных системах).

Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы страны и защищаются законом наряду с другими ресурсами. Правовой режим информационных ресурсов определяются нормами, устанавливающими:

· порядок документирования информации;

· право собственности на документы и массивы документов;

· категорию информации по уровню доступа к ней;

· порядок правовой защиты информации.

Документирование информации. Документирование информации (создание официального документа) является обязательным условием включение информации в информационные ресурсы. При этом тип используемой технологической системы создания, обработки и хранения документов (делопроизводственная, ручная или автоматизированная локальная, комплексная) не имеет никакого значения. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в установленном порядке.

С точки зрения защиты информации процесс ее документирования предусматривает объективное распространение информации во времени и пространстве и соответствующее возрастания числа опасных источников ее разглашения, подлежащих учету и контролю. Сам факт запечатления ценной информации на каком-либо носителе предполагает наличие защитных мер в отношении информации и носителя от различных рисков.

Право собственности на документы и массивы документов. По принадлежности к тому или иному виду собственности информационными ресурсы могут быть государственными или негосударственными и как элемент состава имущества находится в собственности граждан, органов местного самоуправления, организации и общественных объединений. Субъекты, предоставляющие в обязательном порядке документированную информацию в органы государственной власти и организации, не утрачивают своих прав на эти документы и на использование информации, содержащихся в них.

Государственные информационные ресурсы. Формирование государственных информационных ресурсов осуществляются гражданами, органами государственной власти, органами самоуправления, организациями и общественными объединениями.

Персональные данные. Информация о гражданах (персональные данные) также включаются в состав информационных ресурсов. Под персональными данными понимаются сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность.

Уровень доступа к информации. В соответствии с интересами обеспечения национальной безопасности и степени ценности для государства, государственного учреждения, организации или предприятия информационные ресурсы (информация, документы) могут быть:

· открытыми, т.е. общедоступными (публикуемые в средствах массовой информации, оглашенными на конференциях, в выступлениях, интервью и т.п.);

· ограниченного доступа, т.е. защищаемыми, охраняемыми.

Следовательно, информационные ресурсы при любой технологической системе их документирования, обработки и хранения (традиционной или автоматизированной) объективно подразделяются на два самостоятельных (автономных) информационных банков: банк общедоступной информации и банк защищаемой информации регламентированного доступа. Однако, оба из указанных банков информации постоянно подвергаются объективным и субъективным угрозам разрушения носителя или самой информации.

Угроза или опасность разрушения информации. Под угрозой или опасностью понимается потенциально возможное или реальное нарушение нормального использования информационных ресурсов, их соответствие целям и задачам эффективного управления. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованное и незаинтересованное в возникновении угрозы лица. Сюда относятся также: кражи или уничтожение документов, угасание (старение) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и многое другое.

Диапазон угроз для документов ограниченного доступа значительно шире, что связано, прежде всего, с тем, что к этим документам проявляются повышенный интерес со стороны иностранных спецслужб, криминальных структур, отдельных преступных элементов, часто незаконных детективных организации, которые в совокупности именуются злоумышленниками.

Несанкционированный доступ. Основной угрозой безопасности информационным ресурсам ограниченного распространения, резко повышающим их уязвимость, является несанкционированный (незаконный) доступ постороннего лица (или работающего в организации злоумышленника) к защищаемой документированной информации, и как результат этого - овладение информацией и противоправное ее использование. Обязательным условием для осуществления попытки несанкционированного доступа к этой информации является интерес к ней со стороны определенных лиц, служб и организаций. Результатом несанкционированного доступа к защищаемой информации может быть не только владение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т.п.

Основным виновником несанкционированного доступа к ценной документированной информации является, как правило, персонал, работающий с другими документами и базами данных. При этом следует иметь в виду, что утрата (утеря) ценной информации происходит в большинстве случаев не в результате преднамеренных действий, а из невнимательности и безответственности персонала.

Виды угроз защищаемым информационным ресурсам. Наиболее часто встречаются следующие угрозы защищаемым информационным ресурсам:

· кража (хищение), утеря документа или отдельных его частей (листов, приложений, схем, фотографий, дискет, аудио и видеокассет и др.), носителя информации.;

· копирование бумажных и электронных документов, баз данных, фото, видео, аудиодокументов, сообщение информации или прочтение документа по линиям связи;

· подмена документов, носителей и отдельных частей документа с целью их фальсификации или сокрытия факта утери, хищения;

· работа в чужих электронных баз данных, с чужими компьютерами, тайное ознакомление с документами и базами данных, перезапись или запоминание информации;

· дистанционный просмотр документов и изображений дисплея с помощью технических средств разведки;

· ошибочные (умышленные или случайные) действия персонала при работе с документами (разрушение разрешительной системы доступа, правил обращения с документами, технологии их обработки и хранения);

· случайное или умышленное уничтожение ценных документов и баз данных, их несанкционированная модификация, искажение и фальсификация;

· считывание данных в чужих массивах за счет использования остаточной информации на копировальной ленте, бумаге, дисках и дискетках;

· утечка информации по техническим каналам при обсуждении и диктовке текста документа, работе с компьютером и другой офисной техникой.

Угрозы информационным ресурсам в компьютерных системах. Особенно опасны угрозы для электронных документов, так как определить факт кражи информации часто невозможно.

В отношении информационных ресурсов, обрабатываемых и хранящихся в компьютерах и локальных сетях, угрозы классифицируются по степени риска следующим образом:

· непреднамеренные ошибки пользователей, операторов, системных администраторов и других лиц, обслуживающих информационные системы (самая частая и большая опасность);

· кражи и подлоги информации;

· угрозы, исходящие от стихийных ситуаций внешней среды;

· угрозы заражения вирусами.

Условия утраты информационных ресурсов. Утраты или разглашение (утечка) информационных ресурсов ограниченного доступа могут наступить:

· при наличии определенных интересов определенных учреждений или лиц к конкретной информации;

· при возникновении риска угрозы, организованной злоумышленником или случайной;

· при наличии условий, позволяющего злоумышленнику осуществить необходимые действия и овладеть информацией.

Эти условия могут включать:

· отсутствие системы аналитической работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;

· неэффективную систему защиты информации или отсутствие этой системы;

· неупорядоченный подбор персонала и текучесть кадров;

· сложный психологический климат в коллективе;

· слабые знания сотрудниками организации порядка и правил защиты информации ограниченного доступа или непонимание необходимости их соблюдения;

· отсутствие маркировки (грифирования) информации и документов (в том числе на технических носителях) ограниченного доступа;

· отсутствие контроля со стороны администрации за соблюдение персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;

· бесконтрольное посещение учреждения посторонними лицами.

Следует учитывать, что риск угрозы информации появляется сразу же при возникновении необходимости (и даже мысли) ее документирования. В связи с этим система защиты должна начинать функционировать заблаговременно.

При зарождении потребности в создании документа первоначально следует решить: является ли данная информация ограниченного доступа и, если является, то какая степень ее закрытости.

4. Каналы утечки информации

Угрозы целостности и сохранности информационных ресурсов ограниченного доступа практически реализуются через риск образования несанкционированного получения кем-то (добывания) или утраты защищаемой информации и документов. Эти каналы обозначаются, как правило, термином «каналы утечки информации». Каждая конкретная организация обладает своим набором каналов утечки, зависящим от множества объективных и субъективных факторов (профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания организации и т.д.).

Разглашение (огласка) информации. В том случае, когда речь идет об утрате информации по вине персонала, используется термин»разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т.д.

Утечка информации. Термин «утечка информации» относится к утрате информации за счет ее перехвата с помощью технических средств, по техническим каналам.

Разглашение, утечка информации характеризуется двумя моментами: а) информация переходит непосредственно к заинтересованному лицу - злоумышленнику и б) к третьему лицу. Под третьим лицом в данном случае понимается любые лица (коллеги по работе, посетители, технический персонал организации, работники служб экстремальной помощи и т.п.), получившие информацию во владение в силу обстоятельств, но не обладающие правом владения ею и, что очень важно - не заинтересованные в этой информации. Однако от третьего лица информация может перейти к злоумышленнику.

Переход информации к третьему лицу можно назвать непреднамеренным, стихийным, случайным, хотя при этом факт утечки, разглашения информации, нарушения безопасности имеет место. Непреднамеренный переход информации к третьему лицу возникает в результате:

· утери или неправильного уничтожения документов, пакета с документами;

· незнание, игнорирование или умышленного выполнения сотрудником требований по защите информации;

· излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, друзьями, иными лицами в местах общего пользования, в транспорте и т.п.);

· работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;

· использование сведений ограниченного доступа в открытой печати, личных записях, дневниках и т.п.;

· наличие в документах излишней информации ограниченного доступа;

· самовольного копирования сотрудником документов в служебных или коллекционных целях.

В отличие от третьего лица злоумышленник целенаправленно охотится за конкретной информацией и преднамеренно, тайно создает каналы утечки или разглашения информации. Такие каналы вырабатываются злоумышленниками в зависимости от конкретных обстоятельств и отличаются большим разнообразием видов и их сочетаний.

Каналы утраты любых информационных ресурсов, особенно информации ограниченного доступа, могут быть организационными или техническими.

Организационные каналы разглашения информации. Организационные каналы разглашения информации основаны на установлении разнообразных, в т.ч. законных взаимоотношений злоумышленника с организацией или сотрудником для последующего несанкционированного доступа к интересующей злоумышленника информацией. Основными видами организационных каналов могут быть:

· поступление злоумышленника на работу в организацию, как правило, на техническую или вспомогательную должность (оператором ЭВМ, дворником, шофером и т.п.);

· установление злоумышленником доверительных взаимоотношений с сотрудниками организации или посетителем, сотрудником другой организации, имеющего доступ в данную организацию;

· анализ опубликованных материалов об организации, интервью сотрудников, статей журналистов, участие в открытых конференциях, совещаниях и т.п.;

· работа в информационных сетях;

· систематизация и анализ открытых документов организации, выделенных для уничтожения и находящихся в доступных местах, например, в пунктах вторичного сырья, на свалках и т.п.;

· криминальный, силовой доступ к информации, т.е. кража документов, дискет, компьютеров, шантаж персонала, инсценирование экстремальных ситуаций и т.п.;

· получение нужной информации от третьего (случайного) лица.

Технические каналы утечки информации. Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств разведки, позволяющую получить защищаемую информацию без контакта с персоналом организации. Эти каналы возникают при исследовании злоумышленником физических полей и излучений, возникающих в процессе работы офисной техники и перехвата информации, имеющей акустическую, визуальную или иную форму.

Любая управленческая деятельность связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуации на ЭВМ, печатанием и размножением документов и т.п. Все это открывает обширные технические возможности для злоумышленника в получении определенных необходимых ему сведений.

Результаты использования каналов утечки информации. В результате использования разнообразных методов и творческого сочетания каналов добывания информации ограниченного доступа злоумышленник получает:

· подлинник или оригинальную копию документа (бумажного, машиночитаемого, электронного) содержащего информацию ограниченного доступа;

· несанкционированно сделанную копию этого документа (рукописную или изготовленную с помощью копировального аппарата, фототехники, компьютера и т.д.), диктофонную, магнитофонную, видеокассету с записями текста документа, переговоров, совещаний;

· письменное или устное изложение за пределами организации содержание документа, ознакомление с которым осуществлялось санкционировано или тайно;

· устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т.п.;

· аналог документа, преданного по факсимильной связи или электронной почте;

· речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния).

Поиск и обнаружение каналов утечки информации. В основе поиска и обнаружения каналов разглашения (утечки) защищаемой информации лежит классификация и постоянное изучение источников, владеющих информацией и естественных, объективных каналов распространения этой информации.

Одновременно ведется учет, анализ и контроль потенциальных угроз информации, возможных каналов ее утраты и степени риска возникающих опасностей для информационных ресурсов. Осуществляется поиск реальных каналов разглашения (утечки) информации, оценка степени их опасности и подавление действующих опасных угроз (атак). Угрозы, каналы и риски являются одним из важнейших предметов аналитической работы, которая носит превентивный характер. На этапе обнаружения, исследования, изучения и идентификации угрозы может быть определена опасность информационным ресурсам или конкретной информации и включены дополнительные защитные механизмы.

Следовательно, обнаружение канала разглашения (утечки) информации или предотвращение его появления возможно только при наличии постоянной контрольной и аналитической системы безопасности информационных ресурсов в источнике и канале распространения информации. Уязвимым является любой элемент информационных ресурсов и информационных систем. Другие пути носят случайный характер ожидания ошибки в действиях злоумышленника, так как реальные каналы разглашения (утечки) информации всегда являются тайной этого лица.

Рекомендуемые действия по отношению к источникам информации. Рекомендуется в целях контроля следующие аналитические действия по отношению к источникам (персоналу, документам, компьютерным системам и др.), которые обладают или могут обладать защищаемой информацией:

· классификация информации ограниченного доступа и ее распределение среди персонала различных категорий;

· учет и постоянная актуализация знания состава имеющихся и возможных источников (в том числе случайных) ценной информации;

· учет и сопоставление состава ценной информации, которой обладает каждый источник, т.е. знание уровня реальной, персональной осведомленности источника;

· наблюдение за степенью эффективности применяемой системы разбиения между источниками на неконструктивные - части ими знания ценной информации;

· учет и соблюдение вариации внутренних и внешних, потенциальных и реальных (пассивных и активных) угроз источнику, выявление процесса формирования канала разглашения (утечки) ценной информации;

· наблюдение за действенностью защитных мер по отношению к каждому источнику, заблаговременное противодействие злоумышленнику.

Каналы разглашения (утечки) информации всегда индивидуальны и зависят от конкретных задач, стоящих перед злоумышленником. Обычным и профессионально грамотным является сочетание в действиях злоумышленника каналов различного типов: организационных каналов (например, шантаж сотрудника) и технических каналов (например, перехват информации по каналам связи организации с помощью этого сотрудника). Изобретательность профессионального злоумышленника не имеет предела, поэтому риск утраты информации в этом случае достаточно велик.

Однако следует иметь в виду, что технические каналы (например, акустические, электронные, электромагнитные и др.), в том числе технические каналы получения информации из компьютера и по каналам связи носят стандартный характер и перекрываются стандартными средствами противодействия.

Наиболее сложными для обнаружения являются организационные каналы, связанные с так называемым человеческим фактором. Например, трудно обнаружить инициативное сотрудничество злоумышленника с сотрудником организации (секретарем, референтом, экспертом, оператором ЭВМ и т.д.). Важным средством обеспечения безопасности является механизм подотчетности (протоколирования) всех несанкционированных операций с документами и информацией. Ведение протоколов должно дополняться аудитом - анализом зарегистрированной информации.

5. Содержание служебной тайны и конфиденциальность информации

Информационные ресурсы (официально документированная информация, документы) ограниченного доступа (распространения) делятся на секретные (конфиденциальные) и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, отнесенных к государственной тайне.

Тайна. Под тайной понимается нечто сокрытое, неизвестное, непознанное или известное только определенному кругу лиц. Синонимом такой тайны является секрет, хотя при тщательном анализе этих понятий можно говорить о том, что понятие тайны более широкое, несущее концептуальный смысл.

В научном обороте четко выделяется тайны природы (тайны объективного свойства) и тайны людей, характеризуемые субъективными критериями и часто необъяснимыми интеллектуальными потребностями. Например, личная тайна человека, тайна искусства, секреты молодости, тайны мастерства и т.д.

Тайны, секреты всегда были, есть и будут обязательным атрибутом государственного управления на любом его уровне. Одновременно постоянными являются желание одних людей или организации узнать секреты, а других сохранить их защитить от разглашения.

Тайна всегда должна находиться в безопасности, должна быть уверенность в ее безопасности. Держать что-либо в тайне, секрете - значит защитить сведения о чем, защищать информацию. Но противоположная сторона (противник, злоумышленник, конкурент, соперник, преступник) всегда будет стремиться нарушить безопасность тайны, разрушить систему защиты и добить защищаемую информацию. Эти проблемы и явления можно назвать вечными, не зависящего от технического и интеллектуального состояния общества и научно-технического прогресса человечества. Однако следует помнить, что если что-то называется тайной, то это должно быть в действительности.

Условия возникновения тайны. Тайнами могут быть: факты, события, определенные сведения, базы данных, физические поля, излучения и т.д. Все это может стать тайной при соблюдении следующих условий:

· информация не должна отражать негативные стороны деятельности организации или конкретного лица, нарушения законодательства и другие подобные факты, скрывать преступления;

· информация не должна быть общедоступной или общеизвестной;

· возникновение или получение информации должно быть законным и связано с расходованием интеллектуального потенциала организации;

· персонал организации должен знать о ценности такой информации, и обучен правилам работы с ней;

· организация должна выполнить все необходимые действия по защите этой информации.

Виды тайн. Тайна может быть: государственной, служебной, профессиональной, банковской, коммерческой (предпринимательской) и личной. В организациях, в зависимости от вида его деятельности, имеют место те или иные виды тайн.

Государственная тайна. Под государственной тайной понимаются защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контраразведывательской и оперативно-розыскной деятельности, распространение которой может нанести ущерб государству.

Служебная тайна. Под служебной тайной понимается несекретные сведения ограниченного распространения, связанные с владением и распоряжением интеллектуальной собственности на информационные ресурсы в сфере управленческих (деловых отношений) в государственных учреждениях, утрата (разглашение, утечка, уничтожение) которых может нанести ущерб его интересам и профессиональному престижу. Служебная тайна - не коммерческая тайна ведомства, учреждения, аппарата управления организаций, которая должна быть известна строго определенному кругу должностных лиц.

Центральной проблемой при создании системы защиты информации, составляющий любой вид тайны, в том числе служебной, является формирование разрешительной системы доступа персонала к информационным ресурсам, конфиденциальным сведениям, документам, базам данных и информационным системам, которая лежит в основе обеспечения режима конфиденциальности проводимых работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Доступ к информации в вычислительных системах. При работе сотрудников организации с информационными системами, электронными массивами конфиденциальной документов, компьютерными базами данных проблемы разграничения доступа к информации становится главным направлением в обеспечении информационной безопасности.

Доступ к электронным базам данных для сотрудников организации всегда является многоступенчатым. Выделяются следующие главные составные части доступа:

· доступ к персональному компьютеру, серверу или терминалу;

· доступ к машинным носителям информации, хранящихся вне ЭВМ;

· непосредственный доступ к базам данных и файлам.

Каждая составная часть имеют свои принципы организации, правила, методы доступа и системы контроля.

6. Методы и средства защиты информации в информационных системах

При разработке информационной системы возникают проблемы по решению вопросов безопасности информации, составляющих коммерческую тайну, а также безопасности самых информационных систем.

Признаки информационных систем. Современные информационные системы обладают следующими основными признаками:

· наличием информации различной степени конфиденциальности;

· необходимостью криптографической защиты информации различной степени конфиденциальности при передаче данных;

· иерархичностью полномочий субъектов доступа и программ к АРМ, файл-серверам, каналам связи и информации системы, необходимостью изменения этих полномочий;

· организацией обработки информации в пакетном режиме, в диалоговом режиме, в режиме разделения времени между пользователями и в режиме реального времени, в режиме телеобработки;

· обязательным управлением потоками информации как в локальных, региональных и глобальных сетях, так и при передаче данных по каналам связи на далекие расстояния;

· необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать;

· обязательным обеспечением целостности программного обеспечения и информации в информационной системе;

· наличием средств восстановление системы защиты информации;

· обязательным учетом магнитных носителей;

· наличием физической охраны средств вычислительной и коммуникационной техники.

Организационные мероприятия и процедуры. Организационные мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации информационной системы.

Существенное значение при проектировании придается предпроектному обследованию объекта. На этой стадии:

· устанавливается наличие секретной (конфиденциальной) информации в разрабатываемой ИС, оценивается уровень конфиденциальности и объемы;

· определяются режимы обработки информации, состав комплекса технических средств, общесистемные программные средства и т.д.;

· анализируется возможность использования имеющихся на рынке сертифицированных средств защиты информации;

· определяется степень участия персонала, функциональных служб, специалистов и вспомогательных работников объекта автоматизации в обработке информации, характер взаимодействия между собой и со службой безопасности;

· определяются мероприятия по обеспечению режима секретности на стадиях разработки.

Среди организационных мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на которой расположена защищаемая информационная система (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к ИС и линиям связи.

Функционирование системы защиты информации от несанкционированного доступа, как комплекса программно-технических средств и организационных (процедурных) решений предусматривает:

· учет, хранение и выдачу пользователям информационных носителей, паролей, ключей;

· ведение служебной информации (генерация паролей, ключей, сопровождение правил разграничения доступа);

· оперативный контроль за функционированием систем защиты секретной информации;

· контроль соответствия общесистемной программной среды эталону;

· приемку включаемых в ИС новых программных средств;

· контроль за ходом технологического процесса обработки информации путем регистрации действий пользователей;

· сигнализацию опасных событий.

Следует отметить, что без надлежащей организационной подготовки программно-технических средств защиты информации от несанкционированного доступа и точного выполнения, предусмотренных проектно-технической документации процедур, в должной мере не решить проблему обеспечения безопасности информации, какими современными эти программно-технические средства не были.

Принципы создание базовой системы защиты информации. Создание базовой системы защиты информации в ИС основано на следующих принципах:

Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий, означающей оптимальное сочетание программно-технических средств и организационных мер защиты.

Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки, т.е. предоставление пользователям минимума строго определенных полномочий, достаточного для успешного выполнения ими своих служебных обязанностей с точки зрения автоматизированной обработки доступной им конфиденциальной информации.

Полнота контроля и регистрация попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в ИС без ее предварительной регистрации.

Обеспечение надежности системы защиты, т.е. невозможность снижения уровня надежности при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала.

Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты.

Прозрачность системы защиты информации для общего, прикладного программного обеспечения пользователей ИС.

Экономическая целесообразность использования системы защиты информации, выражающая в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации ИС без защиты системы информации.

Проблема создания системы защиты информации включает в себя две взаимно дополняющих задачи: разработка системы защиты информации (ее синтез); оценка разработанной системы защиты информации.

Вторая задача решается путем анализа технических характеристик разработанной системы защиты информации с целью установления, удовлетворяет ли она комплексу требований к таким системам. Такая задача в настоящее время решается исключительно экспертным путем с помощью сертификации средств защиты и аттестации системы защиты информации в процесс ее внедрения.

Методы и средства обеспечения безопасности информации. Методы и средства обеспечения безопасности информации представлено на рис 2.

К основным методам обеспечения безопасности информации, используемым для создания механизма защиты, относятся следующие:

Припятствия - метод физического принуждения пути злоумышленнику (к аппаратуре, носителям информации и т.д.).

Управление доступом - метод защиты информации регулированием использования всех ресурсов информационной системы (элементов баз данных, программных и технических средств). Управление доступом включает следующие функции защиты:

...