Под информационной безопасностью (ИБ) следует понимать защиту интересов субъектов информационных отношений. Ниже описаны основные ее составляющие – конфиденциальность, целостность, доступность. Приводится статистика нарушений ИБ, описываются наиболее характерные случаи.
Словосочетание "информационная безопасность" в разных контекстах может иметь различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" используется в широком смысле. Имеется в виду состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ "Об участии в международном информационном обмене" информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
В данном курсе наше внимание будет сосредоточено на хранении, обработке и передаче информации вне зависимости от того, на каком языке (русском или каком-либо ином) она закодирована, кто или что является ее источником и какое психологическое воздействие она оказывает на людей. Поэтому термин "информационная безопасность" будет использоваться в узком смысле, так, как это принято, например, в англоязычной литературе.
Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае "пусть лучше все сломается, чем враг узнает хоть один секретный бит", во втором – "да нет у нас никаких секретов, лишь бы все работало".
Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Возвращаясь к вопросам терминологии, отметим, что термин "компьютерная безопасность" (как эквивалент или заменитель ИБ) представляется нам слишком узким. Компьютеры – только одна из составляющих информационных систем, и хотя наше внимание будет сосредоточено в первую очередь на информации, которая хранится, обрабатывается и передается с помощью компьютеров, ее безопасность определяется всей совокупностью составляющих и, в первую очередь, самым слабым звеном, которым в подавляющем большинстве случаев оказывается человек (записавший, например, свой пароль на "горчичнике", прилепленном к монитору).
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал. Эта инфраструктура имеет самостоятельную ценность, но нас будет интересовать лишь то, как она влияет на выполнение информационной системой предписанных ей функций.
Обратим внимание, что в определении ИБ перед существительным "ущерб" стоит прилагательное "неприемлемый". Очевидно, застраховаться от всех видов ущерба невозможно, тем более невозможно сделать это экономически целесообразным способом, когда стоимость защитных средств и мероприятий не превышает размер ожидаемого ущерба. Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Информационная безопасность – многогранная, можно даже сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход.
Спектр интересов субъектов, связанных с использованием информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Иногда в число основных составляющих ИБ включают защиту от несанкционированного копирования информации, но, на наш взгляд, это слишком специфический аспект с сомнительными шансами на успех, поэтому мы не станем его выделять.
Поясним понятия доступности, целостности и конфиденциальности.
Задавайте вопросы нашему консультанту, он ждет вас внизу экрана и всегда онлайн специально для Вас. Не стесняемся, мы работаем совершенно бесплатно!!!
Также оказываем консультации по телефону: 8 (800) 600-76-83, звонок по России бесплатный!
Доступность – это возможность за приемлемое время получить требуемую информационную услугу. Под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Наконец, конфиденциальность – это защита от несанкционированного доступа к информации.
Информационные системы создаются (приобретаются) для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.
Особенно ярко ведущая роль доступности проявляется в разного рода системах управления – производством, транспортом и т.п. Внешне менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей (продажа железнодорожных и авиабилетов, банковские услуги и т.п.).
Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Средства контроля динамической целостности применяются, в частности, при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.
Целостность оказывается важнейшим аспектом ИБ в тех случаях, когда информация служит "руководством к действию". Рецептура лекарств, предписанные медицинские процедуры, набор и характеристики комплектующих изделий, ход технологического процесса – все это примеры информации, нарушение целостности которой может оказаться в буквальном смысле смертельным. Неприятно и искажение официальной информации, будь то текст закона или страница Web-сервера какой-либо правительственной организации. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается в России на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные препоны и технические проблемы.
Если вернуться к анализу интересов различных категорий субъектов информационных отношений, то почти для всех, кто реально использует ИС, на первом месте стоит доступность. Практически не уступает ей по важности целостность – какой смысл в информационной услуге, если она содержит искаженные сведения?
Наконец, конфиденциальные моменты есть также у многих организаций (даже в упоминавшихся выше учебных институтах стараются не разглашать сведения о зарплате сотрудников) и отдельных пользователей (например, пароли).
Обеспечение информационной безопасности
Конфиденциальная для бизнеса информация входит в сферу повышенного интереса конкурирующих компаний. Для недобросовестных конкурентов, коррупционеров и других злоумышленников особый интерес представляет информация о составе менеджмента предприятий, их статусе и деятельности фирмы. Доступ к конфиденциальной информации и ее изменение могут нанести существенный урон финансовому положению компании. При этом, информационная утечка может быть даже частичной. В некоторых случаях даже обеспечение хищения 1/5 конфиденциальной информации может иметь критические последствия для финансовой безопасности. Причиной утечки информации, если отсутствует должное обеспечение информационной безопасности организации, могут быть различные случайности, вызванные неопытностью сотрудников.
Информационная безопасность предполагает обеспечение защиты данных от хищений или изменений как случайного, так и умышленного характера. Система обеспечения информационной безопасности организации – эффективный инструмент защиты интересов собственников и пользователей информации. Следует отметить, что ущерб может быть нанесен не только несанкционированным доступом к информации. Он может быть получен в результате поломки коммуникационного или информационного оборудования. Особенно актуальна эффективная организация обеспечения безопасности информационных банковских систем и учреждений открытого типа (учебные, социальные и др.).
Для того чтобы наладить должное обеспечение защиты информации следует иметь четкое представление об основных понятиях, целях и роли информационной безопасности.
Термин «безопасность информации» описывает ситуацию, исключающую доступ для просмотра, модерации и уничтожения данных субъектами без наличия соответствующих прав. Это понятие включает обеспечение защиты от утечки и кражи информации с помощью современных технологий и инновационных устройств.
Защита информации включает полный комплекс мер по обеспечении целостности и конфиденциальности информации при условии ее доступности для пользователей, имеющих соответствующие права.
Целостность – понятие, определяющее сохранность качества информации и ее свойств.
Конфиденциальность предполагает обеспечение секретности данных и доступа к определенной информации отдельным пользователям.
Доступность – качество информации, определяющее ее быстрое и точное нахождение конкретными пользователями.
Цель защиты информации – минимизация ущерба вследствие нарушения требований целостности, конфиденциальности и доступности.
3 угрозы информационной безопасности организации:
1. Неблагоприятная для предприятия экономическая политика государства. Регулирование экономики государством с помощью манипуляций (определение валютного курса, учетная ставка, таможенные тарифы и налоги) является причиной многих противоречий на предприятиях в сфере производства, финансов и коммерции.
Большую опасность для обеспечения безопасности информации предприятия несут административные обязательства выхода на рынок, что приводит к насильственному сужению товарно-денежных отношений, нарушению законов со стороны государства и ограничению деятельности предприятия. Часто государство преувеличивает свою компетентность в финансовой и коммерческой сфере деятельности предприятия и необоснованно вмешивается в пространство информации этих сфер, а также посягает на собственность предприятия в различных формах.
Серьезную угрозу для обеспечения безопасности информации предприятия несут политические действия, направленные на ограничение или прекращение экономических связей. Санкции в экономике вызывают у обеих сторон недоверие к дальнейшей деятельности и подрывают коммерческие взаимоотношения. Все это ведет к дестабилизации экономических отношений, и не только на уровне государства.
2. Действия иных хозяйствующих субъектов. В данном случае риск обеспечению безопасности информации несет нездоровая конкуренция.
Нездоровая или недобросовестная конкуренция имеет несколько понятий и по нормам международного права разделяется на три вида:
• Когда деятельность одной коммерческой структуры пытаются представить потребителю под видом другой;
• Дискредитирование репутации коммерческого предприятия путем распространения ложной информации;
• Неправомерное и некорректное использование торговых обозначений, вводящих потребителя в заблуждение.
В западных странах существуют законодательные акты по ведению недобросовестной конкуренции, фирменным наименованиям, товарным обозначениям и препятствованию обеспечению безопасности информации, нарушение которых ведет к определенной юридической ответственности.
Также к ответственности приводят следующие неправомерные действия:
• Подкуп или переманивание потребителей со стороны конкурента;
• Порядок обеспечения информационной безопасности организации нарушается путем разглашения коммерческих тайн, а также выяснения информации с помощью шпионажа, подкупа;
• Установление неравноправных и дискредитирующих условий, влияющих на обеспечение безопасности информации;
• Тайное создание картелей, сговор во время торгов с предоставлением коммерческой информации;
• Создание условий, ограничивающих возможность обеспечения безопасности информации;
• Преднамеренное снижение цен для подавления конкуренции;
• Копирование товаров, рекламы, услуг и других форм коммерческой деятельности и информации конкурента.
Имеются и другие аспекты, выявляющие недобросовестную конкуренцию. К ним относится экономическое подавление, которое выражается в разных формах – шантаж персонала, руководителей, компрометирующая информация, парализация деятельности предприятия и срыв сделок с помощью медиаканалов, коррупционных связей в госорганах.
Коммерческий и промышленный шпионаж, подрывающий основы обеспечения информационной безопасности организации, также входит под правовую юридическую ответственность, поскольку он подразумевает незаконное завладение секретной информацией конкурента с целью извлечения личной выгоды.
Та информация, которая предоставляется для широких масс по легальным каналам, не дает руководству предприятия полного ответа на интересующие вопросы о конкурентах. Поэтому, многие крупные предприятия, даже считая действия шпионажа неэтичными и неправомерными, все равно прибегают к мерам, противодействующим обеспечению безопасности информации. Шпионы, работающие на конкурирующем предприятии, часто прибегают к таким действиям, как прямое предложение служащему о предоставлении секретной информации, кража, подкуп и другие разные уловки. Многие действия по подрыву обеспечения безопасности информации облегчаются за счет появления на рынке различных подслушивающих устройств и других современных технических разработок, которые позволяют максимально качественно осуществлять коммерческий и промышленный шпионаж.
Для многих служащих конкурентной компании сумма, предложенная за шпионаж, предоставление секретной информации и нарушение обеспечения безопасности информации, в несколько раз превышает их ежемесячный доход, что является очень соблазнительным для обычного сотрудника. Поэтому, можно считать, что подписка о неразглашении не является полной гарантией обеспечения безопасности коммерческой информации.
Следующей формой недобросовестной конкуренции, направленной на препятствование обеспечению безопасности информации, считается физическое подавление в виде посягательства на жизнь и здоровье служащего компании.
В эту категорию входит:
• Организация разбойных нападений на производственные, складские помещения и офисы с целью ограбления;
• Уничтожение, порча имущества и материальных ценностей путем взрыва, поджога или разрушения;
• Захват сотрудников в заложники или физическое устранение.
3. Кризисные явления в мировой экономике. Кризисы имеют особенность перетекать из одной страны в другую, используя каналы внешних экономических связей. Они также наносят ущерб обеспечению безопасности информации. Это следует учесть, определяя методы и средства обеспечения информационной безопасности организации.
Поэтапное интегрирование России в международную экономику способствует зависимости коммерческих предприятий страны от различных процессов, происходящих в мировой экономике (падение и рост цен на энергоносители, структурная перестройка и другие факторы). По степени внедрения национальной экономики в мировую экономическую структуру усиливается ее подверженность внешним факторам. Поэтому, современное производство в стремлении к увеличению прибыли, улучшению деятельности путем модернизации, повышению уровня обеспечения безопасности информации, стабильности обязательно должно обращать внимание на динамику потребительского спроса, политику государства и центральных банков, развитие научно-технического прогресса, на отношение конкурентов, мировую политику и хозяйственную деятельность.
Безопасность информационных систем
Безопасность информационных систем является частью более широкой проблемы: безопасность компьютерных систем или еще более общей проблемы - информационной безопасности. В этой связи мы намерены обсудить некоторые общие подходы к безопасности, которые в значительной степени будут применимы и в отношении информационных систем.
Информации, как продукт, удовлетворяющий определенным потребностям субъектов, который они получают посредством информационных систем, должна обладать следующими свойствами:
- Доступность информации – возможность за приемлемое время выполнить ту или иную операцию над данными или получить нужную информацию. Заметим, что защита данных от повреждения является лишь частным случаем защиты от нарушения доступности информации.
- Целостность информации - это актуальность и непротиворечивость хранимой информации. Актуальность в данном случае следует понимать как оперативное отражение изменений, происходящих в предметной области, в информационной базе ИС. Непротиворечивость информации это соответствие содержимого информационной базы логике предметной области.
- Конфиденциальность – защищенность информации от несанкционированного доступа.
Иногда выделяют и другие свойства, например достоверность информации. Под достоверность информации в информационном хранилище обычно понимают ее адекватность предметной области, которой соответствует данное информационное хранилище. Скорее все же достоверность относиться не столько к предмету информационной безопасности, сколько определяет ценность хранимой информации. Достоверность поддерживается соответствующей организацией работы ИС.
Можно сказать, что безопасность информационных систем это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нарушить доступность, целостность или конфиденциальность информации.
Под защитой информации будем понимать комплекс мер, направленных на обеспечение информационной безопасности.
Информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации часто называют моделью CIA. Сокращение происходит от английских терминов Confidentiality (конфиденциальность), Integrity(целостность), Availability (доступность).
Далее мы остановимся подробнее на всех трех составляющих информационной безопасности, на угрозах этим составляющим и на способах защиты от этих угроз. По поводу защиты от угроз заметим, что по отношению к информационным системам можно говорить о возможностях самой ИС по защите данных и внешних мерах.
Под угрозой безопасности информации будем понимать действие или событие, которое может привести к нарушению достоверности, целостности или конфиденциальности хранящейся, передаваемой или обрабатываемой информации.
Обратим внимание, что мы говорим о защите не только хранящейся в информационной базе информации, но и информации, которая передается по каналам связи или обрабатывается программным обеспечением.
Дадим определение некоторым понятиям, которые часто используются, при анализе безопасности ИС:
- Атака – попытка реализовать угрозу.
- Злоумышленник – тот, кто осуществляет атаку.
- Источник угрозы – потенциальный злоумышленник.
- Окно опасности - промежуток времени от начала возникновения возможности использовать слабое место в защите до момента, когда это слабое место будет ликвидировано.
Один из возможных подходов к классификации угроз информационным системам фактически был изложен в предыдущем разделе. Угрозы, таким образом, можно поделить на три класса: угрозы доступности информации, угрозы целостности информации и угрозы конфиденциальности информации. В следующих разделах мы подробно остановимся на всех трех классах угроз.
Угрозы можно разделить по тем компонентам ИС и ее инфраструктуры, на которые непосредственно направлена данная угроза. В этом случае, можно говорить об угрозе непосредственно данным, угрозе программному обеспечению ИС, угрозе системному программному обеспечению, угрозе компьютерной технике и сетевому оборудованию и т.д.
Деление всех угроз по их характеру приводит, таким образом, к делению угроз информационной безопасности на случайные и преднамеренные. Случайные угрозы возникают независимо от воли и желания людей, хотя люди и могут быть источниками этих угроз. Преднамеренные же угрозы всегда создаются людьми, причем их намеренными действиями.
Наконец угрозы безопасности можно поделить по их источникам. Всего можно, выделить три группы угроз:
- Природные угрозы. Природные угрозы являются случайными и связаны, прежде всего, с прямым физическим воздействием на компьютерную систему или системы ее жизнеобеспечения. Источником таких угроз являются природные катаклизмы. Предотвратить такие явления мы не можем, но можем предвидеть их и свести негативные их последствия к минимуму.
- Технические угрозы. Технические угрозы - это угрозы вызванные неполадками технических средств (компьютеров, средств связи и др.) и проблемами в работе программного обеспечения. В последнем случае следует различать неполадки в функционировании программного обеспечения, являющегося частью информационной системы и сбои в работе системного программного обеспечения (операционные системы, драйверы, сетевое программное обеспечение). К техническим же угрозам следует отнести и неполадки в системах жизнеобеспечения (здания, тепло-, водоснабжение и т.д.). Технические угрозы можно не только предвидеть, но свести на нет возможность реализации некоторых из них. Своевременный ремонт систем жизнеобеспечения, наличие источников бесперебойного электропитания, а еще лучше альтернативных источников – все это является частью информационной безопасности.
- Угрозы, созданные людьми. Угрозы, созданные людьми можно разделить на:
- Угрозы со стороны людей, непосредственно работающих с системой (обслуживающий персонал, программисты, администраторы, операторы, управленческий аппарат и др.).
- Угрозы, вызванные внешними злоумышленниками, в том числе хакерские атаки, компьютерные вирусы и др.
Кроме перечисленных выше признаков, по которым можно классифицировать угрозы информационной безопасности, угрозы можно поделить на прямые и косвенные. Косвенные угрозы непосредственно не приводят к каким-либо нежелательным явлениям в компьютерной системе, но они могут являться источниками новых косвенных или прямых угроз. Например, запись на диск зараженного компьютерным вирусом файла может лишь с некоторой вероятностью привести к неполадкам в работе операционной системы. В свою очередь неполадки в операционной системе также с некоторой вероятностью приведут к неполадкам в информационной системе. Знание возможных косвенных угроз помогает просчитать непосредственные угрозы для информационной системы и повысить уровень безопасности.
Угрозы информационной безопасности
В наше время в деятельности любого коммерческого предприятия очень большую важность имеет защита информации. Информация сегодня – ценные ресурс, от которого зависит как функционирование предприятия в целом, так и его конкурентоспособность. Угроз безопасности информационных ресурсов предприятия много – это и компьютерные вирусы, которые могут уничтожить важные данные, и промышленный шпионаж со стороны конкурентов преследующих своей целью получение незаконного доступа к информации представляющей коммерческую тайну, и много другое. Поэтому особое место приобретает деятельность по защите информации, по обеспечению информационной безопасности.
Информационная безопасность (англ. «Information security») – защищенность информации и соответствующей инфраструктуры от случайных или преднамеренных воздействий сопровождающихся нанесением ущерба владельцам или пользователям информации.
Информационная безопасность – обеспечение конфиденциальности, целостности и доступности информации.
Цель защиты информации – минимизация потерь, вызванных нарушением целостности или конфиденциальности данных, а также их недоступности для потребителей.
Основные типы угроз информационной безопасности:
1. Угрозы конфиденциальности – несанкционированный доступ к данным (например, получение посторонними лицами сведений о состоянии счетов клиентов банка).
2. Угрозы целостности – несанкционированная модификация, дополнение или уничтожение данных (например, внесение изменений в бухгалтерские проводки с целью хищения денежных средств).
3. Угрозы доступности – ограничение или блокирование доступа к данным (например, невозможность подключится к серверу с базой данных в результате DDoS-атаки).
Источники угроз:
1. Внутренние:
а) ошибки пользователей и сисадминов;
б) ошибки в работе ПО;
в) сбои в работе компьютерного оборудования;
г) нарушение сотрудниками компании регламентов по работе с информацией.
2. Внешние угрозы:
а) несанкционированный доступ к информации со стороны заинтересованных организаций и отдельных лица (промышленный шпионаж конкурентов, сбор информации спецслужбами, атаки хакеров и т.п.);
б) компьютерные вирусы и иные вредоносные программы;
в) стихийные бедствия и техногенные катастрофы (например, ураган может нарушить работу телекоммуникационной сети, а пожар уничтожить сервера с важной информацией).
Методы обеспечения безопасности информации в ИС:
• Препятствие - физическое преграждение пути злоумышленнику к защищаемой информации (например, коммерчески важная информация хранится на сервере внутри здания компании, доступ в которое имеют только ее сотрудники).
• Управление доступом – регулирование использования информации и доступа к ней за счет системы идентификации пользователей, их опознавания, проверки полномочий и т.д. (например, когда доступ в отдел или на этаж с компьютерами, на которых хранится секретная информация, возможен только по специальной карточке-пропуску. Или когда каждому сотруднику выдается персональный логин и пароль для доступа к базе данных предприятия с разными уровнями привилегий).
• Криптография – шифрование информации с помощью специальных алгоритмов (например, шифрование данных при их пересылке по Интернету; или использование электронной цифровой подписи).
• Противодействие атакам вредоносных программ (англ. «malware») – предполагает использование внешних накопителей информации только от проверенных источников, антивирусных программ, брандмауэров, регулярное выполнение резервного копирования важных данных и т.д. (вредоносных программ очень много и они делятся на ряд классов: вирусы, эксплойты, логические бомбы, трояны, сетевые черви и т.п.).
• Регламентация – создание условий по обработке, передаче и хранению информации, в наибольшей степени обеспечивающих ее защиту (специальные нормы и стандарты для персонала по работе с информацией, например, предписывающие в определенные числа делать резервную копию электронной документации, запрещающие использование собственных флеш-накопителей и т.д.).
• Принуждение – установление правил по работе с информацией, нарушение которых карается материальной, административной или даже уголовной ответственностью (штрафы, закон «О коммерческой тайне» и т.п.).
• Побуждение – призыв к персоналу не нарушать установленные порядки по работе с информацией, т.к. это противоречит сложившимся моральным и этическим нормам (например, Кодекс профессионального поведения членов «Ассоциации пользователей ЭВМ США»).
Средства защиты информации:
• Технические (аппаратные) средства – сигнализация, решетки на окнах, генераторы помех воспрепятствования передаче данных по радиоканалам, электронные ключи и т.д.
• Программные средства – программы-шифровальщики данных, антивирусы, системы аутентификации пользователей и т.п.
• Смешанные средства – комбинация аппаратных и программных средств.
• Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.
Информационная безопасность Российской Федерации
Наряду с политической, экономической, военной, социальной и экологической безопасностью составной частью национальной безопасности Российской Федерации является информационная безопасность.
Под информационной безопасностью Российской Федерации понимается состояние защищенности национальных интересов Российской Федерации в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.
Информационная сфера представляет собой совокупность информационных ресурсов и информационной инфраструктуры объекта защиты.
Совокупность хранимой, обрабатываемой и передаваемой информации, используемой для обеспечения процессов управления, называют информационным ресурсом.
К информационным ресурсам относятся:
• информационные ресурсы предприятий оборонного комплекса, содержащие сведения об основных направлениях развития вооружения, о научно-техническом и производственном потенциале, об объемах поставок и запасах стратегических видов сырья и материалов;
• информационное обеспечение систем управления и связи;
• информация о фундаментальных и прикладных НИР, имеющих государственное значение и др.
Информационная инфраструктура – это совокупность информационных подсистем, центров управления, аппаратно-программных средств и технологий обеспечения сбора, хранения, обработки и передачи информации.
Информационная инфраструктура включает:
• информационную инфраструктуру центральных, местных органов государственного управления, научно-исследовательских учреждений;
• информационную инфраструктуру предприятий оборонного комплекса и научно-исследовательских учреждений, выполняющих государственные оборонные заказы либо занимающихся оборонной проблематикой;
• программно-технические средства автоматизированных и автоматических систем управления и связи.
Под угрозой безопасности информации понимается совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и (или) несанкционированными и (или) непреднамеренными воздействиями на нее. Угрозы информационной безопасности Российской Федерации подразделяются на внешние и внутренние.
Внешними угрозами, представляющими наибольшую опасность для объектов обеспечения, являются:
• все виды разведывательной деятельности зарубежных государств;
• информационно-технические воздействия (в том числе радиоэлектронная борьба, проникновение в компьютерные сети);
• диверсионно-подрывная деятельность специальных служб иностранных государств, осуществляемая методами информационно-психологического воздействия;
• деятельность иностранных политических, экономических и военных структур, направленная против интересов Российской Федерации в сфере обороны.
К внутренним угрозам, которые будут представлять особую опасность в условиях обострения военно-политической обстановки, относятся:
• нарушение установленного регламента сбора, обработки, хранения и передачи информации, находящейся в штабах и учреждениях силовых структур Российской Федерации, на предприятиях оборонного комплекса;
• преднамеренные действия, а также ошибки персонала информационных и телекоммуникационных систем специального назначения;
• ненадежное функционирование информационных и телекоммуникационных систем специального назначения;
• возможная информационно-пропагандистская деятельность, подрывающая престиж силовых структур Российской Федерации и их боеготовность;
• нерешенность вопросов защиты интеллектуальной собственности предприятий оборонного комплекса, приводящая к утечке за рубеж ценнейших государственных информационных ресурсов.
К угрозам безопасности уже развернутых и создаваемых информационных и телекоммуникационных средств и систем относятся:
• противоправные сбор и использование информации;
• нарушения технологии обработки информации;
• внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия;
• разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации;
• уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи;
• воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации;
• компрометация ключей и средств криптографической защиты информации;
• утечка информации по техническим каналам;
• внедрение электронных устройств, предназначенных для перехвата информации, в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности;
• уничтожение, повреждение, разрушение или хищение машинных и других носителей информации;
• перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации;
• использование несертифицированных отечественных и зарубежных информационных технологий, средств защиты информации, средств информатизации, телекоммуникации и связи при создании и развитии российской информационной инфраструктуры;
• несанкционированный доступ к информации, находящейся в банках и базах данных;
• нарушение законных ограничений на распространение информации.
Основными направлениями совершенствования системы обеспечения информационной безопасности Российской Федерации являются:
• систематическое выявление угроз и их источников, структуризация целей обеспечения информационной безопасности и определение соответствующих практических задач;
• проведение сертификации общего и специального программного обеспечения, пакетов прикладных программ и средств защиты информации в существующих и создаваемых автоматизированных системах управления и связи, имеющих в своем составе элементы вычислительной техники;
• постоянное совершенствование средств защиты информации, развитие защищенных систем связи и управления, повышение надежности специального программного обеспечения;
• совершенствование структуры функциональных органов системы, координация их взаимодействия.
Оценка состояния информационной безопасности базируется на анализе источников угроз (потенциальной возможности нарушения защиты).
Деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на нее, называют защитой информации. Объектом защиты является информация или носитель информации, или информационный процесс, которые нужно защищать.
Защита информации организуется по трем направлениям: от утечки, от несанкционированного воздействия и от непреднамеренного воздействия.
Первое направление – защита информации от утечки – деятельность, направленная на предотвращение неконтролируемого распространения защищаемой информации в результате ее разглашения, несанкционированного доступа к информации и получения защищаемой информации разведками.
Защита информации от разглашения направлена на предотвращение несанкционированного доведения ее до потребителя, не имеющего права доступа к этой информации.
Защита информации от несанкционированного доступа направлена на предотвращение получения информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации. Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может быть: государство; юридическое лицо; группа физических лиц, в том числе общественная организация; отдельное физическое лицо.
Защита информации от технической разведки направлена на предотвращение получения информации разведкой с помощью технических средств.
Второе направление – защита информации от несанкционированного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию с нарушением установленных прав и (или) правил на изменение информации, приводящего к ее искажению, уничтожению, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Третье направление – защита информации от непреднамеренного воздействия – деятельность, направленная на предотвращение воздействия на защищаемую информацию ошибок ее пользователя, сбоя технических и программных средств информационных систем, природных явлений или иных мероприятий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате уничтожению или сбою функционирования носителя информации.
Защита информационной безопасности
Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.
Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от информационных систем, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, забор, экраны).
Аппаратные средства - механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в информационных системах или сопрягаемые с ней специально для решения задач защиты информации.
Программные средства - пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако они ведут к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п.
К специфическим средствам защиты информации относятся криптографические методы. В информационных системах криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.
Неформальные средства защиты – регламентируют деятельность человека.
Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на всех субъектов информационных отношений. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами и нормативными документами, иногда достаточно противоречивыми.
Организационные средства - организационно-технические и организационно-правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой информационной системы (строительство помещений, проектирование информационных систем, монтаж и наладка оборудования, испытания и эксплуатация информационных систем). Другими словами – это средства уровня организации, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к информационным системам, а также режимов их работы и использования. К организационным мерам также относят сертификацию информационных систем или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д.
Морально-этические средства - сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета. Наиболее показательные пример – кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
Безопасность информационных технологий
Безопасность ИС – свойство, заключающееся в способности системы обеспечить конфиденциальность и целостность информации, т.е. защиту информации от несанкционированного доступа с целью её раскрытия, изменения или разрушения.
Информационную безопасность часто указывают среди основных информационных проблем XXI в. Действительно, вопросы хищения информации, её сознательного искажения и уничтожения часто приводят к трагическим для пострадавшей стороны последствиям, ведущим к разорению и банкротству фирм и даже к человеческим жертвам. В законе Российской Федерации «Об информации, информатизации и защите информации», например, подчёркивается, что «...информационные ресурсы являются объектами собственности граждан, организаций, общественных объединений, государства» и защищать информационные ресурсы, естественно, следует, как личную, коммерческую и государственную собственность.
Все угрозы информационным системам можно объединить в обобщающие их три группы:
1. Угроза раскрытия – возможность того, что информация станет известной тому, кому не следовало бы её знать.
2. Угроза целостности – умышленное несанкционированное изменение (модификация или удаление) данных, хранящихся в вычислительной системе или передаваемых из одной системы в другую.
3. Угроза отказа в обслуживании – возможность появления блокировки доступа к некоторому ресурсу вычислительной системы.
Средства обеспечения информационной безопасности в зависимости от способа их реализации можно разделить на следующие классы методов:
• организационные методы подразумевают рациональное конфигурирование, организацию и администрирование системы. В первую очередь это касается сетевых информационных систем, их операционных систем, полномочий сетевого администратора, набора обязательных инструкций, определяющих порядок доступа и работы в сети пользователей;
• технологические методы, включающие в себя технологии выполнения сетевого администрирования, мониторинга и аудита безопасности информационных ресурсов, ведения электронных журналов регистрации пользователей, фильтрации и антивирусной обработки поступающей информации;
• аппаратные методы, реализующие физическую защиту системы от несанкционированного доступа, аппаратные функции идентификации периферийных терминалов системы и пользователей, режимы подключения сетевых компонентов и т.д.;
• программные методы – это самые распространённые методы защиты информации (например, программы идентификации пользователей, парольной защиты и проверки полномочий, брандмауэры, криптопротоколы и т.д.). Без использования программной составляющей практически невыполнимы никакие, в том числе и первые три группы методов (т.е. в чистом виде организационные, технологические и аппаратные методы защиты, как правило, реализованы быть не могут – все они содержат программный компонент). При этом следует иметь в виду, вопреки распространённому иному мнению, что стоимость реализации многих программных системных решений по защите информации существенно превосходит по затратам аппаратные, технологические и тем более организационные решения (конечно, если использовать лицензионные, а не «пиратские» программы).
Наибольшее внимание со стороны разработчиков и потребителей в настоящее время вызывают следующие направления защиты информации и соответствующие им программно-технические средства:
1. Защита от несанкционированного доступа информационных ресурсов автономно работающих и сетевых компьютеров. Наиболее остро эта проблема стоит для серверов и пользователей сетей Интернет и интранет. Эта функция реализуется многочисленными программными, программно-аппаратными и аппаратными средствами.
2. Защита секретной, конфиденциальной и личной информации от чтения посторонними лицами и целенаправленного её искажения. Эта функция обеспечивается как средствами защиты от несанкционированного доступа, так и с помощью криптографических средств, традиционно выделяемых в отдельный класс.
3. Защита информационных систем от многочисленных компьютерных вирусов, способных не только разрушить информацию, но иногда и повредить технические компоненты системы.
Активно развиваются также средства защиты от утечки информации по цепям питания, каналам электромагнитного излучения компьютера или монитора (применяется экранирование помещений, использование генераторов шумовых излучений, специальный подбор мониторов и комплектующих компьютера, обладающих наименьшим излучениям), средства защиты от электронных «жучков», устанавливаемых непосредственно в комплектующие компьютера и т.д.
Защита информации от несанкционированного доступа. Защита от несанкционированного доступа к ресурсам компьютера – это комплексная проблема, подразумевающая решение следующих вопросов:
• присвоение пользователю, а также и терминалам, программам, файлам и каналам связи уникальных имён и кодов (идентификаторов);
• выполнение процедур установления подлинности при обращениях (доступе) к информационной системе и запрашиваемой информации, т.е. проверка того, что лицо или устройство, сообщившее идентификатор, в действительности ему соответствует (подлинная идентификация программ, терминалов и пользователей при доступе к системе чаще всего выполняется путём проверки паролей, реже обращением в специальную службу, ведающую сертификацией пользователей);
• проверка полномочий, т.е. проверка права пользователя на доступ к системе или запрашиваемым данным (на выполнение над ними определённых операций – чтение, обновление) с целью разграничения прав доступа к сетевым и компьютерным ресурсам;
• автоматическая регистрация в специальном журнале всех как удовлетворённых, так и отвергнутых запросов к информационным ресурсам с указанием идентификатора пользователя, терминала, времени и сущности запроса, т.е. ведение журналов аудита, позволяющих определить, через какой хост-компьютер действовал хакер или кракер, а иногда и определить его IP-адрес и точное местоположение.
Брандмауэр как средство контроля межсетевого трафика. Брандмауэр, или межсетевой экран, – это «полупроницаемая мембрана», которая располагается между защищаемым внутренним сегментом сети и внешней сетью или другими сегментами сети интранет и контролирует все информационные потоки во внутренний сегмент и из него. Контроль трафика состоит в его фильтрации, т.е. выборочном пропускании через экран, а иногда и с выполнением специальных преобразований и формированием извещений для отправителя, если его данным в пропуске было отказано. Фильтрация осуществляется на основании набора условий, предварительно загруженных в брандмауэр и отражающих концепцию информационной безопасности корпорации. Брандмауэры могут быть выполнены как в виде аппаратного, так и программного комплекса, записанного в коммутирующее устройство или сервер доступа (сервер-шлюз, прокси-сервер, хост-компьютер и т.д.). Работа брандмауэра заключается в анализе структуры и содержимого информационных пакетов, поступающих из внешней сети, и в зависимости от результатов анализа пропуска пакетов во внутреннюю сеть (сегмент сети) или полное их отфильтровывание. Эффективность работы межсетевого экрана обусловлена тем, что он полностью переписывает реализуемый стек протоколов TCP/IP, и поэтому нарушить его работу с помощью искажения протоколов внешней сети (что часто делается хакерами) невозможно.
Межсетевые экраны обычно выполняют следующие функции:
• физическое отделение рабочих станций и серверов внутреннего сегмента сети (внутренней подсети) от внешних каналов связи;
• многоэтапная идентификация запросов, поступающих в сеть (идентификация серверов, узлов связи и прочих компонентов внешней сети);
• проверка полномочий и прав доступа пользователей к внутренним ресурсам сети;
• регистрация всех запросов к компонентам внутренней подсети извне; Q контроль целостности программного обеспечения и данных;
• экономия адресного пространства сети (во внутренней подсети может использоваться локальная система адресации серверов);
• сокрытие IP-адресов внутренних серверов с целью защиты от хакеров.
Сферы информационной безопасности
Современную эпоху справедливо называют информационным веком. Новые технологии, глобальные коммуникационные сети охватывают практически все сферы деятельности человека и общества. Они на глазах меняют качество жизни людей, способствуют глобализации экономики и гуманитарного пространства.
Вместе с тем, необходимо учитывать и существующие в информационной сфере риски и угрозы. Мы видим, что отдельные страны пытаются использовать свое доминирующее положение в глобальном информационном пространстве для достижения не только экономических, но и военно-политических целей. Активно применяют информационные системы в качестве инструмента так называемой мягкой силы для достижения своих интересов.
Наши соответствующие ведомства фиксируют постоянный рост компьютерных атак на российские информационные ресурсы. Должен сказать, что за последнее время, за полгода, количество атак увеличилось в разы, просто несопоставимо даже с прошлым годом. При этом методы, средства и тактика проведения подобных атак совершенствуются, а их интенсивность прямо зависит от текущей международной обстановки.
В глобальной сети открыто распространяются материалы террористической и экстремистской направленности. Увеличилось количество преступлений, совершенных с использованием информационных технологий, например, незаконных проникновений в корпоративные сети кредитно-финансовых учреждений.
Безусловно, за последние годы был сделан ряд важных шагов по обеспечению безопасности России в информационной сфере. Действует такой стратегический, комплексный документ, как Доктрина информационной безопасности. С начала прошлого года формируется государственная система обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы России. Создаются современные, защищенные сети и системы связи для нужд обороны и безопасности государства, для эффективной работы правоохранительных органов.
Мы активно взаимодействуем с партнерами в области обеспечения международной информационной безопасности, в том числе в рамках Организации Объединенных Наций, БРИКС, Шанхайской организации сотрудничества. Так, на прошедшем саммите БРИКС лидеры наших стран решительно осудили факты массовой электронной слежки и сбора данных о частных лицах, которые осуществляются некоторыми специальными службами известных стран. Считаем это прямым нарушением суверенитета государств и прав человека, прежде всего – права на неприкосновенность частной жизни. Вместе с тем, очевидно, что сегодня нам необходимо выработать и реализовать комплекс дополнительных мер в области информационной безопасности.
Во-первых, следует качественно повысить защищенность отечественных сетей связи и информационных ресурсов, в первую очередь тех, что используют государственные структуры. Нужно стремиться исключить незаконное вмешательство в их работу, а также утечку конфиденциальной и персональной информации.
Во-вторых, важно обеспечить устойчивость и безопасность российского сегмента интернета. Здесь хотел бы подчеркнуть: мы не намерены ограничивать доступ в сеть, ставить ее под тотальный контроль, огосударствливать Интернет. Ограничивать законные интересы и возможности людей, общественных организаций, бизнеса в информационной сфере.
Свобода СМИ, право граждан на получение и распространение информации – это базовые принципы любой демократической власти, любого демократического государства и общества. Их необходимо неукоснительно соблюдать, и мы будем делать именно это. Еще раз хочу подчеркнуть: никаких необоснованных ограничений, тотальных тем более, не только не будет – мы даже этого не рассматриваем.
Но мы обязаны защищать наших граждан от рисков, о которых я уже упомянул, в том числе использовать для этого ту практику, которая уже применяется во многих странах мира. Мы не можем закрывать глаза на то, что на отдельных сайтах ведется пропаганда терроризма и экстремизма, ксенофобии и религиозной вражды, что в глобальной сети размещается детская порнография, подробно рассказывается, как приготовить наркотическую отраву или совершить акт суицида.
Повторю, во всем мире с подобными материалами борются, и борются активно. Их распространители наказываются, вплоть до возбуждения уголовных дел. Мы будем действовать точно так же – последовательно и строго по закону – закрывать подобные сайты. В этом ни у кого не должно быть сомнений.
И, конечно, следует и впредь оперативно пресекать попытки нарушить устойчивую работу российского сегмента интернета. В июле этого года были проведены межведомственные тренировки по предотвращению подобных попыток. По итогам правительством разрабатываются соответствующие меры, которые должны помочь нам надежно обеспечить суверенитет в этой сфере.
Третье направление работы – это развитие отечественных технологий, техники и информационных продуктов. При этом нужно эффективно стимулировать их использование госструктурами и нашими компаниями. Соответствующие задачи поставлены перед нашими ведомствами. Хотел бы сегодня услышать мнения членов Совета Безопасности о приоритетных мерах в этой области.
И, наконец, четвертое – это расширение сотрудничества в сфере обеспечения международной информационной безопасности с глобальными и региональными организациями. Считаю, что одной из площадок для оценки рисков и выработки совместных мер в сфере информационной безопасности, для анализа правовых последствий принимаемых решений должна стать Организация Объединенных Наций, ее профильные группы и специализированные структуры".
Области информационной безопасности
Государство – это определенная организация политической, государственной власти в обществе, организация, не совпадающая с самим обществом. Но в обществе кроме государства существуют и другие организации. Общество – это исторически развивающаяся совокупность отношений между людьми, складывающаяся в процессе их жизнедеятельности. Информация – результат взаимодействия источника, среды передачи и приёмника информации. В большинстве случаев, информацией не является статическое восприятие. Как информация воспринимается объектом потребления, изменение состояния источника информации или среда её передачи – все это имеет значение при ее получении. В узком смысле слова, информацией можно считать результат сравнения одного с другим (дифференцирование).
Основная функция приёмника данных – фильтрация, игнорирование шума и выявление нового в бесконечном потоке обычного. Информация необходима для объектов, потребляющих её – как средство обеспечения их существования, позволяет реагировать на изменения в окружающем мире. Информация делится на множество типов: достоверная; непротиворечивая; ложная; неправдоподобная. А так же существует и своя охрана информации, называемая информационная безопасность. Тип информации определяет её потребитель, используя различные среды передачи и источники информации. Информационная безопасность государства – это состояние сохранности информационных ресурсов государства и защиты, законных прав личности и общества в информационной сфере. В современном социуме, информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком – мир техники, технологий и т.п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Информационную безопасность можно представить двумя частями: информационно-техническая безопасность и информационно-психологическая (психофизическая) безопасность.
Безопасность информации – это состояние защищенности информации (ее данных), при которой обеспечены её конфиденциальность, доступность и целостность. Конфиденциальность информации – это принцип аудита, заключающийся в том, что аудиторы обязаны обеспечивать сохранность документов, получаемых или составляемых ими в ходе аудиторской деятельности, и не вправе передавать эти документы или их копии каким бы то ни было третьим лицам, либо разглашать устно, содержащиеся в них сведения без согласия собственника экономического субъекта. За исключением случаев, предусмотренных законодательными актами. Доступность информации – состояние информации (ресурсов автоматизированной информационной системы), при которой субъекты, имеющие право доступа, могут реализовывать их беспрепятственно.
Примечание. К правам доступа относятся: право на чтение, изменение, копирование, уничтожение информации, а также права на изменение, использование, уничтожение ресурсов. Целостность информации – является одним из трех основных критериев информационной безопасности объекта. Обеспечение достоверности и полноты информации и методов ее обработки. Не всегда обязательные категории модели безопасности: невозможность отказа от авторства; подотчётность – обеспечение идентификации субъекта доступа и регистрации его действий; достоверность – свойство соответствия предусмотренному поведению или результату; аутентичность или подлинность – свойство, гарантирующее, что субъект или ресурс идентичны заявленным. В Государственном стандарте РФ приводится следующая рекомендация использования терминов «безопасность» и «безопасный»: «безопасность» и «безопасный» следует применять только для выражения уверенности и гарантий риска. Не следует, употреблять эти слова в качестве описательного прилагательного предмета, так как они не передают никакой полезной информации.
Целью реализации информационной безопасности какого-либо объекта является построение Системы обеспечения информационной безопасности данного объекта (СОИБ). Для построения и эффективной эксплуатации СОИБ необходимо: выявить требования защиты информации, специфические для данного объекта защиты; учесть требования национального и международного Законодательства; использовать наработанные практики (стандарты, методологии) построения подобных СОИБ; определить подразделения, ответственные за реализацию и поддержку СОИБ; распределить между подразделениями области ответственности в осуществлении требований СОИБ. На базе управления рисками информационной безопасности определить общие положения, технические и организационные требования, составляющие политику информационной безопасности объекта защиты; реализовать требования политики информационной безопасности, внедрив соответствующие программно-технические способы и средства защиты информации; реализовать Систему менеджмента (управления) информационной безопасности (СМИБ); используя СМИБ организовать регулярный контроль эффективности СОИБ и при необходимости, пересмотр и корректировку СОИБ и СМИБ. Как видно, из последнего этапа работ, процесс реализации СОИБ непрерывный и циклично (после каждого пересмотра) возвращается к первому этапу, повторяя последовательно всё остальные. Так СОИБ, корректируется для эффективного выполнения своих задач защиты информации и соответствия новым требованиям постоянно обновляющейся информационной системы.
В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся: акты федерального законодательства, международные договоры РФ; конституция РФ; законы федерального уровня (включая федеральные конституционные законы, кодексы); указы Президента РФ; постановления правительства РФ; нормативные правовые акты федеральных министерств и ведомств; нормативные правовые акты субъектов РФ, органов местного самоуправления. Международные стандарты информационной безопасности – государственные (национальные) стандарты РФ; рекомендации по стандартизации; методические указания.
Аудит информационной безопасности
Сегодня информационные системы (ИС) играют ключевую роль в обеспечении эффективности работы коммерческих и государственных предприятий. Повсеместное использование ИС для хранения, обработки и передачи информации делает актуальными проблемы их защиты, особенно учитывая глобальную тенденцию к росту числа информационных атак, приводящих к значительным финансовым и материальным потерям. Для эффективной защиты от атак компаниям необходима объективная оценка уровня безопасности ИС - именно для этих целей и применяется аудит безопасности.
Определение аудита безопасности еще не устоялось, но в общем случае его можно описать как процесс сбора и анализа информации об ИС для качественной или количественной оценки уровня ее защищенности от атак злоумышленников. Существует множество случаев, когда целесообразно проводить аудит безопасности. Это делается, в частности, при подготовке технического задания на проектирование и разработку системы защиты информации и после внедрения системы безопасности для оценки уровня ее эффективности. Возможен аудит, направленный на приведение действующей системы безопасности в соответствие требованиям российского или международного законодательства. Аудит может также предназначаться для систематизации и упорядочения существующих мер защиты информации или для расследования произошедшего инцидента, связанного с нарушением информационной безопасности.
Как правило, для проведения аудита привлекаются внешние компании, которые предоставляют консалтинговые услуги в области информационной безопасности. Инициатором процедуры аудита может стать руководство предприятия, служба автоматизации или служба информационной безопасности. В ряде случаев аудит также проводится по требованию страховых компаний или регулирующих органов. Аудит безопасности выполняется группой экспертов, численность и состав которой зависит от целей и задач обследования, а также от сложности объекта оценки.
Можно выделить следующие основные виды аудита информационной безопасности:
• экспертный аудит безопасности, в ходе которого выявляются недостатки в системе мер защиты информации на основе опыта экспертов, участвующих в процедуре обследования;
• оценка соответствия рекомендациям международного стандарта ISO 17799, а также требованиям руководящих документов ФСТЭК (Гостехкомиссии);
• инструментальный анализ защищенности ИС, направленный на выявление и устранение уязвимостей программно-аппаратного обеспечения системы;
• комплексный аудит, включающий в себя все вышеперечисленные формы проведения обследования.
Любой из перечисленных видов аудита может проводиться по отдельности или в комплексе, в зависимости от тех задач, которые решает предприятие. В качестве объекта аудита может выступать как ИС компании в целом, так и ее отдельные сегменты, в которых обрабатывается информация, подлежащая защите.
Проведение аудита безопасности
На первом этапе совместно с заказчиком разрабатывается регламент, устанавливающий состав и порядок проведения работ. Основная задача регламента - определить границы, в рамках которых будет проводиться обследование. Регламент позволяет избежать взаимных претензий по завершении аудита, поскольку четко определяет обязанности сторон.
Как правило, регламент содержит следующую основную информацию:
• состав рабочих групп от исполнителя и заказчика для проведения аудита;
• список и местоположение объектов заказчика, подлежащих аудиту;
• перечень информации, которая будет предоставлена исполнителю;
• перечень ресурсов, которые рассматриваются в качестве объектов защиты (информационные, программные, физические ресурсы и т. д.);
• модель угроз информационной безопасности, на основе которой проводится аудит;
• категории пользователей, которые рассматриваются в качестве потенциальных нарушителей;
• порядок и время проведения инструментального обследования ИС заказчика.
На втором этапе, в соответствии с согласованным регламентом, собирается исходная информация. Методы сбора информации включают интервьюирование сотрудников заказчика, заполнение опросных листов, анализ предоставленной организационно-распорядительной и технической документации, использование специализированных инструментальных средств.
Третий этап работ предполагает анализ собранной информации с целью оценки текущего уровня защищенности ИС предприятия. По результатам проведенного анализа на четвертом этапе разрабатываются рекомендации по повышению уровня защищенности ИС от угроз информационной безопасности.
Ниже мы подробнее рассмотрим этапы аудита, связанные со сбором информации, ее анализом и разработкой рекомендаций по повышению уровня защиты ИС.
Сбор исходных данных
Качество аудита безопасности во многом зависит от полноты и точности информации, полученной в процессе сбора исходных данных. Поэтому в нее необходимо включить следующее: организационно-распорядительную документацию, касающуюся вопросов информационной безопасности, сведения о программно-аппаратном обеспечении ИС, информацию о средствах защиты, установленных в ИС, и т. д.
Как уже отмечалось выше, для сбора исходных данных применяются следующие методы.
Интервьюирование сотрудников заказчика, обладающих необходимой информацией. Интервью обычно проводятся как с техническими специалистами, так и с представителями руководящего звена компании. Перечень вопросов, которые планируется обсудить в процессе интервью, согласовывается заранее.
Предоставление опросных листов по определенной тематике, которые сотрудники заказчика заполняют самостоятельно. В тех случаях, когда представленные материалы не полностью отвечают на необходимые вопросы, проводится дополнительное интервьюирование.
Анализ организационно-технической документации, используемой заказчиком.
Использование специализированного ПО, которое позволяет получить необходимую информацию о составе и настройках программно-аппаратного обеспечения ИС предприятия. Например, с помощью систем анализа защищенности (security scanners) можно провести инвентаризацию сетевых ресурсов и выявить уязвимости в них. В качестве примеров таких систем можно назвать Internet Scanner компании ISS и XSpider компании Positive Technologies.
Оценка уровня безопасности ИС
После сбора необходимой информации проводится ее анализ с целью оценки текущего уровня защищенности системы. В процессе такого анализа определяются риски информационной безопасности, которым подвержена компания. Фактически риск представляет собой интегральную оценку того, насколько эффективно существующие средства защиты способны противостоять информационным атакам.
Обычно выделяют две основные группы методов расчета рисков безопасности. Первая группа позволяет установить уровень риска путем оценки степени соответствия определенному набору требований к информационной безопасности.
В качестве источников таких требований могут выступать:
• нормативно-правовые документы предприятия, касающиеся вопросов информационной безопасности (политика безопасности, регламенты, приказы, распоряжения);
• требования действующего российского законодательства - руководящие документы ФСТЭК (Гостехкомиссии), СТР-К, требования ФСБ РФ, ГОСТы и т. д.;
• рекомендации международных стандартов - ISO 17799, OCTAVE, CoBIT, BS 7799-2 и т. д.;
• рекомендации компаний-производителей программного и аппаратного обеспечения - Microsoft, Oracle, Cisco и т. д.
Вторая группа методов оценки рисков информационной безопасности базируется на определении вероятности реализации атак, а также уровней их ущерба. Значение риска вычисляется отдельно для каждой атаки и в общем случае представляется как произведение вероятности проведения атаки a на величину возможного ущерба от этой атаки - Риск (a) = P(a) . Ущерб (a). Значение ущерба определяется собственником информационного ресурса, а вероятность атаки вычисляется группой экспертов, проводящих процедуру аудита. Вероятность в данном случае рассматривается как мера того, что в результате проведения атаки нарушители достигли своих целей и нанесли ущерб компании.
Методы обеих групп могут использовать количественные или качественные шкалы для определения величины риска информационной безопасности. В первом случае для риска и всех его параметров берутся численные выражения. Например, при использовании количественных шкал вероятность проведения атаки P(a) может выражаться числом в интервале [0,1], а ущерб от атаки - задаваться в виде денежного эквивалента материальных потерь, которые может понести организация в случае успешной атаки. При использовании качественных шкал числовые значения заменяются на эквивалентные им понятийные уровни. Каждому понятийному уровню в этом случае будет соответствовать определенный интервал количественной шкалы оценки. Количество уровней может варьироваться в зависимости от применяемых методик оценки рисков.
Для вычисления уровня риска по качественным шкалам применяются специальные таблицы, в которых в первом столбце задаются понятийные уровни ущерба, а в первой строке - уровни вероятности атаки. Ячейки же таблицы, расположенные на пересечении соответствующих строк и столбцов, содержат уровень риска безопасности.
При расчете значений вероятности атаки, а также уровня возможного ущерба используют статистические методы, экспертные оценки или элементы теории принятия решений. Статистические методы предполагают анализ уже накопленных данных о реально случавшихся инцидентах, связанных с нарушением информационной безопасности. На основе результатов такого анализа строятся предположения о вероятности проведения атак и уровнях ущерба от них в других ИС. Однако статистические методы не всегда удается применить из-за недостатка статистических данных о ранее проведенных атаках на ресурсы ИС, аналогичной той, которая выступает в качестве объекта оценки.
При использовании аппарата экспертных оценок анализируются результаты работы группы экспертов, компетентных в области информационной безопасности, которые на основе имеющегося у них опыта определяют количественные или качественные уровни риска. Элементы теории принятия решений позволяют применять для вычисления значения риска безопасности более сложные алгоритмы обработки результатов работы группы экспертов.
Существуют специализированные программные комплексы, позволяющие автоматизировать процесс анализа исходных данных и расчета значений рисков при аудите безопасности. Примеры таких комплексов - "Гриф" и "Кондор" компании Digital Security, а также "АванГард", разработанный в Институте системного анализа РАН.
Результаты аудита безопасности
На последнем этапе аудита информационной безопасности разрабатываются рекомендации по совершенствованию организационно-технического обеспечения защиты на предприятии. Такие рекомендации могут включать в себя различные типы действий, направленных на минимизацию выявленных рисков.
Уменьшение риска за счет дополнительных организационных и технических средств защиты, позволяющих снизить вероятность проведения атаки или уменьшить возможный ущерб от нее. Так, установка межсетевых экранов в точке подключения ИС к Интернету существенно снижает вероятность проведения успешной атаки на общедоступные информационные ресурсы ИС - такие, как Web-серверы, почтовые серверы и т. д.
Уклонение от риска путем изменения архитектуры или схемы информационных потоков ИС, что позволяет исключить проведение той или иной атаки. Например, физическое отключение от Интернета сегмента ИС, в котором обрабатывается конфиденциальная информация, позволяет избежать внешних атак на конфиденциальную информацию.
Изменение характера риска в результате принятия мер по страхованию. В качестве примеров изменения характера риска можно привести страхование оборудования ИС от пожара или страхование информационных ресурсов от возможного нарушения их конфиденциальности, целостности или доступности. В настоящее время ряд российских компаний уже предлагают услуги страхования информационных рисков.
Принятие риска, если он уменьшен до того уровня, на котором уже не представляет опасности для ИС.
Обычно рекомендации направлены не на полное устранение всех выявленных рисков, а лишь на их уменьшение до приемлемого уровня. При выборе мер для повышения уровня защиты ИС учитывается одно принципиальное ограничение - стоимость реализации этих мер не должна превышать стоимости защищаемых информационных ресурсов, а также убытков компании от возможного нарушения конфиденциальности, целостности или доступности информации.
В завершение процедуры аудита его результаты оформляются в виде отчетного документа, который предоставляется заказчику.
В общем случае этот документ состоит из следующих основных разделов:
• описание границ, в рамках которых проводился аудит безопасности;
• описание структуры ИС заказчика;
• методы и средства, которые использовались в процессе проведения аудита;
• описание выявленных уязвимостей и недостатков, включая уровень их риска;
• рекомендации по совершенствованию комплексной системы обеспечения информационной безопасности;
• предложения к плану реализации первоочередных мер, направленных на минимизацию выявленных рисков.
Аудит информационной безопасности - один из наиболее эффективных сегодня инструментов для получения независимой и объективной оценки текущего уровня защищенности предприятия от угроз информационной безопасности. Кроме того, результаты аудита дают основу для формирования стратегии развития системы обеспечения информационной безопасности организации. Однако необходимо понимать, что аудит безопасности - не разовая процедура, он должен проводиться на регулярной основе. Только в этом случае аудит будет приносить реальную отдачу и способствовать повышению уровня информационной безопасности компании.
Правовая информационная безопасность
Право в области обеспечения информационной безопасности - это подотрасль информационного права, представляющая собой совокупность правовых норм, регулирующих общественные отношения по защите жизненно важных интересов личности, общества и государства от угроз в информационной сфере.
Объект права - информационная безопасность, а предмет - общественные отношения в области обеспечения информационной безопасности.
Правовое обеспечение информационной безопасности основано в первую очередь на нормах Конституции РФ, Закона РФ "О безопасности" и Концепции национальной безопасности Российской Федерации.
Конституция РФ устанавливает обеспечение безопасности граждан и обеспечение безопасности государства в качестве критериев для ограничения в ряде случаев основных прав и свобод человека и гражданина в Российской Федерации, относит безопасность к предметам ведения Российской Федерации и ее субъектов.
Так, в ч. 3 ст. 55 Конституции РФ определяет основания ограничения основных информационных прав и свобод гражданина и гласит: "Права и свободы человека и гражданина могут быть ограничены федеральным законом только в той мере, в какой это необходимо в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства". Ст. 56 предусматривает возможность ограничения прав и свобод с указанием пределов и срока их действия "в условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом". В ст. 51 установлено, что никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.
Кроме того, в Конституции РФ определено: каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений, а ограничение этого права допускается только на основании судебного решения (ч. 2 ст. 23); сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются (ч. 1 ст. 24); не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду; запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства (ч. 2 ст. 29); каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом; перечень сведений, составляющих государственную тайну, определяется федеральным законом (ч. 4 ст. 29).
Все эти нормы Конституции РФ соответствуют Декларации прав и свобод человека и гражданина, за исключением ограничения, связанного с пропагандой классовой ненависти, насилия и войны, с коммерческой и профессиональной тайнами.
Статья 71 Конституции РФ среди предметов ведения Российской Федерации устанавливает оборону и безопасность, а ст. 72 относит обеспечение общественной безопасности к совместному ведению Российской Федерации и ее субъектов.
Закон РФ "О безопасности" помимо определения безопасности и выявления основных объектов безопасности (личность, общество и государство) закрепляет понятие системы безопасности Российской Федерации и рассматривает в качестве ее элементов:
- субъекты обеспечения безопасности - органы законодательной, исполнительной и судебной власти, государственные, общественные и иные организации и объединения, граждане;
- законодательство, регламентирующее отношения в сфере безопасности.
При этом создание органов обеспечения безопасности, не установленных законом Российской Федерации, не допускается.
В Доктрине информационной безопасности Российской Федерации уточнены основные элементы организационной основы системы обеспечения информационной безопасности Российской Федерации: Президент Российской Федерации, Совет Федерации Федерального Собрания Российской Федерации, Государственная Дума Федерального Собрания Российской Федерации, Правительство Российской Федерации, Совет Безопасности Российской Федерации, федеральные органы исполнительной власти, межведомственные и государственные комиссии, создаваемые Президентом и Правительством Российской Федерации, органы исполнительной власти субъектов Российской Федерации, органы местного самоуправления, органы судебной власти, общественные объединения, граждане, принимающие в соответствии с законодательством Российской Федерации участие в решении задач обеспечения информационной безопасности Российской Федерации.
Президент Российской Федерации: руководит в пределах своих конституционных полномочий органами и силами по обеспечению информационной безопасности Российской Федерации; санкционирует действия по обеспечению информационной безопасности Российской Федерации; в соответствии с законодательством Российской Федерации формирует, реорганизует и упраздняет подчиненные ему органы и силы по обеспечению информационной безопасности Российской Федерации; определяет в своих ежегодных посланиях Федеральному Собранию приоритетные направления государственной политики в области обеспечения информационной безопасности Российской Федерации, а также меры по реализации настоящей Доктрины.
Палаты Федерального Собрания Российской Федерации на основе Конституции РФ по представлению Президента и Правительства РФ формируют законодательную базу в области обеспечения информационной безопасности Российской Федерации.
Правительство РФ в пределах своих полномочий и с учетом сформулированных в ежегодных посланиях Президента РФ Федеральному Собранию приоритетных направлений в области обеспечения информационной безопасности Российской Федерации координирует деятельность федеральных органов исполнительной власти и органов исполнительной власти субъектов Российской Федерации, а также при формировании в установленном порядке проектов федерального бюджета на соответствующие годы предусматривает выделение средств, необходимых для реализации федеральных программ в этой области.
Совет Безопасности Российской Федерации проводит работу по выявлению и оценке угроз информационной безопасности Российской Федерации, оперативно подготавливает проекты решений Президента РФ по предотвращению таких угроз, разрабатывает предложения в области обеспечения информационной безопасности Российской Федерации, а также предложения по уточнению отдельных положений настоящей Доктрины, координирует деятельность органов и сил по обеспечению информационной безопасности Российской Федерации, контролирует реализацию федеральными органами исполнительной власти и органами исполнительной власти субъектов Российской Федерации решений Президента РФ в этой области.
Федеральные органы исполнительной власти обеспечивают исполнение законодательства Российской Федерации, решений Президента и Правительства РФ в области обеспечения информационной безопасности Российской Федерации; в пределах своей компетенции разрабатывают нормативные правовые акты в этой области представляют их в установленном порядке Президенту Российской Федерации и в Правительство Российской Федерации.
Межведомственные и государственные комиссии, создаваемые президентом и Правительством РФ, решают в соответствии с предоставленными им полномочиями задачи обеспечения информационной безопасности.
Органы исполнительной власти субъектов Российской Федерации взаимодействуют с федеральными органами исполнительной власти по вопросам исполнения законодательства Российской Федерации, решений Президента и Правительства РФ в области обеспечения информационной безопасности Российской Федерации, а также по вопросам реализации федеральных программ в этой области; совместно с органами местного самоуправления осуществляют мероприятия по привлечению граждан, организаций и общественных объединений к оказанию содействия в решении проблем обеспечения информационной безопасности Российской Федерации; вносят в федеральные органы исполнительной власти предложения по совершенствованию системы обеспечения информационной безопасности.
Органы местного самоуправления обеспечивают соблюдение законодательства Российской Федерации в области обеспечения информационной безопасности.
Органы судебной власти осуществляют правосудие по делам о преступлениях, связанных с посягательствами на законные интересы личности, общества и государства в информационной сфере, и обеспечивают судебную защиту граждан и общественных объединений, чьи права были нарушены в связи с деятельностью по обеспечению информационной безопасности Российской Федерации.
В состав системы обеспечения информационной безопасности Российской Федерации могут входить подсистемы (системы), ориентированные на решение локальных задач в данной сфере.
Политика информационной безопасности
Под политикой безопасности организации понимают совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов. Политика безопасности является тем средством, с помощью которой реализуется деятельность в компьютерной информационной системе организации. Вообще политики безопасности определяются используемой компьютерной средой и отражают специфические потребности организации.
Обычно корпоративная информационная система представляет собой сложный комплекс разнородного, иногда плохо согласующегося между собой аппаратного и программного обеспечения: компьютеров, операционных систем, сетевых средств, СУБД, разнообразных приложений. Все эти компоненты обычно обладают собственными средствами защиты, которые нужно согласовать между собой. Поэтому очень важна эффективная политика безопасности в качестве согласованной платформы по обеспечению безопасности корпоративной системы. По мере роста компьютерной системы и интеграции ее в глобальную сеть необходимо обеспечить отсутствие в системе слабых мест, поскольку все усилия по защите информации могут быть обесценены лишь одной оплошностью.
Можно построить такую политику безопасности, которая будет устанавливать, кто имеет доступ к конкретным активам и приложениям, какие роли и обязанности будут иметь конкретные лица, а также предусмотреть процедуры безопасности, которые четко предписывают, как должны выполняться конкретные задачи безопасности. Индивидуальные особенности работы сотрудника могут потребовать доступа к информации, которая не должна быть доступна другим работникам. Например, менеджер по персоналу может иметь доступ к частной информации любого сотрудника, в то время как специалист по отчетности может иметь доступ только к финансовым данным этих сотрудников. А рядовой сотрудник будет иметь доступ только к своей собственной персональной информации.
Политика безопасности определяет позицию организации по рациональному использованию компьютеров и сети, а также процедуры по предотвращению и реагированию на инциденты безопасности. В большой корпоративной системе может применяться широкий диапазон разных политик от бизнес-политик до специфичных правил доступа к наборам данных. Эти политики полностью определяются конкретными потребностями организации.
Политика безопасности определяет стратегию управления в области информационной безопасности, а также ту меру внимания и количество ресурсов, которые считает целесообразным выделить руководство.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда проведен анализ рисков и определена стратегия защиты, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Для того чтобы ознакомиться с основными понятиями политик безопасности рассмотрим в качестве конкретного примера гипотетическую локальную сеть, принадлежащую некоей организации, и связанную с ней политику безопасности.
Политика безопасности организации должна иметь структуру краткого, легко понимаемого документа высокоуровневой политики, поддерживаемого рядом более конкретных документов специализированных политик и процедур безопасности.
Высокоуровневая политика безопасности должна периодически пересматриваться, чтобы гарантировать, что она учитывает текущие потребности организации. Этот документ составляют таким образом, чтобы политика была относительно независимой от конкретных технологий. В таком случае этот документ политики не потребуется изменять слишком часто.
Политика безопасности обычно оформляется в виде документа, включающего такие разделы, как описание проблемы, область применения, позиция организации, распределение ролей и обязанностей, санкции и др.
Описание проблемы. Информация, циркулирующая в рамках локальной сети, является критически важной. Локальная сеть позволяет пользователям совместно использовать программы и данные, что увеличивает угрозу безопасности. Поэтому каждый из компьютеров, входящих в сеть, нуждается в более сильной защите. Эти повышенные меры безопасности и являются темой данного документа. Документ преследует следующие цели: продемонстрировать сотрудникам организации важность защиты сетевой среды, описать их роль в обеспечении безопасности, а также распределить конкретные обязанности по защите информации, циркулирующей в сети.
Область применения. В сферу действия данной политики попадают все аппаратные, программные и информационные ресурсы, входящие в локальную сеть предприятия. Политика ориентирована также на людей, работающих с сетью, в том числе на пользователей, субподрядчиков и поставщиков.
Позиция организации. Целью организации является обеспечение целостности, доступности и конфиденциальности данных, а также их полноты и актуальности.
Более частными целями являются:
• обеспечение уровня безопасности, соответствующего нормативным документам;
• следование экономической целесообразности в выборе защитных мер (расходы на защиту не должны превосходить предполагаемый ущерб от нарушения информационной безопасности);
• обеспечение безопасности в каждой функциональной области локальной сети;
• обеспечение подотчетности всех действий пользователей с информацией и ресурсами;
• обеспечение анализа регистрационной информации;
• предоставление пользователям достаточной информации для сознательного поддержания режима безопасности;
• выработка планов восстановления после аварий и иных критических ситуаций для всех функциональных областей с целью обеспечения непрерывности работы сети;
• обеспечение соответствия с имеющимися законами и общеорганизационной политикой безопасности.
Распределение ролей и обязанностей. За реализацию сформулированных выше целей отвечают соответствующие должностные лица и пользователи сети.
Руководители подразделений отвечают за доведение положений политики безопасности до пользователей и за контакты с ними.
Администраторы локальной сети обеспечивают непрерывное функционирование сети и отвечают за реализацию технических мер, необходимых для проведения в жизнь политики безопасности.
Администраторы сервисов отвечают за конкретные сервисы и, в частности, за то, чтобы защита была построена в соответствии с общей политикой безопасности.
Пользователи обязаны работать с локальной сетью в соответствии с политикой безопасности, подчиняться распоряжениям лиц, отвечающих за отдельные аспекты бе-зопасности, ставить в известность руководство обо всех подозрительных ситуациях.
Более подробные сведения о ролях и обязанностях должностных лиц и пользователей сети приведены ниже.
Санкции. Нарушение политики безопасности может подвергнуть локальную сетью циркулирующую в ней информацию недопустимому риску. Случаи нарушения безопасности со стороны персонала должны оперативно рассматриваться руководством для принятия дисциплинарных мер вплоть до увольнения.
Дополнительная информация. Конкретным группам исполнителей могут потребоваться для ознакомления какие-то дополнительные документы, в частности документы специализированных политик и процедур безопасности, а также другие руководящие указания. Необходимость в дополнительных документах политик безопасности в значительной степени зависит от размеров и сложности организации. Для достаточно большой организации могут потребоваться в дополнение к базовой политике специализированные политики безопасности. Организации меньшего размера нуждаются только в некотором подмножестве специализированных политик. Многие из этих документов поддержки могут быть довольно краткими - объемом в одну - две страницы.
Средства информационной безопасности
В современном обществе информация является очень ценным ресурсом в любой деятельности человека. Поэтому каждое предприятие заинтересованно в своей информационной безопасности. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Целью информационной безопасности является защита ценности системы, сохранить и гарантировать точность и целостность информации, а также минимизировать разрушения, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, распространяется или, когда к ней обеспечивается доступ.
Обеспечения информационной безопасности организации осуществляются на практике использованием различных механизмов защиты, для создания которых применяют следующие средства:
Физические средства защиты - это разного рода механические, электронно-механические устройства, специально предназначенные для образования физических препятствий на возможных путях проникновения и доступа возможных нарушителей к компонентам автоматической системы и защищаемой информации, а также технические средства визуального наблюдения, связи и охранной сигнализации. Физическая безопасность связана с введением мер защиты, которые защищают от стихийных бедствий, например, таких как пожар, наводнение, ураган, землетрясение.
Аппаратные средства защиты — это различные электронные, электромеханические устройства, прямо встроенные в блоки автоматизированной информационной системы или оформленные в виде автономных устройств и сопрягающиеся с этими блоками. Их задача внутренняя защита структурных элементов средств и систем вычислительной техники, например, процессоров, терминалов, периферийного оборудования. Реализуются это с помощью метода управления доступом (идентификация, аутентификация и проверка полномочий субъектов системы, регистрация, реагирование).
Программные средства защиты используются для выполнения логических и интеллектуальных функций защиты. Включаются либо в состав программного обеспечения автоматизированной информационной системы, либо в состав средств, комплексов и систем аппаратуры контроля. Программные средства защиты являются наиболее распространенным видом защиты, так как они универсальны, просты в использовании, имеется возможностью изменения и развития. Данное обстоятельство делает их и самыми уязвимыми элементами за-щиты информационной системы организации. В настоящее время создано большое количе-ство операционных систем, систем управления базами данных, сетевых пакетов и пакетов прикладных программ, включающих разнообразные средства защиты информации.
Аппаратно-программные средства защиты представляют собой различные электронные устройства и специальные программы, входящие в состав автоматической системы предприятия и исполняющие самостоятельно или в комплексе с другими средствами, функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическое закрытие информации).
Криптографический метод защиты информации основанный на принципе ее шифрования. Криптографический метод может быть осуществлен как программными, так и аппаратными средствами. Средство криптографической защиты информации осуществляет криптографическое перестройку информации для обеспечения ее безопасности. Криптографическая защита или криптографическое преобразование информации, шифрование является одним из важных способов защиты информации.
Административный метод защиты является методом организационного характера, регламентирующие процессы функционирования системы обработки данных, применением ее ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой так, чтобы в максимальной степени затруднить или исключить возможность реализации угроз безопасности или минимизировать размер потерь в случае их осуществления. Главная цель административных мер сформировать политику в области обеспечения безопасности информации и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
К правовым мерам защиты относятся действующие в стране законы, указы и нормативные акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей. Правовые средства защиты носят в основном упреждающий, профилактический характер и требуют постоянной разъяснительной работы с пользователями и обслуживающим персоналом системы.
К морально-этическим средствам относятся нормы поведения и правила обращения с информацией. Которые традиционно сложились или складываются по мере распространения электронно-вычислительных машин в обществе, стране. Эти нормы большей частью не являются обязательными, как законодательно утвержденные нормативные акты. Однако, их несоблюдение ведет обычно к падению авторитета, престижа человека, группы лиц или организации. Морально-этические нормы бывают как неписаные, например, общепризнанные нормы честности, так и писаные, то есть оформленные в некоторый устав правил или предписаний. Морально-этические средства защиты являются профилактическими и требуют постоянной работы по созданию здорового морального климата в коллективах подразделений.
Нужно сказать, что, на данном этапе общемирового развития, роль информационной среды очень велика. Информация является системообразующим фактором во всех этапах жизни общества, она все более активно влияет на состояние политической, экономической, оборонной, личной, имущественной и других составляющих безопасности. Поэтому несмотря на то, что построение эффективной системы информационной безопасности является сложным и непрерывным процессом, этому нужно уделять значительное внимания. А именно оперировать данными методами которые обеспечат информационную безопасность.
Методы информационной безопасности
Общие методы обеспечения информационной безопасности РФ разделяются на правовые, организационно-технические и экономические.
К правовым методам обеспечения информационной безопасности РФ относится разработка нормативных правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности РФ.
Наиболее важными направлениями этой деятельности являются:
• внесение изменений и дополнений в законодательство РФ, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности РФ, устранения внутренних противоречий в федеральном законодательстве, противоречий, связанных с международными соглашениями, к которым присоединилась Россия, и противоречий между федеральными законодательными актами и законодательными актами субъектов Российской Федерации, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности РФ;
• законодательное разграничение полномочий в области обеспечения информационной безопасности РФ между федеральными органами государственной власти и органами государственной власти субъектов Российской Федерации, определение целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;
• разработка и принятие нормативных правовых актов РФ, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;
• уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития информационной инфраструктуры России;
• законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;
• определение статуса организаций, предоставляющих услуги глобальных информационно-телекоммуникационных сетей на территории Российской Федерации, и правовое регулирование деятельности этих организаций;
• создание правовой базы для формирования в Российской Федерации региональных структур обеспечения информационной безопасности.
Организационно-техническими методами обеспечения информационной безопасности Российской Федерации являются:
• создание и совершенствование системы обеспечения информационной безопасности РФ;
• усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;
• разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;
• создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;
• выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;
• сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;
• совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;
• контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности РФ;
• формирование системы мониторинга показателей и характеристик информационной безопасности РФ в наиболее важных сферах жизни и деятельности общества и государства.
Экономические методы обеспечения информационной безопасности Российской Федерации включают в себя:
• разработку программ обеспечения информационной безопасности РФ и определение порядка их финансирования;
• совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.
Проблемы информационной безопасности
Рассматривая вопрос о том, насколько важна для фирмы информационная безопасность и определяя бюджет на её обеспечение, необходимо четко ориентироваться в этом понятии. Только так можно наметить приоритетные направления и составить план соответствующих действий.
Информационная безопасность в сетях включает в себя широкий круг проблем. Для благополучия бизнеса информационная безопасность имеет основополагающее значение, поэтому мы рассмотрим все задачи, которые она решает, подробно.
Итак, первое направление – это обеспечение целостности данных. Сегодня вся коммерческая информация, бухгалтерские данные, финансовая отчетность, клиентские базы, договора, новаторские идеи сотрудников фирмы, планы и стратегия её развития, хранятся в локальной информационно-компьютерной сети. Далеко не всегда и не все документы дублируются на бумажных носителях, ибо объем информации очень велик. В таких условиях информационная безопасность предусматривает систему мер, которые призваны обеспечить надежную защиту серверов и рабочих станций от сбоев и поломок, ведущих к уничтожению информации или её частичной потере. Серьезный подход к данному вопросу означает, что информационная безопасность должна базироваться на профессиональном аудите всей IT- инфраструктуры фирмы. IT аудит позволяет провести оценку состояния сети и оборудования, сделать анализ потенциальных угроз, выявить и вовремя устранить «слабые» места кабельной системы, серверных и рабочих станций, дисковых систем и нарушений в конфигурации оборудования. Таким образом, снижаются технические риски возможной потери информации.
К повреждению данных приводит и некорректная работа систем архивации, сетевого и прикладного ПО. Обеспечивая информационную безопасность вашей фирмы, наши сотрудники проводят тестирование программного обеспечения и проверяют его соответствие современным требованиям.
Следующая важнейшая задача - обеспечение конфиденциальности информации. Защита коммерческих секретов напрямую влияет на конкурентоспособность фирмы и её устойчивость на рынке. Здесь информационная безопасность и защита сетей сталкивается с внешними и внутренними преднамеренными угрозами, направленными на хищение данных. Хакеры, промышленный шпионаж и утечка информации по вине собственных сотрудников представляют наибольшую угрозу. Соблазн продать ценную коммерческую информацию велик не только у увольняемых сотрудников, но и у тех, амбиции которых на рабочем месте не удовлетворены. В данном случае, информационная безопасность принимает превентивные меры, направлены на контроль инсайдеров и многоступенчатую защиту серверов от хакерских атак.
Поэтому меры по противодействию несанкционированному доступу должны быть направлены на достижение двух целей:
• Создавать условия, когда случайные или умышленные действия, приводящие к потере данных, становятся невозможны. Информационная безопасность решает эту проблему путем создания системы аутентификации и авторизации пользователей, разделения прав доступа к информации и контроля доступа.
• Также важно создать систему, при которой сотрудники или злоумышленники не смогли бы скрыть совершенных действий. Здесь в помощь специалисту по ИБ приходит система контроля событий безопасности, аудит доступа к файлам и папкам.
Эффективными средствами защиты, как от внешних угроз, так и от внутренних, являются также: введение системы паролей пользователей, применение для особо важной информации криптографических методов защиты (шифрование), ограничение доступа в помещения, применение индивидуальных цифровых ключей и смарт-карт, использование межсетевых экранов, установка систем защиты от утечек информации через электронную почту, FTP-серверы и Интернет-мессенджеры, защита информации от копирования. При рассмотрении потенциальных угроз, мы рекомендуем своим клиентам установить контроль над исходящими информационными потоками.
В последнее время получили большое распространение такие способы взлома сетей, как распространение вредоносных компьютерных программ, выполняющих функции сбора и передачи информации (троянские программы), программ-шпионов. Для того, чтобы устранить подобные внешние риски, информационная безопасность предусматривает установку мощного антивирусного ПО и серверной защиты.
Информационная безопасность сети предполагает также защиту от атак извне, направленных на прекращение работоспособности серверов, компьютеров или компонентов сети. Речь идет о DDos-атак, попытках подбора паролей (bruteforce-атаки). Для защиты от подобных угроз информационная безопасность требует применения специального программного обеспечения – межсетевых экранов и систем проактивной защиты.
И самое главное, для чего нужна информационная безопасность – это доступность информации для легитимных пользователей. Все меры обеспечения информационной безопасности бесполезны, если они затрудняют работу легитимных пользователей или блокируют ее. Здесь на первый план выходит надежно работающая аутентификация и грамотно реализованное разделение прав пользователей.
Меры информационной безопасности
На сегодняшний день, обеспечить личную и организационную безопасность без тщательного сохранения информации невозможно. Злоумышленники могут выкрасть номера банковских карточек, пароли от электронной почты, личную конфиденциальную информацию, коммерческую тайну и т.д. Необходимо уделять много времени и сил на то, чтобы не допустить таких негативных последствий.
Информационная безопасность – это комплексные меры по защите от утечки и разрушения информации, неавторизованного доступа и т.д. Кроме того, информационная безопасность направлена на минимизацию возможных негативных последствий от таких действий. Комплекс мер будет различаться в зависимости от уровня сохраняемой информации.
Личная безопасность предполагает сохранение в тайне и неразглашение конфиденциальной информации без крайней на то необходимости. Это могут быть номера банковских счетов, коды доступа, пароли от электронной почты и т.д. На компьютере должно быть установлено соответствующее программное обеспечение: антивирус, файервол и т.д.
Другое дело – информационная безопасность на предприятии. На крупных фирмах создаются соответствующие отделы, которые выполняют данную функцию. Локальная вычислительная сеть на предприятии должна быть выстроена таким образом, чтобы в ней четко соблюдалась иерархия доступа. Каждый конкретный отдел владеет своим объемом данных и несет ответственность за его сохранение. Коммерческая тайна и вовсе должна быть доступной лишь тем, кто имеет на это право по должностной инструкции.
Комплекс мер включает в себя следующие направления:
Именно благодаря соблюдению информационной безопасности конкретная персона и организация смогут защитить свою интеллектуальную собственность от преступных посягательств.
Информационная безопасность подчеркивает важность информации в современном обществе - понимание того, что информация - это ценный ресурс, нечто большее, чем отдельные элементы данных. Информационной безопасностью называют меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью информационной безопасности является обезопасить ценности системы, защитить и гарантировать точность и целостность информации, и минимизировать разрушения, которые могут иметь место, если информация будет модифицирована или разрушена. Информационная безопасность требует учета всех событий, в ходе которых информация создается, модифицируется, к ней обеспечивается доступ или она распространяется.
Можно выделить следующие направления мер информационной безопасности:
- правовые;
- организационные;
- технические.
К правовым мерам следует отнести разработку норм, устанавливающих ответственность за компьютерные преступления, защиту авторских прав программистов, совершенствование уголовного и гражданского законодательства, а также судопроизводства. К правовым мерам относятся также вопросы общественного контроля за разработчиками компьютерных систем и принятие международных договоров об их ограничениях, если они влияют или могут повлиять на военные, экономические и социальные аспекты жизни стран, заключающих соглашение.
К организационным мерам отнесу охрану вычислительного центра, тщательный подбор персонала, исключение случаев ведения особо важных работ только одним человеком, наличие плана восстановления работоспособности центра, после выхода его из строя, организацию обслуживания вычислительного центра посторонней организацией или лицами, незаинтересованными в сокрытии фактов нарушения работы центра, универсальность средств защиты от всех пользователей (включая высшее руководство), возложение ответственности на лиц, которые должны обеспечить безопасность центра, выбор места расположения центра и т.п.
К техническим мерам можно отнести защиту от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организацию вычислительных сетей с возможностью перераспределения ресурсов в случае нарушения работоспособности отдельных звеньев, установку оборудования обнаружения и тушения пожара, оборудования обнаружения воды, принятие конструкционных мер защиты от хищений, саботажа, диверсий, взрывов, установку резервных систем электропитания, оснащение помещений замками, установку сигнализации и многое другое.
Информационная безопасность детей
Определение термина «информационная безопасность детей» содержится в Федеральном законе № 436-ФЗ «О защите детей от информации, причиняющей вред их здоровью и развитию», регулирующим отношения, связанные с защитой детей от информации, причиняющей вред их здоровью и (или) развитию. Согласно данному закону «информационная безопасность детей» - это состояние защищенности, при котором отсутствует риск, связанный с причинением информацией вреда их здоровью и (или) физическому, психическому, духовному, нравственному развитию.
В силу Федерального закона № 436-ФЗ информацией, причиняющей вред здоровью и (или) развитию детей, является:
- информация, запрещенная для распространения среди детей;
- информация, распространение которой ограничено среди детей определенных возрастных категорий.
К информации, запрещенной для распространения среди детей, относится:
1) информация, побуждающая детей к совершению действий, представляющих угрозу их жизни и (или) здоровью, в т.ч. причинению вреда своему здоровью, самоубийству;
2) способность вызвать у детей желание употребить наркотические средства, психотропные и (или) одурманивающие вещества, табачные изделия, алкогольную и спиртосодержащую продукцию, пиво и напитки, изготавливаемые на его основе; принять участие в азартных играх, заниматься проституцией, бродяжничеством или попрошайничеством;
3) обосновывающая или оправдывающая допустимость насилия и (или) жестокости либо побуждающая осуществлять насильственные действия по отношению к людям и животным;
4) отрицающая семейные ценности и формирующая неуважение к родителям и (или) другим членам семьи;
5) оправдывающая противоправное поведение;
6) содержащая нецензурную брань;
7) содержащая информацию порнографического характера.
К информации, распространение которой ограничено среди детей определенного возраста, относится:
1) информация, представляемая в виде изображения или описания жестокости, физического и (или) психического насилия, преступления или иного антиобщественного действия;
2) вызывающая у детей страх, ужас или панику, в т.ч. представляемая в виде изображения или описания в унижающей человеческое достоинство форме ненасильственной смерти, заболевания, самоубийства, несчастного случая, аварии или катастрофы и (или) их последствий;
3) представляемая в виде изображения или описания половых отношений между мужчиной и женщиной;
4) содержащая бранные слова и выражения, не относящиеся к нецензурной брани.
С учетом этого Вам предлагаются правила работы в сети Интернет для различных возрастных категорий, соблюдение которых позволит обеспечить информационную безопасность ваших детей.
Общие правила для родителей
Независимо от возраста ребенка используйте программное обеспечение, помогающее фильтровать и контролировать информацию, но не полагайтесь полностью на него. Ваше внимание к ребенку - главный метод защиты.
Если Ваш ребенок имеет аккаунт на одном из социальных сервисов (LiveJournal, blogs.mail.ru, vkontakte.ru и т.п.), внимательно изучите, какую информацию помещают его участники в своих профилях и блогах, включая фотографии и видео.
Проверьте, с какими другими сайтами связан социальный сервис Вашего ребенка. Странички Вашего ребенка могут быть безопасными, но могут и содержать ссылки на нежелательные и опасные сайты (например, порносайт, или сайт, на котором друг упоминает номер сотового телефона Вашего ребенка или Ваш домашний адрес).
Поощряйте Ваших детей сообщать обо всем странном или отталкивающим и не слишком остро реагируйте, когда они это делают (из-за опасения потерять доступ к Интернету дети не говорят родителям о проблемах, а также могут начать использовать Интернет вне дома и школы).
Будьте в курсе сетевой жизни Вашего ребенка. Интересуйтесь, кто их друзья в Интернет так же, как интересуетесь реальными друзьями.
Возраст от 7 до 8 лет
В Интернете ребенок старается посетить те или иные сайты, а возможно и чаты, разрешение на посещение которых он не получил бы от родителей. Поэтому родителям особенно полезны будут те отчеты, которые предоставляются программами по ограничению использования Интернета, т. е. Родительский контроль или то, что вы сможете увидеть во временных файлах. В результате, у ребенка не будет ощущения, что за ним ведется постоянный контроль, однако, родители будут по-прежнему знать, какие сайты посещает их ребенок. Дети в данном возрасте обладают сильным чувством семьи, они доверчивы и не сомневаются в авторитетах. Они любят играть в сетевые игры и путешествовать по Интернету, используя электронную почту, заходить на сайты и чаты, не рекомендованные родителями.
Советы по безопасности в сети Интернет для детей 7-8 лет:
• Создайте список домашних правил посещения Интернета при участии детей и требуйте его выполнения.
• Требуйте от Вашего ребенка соблюдения временных норм нахождения за компьютером. Покажите ребенку, что Вы наблюдаете за ним не потому что Вам это хочется, а потому что Вы беспокоитесь о его безопасности и всегда готовы ему помочь.
• Компьютер с подключением к Интернету должен находиться в общей комнате под присмотром родителей.
• Используйте специальные детские поисковые машины.
• Используйте средства блокирования нежелательного контента как дополнение к стандартному Родительскому контролю.
• Создайте семейный электронный ящик, чтобы не позволить детям иметь собственные адреса.
• Блокируйте доступ к сайтам с бесплатными почтовыми ящиками с помощью соответствующего программного обеспечения.
• Приучите детей советоваться с Вами перед опубликованием какой-либо информации средствами электронной почты, чатов, регистрационных форм и профилей.
• Научите детей не загружать файлы, программы или музыку без вашего согласия.
• Не разрешайте детям использовать службы мгновенного обмена сообщениями.
• В «белый» список сайтов, разрешенных для посещения, вносите только сайты с хорошей репутацией.
• Не забывайте беседовать с детьми об их друзьях в Интернете, как если бы речь шла о друзьях в реальной жизни.
• Не делайте «табу» из вопросов половой жизни, так как в Интернете дети могут легко наткнуться на порнографию или сайты «для взрослых».
• Приучите Вашего ребенка сообщать вам о любых угрозах или тревогах, связанных с Интернетом. Оставайтесь спокойными и напомните детям, что они в безопасности, если сами рассказали вам о своих тревогах. Похвалите их и посоветуйте подойти еще раз в подобных случаях.
Возраст детей от 9 до 12 лет
В данном возрасте дети, как правило, уже наслышаны о том, какая информация существует в Интернете. Совершенно нормально, что они хотят это увидеть, прочесть, услышать. При этом нужно помнить, что доступ к нежелательным материалам можно легко заблокировать при помощи средств Родительского контроля.
Советы по безопасности для детей от 9 до 12 лет:
• Требуйте от Вашего ребенка соблюдения норм нахождения за компьютером.
• Наблюдайте за ребенком при работе за компьютером, покажите ему, что Вы беспокоитесь о его безопасности и всегда готовы оказать ему помощь.
• Компьютер с подключением в Интернет должен находиться в общей комнате под присмотром родителей.
• Используйте средства блокирования нежелательного контента как дополнение к стандартному Родительскому контролю.
• Не забывайте принимать непосредственное участие в жизни ребенка беседовать с детьми об их друзьях в Интернете.
• Настаивайте, чтобы дети никогда не соглашались на личные встречи с друзьями по Интернету.
• Позволяйте детям заходить только на сайты из «белого» списка, который создайте вместе с ними.
• Приучите детей никогда не выдавать личную информацию средствами электронной почты, чатов, систем мгновенного обмена сообщениями, регистрационных форм, личных профилей и при регистрации на конкурсы в Интернете.
• Приучите детей не загружать программы без Вашего разрешения. Объясните им, что они могут случайно загрузить вирусы или другое нежелательное программное обеспечение.
• Создайте Вашему ребенку ограниченную учетную запись для работы на компьютере.
• Приучите Вашего ребенка сообщать вам о любых угрозах или тревогах, связанных с Интернетом. Напомните детям, что они в безопасности, если сами рассказали вам о своих тревогах и опасениях.
• Расскажите детям о порнографии в Интернете.
• Настаивайте на том, чтобы дети предоставляли вам доступ к своей электронной почте, чтобы вы убедились, что они не общаются с незнакомцами.
• Объясните детям, что нельзя использовать сеть для хулиганства, распространения сплетен или угроз.
Возраст детей от 13 до 17 лет
В этом возрасте подростки активно используют поисковые машины, пользуются электронной почтой, службами мгновенного обмена сообщениями, скачивают музыку и фильмы. Мальчикам в этом возрасте больше по нраву сметать все ограничения, они жаждут грубого юмора, азартных игр, картинок «для взрослых». Девочки предпочитают общаться в чатах, при этом они гораздо более чувствительны к сексуальным домогательствам в Интернете. Зачастую в данном возрасте родителям уже весьма сложно контролировать своих детей, так как об Интернете они уже знают значительно больше своих родителей. Тем не менее, не отпускайте детей в «свободное плавание» по Интернету. Старайтесь активно участвовать в общении ребенка в Интернете.
Важно по-прежнему строго соблюдать правила Интернет-безопасности - соглашение между родителями и детьми. Кроме того, необходимо как можно чаще просматривать отчеты о деятельности детей в Интернете. Следует обратить внимание на необходимость содержания родительских паролей (паролей администраторов) в строгом секрете и обратить внимание на строгость этих паролей.
Советы по безопасности в этом возрасте от 13 до 17 лет:
• Создайте список домашних правил посещения Интернета при участии подростков и требуйте безусловного его выполнения. Обговорите с ребенком список запрещенных сайтов («черный список»), часы работы в Интернете, руководство по общению в Интернете (в том числе в чатах).
• Компьютер с подключением к сети Интернет должен находиться в общей комнате.
• Не забывайте беседовать с детьми об их друзьях в Интернете, о том, чем они заняты таким образом, будто речь идет о друзьях в реальной жизни. Спрашивайте о людях, с которыми дети общаются посредством служб мгновенного обмена сообщениями, чтобы убедиться, что эти люди им знакомы.
• Используйте средства блокирования нежелательного контента как дополнение к стандартному Родительскому контролю.
• Необходимо знать, какими чатами пользуются Ваши дети. Поощряйте использование модерируемых чатов и настаивайте, чтобы дети не общались в приватном режиме.
• Настаивайте на том, чтобы дети никогда не встречались лично с друзьями из сети Интернет.
• Приучите детей не выдавать свою личную информацию средствами электронной почты, чатов, систем мгновенного обмена сообщениями, регистрационных форм, личных профилей и при регистрации на конкурсы в Интернете.
• Приучите детей не загружать программы без Вашего разрешения. Объясните им, что они могут случайно загрузить вирусы или другое нежелательное программное обеспечение.
• Приучите Вашего ребенка сообщать вам о любых угрозах или тревогах, связанных с Интернетом. Напомните детям, что они в безопасности, если сами рассказали вам, о своих угрозах или тревогах. Похвалите их и посоветуйте подойти еще раз в подобных случаях.
• Расскажите детям о порнографии в Интернете. Помогите им защититься от спама. Научите подростков не выдавать в Интернете своего реального электронного адреса, не отвечать на нежелательные письма и использовать специальные почтовые фильтры.
• Приучите себя знакомиться с сайтами, которые посещают подростки.
• Научите детей уважать других в интернете. Убедитесь, что они знают о том, что правила хорошего поведения действуют везде — даже в виртуальном мире.
• Объясните детям, что ни в коем случае нельзя использовать Сеть для хулиганства, распространения сплетен или угроз другим людям.
• Обсудите с подростками проблемы сетевых азартных игр и их возможный риск. Напомните, что дети не могут играть в эти игры согласно закону.
Информационная безопасность банков
В современном мире хранение банковской информации, ее стоимость и значимость многократно возросли, что, в свою очередь, не могло не привлечь рост преступного интереса к ней.
Необходимость обеспечивать безопасность хранения данных, регулярная смена и проверка паролей и контроль вероятности утечки информации стали неотъемлемой частью работы каждого банка.
Для совершения кражи и взлома банковской системы злоумышленнику вовсе не обязательно врываться в банк. Осуществить взлом пользователь сети может со своего персонального компьютера, поэтому проблема вопроса информационной безопасности в банках стоит достаточно остро.
Банковские информационные системы и базы данных содержат конфиденциальную информацию о клиентах банка, состоянии их счетов и проведении различных финансовых операций.
Необходимость сохранять информационную безопасность этих данных очевидна, но без быстрого и своевременного обмена и обработки информации банковская система даст сбой. Поэтому необходима целая структура, которая сможет обеспечить защиту банковской информации и конфиденциальность клиентской базы.
Последовательность мер по защите этих данных можно представить таким образом:
• оценка и разработка конфиденциальной информации;
• оборудование объекта для осуществления защиты;
• контроль эффективности принятых мер;
• контроль обмена данных и строгая их регламентация;
• подготовка сотрудников банка и соблюдение ими требований безопасности;
• строгий учет каналов и серверов;
• анализ эффективности.
Каждое направление включает в себя несколько этапов работы. К примеру, контроль обмена данных подразумевает не только обработку скорости передачи информации, но и своевременное уничтожение остаточных сведений. Эта мера также предполагает строгий контроль обработки данных и их криптографическую защиту.
Доступ к данным банка защищается с помощью системы идентификации, то есть паролями или электронными ключам. Работа с персоналом, использующим банковскую систему, включает в себя проведение инструктажей и контроль выполнения необходимых требований.
Строгий учет каналов и серверов, а также меры, обеспечивающие техническую защиту информации и безопасность банка подразумевают защиту резервных копий, обеспечение бесперебойного питания оборудования, содержащего ценную информацию, ограниченный доступ к сейфам и защиту от утечки информации акустическим способом.
Для анализа эффективности принятых мер необходимо вести учет или запись, которые будут отмечать работоспособность и действенность примененных средств защиты информации в банке.
Принципы информационной безопасности банка
Несмотря на множество возможностей взлома и утечки информации, безопасность банковских данных и их конфиденциальность обеспечить вполне возможно.
Современные методы позволили усовершенствовать систему криптографии, а также реализовать такую меру, как электронная цифровая подпись (ЭЦП). Она служит аналогом собственноручной подписи и имеет непосредственную привязку к электронному ключу, который хранится у владельца подписи. Ключ состоит из двух частей: открытой и закрытой, и защищен специальным кодом.
Система безопасности в целом – это непрерывный процесс идентификации, анализа и контроля.
Существует ряд основных принципов, согласно которым осуществляется обеспечение информационной безопасности банка:
• своевременное установление и обнаружение проблем;
• возможность прогнозирования развития;
• актуальность и эффективность предпринятых мер.
Также необходимо особо подчеркнуть важность тщательной и регулярной работы с персоналом, поскольку обеспечение безопасности информации во многом зависит от качественного и аккуратного выполнения требований, предъявляемых службой безопасности.
Угрозы информационной безопасности банка
Человеческий фактор является основной и главной угрозой информационной безопасности, напрямую зависящей от человеческих отношений. Большая часть утечки информации объясняется халатностью персонала банка.
По статистике, около 80% правонарушений приходится на сотрудников банка, то есть на тех, кто непосредственно имел или имеет доступ к данным.
Однако, обеспечение внутренней информационной безопасности банка крайне необходимая мера не только для защиты конфиденциальности данных от профессиональной халатности и безалаберности, но и от намеренного взлома баз данных.
Кроме внутреннего фактора, существует также техническая угроза информационной безопасности как банков так и предприятий. К техническим угрозам относятся взломы информационных систем, лицами, не имеющими прямого доступа к системе, криминальными или конкурирующими организациями.
Съем и получение информации в данном случае производится с применением специальной аудио или видео аппаратуры. Одной из современных форм взлома является использование электрических и электромагнитных излучений, обеспечивающих злоумышленникам возможность получения конфиденциальной информации, ЭЦП и представляющих техническую угрозу утечки.
Компьютерные системы – это необходимое средство для осуществления работы банка, однако одновременно это и одно из самых уязвимых мест предполагаемой технической утечки.
Опасность и угрозу для программного обеспечения могут представлять также различные вредоносные для носителя информации компьютерные вирусы, программные закладки, которые способны разрушить введенные коды.
Самым известным способом решения вирусных проблем программного обеспечения являются лицензионные антивирусные программы, успешно справляющиеся с данной проблемой.
Защитить банковскую информацию от внутренних и внешних утечек поможет грамотный специалист в этой области и программное обеспечение, позволяющее отслеживать и блокировать передачу информации на съемные носители (например – флешки).
Важным направлением защиты также является своевременное распознавание и ограничение утечек различного вида.
В заключение можно отметить, что в силу экономической важности банковских систем, обеспечение их информационной безопасности является обязательным условием. Поскольку информация, находящаяся в базе данных банков представляет собой реальную материальную стоимость, то требования к хранению и обработке этой информации всегда будут повышенными.
Специфика и особенности системы обеспечения безопасности, безусловно, индивидуальны для каждого отдельного банка, поэтому комплексное и профессиональное предоставление систем защиты является необходимым условием работы всей банковской системы.
Стандарты информационной безопасности
Стандарты информационной безопасности – это обязательные или рекомендуемые к выполнению документы, в которых определены подходы к оценке уровня ИБ и установлены требования к безопасным информационным системам.
Стандарты в области информационной безопасности выполняют следующие важнейшие функции:
- выработка понятийного аппарата и терминологии в области информационной безопасности;
- формирование шкалы измерений уровня информационной безопасности;
- согласованная оценка продуктов, обеспечивающих информационную безопасность;
- повышение технической и информационной совместимости продуктов, обеспечивающих ИБ;
- накопление сведений о лучших практиках обеспечения информационной безопасности и их предоставление различным группам заинтересованной аудитории – производителям средств ИБ, экспертам, ИТ-директорам, администраторам и пользователям информационных систем;
- функция нормотворчества – придание некоторым стандартам юридической силы и установление требования их обязательного выполнения.
Согласно Федеральному закону №184-ФЗ «О техническом регулировании», целями стандартизации являются:
- повышение уровня безопасности жизни и здоровья граждан, имущества физических и юридических лиц, государственного и муниципального имущества, объектов с учетом риска возникновения чрезвычайных ситуаций природного и техногенного характера, повышение уровня экологической безопасности, безопасности жизни и здоровья животных и растений;
- обеспечение конкурентоспособности и качества продукции (работ, услуг), единства измерений, рационального использования ресурсов, - взаимозаменяемости технических средств (машин и оборудования, их составных частей, комплектующих изделий и материалов), технической и информационной совместимости, сопоставимости результатов исследований (испытаний) и измерений, технических и экономико-статистических данных, проведения анализа характеристик продукции (работ, услуг), исполнения государственных заказов, добровольного подтверждения соответствия продукции (работ, услуг);
- содействие соблюдению требований технических регламентов;
- создание систем классификации и кодирования технико-экономической и социальной информации, систем каталогизации продукции (работ, услуг), систем обеспечения качества продукции (работ, услуг), систем поиска и передачи данных, содействие проведению работ по унификации.
Основными областями стандартизации информационной безопасности являются:
• аудит информационной безопасности;
• модели информационной безопасности;
• методы и механизмы обеспечения информационной безопасности;
• криптография;
• безопасность межсетевых взаимодействий;
• управление информационной безопасностью.
Существуют российские стандарты информационной безопасности (ГОСТ Р ИСО/МЭК 15408, ГОСТ Р 51275 и др.), причем Федеральный закон №184-ФЗ «О техническом регулировании» декларирует принцип «применения международного стандарта как основы разработки национального стандарта, за исключением случаев, если такое применение признано невозможным вследствие несоответствия требований международных стандартов климатическим и географическим особенностям Российской Федерации, техническим и (или) технологическим особенностям или по иным основаниям, либо Российская Федерация в соответствии с установленными процедурами выступала против принятия международного стандарта или отдельного его положения».
Необходимость следования некоторым стандартам информационной безопасности закреплена законодательно. Однако и добровольное выполнение стандартов очень полезно и эффективно, поскольку в них описаны наиболее качественные и опробованные методики и решения.
Риски информационной безопасности
Одним из ключевых интересов владельца бизнеса является сохранение и, по возможности, увеличение ценности управляемой им компании. Замедляют, уменьшают или даже сводят к нулю эту ценность риски, в осознанном управлении которыми и заключается талант коммерсанта.
Исторически финансовые и операционные риски являются значимыми как для интересов владельцев финансовых организаций в целом, так и для нанимаемых ими ее руководителей в частности. Это заставляет последних уделять пристальное внимание и большие усилия по оценке, контролю и минимизации этих рисков.
Деятельность практически любой современной коммерческой организации большей частью автоматизирована. По сути, организация представляет из себя человеко-машинную систему, обеспечивающую выполнение функций по взаимодействию с ее клиентами (физическими и юридическими лицами) и контролирующими органами (как государственными, так и в виде международных отраслевых регуляторов).
Машинную составляющую этой системы называют автоматизированной системой организации: каналы связи, средства вычислительной техники, системное, прикладное программное обеспечение… все это хранит, обрабатывает и передает нематериальные информационные активы, стоимость которых зачастую на порядки превышает стоимость самой автоматизированной системы.
Нарушение свойств конфиденциальности, целостности или доступности этих активов всегда приводит к ощутимому, а подчас к неприемлемому ущербу (материальному, репутационному и пр.) интересам владельца и руководителя. Это делает их уязвимыми, и что самое важное, об этой уязвимости они узнают постфактум.
Некоторое время назад в одном из коммерческих банков проводилась оценка рисков информационной безопасности. В частности был оценен ущерб, в случае простоя центра обработки данных по широкому списку причин (пожар, затопление, отказ оборудования/программного обеспечения, выход из строя каналов связи, действия обслуживающего персонала/злоумышленников и пр.). Было выявлено, что если процессинговый центр не работает 2 недели, банку наносится неприемлемый ущерб такого масштаба, что дешевле открыть новый банк, нежели реанимировать существующий. А ведь речь идет о нарушении всего лишь одного из трех свойств информационных активов организации – доступности.
Какой ущерб нанесет потеря целостности критичных данных, если в результате атаки на систему интернет банк-клиент будет искажена информация об остатках на счетах клиентов? Какой ущерб нанесет нарушение конфиденциальности в случае, если контролирующие органы получат доступ к оперативному учету организации? Может ли привести к этим событиям небрежность наемных сотрудников, сговор обслуживающего автоматизированную систему персонала или «заказ» конкурентов? Ответ: конечно может.
Также надо учитывать, что целый ряд компаний, ведущих международную деятельность, попадает под действие национальных законов (CA-SB1386, European Union Data Protection Directive, Basel II/III и др.) и требований международных регуляторов (PCI-DSS и пр.).
В значительной мере это требования к обеспечению конфиденциальности, целостности и доступности информационных активов, обрабатываемых человеко-машинной системой организации. При нарушении требований некоторых законов/регуляторов, существует, помимо штрафных санкций для организации, персональная, вплоть до уголовной, ответственность руководящего состава. Страны СНГ, хоть и с запаздыванием, последовательно ужесточают административное и уголовное законодательство, принимая «аналоги» американских или европейских норм – например, законы о защите персональных данных.
Именно поэтому руководители ищут источники информации об этих рисках.
Пример
Среди всего разнообразия выделим риски для непрерывности (Business Continuity) бизнеса, связанные с нарушением свойства доступности.
Для их оценки надо понять, какие бизнес-процессы в нашей организации наиболее критичны, а какие менее (Business Impact Analysis). Что может эти процессы остановить (угрозы и их источники в виде людей и природных явлений) и как минимизировать вероятность этой угрозы?
Как минимизировать ущерб, если они все-таки остановятся?
Нужно применить методологию – Business Continuity Management, описывающую:
• как готовиться к этим событиям (резервное копирование критичных данных, резервные ЦОДы, регулярное обучение сотрудников и пр.);
• как продолжать функционировать в деградированном режиме (во время и сразу после пожара, отключения электричества/каналов связи, потери персонала в результате пандемии и пр.);
• как гарантировать владельцу приемлемый для него ущерб от реализации этого события (в худшем случае потеряем транзакции за последние 2 часа);
• как гарантировать, что бизнес будет восстановлен за строго определенный период времени (через 24 часа после полного уничтожения ЦОДа в результате пожара банк продолжит работу).
В качестве примера возьмем известную транснациональную корпорацию. Действующая в ней система управления непрерывностью бизнеса обязывает раз в месяц имитировать катастрофу. Есть основной офис компании и центр обработки данных. Раз в месяц сотрудники отрабатывают переезд в резервный офис и перевод функций автоматизированной системы в резервный центр обработки данных. Таким образом, они могут продолжать работу и выполнять обязательства перед контрагентами даже в случае полного уничтожения офиса/ЦОДа и потери значительной части персонала. Похожим образом организована работа и ее конкурентов.
Решение
Последние 15 лет источником информации о рисках для владельцев бизнеса и руководителей высшего звена является непрерывный внутренний и регулярный внешний интегрированный аудит (оцениваются финансовые, операционные риски, и вместе с ними — риски информационной безопасности), дающий единую оценку всех взаимосвязанных рисков для организации.
Это позволяет экономически обосновать необходимость разработки и внедрения комплекса мер по обеспечению безопасности в организации:
Комплекс мер позволяет осознанно управлять рисками:
• принимая их (например, бизнес использует нелицензионное ПО, но в случае возможного рейда контролирующих органов точно знает размер ущерба);
• избегая их (не будем предоставлять услугу интернет банк-клиент, так как гарантированно понесем неприемлемый ущерб в результате реализации мошеннических схем);
• минимизируя их (построим резервный центр обработки данных и будем регулярно тренировать персонал на случай полного уничтожения основного);
• перенося риски на других (воспользуемся услугами страховой компании).
Для проведения аудита, разработки и внедрения адекватного имеющимся рискам комплекса мер руководители привлекают коллективы специалистов, соответствующие следующему набору требований:
• успешное выполнение проектов по созданию автоматизированных систем в защищенном исполнении;
• объективно подтвержденная квалификация;
• лояльность интересам Заказчика;
• приемлемая стоимость услуг коллектива.
Первое требование можно соблюсти, имея дело с коллективами, занимающимися потоковым созданием автоматизированных систем в защищенном исполнении для разнообразных Заказчиков. Как правило, это сотрудники компаний системных интеграторов У них есть практические знания, навыки, отработанная методика создания и обслуживания систем защиты в соответствии с требованиями разнообразных законов/регуляторов.
Второму требованию соответствуют специалисты, ведущие активную деятельность в сфере ИБ и имеющие международно-признаваемые сертификации (CISA, CISM, CISSP) таких организаций как ISACA (крупнейшая профессиональная ассоциация аудиторов) и (ISC)2 (ведущий международный консорциум специалистов по информационной безопасности).
Третье требование вступает в конфликт с первым, так как лояльность и, как следствие, доверие владельцев, необходимое для получения доступа к секретной информации бизнеса, обычно достигается только при включении этих сотрудников в штат. Что в свою очередь экономически нецелесообразно и конфликтует с четвертым требованием.
Наступивший в стране тяжелый период значительно увеличил все виды рисков для компаний. Практически во всех отраслях ужесточается конкуренция и термины «промышленный шпионаж», «саботаж» или «киберугроза» становятся прозой жизни даже для далеких от информационных технологий владельцев бизнеса. Государство в свою очередь все более ужесточает законодательство (в первую очередь налоговое) и в лице контролирующих органов все жестче контролирует его исполнение, тем самым усложняя ситуацию в целом.
Поэтому адекватным является решение о привлечении на контрактной основе (с юридически значимым соглашением о неразглашении) или воспитание из своих сотрудников экспертов с необходимым опытом в системной интеграции и международно-признаваемыми сертификационными статусами.
Имея прямой доступ к руководству организации, такой эксперт сможет адекватно оценивать риски, разрабатывать, обосновывать бюджет на меры по обеспечению безопасности, которые будет реализовывать как силами организации, так и с помощью привлекаемых извне подрядчиков (системных интеграторов), не допуская их к секретам организации. Эксперт будет лоялен и подконтролен руководству посредством системы объективных показателей защищенности компании, с определения которых он и начет свою работу.
В конечном итоге наличие такого доверенного источника информации позволит руководству принимать более правильные стратегические и тактические решения при управлении организацией и иметь гарантии соблюдения ключевых интересов владельцев бизнеса.