Анализ средств обеспечения информационной безопасности операторов связи. Глава V. Обеспечение безопасности и защиты информации. Радиоэлектронными способами являются

ВВЕДЕНИЕ

Любая деятельность людей всегда связывалась с получением информации. Сегодня она становится главным ресурсом научно-технического и социально-экономического развития мирового сообщества. Любая предпринимательская и государственная деятельность тесно связана с получением и использованием разнообразных информационных потоков. Поэтому даже небольшая приостановка информационных потоков может привести к серьезному кризису в работе той или иной организации, а возможно, даже ряду организаций, тем самым повлечь за собой конфликты интересов. Именно по этой причине в современных рыночно-конкурентных условиях возникает масса проблем, связанных не только с обеспечением сохранности коммерческой информации как вида интеллектуальной собственности, но и физических, и юридических лиц, их имущественной собственности и личной безопасности. Таким образом, информация рассматривается как товар.

Информационная безопасность – сравнительно молодая, быстро развивающаяся область информационных технологий. Правильный подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.

Защита информации в современных условиях становится все более сложной проблемой, что обусловлено рядом причин, основными из которых являются: массовое распространение средств электронной вычислительной техники; усложнение шифровальных технологий; необходимость защиты не только государственной и военной тайны, но и промышленной, коммерческой и финансовой тайн; расширяющиеся возможности несанкционированных действий над информацией.

Система безопасности должна не столько ограничивать допуск пользователей к информационным ресурсам, сколько определять их полномочия на доступ к данной информации, выявлять аномальное использование ресурсов, прогнозировать аварийные ситуации с устранением их последствий.

В настоящее время широкое распространение получили методы несанкционированного добывания информации. Их целью является, прежде всего - коммерческий интерес. Информация разнохарактерна и имеет различную ценность, а степень ее конфиденциальности зависит от того, кому она принадлежит.

Параллельно с развитием средств вычислительной техники, появляются все новые способы нарушения безопасности информации, при этом старые виды атак никуда не исчезают, а лишь ухудшают ситуацию.

Проблемных вопросов по защите информации множество, их решение зависит от объективных и субъективных факторов, в том числе и дефицита возможностей.

Таким образом, приведенные факты делают проблему проектирования эффективной системы защиты информации актуальной на сегодняшний день.

Аналитическая часть

1.1 Структура предприятия и характеристика его информационных технологий

Предприятие «Альфапроект» находится в г.Курск и имеет в своем составе два филиала, расположенных в области: поселок Прямицино и Ушаково.

Деятельностью организации «Альфапроект» является комплекс услуг по разработке проектной документации промышленных и гражданских объектов капитального строительства, реконструкции и техническому перевооружению, а также услуги в области стандартизации и метрологии. Проектирование производственных помещений, включая размещение машин и оборудования, промышленный дизайн является основным направлением работы компании.

На рисунке 1.1 изображена организационная структура ОАО «Альфапроект».

Из структуры видно, что предприятие разделено на отделы, выполняющие определенные задачи в зависимости от их назначения. Управление главного офиса осуществляет непосредственно управление и контроль за выполнением работ каждого отдела. Управление отделами осуществляют ведущие специалисты, то есть начальники отделов. Каждый отдел в свою очередь имеет свой штат сотрудников.

Структура предприятия имеет иерархический тип, что позволяет обеспечить четкое управление и выполнение работ в короткие сроки. Но своевременное выполнение работ также зависит от технологического процесса.

На рисунке 1.2 представлена структурная схема производственного документооборота ОАО «Альфапроект».

Согласно схеме производственного документооборота, заказчик подает перечень документов необходимых для проекта или составления любого другого вида заказа в отдел приема/выдачи документов, где составляется квитанция стоимости оказываемой услуги, необходимая для отчетности в бухгалтерии. После предварительной оплаты подается заявка на составление технической документации объекта, которая впоследствии отправляется в архив. Далее в экономическом отделе проводится оценка стоимости будущего объекта, которая также отправляется в архив. Все управление процессом, по-прежнему, ведет главный офис.

Рисунок 1.1– Организационная структура ОАО «Альфапроект»

Рисунок 1.2 – Структурная схема производственного документооборота

Все этапы производственного документооборота, а, следовательно, и само предприятие обслуживается высокотехнологичным оборудованием. Вся документация хранится в компьютерном исполнении, чертежи на крупные объекты выполняются с помощью специальных плоттеров, которыми оснащено главное отделение и филиалы. Предприятие ОАО «Альфапроект» использует современные технологии передачи и хранения данных.

Все используемые компьютеры объединены в локальную вычислительную сеть (ЛВС), которая в свою очередь, для обеспечения сохранности данных, поделена на независимые сегменты (производственные отделы) при помощи технологии VLAN. Из локальной сети работники имеют выход в Internet для поиска необходимых материалов и обмена электронной почтой. Работа пользователей всех подразделений в единой информационной базе данных позволяет вести автоматизированный учет выполнения работ по технической инвентаризации. Программа автоматически проверяет наличие информации об объекте недвижимости и правообладателях в базе данных, верность внесения адресов объектов. Это позволяют исключить дублирование информации и избавиться от неконтролируемого разрастания базы данных.

Пользовательские рабочие места подключаются к серверам предприятия в терминальном режиме, что обеспечивает высокие показатели скорости работы приложений на удаленных терминалах.

Также с использованием терминального доступа реализована работа в программе «1С Бухгалтерия». Это решение позволяет хранить информацию на центральном сервере предприятия, что гарантирует сохранность данных, и обеспечивает оперативный контроль и получение информации о финансово-хозяйственной деятельности подразделений.

На предприятии ОАО «Альфапроект» используется программный комплекс Inter Base SQL server, обеспечивающий полный рабочий процесс предприятия от приема заявок до сдачи дел в электронный архив.

Комплекс постоянно модифицируется с учетом требований организации по документообороту. Программный комплекс рассчитан на эксплуатацию с использованием технологии VPN и при своей работе требует минимальных сетевых ресурсов.

Филиалы организации подключены через каналы регионального провайдера к сети главного офиса с использованием технологии VPN (виртуальная частная сеть). Технология VPN была выбрана для этих целей как обеспечивающая надежную систему передачу данных и высокий уровень защиты информации от неправомерного доступа извне. Применение технологии VPN реализует:

− Единое пространство сети предприятия;

− Полную прозрачность сети для сотрудников;

− Защиту информации от несанкционированного доступа сторонних лиц;

− Внедрение единой АСУ в существующие структуры сетей компании и полную интеграцию в существующий производственный документооборот;

− Масштабирование существующей сети предприятия и подключение дополнительных офисов компании в единую сеть предприятия;

Работу VPN поддерживают и обслуживают четыре сервера на базе ОС Windows 7 и телекоммуникационное оборудование Cisco. ЛВС предприятия имеет две точки подключения к глобальной сети Internet, что позволяет повысить надежность передачи данных.

По верху ЛВС предприятия развернута служба каталогов АctiveDirectory, позволяющая в полной мере управлять доступом пользователей и групп к информационным ресурсам. На рисунке 1.3 изображена структурная схема ЛВС ОАО «Альфапроект».

Рисунок 1.3 – Структурная схема ЛВС ОАО «Альфапроект»

Рассмотримены основные сетевые информационные технологии, обеспечивающие стабильность и защищенность работы в ЛВС ОАО «Альфапроект».

VLAN (Virtual Local Area Network) - группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, устройства, находящиеся в разных VLAN"ах, невидимы друг для друга на канальном уровне, даже если они подключены к одному коммутатору, и связь между этими устройствами возможна только на сетевом и более высоких уровня.

В современных сетях VLAN - главный механизм для создания логической топологии сети, не зависящей от её физической топологии. VLAN используются для сокращения широковещательного трафика в сети. Имеют большое значение с точки зрения безопасности, в частности как средство борьбы с ARP-spoofing"ом.

VPN (Virtual Private Network - виртуальная частная сеть) - технология, позволяющая обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (Internet). Уровень доверия к построенной логической сети не зависит от уровня доверия к базовым сетям, благодаря использованию средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей). В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: узел-узел, узел-сеть и сеть-сеть.

Active Directory – реализация службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать и обновлять прикладное и серверное ПО на всех компьютерах в сети. Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов. Служба каталогов является как средством администратора, так и средством конечного пользователя. По мере роста числа объектов в сети повышается значение службы каталогов.

DNS (Domain Name System – система доменных имён) – компьютерная распределённая система для получения информации о доменах. Чаще всего используется для получения IP-адреса по имени хоста (компьютера или устройства), получения информации о маршрутизации почты, обслуживающих узлах для протоколов в домене.

Основой DNS является представление об иерархической структуре доменного имени и зонах. Каждый сервер, отвечающий за имя, может делегировать ответственность за дальнейшую часть домена другому серверу, что позволяет возложить ответственность за актуальность информации на серверы различных организаций, отвечающих только за «свою» часть доменного имени.

DNS важна для работы Интернета, т.к. для соединения с узлом необходима информация о его IP-адресе, а для людей проще запоминать буквенные (обычно осмысленные) адреса, чем последовательность цифр IP-адреса. В некоторых случаях это позволяет использовать виртуальные серверы, например, HTTP-серверы, различая их по имени запроса.

1.2 Угрозы информационной безопасности предприятия ОАО «Альфапроект» и описание возможного ущерба от их реализации

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Информационные ресурсы - отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Отношения по поводу права собственности на информационные ресурсы регулируются соответствующим гражданским законодательством.

Классификация угроз информационной безопасности автоматизированных систем обработки данных (АСОД) необходима из-за того, что современные средства вычислительной техники и накапливаемая ими информация подвержена случайным влияниям чрезвычайно большого числа факторов. Таким образом, пропадает необходимость описания полного множества угроз. Вследствие чего для защищаемой системы необходимо определить не полный перечень угроз, а рассмотреть лишь классы угроз.

Классификация всех возможных угроз информационной безопасности АСОД может быть проведена по ряду базовых признаков. Классы угроз АСОД приведены на рисунке 1.4

В каждом классе угроз информационной безопасности можно выделить по несколько видов угроз воздействующих на автоматизированную систему обработки данных. Исходя из этого, была построена таблица видов угроз ИБ для конкретных классов угроз и их характеристика (таблица 1.1).

Рисунок 1.4 – Классы угроз АСОД

Таблица 1.1 – Характеристика видов угроз информационной безопасности АСОД для соответствующих классов

Вид угроз	Класс угроз

1. По природе возникновения	Естественные угрозы – угрозы, вызванные воздействиями на АСОД и ее компоненты объективных физических процессов или стихийных природных явлений, независящих от человека.
Искусственные угрозы – угрозы информационной безопасности АС, вызванные деятельностью человека.
2. По степени преднамеренности проявления	Угрозы случайного действия и/или угрозы, вызванные ошибками или халатностью персонала.
Угрозы преднамеренного действия, например, угрозы действий злоумышленника для хищения информации.
3.По непосредственному источнику угроз	Угрозы, непосредственным источником которых является природная среда (стихийные бедствия, магнитные бури, радиоактивное излучение).
Угрозы, непосредственным источником которых является человек.
Угрозы, непосредственным источником которых являются санкционированные программно-аппаратные средства.
Угрозы, непосредственным источником которых являются несанкционированные программно-аппаратные средства.
4. По положению источника угроз	Угрозы, источник которых расположен вне контролируемой зоны территории (помещения), на которой находится АСОД.
Угрозы, источник которых расположен в пределах контролируемой зоны территории (помещения), на которой находится АСОД.
Угрозы, источник которых имеет доступ к периферийным устройствам АСОД.
Угрозы, источник которых расположен в АСОД.
5. По степени зависимости от активности АСОД	Угрозы, которые могут проявляться независимо от активности АСОД: вскрытие шифров криптозащиты информации; хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и компьютерных систем).
Угрозы, которые могут проявляться только в процессе автоматизированной обработки данных (например, угрозы выполнения и распространения программных вирусов).

Окончание таблицы 1.1

6. По степени воздействия на АСОД	Пассивные угрозы, которые при реализации ничего не меняют в структуре и содержании АСОД (например, угроза копирования секретных данных).
Активные угрозы, которые при воздействии вносят изменения в структуру и содержание АСОД.
7. По этапам доступа пользователей или программ к ресурсам АСОД	Угрозы, которые могут проявляться на этапе доступа к ресурсам АСОД (например, угрозы несанкционированного доступа в АСОД).
Угрозы, которые могут проявляться после разрешения доступа к ресурсам АСОД (например, угрозы несанкционированного или некорректного использования ресурсов АСОД).
8. По способу доступа к ресурсам АСОД	Угрозы, направленные на использование прямого стандартного пути доступа к ресурсам АСОД.
Угрозы, направленные на использование скрытого нестандартного пути доступа к ресурсам АС.
9. По текущему месту расположения информации	Угрозы доступа к информации на внешних запоминающих устройствах
Угрозы доступа к информации в оперативной памяти.
Угрозы доступа к информации, циркулирующей в линиях связи.
Угрозы доступа к информации, отображаемой на терминале или печатаемой на принтере.

Все рассмотренные классы и виды угроз в той или иной мере присущи и АСОД в ОАО «Альфапроект».

Так же можно классифицировать угрозы согласно УК РФ и выделить следующие угрозы информационной безопасности:

− Хищение (копирование) информации.

− Уничтожение информации.

− Модификация (искажение) информации.

− Нарушение доступности (блокирование) информации.

− Отрицание подлинности информации.

− Навязывание ложной информации.

Хищение - совершенные с корыстной целью противоправные безвозмездное изъятие и (или) обращение чужого имущества в пользу виновного или других лиц, причинившее ущерб собственнику или владельцу имущества.

Копирование компьютерной информации - повторение и устойчивое запечатление информации на машинном или ином носителе.

Уничтожение - внешнее воздействие на имущество, в результате которого оно прекращает свое физическое существование либо приводятся в полную непригодность для использования по целевому назначению.

Повреждение - изменение свойств имущества при котором существенно ухудшается его состояние, утрачивается значительная часть его полезных свойств и оно становится полностью или частично непригодным для целевого использования.

Модификация компьютерной информации - внесение любых изменений, кроме связанных с адаптацией программы для ЭВМ или баз данных.

Блокирование компьютерной информации - искусственное затруднение доступа пользователей к информации, не связанное с ее уничтожением.

Обман (отрицание подлинности, навязывание ложной информации) - умышленное искажение или сокрытие истины с целью ввести в заблуждение лицо, в ведении которого находится имущество и таким образом добиться от него добровольной передачи имущества, а также сообщение с этой целью заведомо ложных сведений.

Классификация угроз наиболее наглядно будет выглядеть, если рассматривать угрозы в связке с её источником. В соответствии с данным подходом классификация угроз ИБ в ОАО «Альфапроект» будет выглядеть следующим образом (рисунок 1.5).

Все представленные угрозы могут являть преднамеренными либо непреднамеренными.

Также необходимо рассмотреть угрозы направленные на конкретные объекты АСОД в ОАО «Альфапроект». Согласно структурной схеме ЛВС, приведенной на рисунке 1.3, можно выделить следующие объекты автоматизированной системы: АРМ сотрудника, сервер БД, файловый сервер, сервер управления. Для каждого из объектов в таблице 1.2 представлены конкретные угрозы ИБ.

С позиции экономического подхода общий ущерб информационной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба.

Прямой ущерб информационной безопасности предприятия возникает вследствие утечки конфиденциальной информации. Косвенный ущерб – потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке, отнесенной к категории конфиденциальной.

Рисунок 1.5 – Классификация угроз ИБ в ОАО «Альфапроект»

Таблица 1.2. – Угрозы ИБ каждого из объектов АСОД

Объект АСОД	Угрозы ИБ
АРМ сотрудника	Копирование информации на носители
Установка и использование «левого» ПО
Заражение компьютера вирусами
Ошибки оператора при эксплуатации СВТ
Ошибки оператора при эксплуатации программных средств
Несанкционированный доступ к ресурсам АС и дальнейшего его использования (копирование, модификации, удаления)
Сервер БД	Копирование информации
Доступ к информации, путем нарушения функционирования
Ошибки пользователей при эксплуатации программных средств
Файловый сервер	Изменение информации
Копирование информации
Удаление информации
Разглашение защищаемой информации путем передачи носителей информации, лицам не имеющих права доступа
Сервер управления	Незаконное получение паролей и других реквизитов разграничения доступа.
Блокировка доступа зарегистрированных пользователей

В рамках разработки или анализа системы информационной безопасности наиболее целесообразной является качественная оценка ценности информационного ресурса со стороны владельца. В зависимости от потребностей организации, её размера или иных факторов, качественная шкала оценки может использовать такие обозначения, как «незначительный», «низкий», «средний», «высокий», «критический», под которыми подразумевается определенный интервал количественной шкалы оценки.

После составления списка угроз, составляется степень вероятности реализации (СВР) угроз. Оценивание риска, происходит путем сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ (таблица 1.4).

На этапе оценки риска определяется потенциальный ущерб от угроз нарушения информационной безопасности для каждого ресурса или группы ресурсов. Определение степени тяжести последствий от утраты ресурсом свойств информационной безопасности необходима для того, чтобы определить: сколько будет стоить «простой» системы в течение времени, требующегося на ее восстановление и, каков будет ущерб, если эта информация станет известной конкурентам.

Таблица 1.4 – Сопоставления оценок степени тяжести последствий с оценкой СВР угроз ИБ

Степень вероятности реализации угрозы ИБ	Степень тяжести последствий нарушения ИБ
минимальная	средняя	высокая	критическая
нереализуемая	допустимый	допустимый	допустимый	допустимый
минимальная	допустимый	допустимый	допустимый	недопустимый
средняя	допустимый	допустимый	недопустимый	недопустимый
высокая	допустимый	недопустимый	недопустимый	недопустимый
критическая	недопустимый	недопустимый	недопустимый	недопустимый

При рассмотрении возможного ущерба необходимо так же рассмотреть ресурсы, используемые на предприятие. Классификация информационных ресурсов представлена на рисунке 1.7.

Рисунок 1.7 – Виды ресурсов предприятия

К ресурсам подлежащим защите относятся информационные и технические ресурсы.

В ОАО «Альфапроект» к техническим ресурсам относится:

− сервер управления;

− сервер баз данных;

− файловый сервер;

− Принтеры и плоттеры;

− Сетевое оборудование (коммутаторы, маршрутизаторы).

К информационным ресурсам, находящимся в электронном виде и на бумажных носителях, данного предприятия относятся:

− Копии документов, удостоверяющих личность заказчика;

− Технические паспорта на объекты недвижимости;

− Справки о балансовой стоимости с указанием остаточной балансовой стоимости на период проведения технической инвентаризации;

− Проектная, исполнительная документация;

− Бухгалтерские отчетности.

Таким образом, электронные ресурсы предприятия ОАО «Альфапроект» имеют ограниченный доступ и относятся к конфиденциальным. Поэтому, выделенные ресурсы подвержены угрозам ИБ, и в случае реализации угроз предприятие может понести различного рода ущерб. На рисунке 1.8 представлены три вида ущерба.

Рисунок 1.8 – Виды возможного ущерба

Проявления возможного ущерба могут быть различны и иметь смешанный характер:

− моральный и материальный ущерб деловой репутации организации

− моральный, физический или материальный ущерб, связанный с разглашением персональных данных отдельных лиц;

− материальный ущерб от необходимости восстановления нарушенных защищаемых информационных ресурсов;

− материальный ущерб от невозможности выполнения взятых на себя обязательств перед третьей стороной;

− моральный и материальный ущерб от дезорганизации деятельности организации;

− материальный и моральный ущерб от нарушения международных отношений.

Также ущерб можно рассмотреть по степени тяжести последствия от угроз ИБ. На рисунке 1.9 представлена классификация ущерба по степени тяжести.

Рисунок 1.9 – Степени тяжести последствий от угроз ИБ

Исходя из описанного выше, в ОАО «Альфапроект» можно выделить ряд возможных последствий от реализации угроз ИБ. В первую очередь необходимо отметить, что ущерб в основном будет являть материальным. Основной ущерб будет приходиться на технические ресурсы, так как данный вид ресурсов предполагает использование и хранение цифровых информационных ресурсов. Но нельзя опустить тот факт, что на предприятии используются и не цифровые информационные ресурсы, хотя большая их часть имеет цифровые копии, но данные ресурсы имеют не меньшую ценность.

По степени тяжести последствий наибольшие потери возникнут в случае вывода из строя технических ресурсов ОАО «Альфапроект», так как произойдет приостановка производственного документооборота и возможна потеря цифровых информационных ресурсов, что является значительной тяжестью последствия. В случае если реализация угроз ИБ затронет лишь цифровые информационные ресурсы, тяжесть последствия может характеризоваться как средняя, в крайнем случае, например, стихийные бедствия, тяжесть может перейти в категорию значительной тяжести последствий или даже высокой. Тяжесть всех этих последствий в первую очередь зависит от конкретных угроз. Исходя из этого принципа, была составлена таблица 1.5 степени тяжести последствий от конкретных угроз ИБ в ОАО «Альфапроект».

Таблица 1.5 – Степень тяжести последствий от угроз ИБ в ОАО «Альфапроект»

Угроза ИБ	Степень тяжести последствий (ущерб)
Ошибки пользователей и системных администраторов	средняя - низкая
Нарушения сотрудниками фирмы установленных регламентов сбора, обработки, передачи и уничтожения информации	средняя
Ошибки в работе программного обеспечения	низкая
Отказы и сбои в работе компьютерного оборудования	средняя
Заражение компьютеров вирусами или вредоносными программами	средняя
Несанкционированный доступ (НСД) к корпоративной информации	средняя - значительная
Информационный мониторинг со стороны конкурирующих структур, разведывательных и специальных служб	средняя
Действия государственных структур и служб, сопровождающиеся сбором, модификацией, изъятием и уничтожением информации	средняя - значительная
Аварии, пожары, техногенные катастрофы	значительная - высокая

Информационная безопасность АСОД обеспечена в случае, если для любых информационных ресурсов в системе поддерживается определенный уровень:

− конфиденциальности (невозможности несанкционированного получения какой-либо информации);

− целостности (невозможности несанкционированной или случайной ее модификации);

− доступности (возможности за разумное время получить требуемую информацию).

Угрозы ИБ влияют не только на свойства информации, но и на технические ресурсы предприятия, поэтому система защиты информации безопасности должна отвечать следующим требованиям:

− требованиям не искаженности свойств информации;

− требованиям класса защищенности АСОД;

− требованиям класса защищенности СВТ;

− требованиям по защите информации от НСД.

Также система защиты информации должна выполнять:

− предупреждение о появлении угроз безопасности информации;

− обнаружение, нейтрализацию и локализацию воздействия угроз;

− управление доступом к защищаемой информации;

− восстановление системы защиты информации;

− регистрацию событий и попыток несанкционированного доступа;

− обеспечение контроля функционирования системы защиты.

АНАЛИЗ СИСТЕМЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И ВЫБОР МЕТОДА ЕЕ МОДЕРНИЗАЦИИ

2.1 Методы и средства защиты информации в сетях

На первом этапе развития концепций обеспечения безопасности данных преимущество отдавалось программным средствам защиты. Но практика показала, что для обеспечения безопасности данных этого недостаточно, и интенсивное развитие получили всевозможные устройства и системы. Постепенно, по мере формирования системного подхода к проблеме обеспечения безопасности данных, возникла необходимость комплексного применения методов защиты и созданных на их основе средств и механизмов защиты. Обычно на предприятиях в зависимости от объема хранимых, передаваемых и обрабатываемых конфиденциальных данных за информационную безопасность отвечают отдельные специалисты или целые отделы. На рисунке 2.1 представлена модель комплексной защиты информации.

Рисунок 2.1 модель комплексной защиты информации

В защите информации четко выделяют два направления: защита конфиденциальности и защита работоспособности. Для выполнения этих задач существуют специальные методы и средства защиты данных, которые подробно представлены на рисунке 2.2.

Рисунок 2.2 - Классификация методов и средств защиты данных

Методы обеспечения безопасности информации в ИС делятся на: препятствие, управление доступом, механизмы шифрования (маскировка), регламентация, принуждение, побуждение, противодействие атакам вредоносных программ.

Препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации (к аппаратуре, носителям информации и т.д.).

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает:

− идентификацию пользователей, персонала и ресурсов системы;

− опознание субъекта по предъявленному им идентификатору;

− проверку полномочий;

− создание условий работы в пределах установленного регламента;

− регистрацию обращений к защищаемым ресурсам;

− при попытках несанкционированных действий.

Механизмы шифрования – криптографическое закрытие информации.

Регламентация – создание таких условий автоматизированной обработки, хранения и передачи защищаемой информации, при которых нормы и стандарты по защите выполняются в наибольшей степени.

Принуждение – метод защиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – метод защиты, побуждающий пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования ИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Аппаратные средства – устройства, встраиваемые непосредственно в вычислительную технику, или устройства, которые сопрягаются с ней по стандартному интерфейсу.

Физические средства включают различные инженерные устройства и сооружения, препятствующие физическому проникновению злоумышленников на объекты защиты и осуществляющие защиту персонала (личные средства безопасности), материальных средств и финансов, информации от противоправных действий.

Программные средства – это специальные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и/или аутентичности (подлинности) передаваемых сообщений.

Организационные средства осуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий.

Законодательные средства защиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

Морально-этические средства защиты включают всевозможные нормы поведения (которые традиционно сложились ранее), складываются по мере распространения ИС в стране и в мире. Морально-этические нормы могут быть неписаные либо оформленные в некий свод правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения.

2.2 Определение классов защищенности

2.2.1 Определение требуемого класса защищенности АСОД в ОАО «Альфапроект»

Для определения требуемого класса защищенности в Российской Федерации существует конкретный подход, реализованный в руководящем документе Государственной технической комиссии при Президенте РФ «Классификация автоматизированных систем и требований по защите информации» Часть 1. В данном документе выделено 9 классов защищенности автоматизированных систем от несанкционированного доступа к информации, а для каждого класса определен минимальный состав необходимых механизмов защиты и требования к содержанию защитных функций каждого из механизмов в каждом из классов систем (рисунок 2.3).

Введение

Информационная безопасность предприятия – это защищенность информации, которой располагает предприятие (производит, передает или получает) от несанкционированного доступа, разрушения, модификации, раскрытия и задержек при поступлении. Информационная безопасность включает в себя меры по защите процессов создания данных, их ввода, обработки и вывода. Целью комплексной информационной безопасности является сохранение информационной системы предприятия в целости и сохранности, защита и гарантирование полноты и точности выдаваемой ею информации, минимизация разрушений и модификация информации, если таковые случаются.

Компьютеризация, развитие телекоммуникаций предоставляют сегодня широкие возможности для автоматизированного доступа к различным конфиденциальным, персональным и другим важным, критическим данным в обществе (его граждан, организаций и т.д.).

Проблема создания и поддержания защищенной среды информационного обмена, реализующая определенные правила и политику безопасности современной организации, является весьма актуальной. Информация давно уже перестала играть эфемерную, чисто вспомогательную роль, превратившись в весьма важный и весомый, чуть ли не материальный, фактор со своими стоимостными характеристиками, определяемыми той реальной прибылью, которую можно получить от ее (информации) использования. В то же время, вполне возможен сегодня и вариант ущерба, наносимого владельцу информации (предприятию) путем несанкционированного проникновения в информационную структуру и воздействия на ее компоненты.

Объектом исследования являются: информационная безопасность.

Предмет исследования: защита информации.

Таким образом, цель данной работы изучение информационной безопасности.

Для достижения поставленной цели необходимо выполнить следующие задачи: рассмотреть оценку безопасности информационных систем, виды, методы и средства защиты информации; проанализировать структуру системы защиты информации.

1. Оценка безопасности информационных систем

В условиях использования автоматизированной информационной технологии (АИТ) под безопасностью понимается состояние защищенности информационных систем (далее ИС) от внутренних и внешних угроз.

Показатель защищенности ИС – характеристика средств системы, влияющая на защищенность и описываемая определенной группой требований, варьируемых по уровню и глубине в зависимости от класса защищенности.

Для оценки реального состояния безопасности ИС могут применяться различные критерии. Анализ отечественного и зарубежного опыта показал определенную общность подхода к определению состояния безопасности ИС в разных странах. Для предоставления пользователю возможности оценки вводится некоторая система показателей и задается иерархия классов безопасности. Каждому классу соответствует определенная совокупность обязательных функций. Степень реализации выбранных критериев показывает текущее состояние безопасности. Последующие действия сводятся к сравнению реальных угроз с реальным состоянием безопасности.

Если реальное состояние перекрывает угрозы в полной мере, система безопасности считается надежной и не требует дополнительных мер. Такую систему можно отнести к классу систем с полным перекрытием угроз и каналов утечки информации. В противном случае система безопасности нуждается в дополнительных мерах защиты.

Политика безопасности – это набор законов, правил и практического опыта, на основе которых строится управление, защита и распределение конфиденциальной информации.

Анализ классов безопасности показывает, что чем он выше, тем более жесткие требования предъявляются к системе.

Руководящие документы в области зашиты информации разработаны Государственной технической комиссией при Президенте Российской Федерации. Требования этих документов обязательны для исполнения только организациями государственного сектора либо коммерческими организациями, которые обрабатывают информацию, содержащую государственную тайну. Для остальных коммерческих структур документы носят рекомендательный характер.

2. Методы и средства построения систем информационной безопасности (СИБ)

Создание систем информационной безопасности в ИС и ИТ основывается на следующих принципах: системный подход, принцип непрерывного развития системы, разделение и минимизация полномочий, полнота контроля и регистрация попыток, обеспечение надежности системы защиты, обеспечение контроля за функционированием системы защиты, обеспечение всевозможных средств борьбы с вредоносными программами, обеспечение экономической целесообразности.

В результате решения проблем безопасности информации современные ИС и ИТ должны обладать следующими основными признаками:

Наличием информации различной степени конфиденциальности;

Обеспечением криптографической защиты информации различной степени конфиденциальности при передаче данных;

Иерархичностью полномочий субъектов доступа к программам и компонентам ИС и ИТ (к файл-серверам, каналам связи и т.п.);

Обязательным управлением потоками информации, как в локальных сетях, так и при передаче по каналам связи на далекие расстояния;

Наличием механизма регистрации и учета попыток несанкционированного доступа, событий в ИС и документов, выводимых на печать;

Обязательной целостностью программного обеспечения и информации в ИТ;

Наличием средств восстановления системы защиты информации;

Обязательным учетом магнитных носителей;

Наличием физической охраны средств вычислительной техники и магнитных носителей;

Наличием специальной службы информационной безопасности системы.

3. Структура системы информационной безопасности

При рассмотрении структуры системы информационной безопасности (СИБ) возможен традиционный подход – выделение обеспечивающих подсистем. Система информационной безопасности, как и любая ИС, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет способна выполнить свою целевую функцию. С учетом этого, СИБ должна иметь следующие виды (элементы) обеспечения: правовое, организационное, нормативно-методическое, информационное, техническое (аппаратное), программное, математическое, лингвистическое.

Правовое обеспечение СИБ основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот вид обеспечения включает:

Наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;

Формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;

Разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.

Следует отметить, что из всех мер зашиты в настоящее время ведущую роль играют организационные мероприятия . Поэтому следует выделить вопрос организации службы безопасности. Реализация политики безопасности требует настройки средств защиты, управления системой зашиты и осуществления контроля функционирования ИС. Как правило, задачи управления и контроля решаются административной группой, состав и размер которой зависят от конкретных условий. Очень часто в эту группу входят администратор безопасности, менеджер безопасности и операторы.

Обеспечение и контроль безопасности представляют собой комбинацию технических и административных мер. По данным зарубежных источников, у сотрудников административной группы обычно 1/3 времени занимает техническая работа и около 2/3 – административная (разработка документов, связанных с защитой ИС, процедуры проверки системы защиты и т.д.). Разумное сочетание этих мер способствует уменьшению вероятности нарушений политики безопасности.

Административную группу иногда называют группой информационной безопасности. Она обособлена от всех отделов или групп, занимающихся управлением самой ИС, программированием и другими относящимися к системе задачами, во избежание возможного столкновения интересов.

Организационное обеспечение включает в себя регламентацию:

Формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно – методическими документами по Организации и технологии защиты информации;

Составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;

Разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;

Методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;

Направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;

Технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;

Порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;

Ведения всех видов аналитической работы;

Порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;

Оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;

Пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;

Системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;

Действий персонала в экстремальных ситуациях;

Организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;

Организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;

Работы по управлению системой защиты информации;

Критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.

Организационный элемент защиты информации является стержнем, основной частью комплексной системы элементов системы защиты – «элемент организационно-правовой защиты информации».

Нормативно-методическое обеспечение может быть слито с правовым, куда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации; различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований соблюдения конфиденциальности.

Нормативы и стандарты по защите информации накладывают требования на построение ряда компонентов, которые традиционно входят в обеспечивающие подсистемы самих информационных систем, т.е. можно говорить о наличии тенденции к слиянию обеспечивающих подсистем ИС и СИБ.

Примером может служить использование операционных систем (ОС). В разных странах выполнено множество исследований, в которых анализируются и классифицируются изъяны защиты ИС. Выявлено, что основные недостатки зашиты ИС сосредоточены в ОС. Использование защищенных ОС является одним из важнейших условий построения современных ИС. Особенно важны требования к ОС, ориентированным на работу с локальными и глобальными сетями. Развитие Интернета оказало особенно сильное влияние на разработку защищенных ОС. Развитие сетевых технологий привело к появлению большого числа сетевых компонентов (СК). Системы, прошедшие сертификацию без учета требований к сетевому программному обеспечению, в настоящее время часто используются в сетевом окружении и даже подключаются к Интернету. Это приводит к появлению изъянов, не обнаруженных при сертификации защищенных вычислительных систем, что требует непрерывной доработки ОС.

Инженерно-техническое обеспечение системы защиты информации предназначено для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:

Сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);

Средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т.п.;

Средства защиты помещений от визуальных способов технической разведки;

Средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);

Средства противопожарной охраны;

Средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т.п.);

Технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.

Программно-аппаратное обеспечение системы защиты предназначено для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:

Автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;

Программы защиты информации, работающие в комплексе с программами обработки информации;

Программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).

4. Методы и средства обеспечения безопасности информации

Методы и средства обеспечения безопасности информации в АИС в обобщенном и упрощенном виде отражает схема на нижепредставленном рисунке.

Методы и средства обеспечения безопасности информации

Рассмотрим неформальные методы защиты информации.

Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации. Кроме того, управление доступом включает следующие функции защиты:

Идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

Аутентификацию для опознания, установления подлинности пользователя по предъявленному им идентификатору;

Проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

Разрешение и создание условий работы в пределах установленного регламента;

Регистрацию (протоколирование) обращений к защищаемым ресурсам;

Реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

В настоящее время для исключения неавторизованного проникновения в компьютерную сеть стал использоваться комбинированный подход: пароль плюс идентификация пользователя по персональному ключу. Ключ представляет собой пластиковую карту (магнитная или со встроенной микросхемой – смарт-карта) или различные устройства для идентификации личности по биометрической информации – по радужной оболочке глаза, отпечаткам пальцев, размерам кисти руки и т.д. Серверы и сетевые рабочие станции, оснащенные устройствами чтения смарт-карт и специальным программным обеспечением, значительно повышают степень защиты от несанкционированного доступа.

Шифрование – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

Противодействие атакам вредоносных программ – комплекс разнообразных мер организационного характера и по использованию антивирусных программ. Цели принимаемых мер: уменьшение вероятности инфицирования АИС; выявление фактов заражения системы; уменьшение последствий информационных инфекций; локализация или уничтожение вирусов; восстановление информации в ИС.

Принуждение – такой метод зашиты, при котором пользователи и персонал ИС вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Побуждение – такой метод защиты, который побуждает пользователей и персонал ИС не нарушать установленные порядки за счет соблюдения сложившихся моральных и этических норм.

Вся совокупность технических средств подразделяется на аппаратные и физические.

Программные средства – специализированные программы и программные комплексы, предназначенные для защиты информации в ИС.

Из средств ПО системы защиты выделим еще программные средства, реализующие механизмы шифрования (криптографии). Криптография – это наука об обеспечении секретности и / или аутентичности (подлинности) передаваемых сообщений.

Организационные средстваосуществляют своим комплексом регламентацию производственной деятельности в ИС и взаимоотношений исполнителей на нормативно-правовой основе таким образом, что разглашение, утечка и несанкционированный доступ к конфиденциальной информации становится невозможным или существенно затрудняется за счет проведения организационных мероприятий. Комплекс этих мер реализуется группой информационной безопасности, но должен находиться под контролем руководителя организации.

Законодательные средствазащиты определяются законодательными актами страны, которыми регламентируются правила пользования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил,

Морально-этические средствазашиты включают всевозможные нормы поведения, которые традиционно сложились ранее, складываются по мере распространения ИС и ИТ в стране и в мире или специально разрабатываются. Морально-этические нормы могут быть неписаные (например, честность) либо оформленные в некий свод (устав) правил или предписаний. Эти нормы, как правило, не являются законодательно утвержденными, но поскольку их несоблюдение приводит к падению престижа организации, они считаются обязательными для исполнения. Характерным примером таких предписаний является «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США».

5. Криптографические методы защиты информации

Криптология – наука, состоящая из двух направлений: криптографии и криптоанализа. Криптоанализ – это наука (и практика ее применения) о методах и способах вскрытия шифров. Соотношение криптографии и криптоанализа очевидно: криптография – это защита, т.е. разработка шифров, а криптоанализ – нападение, т.е. вскрытие шифров.

Сущность криптографических методов заключается в следующем. Готовое к передаче информационное сообщение, первоначально открытое и незащищенное, зашифровывается и тем самым преобразуется в шифрограмму, т.е. в закрытый текст или графическое изображение документа. В таком виде сообщение и передается по каналу связи, пусть даже и незащищенному. Санкционированный пользователь после получения сообщения дешифрует его (т.е. раскрывает) посредством обратного преобразования криптограммы, вследствие чего получается исходный, открытый вид сообщения, доступный для восприятия санкционированным пользователям. Таким образом, даже в случае перехвата сообщения взломщиком текст сообщения становится недоступным для него.

Методу преобразования в криптографической системе соответствует использование специального алгоритма. Действие такого алгоритма запускается уникальным числом (последовательностью бит), обычно называемым шифрующим ключом.

Каждый используемый ключ может производить различные шифрованные сообщения, определяемые только этим ключом. Для большинства систем закрытия схема генератора ключа может представлять собой набор инструкций и команд либо узел аппаратуры, либо компьютерную программу, либо все вместе взятое, но в любом случае процесс шифрования (дешифрования) определяется только этим специальным ключом. Чтобы обмен зашифрованными данными проходил успешно, как отправителю, так и получателю необходимо знать правильную ключевую установку и хранить ее в тайне.

Стойкость любой системы закрытой связи определяется степенью секретности используемого в ней ключа. Тем не менее, этот ключ должен быть известен другим пользователям сети, чтобы они могли свободно обмениваться зашифрованными сообщениями. В этом смысле криптографические системы также помогают решить проблему аутентификации принятой информации. Взломщик в случае перехвата сообщения будет иметь дело только с зашифрованным текстом, а истинный получатель, принимая закрытые известным только ему и отправителю ключом сообщения, будет надежно защищен от возможной дезинформации.

Современная криптография знает два типа криптографических алгоритмов: классические алгоритмы, основанные на использовании закрытых, секретных ключей, и новые алгоритмы с открытым ключом, в которых используются один открытый и один закрытый ключи (эти алгоритмы называются также асимметричными). Кроме того, существует возможность шифрования информации и более простым способом – с использованием генератора псевдослучайных чисел.

Метод криптографической защиты с открытым ключом реализуется достаточно легко и обеспечивает довольно высокую скорость шифрования, однако недостаточно стоек к дешифрованию и поэтому неприменим для таких серьезных информационных систем, каковыми являются, например, банковские системы.

Наиболее перспективными системами криптографической защиты данных сегодня считаются асимметричные криптосистемы, называемые также системами с открытым ключом. Их суть состоит в том, что ключ, используемый для зашифровывания, отличен от ключа расшифровывания. При этом ключ зашифровывания не секретен и может быть известен всем пользователям системы. Однако расшифровывание с помощью известного ключа зашифровывания невозможно. Для расшифровывания используется специальный, секретный ключ. При этом знание открытого ключа не позволяет определить ключ секретный. Таким образом, расшифровать сообщение может только его получатель, владеющий этим секретным ключом.

Специалисты считают, что системы с открытым ключом больше подходят для шифрования передаваемых данных, чем для защиты данных, хранимых на носителях информации. Существует еще одна область применения этого алгоритма – цифровые подписи, подтверждающие подлинность передаваемых документов и сообщений. Асимметричные криптосистемы наиболее перспективны, так как в них не используется передача ключей другим пользователям, и они легко реализуются как аппаратным, так и программным способом.

В системах передачи и обработки информации все чаще возникает вопрос о замене рукописной подписи, подтверждающей подлинность того или иного документа, ее электронным аналогом – электронной цифровой подписью (ЭЦП). Сформулируем три свойства ЭЦП:

1. Подписать документ может только «законный» владелец подписи.

3. В случае возникновения спора, возможно, участие третьих лиц (например, суда) для установления подлинности подписи.

Ею могут скрепляться всевозможные электронные документы, начиная с различных сообщений и кончая контрактами. ЭЦП может применяться также для контроля доступа к особо важной информации. К ЭЦП предъявляются два основных требования: высокая сложность фальсификации и легкость проверки.

Для реализации ЭЦП можно использовать как классические криптографические алгоритмы, так и асимметричные, причем именно последние обладают всеми свойствами, необходимыми для ЭЦП.

ЭЦП чрезвычайно подвержена действию обобщенного класса «троянских» программ с преднамеренно заложенными в них потенциально опасными последствиями, активизирующимися при определенных условиях. Например, в момент считывания файла, в котором находится подготовленный к подписи документ, эти программы могут изменить имя подписывающего лица, дату, какие-либо данные (например, сумму в платежных документах) и т.п.

Практика использования систем автоматизированного финансового документооборота показала, что программная реализация ЭЦП наиболее подвержена действию «троянских» программ, позволяющих проводить заведомо ложные финансовые документы, а также вмешиваться в порядок разрешения споров по факту применения ЭЦП. Поэтому при выборе системы ЭЦП предпочтение безусловно должно быть отдано ее аппаратной реализации, обеспечивающей надежную защиту информации от несанкционированного доступа, выработку криптографических ключей и ЭЦП. Следовательно, надежная криптографическая система должна удовлетворять следующим требованиям:

Процедуры зашифровывать и расшифровывания должны быть прозрачны» для пользователя;

Дешифрование закрытой информации должно быть максимально затруднено;

Надежность криптозащиты не должна зависеть от содержания в секрете самого алгоритма шифрования.

Процессы защиты информации, шифрования и дешифрования связаны с кодируемыми объектами и процессами, их свойствами, особенностями перемещения. Такими объектами и процессами могут быть материальные объекты, ресурсы, товары, сообщения, блоки информации, транзакции (минимальные взаимодействия с базой данных по сети). Кодирование кроме целей защиты, повышая скорость доступа к данным, позволяет быстро определять и выходить на любой вид товара и продукции, страну производителя и т.д. Таким образом, связываются в единую логическую цепочку операции, относящиеся к одной сделке, но географически разбросанные по сети.

Например, штриховое кодирование используется как разновидность автоматической идентификации элементов материальных потоков, например товаров, и применяется для контроля за их движением в реальном времени. При этом достигается оперативность управления потоками материалов и продукции, повышается эффективность управления предприятием. Штриховое кодирование позволяет не только защитить информацию, но и обеспечивает высокую скорость чтения и записи кодов. Наряду со штриховыми кодами в целях защиты информации используют голографические методы.

Методы защиты информации с использованием голографии являются актуальным и развивающимся направлением. Голография представляет собой раздел науки и техники, занимающийся изучением и созданием способов, устройств для записи и обработки волн различной природы. Оптическая голография основана на явлении интерференции волн. Интерференция волн наблюдается при распределении в пространстве волн и медленном пространственном распределении результирующей волны. Возникающая при интерференции волн картина содержит информацию об объекте. Если эту картину фиксировать на светочувствительной поверхности, то образуется голограмма. При облучении голограммы или ее участка опорной волной можно увидеть объемное трехмерное изображение объекта. Голография применима к волнам любой природы и в настоящее время находит все большее практическое применение для идентификации продукции различного назначения.

В совокупности кодирование, шифрование и защита данных предотвращают искажения информационного отображения реальных производственно-хозяйственных процессов, движения материальных, финансовых и других потоков и тем самым способствуют повышению обоснованности формирования и принятия управленческих решений.

Заключение

В настоящее время организация режима информационной безопасности становится критически важным стратегическим фактором развития любой отечественной компании. При этом, как правило, основное внимание уделяется требованиям и рекомендациям соответствующей российской нормативно-методической базы в области защиты информации.

Главными требованиями к организации эффективного функционирования системы защиты информации являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.

Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.

Практической реализацией концепции информационной безопасности организации является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.

1.Белов Е.Б., Лось В.П., Мещеряков Р.В. Основы информационной безопасности: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2006. 544 с.

2.Информационные системы в экономике: Учебник. / Под ред. Титоренко Г.А. 2-е изд. перераб. и доп. М.: Изд-во ЮНИТИ-ДАНА, 2008. 463 с.

3.Малюк А.А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2004. 280 с.

4.Петренко С.А., Симонов С.В. Управление информационными рисками. Экономически оправданная безопасность. М.: Изд-во ДМК Пресс, 2004. 384 с.

5.Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2005. 229 с.

6.Садердинов А.А., Трайнев В.А., Федулов А.А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. М.: Издательско-торговая корпорация Дашков и К°, 2005. 336 с.

7.Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. М.: Изд-во ИНФРА-М, 2001. 304 с.

8.Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Украина: Изд-во Юниор, 2003. 504 с.

Садердинов А. А., Трайнев В. А., Федулов А. А. Информационная безопасность предприятия: Учебное пособие. 2-е изд. М.: Издательско-торговая корпорация Дашков и К°, 2005.

Информационные системы в экономике: Учебник. / Под ред. Титоренко Г.А. 2-е изд., доп. и перераб. М.: Изд-во ЮНИТИ-ДАНА, 2008. 463 с.

Информационные системы в экономике: Учебник. / Под ред. Титоренко Г.А. 2-е изд. перераб. и доп. М.: Изд-во ЮНИТИ-ДАНА, 2008. с.218.

Малюк А. А. Информационная безопасность: концептуальные и методологические основы защиты информации: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2004. с. 202.

Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. М.: Изд-во ИНФРА-М, 2001. с.23-24

Информационные системы в экономике: Учебник. / Под ред. Титоренко Г.А. 2-е изд.М.: Изд-во ЮНИТИ-ДАНА, 2008. с.219.

Степанов Е.А., Корнеев И.К. Информационная безопасность и защита информации: Учебное пособие. М.: Изд-во ИНФРА-М, 2001. 304 с.

Белов Е. Б., Лось В. П., Мещеряков Р. В. Основы информационной безопасности: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2006. с.248

Хорошко В.А., Чекатков А.А. Методы и средства защиты информации. Украина: Изд-во Юниор, 2003. с. 338.

Рябко Б.Я., Фионов А.Н. Криптографические методы защиты информации: Учебное пособие. М.: Изд-во Горячая линия – Телеком, 2005. с. 52.

Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. М.: Изд-во ДМК Пресс, 2004. с.7.

В результате изучения данной главы студент должен:

знать

стратегию обеспечения ИБ в системе управления предприятия;
международное и российское законодательство в области И Б;
организационные методы защиты в системе управления;
методологию анализа и оценки ИБ в системе управления;

уметь

применять методологию исследования организации ИБ в системе управления предприятия;
применять методологию анализа и оценки концепций защиты процессов переработки информации в системе управления;
использовать модели анализа безопасности ПО и взаимодействия объектов предприятия в вычислительной системе;
применять оценку защищенности объектов в системе управления;

владеть

навыками анализа и оценки ИБ в системе управления организацией;
навыками применения моделей анализа безопасности ПО;
методами оценки защищенности объектов и системы управления предприятия.

Основные положения по обеспечению ИБ в системах управления

Стратегия ИБ в системе управления предприятия

Деятельность любой организации в наше время связана с получением и передачей информации в системе ее управления. Информация является сейчас стратегически важным товаром. Потеря информационных ресурсов или завладение секретной информацией конкурентами, как правило, наносит предприятию значительный ущерб и даже может привести к банкротству.

За последние 20 лет ИТ проникли во все сферы управления и ведения бизнеса. Сам же бизнес из реального мира давно переходит в мир виртуальный, а поэтому весьма зависим от вирусных, хакерских и прочих атак. По данным Института компьютерной безопасности США общий ущерб, который нанесли компьютерные вирусы за последние пять лет, оценивается как минимум в 54 млрд долл., а по данным сайта SecurityLab.ru только за 10 дней февраля вирусы "съедают" астрономическую сумму – около 50 млрд долл. После начала эпидемии MyDoom Министерство национальной безопасности США вообще приравняла вирусные эпидемии к терроризму. Разработчики ПО быстро реагируют на атаки, но довольно часто опаздывают с противодействием. Пока не существует средств защиты от глобальных эпидемий вирусов.

Первые преступления с использованием компьютерной техники появились в России в 1991 г., когда были похищены 125,5 тыс. долл, во Внешэкономбанке СССР. В 2003 г. в России было возбуждено 1602 уголовных дела по ст. 272 ("Неправомерный доступ к компьютерной информации") и 165 ("Причинение имущественного ущерба путем обмана и злоупотребления доверием") Уголовного кодекса РФ (УК РФ).

В мире с 1999 г. появилась еще одна проблема ИБ – спам. Это анонимная массовая непрошеная рассылка. Сейчас около 30% всех электронных писем являются спамом. Наводнение спама приводит к ежегодным убыткам, оцененным до 20 млрд долл. Спам в пределах одной компании приводит к убыткам от 600 до 1000 долл, ежегодно, из расчета на одного пользователя. "Спам – это архиважная проблема, грозящая свести на нет большую часть преимуществ электронной почты", – пишет Билл Гейтс в одном из своих регулярных e-mail-обращений к заказчикам.

Также широко распространяется сейчас промышленный шпионаж – устройство стоимостью всего 10 долл. В случае удачного размещения он может привести фирму к банкротству. В последнее время участились взломы компьютерных сетей (например, несанкционированный доступ к информации, обрабатываемой на персональных ЭВМ). В настоящее время злоумышленники могут получить доступ не только к открытой информации, но и к информации, содержащей государственную (в 2003 г. Федеральной службой безопасности РФ пресечено более 900 попыток проникновения в информационные ресурсы органов государственной власти России) и коммерческую тайну.

Информационная безопасность – это комплекс мер по обеспечению безопасности информационных активов предприятия. Самое главное в этом определении то, что ИБ можно обеспечить только в случае комплексного подхода. Разрешение каких-то отдельных вопросов (технических или организационных) не решит проблему ИБ в целом.

Стратегия – средство достижения желаемых результатов, комбинация из запланированных действий и быстрых решений по адаптации фирмы к новым возможностям получения конкурентных преимуществ и новым угрозам ослабления ее конкурентных позиций. Иными словами, стратегию ИБ нужно определять с учетом быстрого реагирования на новые угрозы и возможности.

Выделяют три главных требования к стратегии ИБ.

1. Конфиденциальность – обеспечение информацией только тех людей, которые уполномочены для получения такого доступа. Хранение и просмотр ценной информации только теми людьми, кто по своим служебным обязанностям и полномочиям предназначен для этого.
2. Целостность – поддержание целостности ценной и секретной информации. Это означает, что она защищена от неправомочной модификации. Существует множество типов информации, которые имеют ценность только тогда, когда мы можем поручиться, что они правильные. Главная цель политики ИБ должна гарантировать, что информация не была повреждена, разрушена или изменена любым способом.
3. Пригодность – обеспечение того, чтобы информация и информационные системы были доступны и готовы к эксплуатации всегда, как только они потребовались. В этом случае основной целью политики ИБ должна быть гарантия, что информация всегда доступна и поддерживается в пригодном состоянии.

Не секрет, что дела с обеспечением ИБ в большинстве российских компаний обстоят не лучшим образом. Общение со специалистами и результаты статистических исследований только укрепляют это мнение. Большинство организаций регулярно терпят убытки, связанные с нарушением ИБ, не способны оценить ущерб или хотя бы обнаружить многие из этих нарушений. Тем более не идет речь о реализации в современных российских организациях полноценной процедуры управления рисками в системе управления ИБ. Большинство специалистов-практиков даже не берутся за эту "непосильную" задачу, предпочитая руководствоваться при решении проблем ИБ исключительно собственным опытом и интуицией.

Убытки от нарушений ИБ могут проявляться в утечке конфиденциальной информации, потере рабочего времени на восстановление данных, ликвидацию последствий вирусных атак и т.п. Убытки могут также выражаться и вполне конкретными "круглыми суммами", например, когда речь идет о мошенничестве в финансовой сфере с использованием компьютерных систем.

Политика безопасности лежит в основе организационных мер защиты информации. От их эффективности в наибольшей степени зависит успешность любых мероприятий по обеспечению ИБ. Часто приходится сталкиваться с неоднозначностью понимания термина "политика безопасности", в современной практике обеспечения ИБ этот термин может употребляться как в широком, так и в узком смысле. В широком смысле политика безопасности определяется как система документированных управленческих решений по обеспечению ИБ организации. В узком смысле под политикой безопасности обычно понимают локальный нормативный документ, определяющий требования безопасности, систему мер либо порядок действий, а также ответственность сотрудников организации и механизмы контроля для определенной области обеспечения ИБ. Примерами таких документов могут служить "Политика управления паролями", "Политика управления доступом к ресурсам корпоративной сети", "Политика обеспечения ИБ при взаимодействии с сетью Интернет" и т.п.

Использование нескольких специализированных нормативных документов обычно является предпочтительней создания "Общего руководства по обеспечению ИБ организации". Например, в компании Cisco Systems, Inc. стараются, чтобы размер политики безопасности не превышал две страницы. В редких случаях размер политики безопасности может достигать 4–5 страниц. Содержательная часть типовой русскоязычной политики безопасности обычно не превышает семи страниц.

Этот подход, однако, не противоречит и созданию объемных руководств, положений и концепций по обеспечению ИБ, содержащих ссылки на множество специализированных политик безопасности и увязывающих их в единую систему организационных мер по защите информации в системе управления и деятельности предприятия.

Эффективность политики безопасности определяется качеством самого документа, который должен соответствовать текущему положению дел в организации и учитывать основные принципы обеспечения ИБ, изложенные далее, а также правильностью и законченностью процесса внедрения политики ИБ.

Эффективные политики безопасности определяют необходимый и достаточный набор требований безопасности, позволяющих уменьшить риски ИБ до приемлемой величины. Они оказывают минимальное влияние на производительность труда, учитывают особенности бизнес-процессов организации, поддерживаются руководством, позитивно воспринимаются и исполняются сотрудниками организации.

При разработке политики безопасности, которая "не рухнет под своим собственным весом", следует учитывать факторы, влияющие на успешность применения мер обеспечения безопасности.

Меры безопасности накладывают ограничения на действия пользователей и администраторов информационной системы управления и в общем случае приводят к снижению производительности труда.

Человеческая природа всегда порождает желание получения большего количества информации, упрощения доступа к ней и уменьшения времени реакции системы. Любые меры безопасности в определенной степени препятствуют осуществлению этих естественных желаний.

Представьте себе ситуацию ожидания переключения сигнала светофора. Очевидно, что светофор предназначен для обеспечения безопасности дорожного движения, однако если движение по пересекаемой дороге отсутствует, то это ожидание выглядит утомительной тратой времени. Человеческое терпение имеет предел, и если светофор долго не переключается, то у многих возникает желание проехать на красный. В конце концов, светофор может быть неисправен либо дальнейшее ожидание является неприемлемым.

Каждый пользователь системы управления обладает ограниченным запасом терпения в отношении следования правилам политики безопасности, достигнув которого он перестает эти правила выполнять, решив, что это явно не в его интересах (не в интересах дела).

Политики, не учитывающие влияния, которое они оказывают на производительность труда пользователей и на бизнес-процессы, в лучшем случае могут привести к ложному чувству защищенности. В худшем случае такие политики создают дополнительные бреши в системе защиты, когда "кто-то начинает двигаться на красный свет". Следует учитывать и минимизировать влияние политики безопасности на производственный процесс, соблюдая принцип разумной достаточности.

Процедуры обеспечения безопасности обычно не являются интуитивными. Без соответствующего обучения пользователи системы управления могут и не осознавать ценность информационных ресурсов, риски и размеры возможного ущерба. Пользователь, не имеющий представления о критичности информационных ресурсов (или причинах, по которым их следует защищать), скорее всего будет считать соответствующую политику неразумной. Даже некоторые навыки самосохранения требуют обучения. (Дети сначала не знают о том, что перед тем, как переходить через дорогу, нужно посмотреть сначала налево, а потом – направо.) В отличие от инстинктивного это пример сознательного поведения.

Руководство организации также следует просвещать по вопросам, касающимся ценности информационных ресурсов, ассоциированных с ними рисков и соответствующих политик безопасности. Если руководство не знакомо с политикой безопасности или ее обоснованием, не приходится рассчитывать на его поддержку. Конечно, руководству не требуется знать технических деталей обеспечения ИБ и конкретных правил, предписываемых политиками. Достаточно сфокусировать его внимание на возможных последствиях нарушений безопасности и связанных с ними потерях для организации. Требуется проводить непрерывную работу по обучению сотрудников и повышению осведомленности руководства организации в вопросах обеспечения ИБ.

В крупных организациях в ИТ-процессы вовлечено большое количество людей, для большинства из которых требования политики безопасности отнюдь не являются очевидными. Чем сложнее пользователям системы управления приспособиться к установленной политике, тем менее вероятной является ее работоспособность. На начальном этапе требования политики безопасности наверняка будут нарушаться, да и в будущем полностью избежать этого не удастся. Необходимо осуществлять непрерывный контроль выполнения правил политики безопасности как на этапе ее внедрения, так и в дальнейшем, фиксировать нарушения и разбираться в их причинах. Одной из основных форм этого контроля является регулярное проведение как внутреннего, так и внешнего аудита безопасности, что и является основной функцией ИСУ.

Чтобы оставаться эффективной, политика безопасности обязана совершенствоваться, так как даже если удалось разработать и внедрить эффективную политику, работа на этом не заканчивается. Обеспечение ИБ – непрерывный процесс. Технологии стремительно изменяются, существующие системы устаревают, а многие процедуры со временем теряют эффективность.

Работоспособность и эффективность существующих политик должны регулярно проверяться. Устаревшие политики должны пересматриваться.

Важнейшим в вопросах анализа эффективности стратегии ИБ является оценка риска реализации политики безопасности в системе управления организации.

Перед принятием любых решений относительно стратегии ИБ предприятия (как на длительный, так и на короткий период времени) необходимо оценить степени уникальных рисков. Пока организация имеет информацию, представляющую ценность для нее и ее конкурентов (а может, и просто "случайных" хакеров), она рискует потерей этой информацией. Функция любого информационного механизма контроля безопасности (технического или процедурного) и должна состоять в ограничении этого риска заранее выбранным приемлемым уровнем. Конечно, это истинно и для защитной политики. Политика – это механизм контроля существующих рисков, она должна быть предназначена и развита в ответ на имеющиеся и возможные риски. Таким образом, всестороннее осуществление оценки риска должно быть первой стадией процесса создания политики. Оценка риска должна идентифицировать самые слабые области системы и использоваться для определения дальнейших целей и средств.

Оценка риска представляет собой комбинацию величин, зависящих от количества, имеющих определенную ценность для организации, и уязвимостей, пригодных для использования для получения доступа к этим ресурсам. Собственно, величина уникального риска для конкретной информации – отношение ценности этой информации к количеству способов, которыми данная информация может быть уязвима в структуре корпоративной сети. Очевидно, что чем больше оказывается полученная величина, тем большие средства стоит направить организации на "затыкание" этой дыры.

Конечно, это слишком упрощенно и утрированно. Так, при разработке политики безопасности неизбежно возникнут вопросы о том, что некоторые ресурсы, пусть и имеющие для организации ценность, должны быть свободно доступны в Интернете либо доступ к ним должны иметь коммерческие партнеры. Но в целом, хоть и с некоторой условностью, применяется именно описанный подход. Политика, учитывающая слишком много факторов, многие из которых абсолютно неактуальны, ничем не лучше политики, которая ошибочно не учитывает какого-то важного условия. Разработка политики безопасности является совместным делом руководства компании, которое должно точно определить ценность каждого информационного ресурса и выделяемые на безопасность средств, и системных администраторов, которые должны правильно оценить существующую уязвимость выбранной информации.

Системные администраторы должны определить способы снижения уязвимости информационных ресурсов и, основываясь на их ценности, согласовать с руководством применяемые методы. Под методами подразумевается не только написание или приобретение и установка необходимых программ и оборудования, но и обучение персонала, разработка должностных инструкций и определение ответственности за их невыполнение.

В статье описывается опыт по обеспечению информационной безопасности операционных систем и систем управления базами данных организационных сложных иерархических структур. Приводится проект комплексной системы обеспечения информационной безопасности, базирующийся на иерархическом подходе к моделированию сложных систем управления.

В настоящее время в областях информационных технологий (ИТ) стоят на первом месте вопросы создания и развития нормативной базы в области информационной безопасности, а также необходимость проведения комплекса работ, направленных на развитие стандартизации и сертификации в области информационной безопасности (ИБ).

Стандарты, определяющие требования по информационной безопасности и являющиеся основой нормативно-правовой базы, важны для всех субъектов отношений в этой области, в первую очередь для тех организаций и предприятий, которые заинтересованы в защите своих информационных ресурсов. Руководству и службам безопасности предприятий следует четко представлять себе, каким требованиям, в зависимости от условий функционирования, должны соответствовать их информационные системы (ИС). Разработчики информационных технологий и информационных систем должны руководствоваться стандартами для обеспечения безопасности своих разработок .

Любой человек, работающий в сфере ИТ, понимает необходимость обеспечения безопасности операционных систем (ОС). Необходимость наличия встроенных средств защиты на этом уровне не вызывает сомнений. Операционная система обеспечивает защиту механизмов прикладного уровня от неправильного использования, обхода или навязывания ложной информации. Если она не сможет удовлетворить этим требованиям, появятся уязвимости в масштабах всей системы.

Одной из задач ИС является хранение и обработка данных. Для ее решения были предприняты усилия, которые привели к появлению специализированного программного обеспечения - систем управления базами данных (database management systems, СУБД). СУБД позволяют структурировать, систематизировать и организовывать данные для их компьютерного хранения и обработки. Невозможно представить себе деятельность современного предприятия или учреждения без использования профессиональных систем управления базами данных. Несомненно, они составляют фундамент информационной деятельности во всех сферах - начиная с производства и заканчивая финансами и телекоммуникациями. В этом смысле ОС и СУБД похожи друг на друга.

Основу правового регулирования в области обеспечения ИБ операционных систем и систем управления базами данных, где обрабатывается конфиденциальная информация, составляют принятые законы и нормативные акты Российской Федерации. Одним из таких документов является «Доктрина информационной безопасности Российской Федерации», которая представляет собой совокупность официальных взглядов на цели, задачи, принципы и основные направления обеспечения ИБ РФ . Доктрина служит основой для формирования государственной политики в области обеспечения ИБ РФ и развивает Концепцию национальной безопасности Российской Федерации применительно к информационной сфере. Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность. Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия, в духовном обновлении России.

По своей общей направленности угрозы ИБ РФ подразделяются на правовые; технологические; организационно-экономические (табл. 1). Общие методы обеспечения ИБ РФ - организационнотехнические, правовые, организационноэкономические, программно-технические и экономические (табл. 2).

Т а б л и ц а 1. Виды угроз ИБ РФ

Правовые	угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России; нерациональное, чрезмерное ограничение доступа к общественно необходимой информации; нарушение конституционных прав и свобод человека и гражданина в области массовой информации; угрозы информационному обеспечению государственной политики Российской Федерации; угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов; угрозы безопасности информационных и телекоммуникационных средств и систем, как уже развернутых, так и создаваемых на территории России; противоправные сбор и использование информации.
Технологические	нарушения технологии обработки информации; внедрение в аппаратные и программные изделия компонентов, реализующих функции, не предусмотренные документацией на эти изделия; разработка и распространение программ, нарушающих нормальное функционирование информационных и информационно-телекоммуникационных систем, в том числе систем защиты информации; уничтожение, повреждение, радиоэлектронное подавление или разрушение средств и систем обработки информации, телекоммуникации и связи; воздействие на парольно-ключевые системы защиты автоматизированных систем обработки и передачи информации; компрометация ключей и средств криптографической защиты информации.
Организационно-экономические	утечка информации по техническим каналам; внедрение электронных устройств для перехвата информации в технические средства обработки, хранения и передачи информации по каналам связи, а также в служебные помещения органов государственной власти, предприятий, учреждений и организаций независимо от формы собственности; уничтожение, повреждение, разрушение или хищение машинных и других носителей информации; перехват информации в сетях передачи данных и на линиях связи, дешифрование этой информации и навязывание ложной информации; несанкционированный доступ к информации, находящейся в банках и базах данных; нарушение законных ограничений на распространение информации.

Т а б л и ц а 2. Методы обеспечения ИБ РФ

Организационно-технические	разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации.
Правовые	защита прав граждан на владение, распоряжение и управление принадлежащей им информацией; защита конституционных прав граждан на тайну переписки, переговоров, личную тайну; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности Российской Федерации, разработка комплекса нормативно-правовых актов и положений, регламентирующих информационные отношения в обществе, разработка руководящих и нормативно-методических документов по обеспечению ИБ.
Организационно-экономические	лицензирование отдельных видов деятельности, сертификация систем и средств защиты по требованиям информационной безопасности, стандартизация способов и средств защиты информации, контроль (надзор).
Программно-технические	предотвращение утечки обрабатываемой информации, предотвращение специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, выявление программных или аппаратных закладных устройств, исключение перехвата информации техническими средствами.
Экономические методы	защита государственной тайны, т. е. секретной и другой конфиденциальной информации, являющейся собственностью государства, от всех видов несанкционированного доступа, манипулирования и уничтожения; защита прав предпринимателей при осуществлении ими коммерческой деятельности.

Наиболее важными объектами обеспечения ИБ РФ в области науки и техники являются:

результаты фундаментальных, поисковых и прикладных научных исследований, потенциально важные для научно-технического, технологического и социально-экономического развития страны, включая сведения, утрата которых может нанести ущерб национальным интересам и престижу Российской Федерации;
открытия, незапатентованные технологии, промышленные образцы, полезные модели и экспериментальное оборудование;
научно-технические кадры и система их подготовки.

К числу основных внешних угроз ИБ РФ в области науки и техники следует отнести стремление развитых иностранных государств получить противоправный доступ к научнотехническим ресурсам России для использования полученных российскими учеными результатов в собственных интересах.

К основным внутренним угрозам ИБ РФ в области науки и техники относятся:

сохраняющаяся сложная экономическая ситуация в России, ведущая к резкому снижению финансирования научно-технической деятельности, временному падению престижа научно-технической сферы, утечке за рубеж идей и передовых разработок;
серьезные проблемы в области патентной защиты результатов научно-технической деятельности российских ученых;
сложности реализации мероприятий по защите информации, особенно на акционированных предприятиях, в научно-технических учреждениях и организациях.

Реальный путь противодействия угрозам ИБ РФ в области науки и техники - это совершенствование законодательства Российской Федерации, регулирующего отношения в данной области, и механизмов его реализации. В этих целях государство должно способствовать созданию системы оценки возможного ущерба от реализации угроз наиболее важным объектам обеспечения информационной безопасности Российской Федерации в области науки и техники.

Литература

ISO/IEC 17799. Управление информационной безопасностью. Практические правила.
Безопасность информационных технологий - Операционные системы - Базовый профиль защиты (проект). Центр безопасности информации. 2003.
ГОСТ Р 50739-95. «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Общие технические требования».
ЕСПД ГОСТ 19102-77. «Требования к планированию проектных работ по разработке программного обеспечения».
Ковалев С. В. Расчетно-математическая модель управления рисками экономической безопасности проектов развития сложных систем // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
Ковалев С. В. Модель обеспечения защиты информации предприятия на основе принципов риск-контроллинга // Информационная экономика: институциональные проблемы. Материалы Девятых Друкеровских чтений. М: Доброе слово. 2009.
Ковалев С. В. Методология информационной безопасности сложных систем на основе системы управления промышленными рисками // Проблемы управления безопасностью сложных систем: Труды XVII Международной конференции. М.: РГГУ. 2009.
Ковалев С. В. Методология разработки и применения информационных технологий поддержки жизненного цикла наукоемкой продукции // Информационные технологии моделирования и управления. 2009. № 5(57).

В ЗАО «Консультант Плюс» функционирует политика безопасности.

В компании действуют следующие нормативно-правовые документы в области защиты информации и информационной безопасности (ИБ):

- Положение о конфиденциальной информации
- Положение об использовании программного обеспечения
- Положение об использовании электронной почты
- Положение об использовании сети Интернет
- Положение об использовании мобильных устройств и носителей информации
- Правила внутреннего трудового распорядка
- Приказ о введении политики информационной безопасности
- Приказ о введении Правил внутреннего трудового распорядка
- Приказ о введении внутриобъектового пропускного режима

За исполнение этих нормативно-правовых документов отвечают начальник службы безопасности и начальник отдела системного администрирования.

В трудовых договорах сотрудников предприятия есть пункт, посвященный неразглашению конфиденциальной информации в течение срока действия договора, а также трех лет после его прекращения. Сотрудники обязаны выполнять все относящиеся к ним требования приказов, инструкций и положений по обеспечению сохранности коммерческой тайны и иной конфиденциальной информации Работодателя, соблюдению внутриобъектового и пропускного режимов.

При использовании сотрудниками электронной почты запрещено:

1) Использовать электронную почту в личных целях.
2) Передавать электронные сообщения, содержащие:

a. конфиденциальную информацию,

b. информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности отправителя.

d. Информацию, файлы или ПО, способные нарушить или ограничить функциональность программных и аппаратных средств корпоративной сети.

3) Переходить по ссылкам и открывать вложенные файлы входящих электронных сообщений, полученных от неизвестных отправителей.
4) По собственной инициативе осуществлять рассылку (в том числе и массовую) электронных сообщений (если рассылка не связана с выполнением служебных обязанностей).
5) Публиковать свой электронный адрес, либо электронный адрес других работников Организации на общедоступных Интернет-ресурсах (форумы, конференции и т.п.).
6) Предоставлять работникам Организации (за исключением администраторов ИС) и третьим лицам доступ к своему электронному почтовому ящику.
7) Шифровать электронные сообщения без предварительного согласования с администраторами ИС.

При использовании сети Интернет запрещено:

1) Использовать предоставленный Организацией доступ в сеть Интернет в личных целях.
2) Использовать специализированные аппаратные и программные средства, позволяющие получить несанкционированный доступ к сети Интернет.
3) Совершать любые действия, направленные на нарушение нормального функционирования элементов ИС Организации.
4) Публиковать, загружать и распространять материалы содержащие:

a) Конфиденциальную информацию,

b) Информацию, составляющую коммерческую тайну, за исключением случаев, когда это входит в служебные обязанности.

5) Информацию, полностью или частично, защищенную авторскими или другим правами, без разрешения владельца.
6) Вредоносное ПО, предназначенное для нарушения, уничтожения либо ограничения функциональности аппаратных и программных средств, а также серийные номера к коммерческому ПО и ПО для их генерации, пароли и прочие средства для получения несанкционированного доступа к платным Интернет-ресурсам, а также ссылки на вышеуказанную информацию.
7) Фальсифицировать свой IP-адрес, а также прочую служебную информацию.

В ЗАО «Консультант Плюс» разрешено применение ограниченного перечня коммерческого ПО (согласно Реестру разрешенного к использованию программного обеспечения) и бесплатного ПО (необходимого для выполнения производственных задач). Пользователям запрещается устанавливать на свои ПК прочее программное обеспечение.

В ИС ЗАО «Консультант Плюс» допускается использование только учтенных мобильных устройств и носителей информации, которые являются собственностью Организации и подвергаются регулярной ревизии и контролю. На предоставленных Организацией мобильных устройствах допускается использование коммерческого ПО, входящего в Реестр разрешенного к использованию ПО.

На программном уровне предпринимается управление доступом на основе ролей в службе каталогов Microsoft Active Directory, а также при доступе к СУБД. Эта же служба осуществляет управление паролями пользователей: у каждого пароля есть срок действия, по истечении которого пользователь вынужден задать другой пароль; система не позволяет ввести слишком короткий или слишком простой пароль. Таким образом достигается защита от несанкционированного доступа к системе.

Для защиты ЛВС и компьютеров от внешних угроз используется пакет Kaspersky Enterprise Space Security, который выполняет следующие функции:

1) Защита от хакерских атак. Современные хакеры используют для атак кейлоггеры (клавиатурные шпионы) и руткиты - программы, которые позволяют получить несанкционированный доступ к данным и при этом избежать обнаружения. Антивирусное ядро эффективно нейтрализует эти угрозы, предотвращая несанкционированный доступ к компьютерам корпоративной сети.
2) Защита от фишинга. База URL-адресов фишинговых сайтов постоянно пополняется; с ее помощью распознаются и блокируются подозрительные ссылки, а также фильтруются фишинговые электронные сообщения, повышая уровень защиты ЛВС.