Актуальные проблемы экономической безопасности. Аспекты обеспечения информационной безопасности Сколько существует основных аспектов информационной безопасности

С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

    Что защищать?

    Какие виды угроз превалируют: внешние или внутренние?

    Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

  • статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
  • динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

  • информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
  • права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
  • система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
  • система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

  • информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
  • сведения в открытом доступе;
  • общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
  • опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

  • на информационное самоопределение;
  • на доступ к личным персональным данным и внесение в них изменений;
  • на блокирование персональных данных и доступа к ним;
  • на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
  • на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

  • печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
  • сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
  • средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
  • документы всех типов: личные, служебные, государственные;
  • программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
  • электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.


Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

  • Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

  • ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
  • IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

  • Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

  • Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

К орпоративная безопасность - явление совсем не новое. То, что лишь недавно стали называть этим термином, существует еще с тех пор, как только зародилась торговля. Каждый купец стремился уберечь свои профессиональные секреты от конкурентов, чтобы не потерять прибыль.

Современные реалии корпоративной безопасности компании

По сути, современная корпоративная безопасность мало чем отличается от давнишней. Меняются лишь реалии, в которых бизнесмены должны вести свое дело. Любая компания хочет быть надежно защищена не только от внешних угроз, но и от внутренних. Эту проблему и решают специалисты по корпоративной и информационной безопасности. Перед ними стоит задача проводить целый комплекс мер, включающих в себя практически все сферы жизни компании:

  • защита коммерческой тайны;
  • внутренняя работа с сотрудниками;
  • внутренняя контрразведка;
  • служебные расследования;
  • экономичная безопасность;
  • техническая и физическая защита.

Если есть проблемы хотя бы по одному из этих пунктов - быть беде. Не так давно в Великобритании разразился скандал - жесткие диски с данными пациентов клиник, которые должны были быть уничтожены, оказались вдруг на аукционах eBay.

Больницы передавали списанные диски компании-подрядчику, которая, в свою очередь, пользовалась услугами частного лица. Предприимчивый англичанин, вместо того чтобы добросовестно выполнить свои обязанности - уничтожить носители - выставлял диски с данными на продажу.

В этом случае «слабыми звеньями» можно назвать два пункта - внутренняя работа с сотрудниками и техническая защита. Разберемся, почему. К утечке привела слишком длинная цепочка посредников, в результате чего заказчик даже не был в курсе, кто непосредственно занимается уничтожением дисков и чьи действия необходимо было проконтролировать. Кроме того, уже сам факт, что больницы передавали диски с незащищенными личными данными пациентов третьим лицам - техническое упущение сотрудников.

Ответственный подход к обеспечению корпоративной информационной безопасности помог бы избежать данной ситуации. Разберемся, что же необходимо предпринять, чтобы получить на выходе реально работающую систему информационной защиты.

Как вычислить вора в компании с помощью «КИБ СёрчИнформ»?

Три непростых шага

Прежде чем приступать к построению эффективной системы информационной безопасности, необходимо тщательно проанализировать уже существующую на предприятии систему хранения и обработки данных. Есть три основных шага, которые необходимо для этого сделать:

1. Выявление критически важной информации.

2. Выявление слабых мест в корпоративной безопасности.

3. Оценка возможностей защиты этой информации.

Все эти действия можно выполнить либо силами своих сотрудников, либо заказать у специалистов аудит информационной безопасности компании. Преимущества первого способа - более низкая стоимость и, что немаловажно, отсутствие доступа к корпоративным данным для третьих лиц. Однако если в организации нет хороших штатных специалистов по аудиту безопасности, то лучше всего прибегнуть к помощи сторонних компаний - результат будет надежнее. Это поможет избежать наиболее распространенных ошибок в обеспечении информационной безопасности.

«Самые частые ошибки - это недооценка и переоценка угроз предпринимательской деятельности, - считает Александр Доронин , эксперт в области экономической безопасности и автор книги «Бизнес-разведка». - В первом случае, в системе безопасности предприятия зияют дыры, что для организации оборачивается прямым ущербом от утечки конфиденциальной информации, корпоративного мошенничества и откровенного воровства что под руку попадется».

При переоценке угроз система безопасности не только тяжким бременем ложится на бюджет предприятия, но и неоправданно затрудняет работникам организации исполнение возложенных на них обязанностей. Это грозит потерями возможной прибыли и утратой конкурентоспособности».

Выявление критически важной информации. На этом этапе происходит определение тех документов и данных, безопасность которых имеет огромное значение для компании, а утечка - несет огромные убытки. Чаще всего к такой информации относятся сведения, составляющие коммерческую тайну, но не только.

Например, после принятия новой редакции федерального закона «О персональных данных» в охране нуждаются и все сведения, собираемые организацией о своих сотрудниках и клиентах. Серия прошлогодних утечек из Мегафона, интернет-магазинов и «РЖД», а также штрафы, полученные виновниками этих инцидентов - лучшее доказательство необходимости защиты такой информации.

Важно помнить: сторонние специалисты-аудиторы не могут самостоятельно составить список всех документов, которые необходимо защищать. Работа аудитора должна выполняться совместно с сотрудником предприятия, хорошо знающим особенности документооборота.

Выявление слабых мест в корпоративной безопасности. Эта задача выполняется непосредственно специалистами, проводящими аудит. От результатов этой работы зависит выбор схемы построения информационной безопасности.

При выявлении брешей в информационной и, как следствие, корпоративной безопасности оцениваются не только технические средства. Очень важный момент - наличие разграничения прав доступа сотрудников к той или иной информации, соглашения о неразглашении корпоративной информации. Важно также оценить лояльность работников к руководству и взаимоотношения в коллективе - всё это входит в обязанности отдела по работе с персоналом.

Недавний пример ситуации, когда штатный сотрудник воспользовался своим положением и похитил информацию - кража кенийским представительством Google сведений о стартапе Mocality (онлайн-база бизнес-информации). Google был вынужден принести официальные извинения пострадавшим, а глава представительства, по вине которого произошёл инцидент, был смещен со своей должности.

Оценка возможностей защиты информации. Это завершающий этап аудита, в ходе которого на основании проведенного анализа составляется список конкретных мер, которые необходимо принять для охраны корпоративных секретов компании. Рекомендации могут носить как технический, так и организационный характер.

Кроме того, на этом этапе анализируются и финансовые возможности компании по защите информации, поскольку многие средства защиты информации могут оказаться слишком дорогими для предприятия. А некоторые из этих мер попросту не целесообразны для малого бизнеса. Особая необходимость в возникает, если в организации используется 50 и более компьютеров.

Установку DLP-системы всегда предваряет технический аудит. После заказа заказчика консультируют инженеры «СёрчИнформ», которые оценивают ИТ-инфраструктуру компании и определяют, сколько мощностей потребуется для установки программы.

Двусторонняя защита

Информационная безопасность - лишь один из многих способов (пусть и самый важный) обеспечить корпоративную защиту. Необходим комплекс мер - технических и организационных.

К техническим решениям по защите корпоративных секретов относится установка DLP-системы (от англ. Data Leak Prevention - предотвращение утечек данных). Этот комплекс программных средств отслеживает все информационные потоки в организации - от электронной почты до программ, использующих алгоритмы шифрования, (к примеру, Skype) или протокол HTTPS. Под контролем также находятся все съемные носители информации, корпоративные компьютеры и ноутбуки.

Важная особенность DLP-систем - их автономность. Компании нет необходимости содержать целый отдел, который занимался бы информационной безопасностью. Достаточно всего нескольких специалистов.

Последние исследования SearchInform, ведущего игрока на российском рынке информационной безопасности, показали, что сейчас в России и странах СНГ DLP-системы не пользуются большой популярностью. Только чуть более половины организаций (58%) планируют в скором времени установку комплексной защиты. Остальные не считают нужным ее внедрение либо полагают, что достаточно и частичной защиты. Однако, информационная безопасность только тогда будет на оптимальном уровне, когда обеспечена комплексная защита.

DLP-система позволяет не только обеспечить надежную защиту секретов. Их функции намного шире: при правильном подходе можно получить информацию о настроениях сотрудников в коллективе, проследить движение ключевых документов, входящие и исходящие сообщения. Как следствие, использование DLP-систем - это еще и эффективное подспорье в таких важных для корпоративной безопасности мероприятиях, как внутренняя контрразведка или служебное расследование.

Впрочем, одной лишь технической безопасности данных и отслеживания действий сотрудников недостаточно. Важны и организационные мероприятия, работа с сотрудниками, разработка внутренней документации.

«Система корпоративной безопасности должна быть комплексной, иначе будет как в анекдоте: на проходной охранник строго проверяет у работников предприятия пропуска, а через двадцать метров от проходной имеется дырка, через которую на территорию фирмы может проникнуть любой желающий», -делится опытом Александр Доронин .

Организационная работа включает в себя информирование персонала о наличии в организации систем информационной безопасности, о необходимости соблюдать коммерческую тайну и возможных последствиях ее разглашения, как для компании, так и для самого сотрудника. Создание благоприятной рабочей атмосферы - еще один ключевой момент организационных мер. Корпоративная безопасность невозможна, если сотрудники недоверчиво косятся один на одного. Такая «холодная война» будет изрядно тормозить бизнес-процессы. Поэтому ещё раз стоит напомнить о важной роли отдела по работе с персоналом.

Что касается разработки внутренней документации, то должны быть четко прописаны обязанности работников, а также их права доступа к тем или иным документам. Каждый отдел должен выполнять возложенные на него задачи - не больше, но и не меньше.

Нельзя забывать и о таких, казалось бы, элементарных вещах, как работа службы безопасности. Физическая защита сотрудников на рабочих местах - тоже немаловажная часть корпоративной безопасности.

Только добившись такой двусторонней - технической и организационной - защиты, не преувеличив и не преуменьшив угрозы, можно создать надежную корпоративную защиту компании.

Доступность – возможность получения информации за приемлемое время лицами, процессами или системами, имеющими на это право.

Считается, что доступность информации является важнейшим элементом информационной безопасности: информационные системы (ИС) создаются для получения информационных услуг, а если предоставить услуги пользователям становится невозможно, это наносит ущерб всем субъектам информационных отношений.

Целостность – актуальность и непротиворечивость информации, защищенность от разрушения и несанкционированного изменения.

Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций). Средства контроля динамической целостности применяются при анализе потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность – защищенность от несанкционированного доступа к информации.

Аспект конфиденциальность считается наиболее проработанным в РФ

Существует 3 вида возможных нарушений ИС: нарушение целостности, доступности и конфиденциальности информации.

Нарушения доступности информации могут быть связаны со следующими факторами: отказы пользователей, внутренние отказы, отказ поддерживающей инфраструктуры. К отказам пользователей относятся: нежелание работать в силу несоответствия запросов пользователей с фактическими характеристиками системы и по др. причинам, невозможность работать в силу отсутствия соответствующей подготовки или отсутствия технической поддержки. Основными источниками внутренних отказов являются: случайное или умышленное отступление от правил эксплуатации, ошибки при (пере) конфигурировании системы, отказы программного и аппаратного обеспечения, разрушение данных, разрушение или повреждение аппаратуры. Отказы поддерживающей инфраструктуры предполагают случайное или умышленное нарушение работы систем связи, электропитания, тепло- и водоснабжения; разрушение или повреждение помещений и т.п.

Нарушения целостности информации предполагают нарушение статической и динамической целостности. Статическая целостность может быть нарушена путем ввода неверных данных или изменения данных. Угрозами динамической целостности являются нарушение атомарности транзакций, переупорядочивание, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Конфиденциальность данных может быть нарушена путем перехвата данных (передаваемых в разговоре, в письме, по сети), атак (в т.ч. подслушивание или прослушивание разговоров, пассивное прослушивание сети и т.п.), методы морально-психологического воздействия (напр., маскарад – выполнение действий под видом лица, обладающего полномочиями, для доступа к данным). Также, конфиденциальность информации может быть нарушена в результате злоупотребления полномочиями (напр., системный администратор способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т.д.).

Алтайский государственный университет >>

Михайловский филиал

По теме: Информационная безопасность

Выполнил:

Студент 1 курса 711 гр.

Сальников Д.А.

Проверил:

Григорович В.А.

с. Михайловское

Введение ………………………………………………………………………………3

1. Понятие информационной безопасности …………………………………....4

………………………...4

3 . Обеспечение информационной безопасности . ………………………………7

4.Аппаратно-программные средства защиты информации ….…………….9

4.1.Системы идентификации и аутентификации пользователей. …………..10

4.2. Методы обеспечения информационной безопасности……….………….11

4.3. Системы шифрования данных, передаваемых по сетям…………………12

4.4.Системы аутентификации электронных данных…………………………13

4.5. Средства управления криптографическими ключами…………………...14

Заключение ………………………………………………………………………….16

Список литературы ……………………………………….......................................17

Введение

Широкое распространение вычислительной техники как средства обработки информации привело к информатизации общества и появлению принципиально новых, так называемых, информационных технологий.

Появление любых новых технологий, как правило, имеет как положительные, так и отрицательные стороны. Тому множество примеров. Атомные и химические технологи, решая проблемы энергетики и производства новых материалов, породили экологические проблемы. Интенсивное развитие транспорта обеспечило быструю и удобную доставку людей, сырья, материалов и товаров в нужных направлениях, но и материальный ущерб и человеческие жертвы при транспортных катастрофах возросли.

Информационные технологии, также не являются исключением из этого правила, и поэтому следует заранее позаботиться о безопасности при разработке и использовании таких технологий.

От степени безопасности информационных технологий в настоящее время зависит благополучие, а порой и жизнь многих людей. Такова плата за усложнение и повсеместное распространение автоматизированных систем обработки информации.

    Понятие информационной безопасности

Под информационной безопасностью понимается защищенность информационной системы от случайного или преднамеренного вмешательства, наносящего ущерб владельцам или пользователям информации.

На практике важнейшими являются три аспекта информационной безопасности:

Доступность (возможность за разумное время получить требуемую информационную услугу);

Целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения);

Конфиденциальность (защита от несанкционированного прочтения).

Нарушения доступности, целостности и конфиденциальности информации могут быть вызваны различными опасными воздействиями на информационные компьютерные системы.

2. Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого числа компонентов различной степени автономности, которые связаны между собой и обмениваются данными. Практически каждый компонент может подвергнуться внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной системы можно разбить на следующие группы:

Аппаратные средства - компьютеры и их составные части (процессоры, мониторы, терминалы, периферийные устройства - дисководы, принтеры, контроллеры, кабели, линии связи и т.д.);

Программное обеспечение - приобретенные программы, исходные, объектные, загрузочные модули; операционные системы и системные программы (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;

Данные,хранимые временно и постоянно, на магнитных носителях, печатные, архивы, системные журналы и т.д.;

Персонал - обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить на случайные и преднамеренные. Анализ опыта проектирования, изготовления и эксплуатации информационных систем показывает, что информация подвергается различным случайным воздействиям на всех этапах цикла жизни системы. Причинами случайных воздействий при эксплуатации могут быть:

Аварийные ситуации из-за стихийных бедствий и отключений электропитания;

Отказы и сбои аппаратуры;

Ошибки в программном обеспечении;

Ошибки в работе персонала;

Помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия - это целенаправленные действия нарушителя. В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник. Действия нарушителя могут быть обусловлены разными мотивами:

Недовольством служащего своей карьерой;

Взяткой;

Любопытством;

Конкурентной борьбой;

Стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

Квалификация нарушителя на уровне разработчика данной системы;

Нарушителем может быть как постороннее лицо, так и законный пользователь системы;

Нарушителю известна информация о принципах работы системы;

нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений является несанкционированный доступ (НСД). НСД использует любую ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить хищение, изменение или уничтожение информации:

Через человека:

Хищение носителей информации;

Чтение информации с экрана или клавиатуры;

Чтение информации из распечатки.

Через программу:

Перехват паролей;

Дешифровка зашифрованной информации;

Копирование информации с носителя.

Через аппаратуру:

Подключение специально разработанных аппаратных средств, обеспечивающих доступ к информации;

Перехват побочных электромагнитных излучений от аппаратуры, линий связи, сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться компьютерные сети. Основная особенность любой компьютерной сети состоит в том, что ее компоненты распределены в пространстве. Связь между узлами сети осуществляется физически с помощью сетевых линий и программно с помощью механизма сообщений. При этом управляющие сообщения и данные, пересылаемые между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так называемые удаленные атаки. Нарушитель может находиться за тысячи километров от атакуемого объекта, при этом нападению может подвергаться не только конкретный компьютер, но и информация, передающаяся по сетевым каналам связи.

3. Обеспечение информационной безопасности

Формирование режима информационной безопасности - проблема комплексная. Меры по ее решению можно подразделить на пять уровней:

1.законодательный (законы, нормативные акты, стандарты и т.п.);

2.морально-этический (всевозможные нормы поведения, несоблюдение которых ведет к падению престижа конкретного человека или целой организации);

3.административный (действия общего характера, предпринимаемые руководством организации);

4.физический (механические, электро- и электронно-механические препятствия на возможных путях проникновения потенциальных нарушителей);

5.аппаратно-программный (электронные устройства и специальные программы защиты информации).

Единая совокупность всех этих мер, направленных на противодействие угрозам безопасности с целью сведения к минимуму возможности ущерба, образуют систему защиты.

Надежная система защиты должна соответствовать следующим принципам:

Стоимость средств защиты должна быть меньше, чем размеры возможного ущерба.

Каждый пользователь должен иметь минимальный набор привилегий, необходимый для работы.

Защита тем более эффективна, чем проще пользователю с ней работать.

Возможность отключения в экстренных случаях.

Специалисты, имеющие отношение к системе защиты должны полностью представлять себе принципы ее функционирования и в случае возникновения затруднительных ситуаций адекватно на них реагировать. Под защитой должна находиться вся система обработки информации.

Разработчики системы защиты, не должны быть в числе тех, кого эта система будет контролировать. Система защиты должна предоставлять доказательства корректности своей работы.

Лица, занимающиеся обеспечением информационной безопасности, должны нести личную ответственность.

Объекты защиты целесообразно разделять на группы так, чтобы нарушение защиты в одной из групп не влияло на безопасность других.

Надежная система защиты должна быть полностью протестирована и согласована.

Защита становится более эффективной и гибкой, если она допускает изменение своих параметров со стороны администратора.

Система защиты должна разрабатываться, исходя из предположения, что пользователи будут совершать серьезные ошибки и, вообще, имеют наихудшие намерения.

Наиболее важные и критические решения должны приниматься человеком.

Существование механизмов защиты должно быть по возможности скрыто от пользователей, работа которых находится под контролем.

4. Аппаратно-программные средства защиты информации

Несмотря на то, что современные ОС для персональных компьютеров, такие, как Windows 2000, Windows XP и Windows NT, имеют собственные подсистемы защиты, актуальность создания дополнительных средств защиты сохраняется. Дело в том, что большинство систем не способны защитить данные, находящиеся за их пределами, например при сетевом информационном обмене.

Аппаратно-программные средства защиты информации можно разбить на пять групп:

1.Системы идентификации (распознавания) и аутентификации (проверки подлинности) пользователей.

2.Системы шифрования дисковых данных.

3.Системы шифрования данных, передаваемых по сетям.

4.Системы аутентификации электронных данных.

5.Средства управления криптографическими ключами.

4. 1. Системы идентификации и аутентификации пользователей

Применяются для ограничения доступа случайных и незаконных пользователей к ресурсам компьютерной системы. Общий алгоритм работы таких систем заключается в том, чтобы получить от пользователя информацию, удостоверяющую его личность, проверить ее подлинность и затем предоставить (или не предоставить) этому пользователю возможность работы с системой.

При построении этих систем возникает проблема выбора информации, на основе которой осуществляются процедуры идентификации и аутентификации пользователя. Можно выделить следующие типы:

Секретная информация, которой обладает пользователь (пароль, секретный ключ, персональный идентификатор и т.п.); пользователь должен запомнить эту информацию или же для нее могут быть применены специальные средства хранения;

Физиологические параметры человека (отпечатки пальцев, рисунок радужной оболочки глаза и т.п.) или особенности поведения (особенности работы на клавиатуре и т.п.).

Системы, основанные на первом типе информации, считаются традиционными. Системы, использующие второй тип информации, называют биометрическими. Следует отметить наметившуюся тенденцию опережающего развития биометрических систем идентификации.

4. 2. Системы шифрования дисковых данных

Чтобы сделать информацию бесполезной для противника, используется совокупность методов преобразования данных, называемая криптографией (от греч. kryptos - скрытый и grapho – пишу).

Системы шифрования могут осуществлять криптографические преобразования данных на уровне файлов или на уровне дисков. К программам первого типа можно отнести архиваторы типа ARJ и RAR, которые позволяют использовать криптографические методы для защиты архивных файлов. Примером систем второго типа может служить программа шифрования Diskreet, входящая в состав популярного программного пакета Norton Utilities, Best Crypt. Другим классификационным признаком систем шифрования дисковых данных является способ их функционирования. По способу функционирования системы шифрования дисковых данных делят на два класса:

Системы "прозрачного" шифрования;

Системы, специально вызываемые для осуществления шифрования.

В системах прозрачного шифрования (шифрования "на лету") криптографические преобразования осуществляются в режиме реального времени, незаметно для пользователя. Например, пользователь записывает подготовленный в текстовом редакторе документ на защищаемый диск, а система защиты в процессе записи выполняет его шифрование.

Системы второго класса обычно представляют собой утилиты, которые необходимо специально вызывать для выполнения шифрования. К ним относятся, например, архиваторы со встроенными средствами парольной защиты.

Большинство систем, предлагающих установить пароль на документ, не шифрует информацию, а только обеспечивает запрос пароля при доступе к документу. К таким системам относится MS Office, 1C и многие другие.

4. 3.Системы шифрования данных, передаваемых по сетям

Различают два основных способа шифрования: канальное шифрование и оконечное (абонентское) шифрование.

В случае канального шифрования защищается вся информация, передаваемая по каналу связи, включая служебную. Этот способ шифрования обладает следующим достоинством - встраивание процедур шифрования на канальный уровень позволяет использовать аппаратные средства, что способствует повышению производительности системы. Однако у данного подхода имеются и существенные недостатки:

шифрование служебных данных осложняет механизм маршрутизации сетевых пакетов и требует расшифрования данных в устройствах промежуточной коммуникации (шлюзах, ретрансляторах и т.п.);

шифрование служебной информации может привести к появлению статистических закономерностей в шифрованных данных, что влияет на надежность защиты и накладывает ограничения на использование криптографических алгоритмов.

оконечное (абонентское) шифрование позволяет обеспечить конфиденциальность данных, передаваемых между двумя абонентами. В этом случае защищается только содержание сообщений, вся служебная информация остается открытой. Недостатком является возможность анализировать информацию о структуре обмена сообщениями, например об отправителе и получателе, о времени и условиях передачи данных, а также об объеме передаваемых данных.

4. 4.Системы аутентификации электронных данных

При обмене данными по сетям возникает проблема аутентификации автора документа и самого документа, т.е. установление подлинности автора и проверка отсутствия изменений в полученном документе. Для аутентификации данных применяют код аутентификации сообщения (имитовставку) или электронную подпись.

Имитовставка вырабатывается из открытых данных посредством специального преобразования шифрования с использованием секретного ключа и передается по каналу связи в конце зашифрованных данных. Имитовставка проверяется получателем, владеющим секретным ключом, путем повторения процедуры, выполненной ранее отправителем, над полученными открытыми данными.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной аутентифицирующей информации, передаваемой вместе с подписываемым текстом. Отправитель формирует цифровую подпись, используя секретный ключ отправителя. Получатель проверяет подпись, используя открытый ключ отправителя.

Таким образом, для реализации имитовставки используются принципы симметричного шифрования, а для реализации электронной подписи - асимметричного. Подробнее эти две системы шифрования будем изучать позже.

4. 5. Средства управления криптографическими ключами

Безопасность любой криптосистемы определяется используемыми криптографическими ключами. В случае ненадежного управления ключами злоумышленник может завладеть ключевой информацией и получить полный доступ ко всей информации в системе или сети.

Различают следующие виды функций управления ключами: генерация, хранение, и распределение ключей.

Способы генерации ключей для симметричных и асимметричных криптосистем различны. Для генерации ключей симметричных криптосистем используются аппаратные и программные средства генерации случайных чисел. Генерация ключей для асимметричных криптосистем более сложна, так как ключи должны обладать определенными математическими свойствами. Подробнее на этом вопросе остановимся при изучении симметричных и асимметричных криптосистем.

Функция хранения предполагает организацию безопасного хранения, учета и удаления ключевой информации. Для обеспечения безопасного хранения ключей применяют их шифрование с помощью других ключей. Такой подход приводит к концепции иерархии ключей. В иерархию ключей обычно входит главный ключ (т.е. мастер-ключ), ключ шифрования ключей и ключ шифрования данных. Следует отметить, что генерация и хранение мастер-ключа является критическим вопросом криптозащиты.

Распределение - самый ответственный процесс в управлении ключами. Этот процесс должен гарантировать скрытность распределяемых ключей, а также быть оперативным и точным. Между пользователями сети ключи распределяют двумя способами:

С помощью прямого обмена сеансовыми ключами;

Используя один или несколько центров распределения ключей.

Заключение

Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб. Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам. В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации. Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др. Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.

Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,

Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.

Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.

Список литературы

1. Информационная безопасность - http://protect.htmlweb.ru

2. Информационная безопасность - http://wikipedia.org

3. Фигурнов В.Э. "IBM РС для пользователя".

4. Информационная безопасность и защита информации. Учебное пособие – М.: 2004 – 82 c. http://bezopasnik.org›article/book/23.pdf

безопасность как "состояние защищенности информационной среды общества, обеспечивающее...

Информационная безопасность: понятие, цели, принципы.

Государственная политика обеспечения информационной безопасности.

Состояние информационной безопасности в России.

ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ: ПОНЯТИЕ, ЦЕЛИ, ПРИНЦИПЫ

В последние десятилетия мир переживает период перехода от индустриального общества к обществу информационному. Происходи кардинальная смена способа производства, мировоззрения людей, межгосударственных отношений. По своему значению и воздействию на общество это сравнимо с новой всемирной промышленной революцией, нисколько не уступающей по своему значению революциям прошлого. Фактически речь идет о развертывании и реализации. Уровень развития информационного пространства общества определяющим образом влияет на экономику, политику и многие элементы государственности.

Использование возможностей, открываемых развитием новых информационно-телекоммуникационных технологий, рассматривается руководством развитых странах как основа своего социально-экономического, политического и культурного развития, как средство решения наиболее острых внутренних и внешних проблем. Богатство страны и ее безопасность обеспечивается сегодня не только частной собственностью, капиталом, рынком, но и их соединением с колоссальными ресурсами самых разнообразных знаний и информационными технологиями. Подобное соединение формирует информационное общество, основными характеристиками которого являются:

Открытость информации и доступ к ней для любого субъекта в

любое время и в любом месте;

  • наличие технологических систем, гарантирующих эту открытость;
  • наличие национального интеллектуального потенциала;
  • автоматизация, роботизация и технологизания любых систем в любой области хозяйственной деятельности;
  • подключенность к мировым информационным каналам. Современная информационная революция связана с изобретением интеллектуальных технологий, основанных на гигантских скоростях обработки информации. Она дает колоссальное увеличение циркулирующей в обществе информации, что позволяет эффективно решать экономические, социальные, культурные, политические и другие проблемы. Современные информационные технологии в условиях эффективного открытого общества открывают доступ практически ко всем материальным и духовным благам, умножают интеллектуальный ресурс, а следовательно, и все другие ресурсы, способствуя развитию. Без информационных технологий нельзя обеспечить эффективный экономический рост, повысить уровень образования и квалификацию населения, создать современную кредитно-финансовую систему, наладить рациональное управление общественными процессами, повысить уровень жизни граждан. Информационное общество - средство достижения общенационального благополучия, понимаемого как достаток, комфорт, духовное и интеллектуальное богатство, свобода, справедливость, защищенность.

Расширение информационного пространства экономической деятельности требует обеспечения безопасности производителей, собственников и потребителей информации. Современная «зависимость» бизнеса от информационных технологий может отрицательно отразиться на экономической безопасности предприятия, так как высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки данных. Таким образом, одной из составляющих экономической безопасности является информационная.

  • информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах, независимо от формы их представления;
  • информатизация - организационный социально-экономический и научно-технический процесс создания оптимальных условий для удовлетворения информационных потребностей и реализации прав граждан, органов государственной власти, органов местного самоуправления, организаций, общественных объединений на основе формирования и использования информационных ресурсов;
  • документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать;
  • информационные процессы - процессы сбора, обработки, накопления, хранения, поиска и распространения информации;
  • информационная система - организационно упорядоченная совокупность документов и информационных технологий;
  • информационные ресурсы - отдельные документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах);
  • информация о гражданах (персональные данные) - сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность;
  • конфиденциальная информация - документированная информация, доступ к которой ограничивается в соответствии с законодательством данного государства.

Под информационной безопасностью государства понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Интересы личности в информационной сфере заключаются в реализации конституционных прав человека и гражданина на доступ к информации, на использование информации в интересах осуществления не запрещенной законом деятельности, физического, духовного и интеллектуального развития, а также в защите информации, обеспечивающей личную безопасность.

Интересы общества в информационной сфере заключаются в обеспечении интересов личности в этой сфере, упрочении демократии, создании правового социального государства, достижении и поддержании общественного согласия.

Интересы государства в информационной сфере заключаются в создании условий для гармоничного развития информационной инфраструктуры, реализации конституционных прав и свобод человека в области получения информации и пользования ею в целях обеспечения незыблемости конституционного строя, суверенитета и территориальной целостности государства, политической, экономической и социальной стабильности, в безусловном обеспечении законности и правопорядка, развитии равноправного и взаимовыгодного международного сотрудничества.

На основе национальных интересов государства в информационной сфере формируются стратегические и текущие задачи внутренней и внешней политики государства по обеспечению информационной безопасности.

Выделяются четыре основные составляющие национальных интересов в информационной сфере:

  • 1) соблюдение конституционных прав и свобод человека в области получения информации и пользования ею, сохранение и укрепление нравственных ценностей общества, традиции, патриотизма и гуманизма, культурного и научного потенциала страны;
  • 2) информационное обеспечение государственной политики, связанное с доведением до общественности достоверной информации о государственной политике, ее приоритетов и официальной позиции по социально значимым событиям, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
  • 3) развитие современных информационных технологий, отечественной индустрии информации, в том числе индустрии средств информатизации, телекоммуникации и связи, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок, а также обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов. В современных условиях только на этой основе можно решать проблемы создания наукоемких технологий, технологического перевооружения промышленности, приумножения достижений отечественной науки и техники;
  • 4) защита информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Основными целями информационной безопасности являются:

  • защита национальных интересов государства в условиях глобализации информационных процессов, формирования мировых информационных сетей и стремления развитых стран к информационному доминированию;
  • обеспечение органов власти и управления, предприятий и граждан достоверной, полной и своевременной информацией, необходимой для принятия решений, а также предотвращение нарушений целостности и незаконного использования информационных ресурсов;
  • реализация прав граждан, организаций и государства на получение, распространение и использование информации.

К объектам информационной безопасности относятся:

  • информационные ресурсы, независимо от форм хранения, содержащие информацию, составляющую государственную тайну и ограниченного доступа, коммерческую тайну и другую конфиденциальную информацию, а также открытую (общедоступную) информацию и знания;
  • система формирования, распространения и использования информационных ресурсов, включающая информационные системы различного класса и назначения, библиотеки, архивы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, научно-технический и обслуживающий персонал;
  • информационная инфраструктура, включающая центры обработки и анализа информации, каналы информационного обмена и телекоммуникации, механизмы обеспечения функционирования телекоммуникационных систем и сетей, в том числе системы и средства защиты информации;
  • система формирования общественного сознания (мировоззрение, моральные ценности и т.д.), базирующаяся на средствах массовой информации;
  • права граждан, предприятий и государства на получение, распространение и использование информации, защиту конфиденциальной информации и интеллектуальной собственности. Информационная безопасность перечисленных объектов создает

условия надежного функционирования государственных и общественных институтов, а также формирования общественного сознания, отвечающего прогрессивному развитию страны.

Необходимо различать понятия «информационная безопасность», «безопасность информации» и «защита информации». Как было показано выше, само общее понятие «безопасность» означает «состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз». В этой связи ее можно разложить на две составляющие:

  • безопасность содержательной части (смысла) информации - отсутствие в ней побуждения человека к негативным действиям, умышленно заложенных механизмов негативного воздействия на человеческую психику или негативного воздействия на иной блок информации (например, информация, содержащаяся в программе для ЭВМ, именуемой компьютерным вирусом);
  • защищенность информации от внешних воздействий (попыток неправомерного копирования, распространения, модификации (изменения смысла) либо уничтожения).

Вторая составная часть понятия «безопасность информации» будет называться защитой информации. Таким образом, выстраивается ряд из трех научных категорий: информационная безопасность, безопасность информации и защита информации. При этом каждая последующая категория является составной частью предыдущей.

Событие, которое может вызвать нарушение функционирования экономического объекта (фирмы, предприятия, организации и др.), включая искажение, уничтожение или несанкционированное использование обрабатываемой информации, является угрозой. Возможность реализации угроз зависит от наличия уязвимых мест. Состав и специфика уязвимых мест определяется видом решаемых задач, характером обрабатываемой информации, аппаратно-программными особенностями обработки информации на предприятии, наличием средств защиты и их характеристиками.

Источники угроз информационной безопасности можно разделить на внешние и внутренние.

К внешним источникам относятся: недружественная политика иностранного государства в области глобального информационного мониторинга, распространения информации и новых информационных технологий; деятельность иностранных разведывательных и специальных служб; деятельность иностранных экономических структур, направленная против интересов данного государства; преступные действия международных групп, формирований и отдельных лиц; стихийные бедствия и катастрофы.

Внутренними источниками угроз являются: противозаконная деятельность политических и экономических структур в области формирования, распространения и использования информации; неправомерные действия государственных структур, приводящие к нарушению законных прав граждан и организаций в информационной сфере; нарушение установленных регламентов сбора, обработки и передачи информации; отказы технических средств и сбои программного обеспечения в информационных и телекоммуникационных системах.

Следует выделить два основных класса угроз информационной безопасности.

  • 1. Непреднамеренные, или случайные, действия , выражающиеся в неадекватной поддержке механизмов защиты и ошибками в управлении (например, если пользователи пишут пароли на бумажках и приклеивают их к мониторам, ни о какой защите информации не может быть и речи).
  • 2. Преднамеренные угрозы - несанкционированное получение информации и несанкционированная манипуляция данными, ресурсами и самими системами (например, попадание накопителей на жестких (оптических) дисках и магнитных лентах в руки посторонних лиц часто приводит к утечке конфиденциальной информации). Сегодня, например, повсеместное распространение мобильных накопителей информации, таких как флэш-диски, винчестеры С иБВ интерфейсом и т.д., обусловило появление нового класса угроз информационной безопасности. Несанкционированное использование таких устройств нелояльными сотрудниками может привести к утечке информации из корпоративной сети. Единственной альтернативой физическому отключению Ш"Я-портов может быть использование специальной системы защиты информации. Большинство специалистов в области информационной безопасности считают мобильные накопители главной угрозой бизнеса сегодня (рис. 12.1).

Интернет-пейджеры

Мобильные накопители

Электронная почта

Интернет (веб-почта, форумы)

Печатающие устройства

Фотопринадлежности

2008 год 2007 год

Рис. 12.1. Наиболее распространенные каналы утечки информации

Электронная почта достаточно долго занимала лидирующие позиции в рейтинге самых опасных каналов утечки. Причина в том, что мобильные накопители являются менее заметными: миниатюрные запоминающие устройства, способные вмещать десятки гигабайтов данных - объем, сравнимый с возможностями жестких дисков. Их вместимость, мобильность и простота подключения - главные причины распространения как оружия инсайдеров. С другой стороны, за электронной почтой на большинстве предприятий зорко наблюдает служба безопасности. А также, очевидно, сложно таким образом переслать большой массив данных. Просто запретить использование мобильных накопителей не всегда возможно, так как очень часто флэш-карты требуются по производственной необходимости. Вместе с тем сегодня уже есть широкий выбор специализированного программного обеспечения, способного предотвратить утечку программным способом.

Способы воздействия угроз на объекты информационной безопасности подразделяются на информационные, программно-математические, физические, радиоэлектронные, организационно-правовые.

К информационным способам относятся: нарушения адресности и своевременности информационного обмена, противозаконный сбор и использование информации; несанкционированный доступ к информационным ресурсам; манипулирование информацией (дезинформация, сокрытие или искажение информации); незаконное копирование данных в информационных системах; использование средств массовой информации с позиций, противоречащих интересам граждан, организаций и государств; хищение информации из библиотек, архивов, банков и баз данных; нарушение технологии обработки информации.

Программно-математические способы включают: внедрение программ-вирусов; установку программных и аппаратных устройств; уничтожение или модификацию данных в информационных системах.

Физические способы включают: уничтожение или разрушение средств обработки информации и связи; уничтожение, разрушение или хищение машинных и других оригиналов носителей информации; хищение программных ключей и средств криптографической зашиты информации; воздействие на персонал; поставка «зараженных» компонентов информационных систем.

Радиоэлектронными способами являются: перехват информации в технических каналах ее утечки; внедрение электронных устройств перехвата информации в технических средствах и помещениях; перехват, дешифрование и навязывание ложной информации в сетях передачи данных и линиях связи; воздействие на парольно-ключевые системы; радиоэлектронное подавление линий связи и систем управления.

Организационно-правовые способы включают: закупку несовершенных или устаревших информационных технологий и средств информатизации; невыполнение требований законодательства и задержки в принятии необходимых нормативно-правовых положений в информационной сфере; неправомерное ограничение доступа к документам, содержащим важную для граждан и организаций информацию.

В сфере экономики наиболее подвержены воздействию угроз информационной безопасности:

  • система государственной статистики;
  • источники, порождающие информацию о коммерческой деятельности хозяйственных субъектов всех форм собственности, о потребительских свойствах товаров и услуг;
  • системы сбора и обработки финансовой, биржевой, налоговой, таможенной информации, информации о внешнеэкономической деятельности государства и коммерческих структур.

Система государственной статистики должна обладать достаточной защищенностью от серьезных и массовых искажений. Основное внимание должно уделяться защите первичных источников информации и обобщенных отчетных данных. В конечном итоге информация в этой системе должна обладать полнотой, достоверностью, достаточностью, сопоставимостью и регулярностью - свойствами, необходимыми для принятия национальных решений на уровне государства, отрасли, предприятия для проведения общеэкономического анализа и прогнозирования развития экономики.

Нормальное функционирование хозяйственных объектов нарушается из-за отсутствия нормативно-правовых положений, определяющих ответственность источников информации о коммерческой деятельности и потребительских свойствах товаров и услуг, за недостоверность и сокрытие сведений (о результатах реальной хозяйственной деятельности, инвестициях и др.). С другой стороны, существенный экономический ущерб может быть нанесен государственным и предпринимательским структурам вследствие разглашения информации, содержащей коммерческую тайну.

В системах сбора и обработки финансовой, биржевой, налоговой, таможенной информации наибольшую опасность с точки зрения информационной безопасности представляют хищения и преднамеренное искажение информации, возможность которых связана с преднамеренным или случайным нарушением технологии работы с информацией, несанкционированным доступом к ней, что обусловлено недостаточными мерами защиты информации. Такая же опасность существует в органах, занятых формированием и распространением информации о внешнеэкономической деятельности.

Серьезную опасность для нормального функционирования сферы экономики в целом представляют все более изощренные компьютерные преступления, связанные с проникновением криминальных элементов в компьютерные системы и сети.

Высочайшая степень автоматизации, к которой стремится информационное общество, ставит его в зависимость от степени безопасности используемых им информационных технологий, от которых, в свою очередь, зависит благополучие и даже жизнь множества людей.

В связи с массовой компьютеризацией информационных процессов, увеличением ценности и значимости информационных ресурсов в развитии экономики особую остроту приобретает проблема надежной защиты информации, циркулирующей в критически важных информационных системах, т.е. предупреждение ее искажения и уничтожения, несанкционированной модификации, незаконного получения и использования. Получившие известность факты красноречиво свидетельствуют об актуальности проблемы безопасности информационных технологий: каждые 20 с в США имеет место преступление с использованием программных средств. При этом более чем в 80% компьютерных преступлений «взломщики» проникают в атакуемую систему через глобальную сеть Интернет.

Интенсивное развитие информационных процессов не могло не вызвать роста противоправных действий. К ошибкам компьютеров добавилась компьютерная преступность, грозящая перерасти в проблему, экономические, экологические, политические и военные последствия которой могут стать катастрофическими. Преступные группы и сообщества начинают активно использовать в своей деятельности новейшие достижения науки и техники.

Уязвимость информации растет. При этом особую опасность представляет «информационный терроризм» с использованием глобальных компьютерных сетей, предотвращение которого затруднительно, а ликвидация последствий чрезвычайно дорога.

Как уже отмечалось, применение современных средств и способов массовой информации обеспечивает управляемость обществом. Говоря о проблеме «новой колонизации», русский философ А. Зиновьев среди исторических видов колонизации выделял захват с принудительным преобразованием по своему образцу. Этот вид колонизации отвечает настоящему времени. Имеется в виду захват не военный, а идеологический: внесение в структуру жизненных ценностей колонизируемой страны несвойственных идеалов и устремлений, т.е. ведение информационной войны. Результатом этого процесса, по словам Зиновьева, «западнизации» является то, что в «колонизируемой стране принудительно создается социально-политический строй колониальной демократии. Колониальная демократия - нечто искусственное, навязанное стране извне и вопреки сложившимся возможностям и тенденциям эволюции. Сохраняется видимость суверенитета. Создаются очаги экономики западного образца под контролем западных банков или в форме совместных предприятий» .

Сегодня список информационно колонизируемых стран не исчерпывается перечнем так называемых стран третьего мира, поскольку единое информационное пространство требует унификации информационных и телекоммуникационных технологий всех стран - субъектов сетевого пространства, а необходимая сегодня степень информатизации может быть достигнута лишь в обществе с высоким научно-техническим и промышленным потенциалами и достаточным культурно-образовательным уровнем населения. Это дает возможность мощным постиндустриальным державам, таким как США и Япония, усиливать свое экономическое, политическое и военное превосходство за счет лидерства в информатизации, осуществлять глобальный информационный контроль над мировым сообществом и фактически навязывать свои нормы и правила.

Информационно-культурная и информационно-идеологическая экспансия лидеров Запада, осуществляемая по мировым телекоммуникационным сетям, вызывает тревогу в разных странах мира. Перспектива зависимости и возможность утраты самостоятельности беспокоят как лидеров государств, гак и общественные институты и граждан. Многие страны уже принимают меры для защиты своей культуры, традиций и духовных ценностей от чуждого информационного влияния, выстраивая эффективную систему обеспечения информационной безопасности.

  • См.: Зиновьев А.А. Без иллюзий. L’Age d’Homme. Lausanne, 1979.