Введение
Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и т.д. Способы реализации защиты мы в этой статье рассматривать не будем ввиду их огромного разнообразия.
Однако следует понимать, что обеспечить стопроцентную защиту невозможно. Вместе с тем нужно помнить: чем выше уровень защищенности, тем дороже система, тем более неудобной в использовании она получается для пользователя, что соответственно ведет к ухудшению защиты от человеческого фактора. Как пример вспомним, что чрезмерное усложнение пароля ведет к тому, что пользователь вынужден записывать его на бумажку, которую приклеивает к монитору, клавиатуре и пр.
Существует широкий спектр программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако стоит помнить, что самым уязвимым звеном в защите всегда остается человек! Ведь работоспособность любого программного обеспечения зависит от качества его написания и грамотности администратора, который настраивает то или иное средство защиты.
Многие организации в связи с этим создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Вместе с тем нужно понимать, что нельзя взваливать на службу ИТ несвойственные ей функции. Об этом не раз уже говорилось и писалось. Итак, предположим, в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?
Начинать нужно с обучения сотрудников! И в дальнейшем сделать
этот процесс регулярным. Обучение персонала основам защиты информации должно
стать постоянной задачей отдела защиты информации. И делать это нужно не реже
двух раз в год.
Исторически сложилось так, что как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). О требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, в ряду общих требований к системам обработки информации.
Если такой взгляд еще можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо. Например, согласно требованиям украинского законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае, если эта информация не принадлежит государству).
Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного копирования. Рассмотрим в качестве примера веб-сайт интернет-издания. На первом месте будет стоять, на мой взгляд, доступность и целостность информации, а не ее конфиденциальность. Оценивать и классифицировать информацию только с позиции и секретности по меньшей мере непродуктивно.
И объяснить это можно только узостью традиционного подхода к
защите информации, отсутствием опыта в плане обеспечения доступности,
целостности и наблюдаемости информации, которая не является секретной
(конфиденциальной).
1.1 Схема классификации информации по значимости
ИНФОРМАЦИЯ. Особой важности (ОВ). Совершенно секретно (СС). секретно (с). для служебного пользования. (ДСП). И открытого характера (О)
С точки зрения защиты у «Информации» можно выделить ряд существенных свойств:
1. Конфиденциальность - свойство информации, значение которого устанавливается владельцем информации, отражающее ограничение доступа к ней, согласно существующему законодательству.
2. Доступность - свойство информации, определяющее степень возможности получения информации.
. Достоверность - свойство информации, определяющее степень доверия к ней.
. Целостность - свойство информации, определяющее
структурную пригодность информации к использованию.
· Совершенно конфиденциально - информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;
· Конфиденциально - в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);
· Открытая - к данной категории относится
информация, обеспечение конфиденциальности которой не требуется.
Высокая - информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;
Низкая - к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;
Нет требований - к данной категории относится информация, к
обеспечению целостности и аутентичности которой требований не предъявляется.
В то время как информационная безопасность - это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.
Информационная безопасность организации - состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.
В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.
Безопасность информации (данных) - состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Информационная безопасность- защита конфиденциальности, целостности и доступности информации.
Информационная безопасность (англ. information security) -
все аспекты, связанные с определением, достижением и поддержанием
конфиденциальности, целостности, доступности, неотказуемости, подотчетности,
аутентичности и достоверности информации или средств её обработки.
Под угрозами информации, будем понимать потенциальные или реально возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, достоверность, целостность).
По конечному проявлению можно выделить следующие угрозы информации:
. Ознакомление.
. Модификация.
. Уничтожение.
. Блокирование.
Конкретные реализации угроз информации называются - сценариями угроз информации.
Рассмотрим соответствие свойств и угроз информации рис.3.
Информация
Свойства информации
Конфиденциальность Доступность Достоверность Целостность
Ознакомление Модификация Уничтожение Блокирование
Угрозы информации
Ознакомление с конфиденциальной информацией может проходить различными путями и способами, при этом существенным, является отсутствие изменений самой информации.
Нарушение конфиденциальности или секретности информации связано с ознакомлением с ней тех лиц, для которых она не предназначалась. Какая информация является конфиденциальной или секретной решает собственник или владелец этой информации. Они же определяют круг лиц, имеющих доступ к ней. Нарушение конфиденциальности информации может произойти путем ознакомления с ней лицами, не имеющими на то права и несанкционированной модификации грифа секретности (значимости).
Модификация информации направлена на изменение таких свойств как конфиденциальность, достоверность, целостность, при этом подразумевается изменение состава и содержания сведений. Модификация информации не подразумевает ее полное уничтожение.
Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановлена никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении информации нарушается также свойство доступности информации.
Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана с отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС), отсутствием какого-либо специалиста или недостаточной его квалификацией, отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др. Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.
Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.
Перечисленные выше угрозы информации могут быть классифицированы по следующим направлениям:
По объектам:
· Персонал, материальные и финансовые ценности, информация;
По ущербу:
· Предельный, Значительный, Несущественный;
По причинам появления;
· Стихийные, преднамеренные;
По отношению к объекту:
· Внутренние, Внешние;
По характеру действия:
· Активные, Пассивные.
Источники информационных угроз могут быть как внутренними,
так и внешними. Чаще всего такое деление происходит по территориальному
признаку и по признаку принадлежности к объекту информационной защиты.
Источники информационных угроз
|
Источники внешней опасности |
Источники внутренней опасности |
|
разведка |
сотрудники |
|
конкуренты |
· с корыстными целями |
|
политические противники |
· с преступными целями |
|
преступники |
|
|
лица с нарушенной психикой |
безответственные |
|
стихийные бедствия |
|
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
· 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
· 17% угроз совершается извне - внешние угрозы;
· 1% угроз совершается случайными лицами.
Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.
К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:
· Информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;
· Информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;
· Информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).
С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:
. Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;
. Организационная защита - это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.
. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.
Для реализации защиты информации создается система безопасности.
Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз.
В рамках системы безопасности присутствует система защиты информации.
Система защиты информации (СЗИ) - это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
Организационное и инженерно-техническое обеспечение информационной безопасности.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.
Организационная защита обеспечивает:
· организацию охраны, режима, работу с кадрами, с документами;
· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз безопасности.
Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или по крайней мере сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.