Возникающая практическая реализация каждым сотрудником предоставленного ему допуском права на ознакомление и работу с определенным составом документов и сведений называется доступом.
Разрешение на допуск и доступ к конфиденциальной информации всегда дается полномочным руководителем только в письменном виде. Таким образом, руководители несут персональную ответственность за правильность выдаваемых ими разрешений на допуск, а также доступ к конфиденциальным сведениям.
Воздействие со стороны всех остальных источников угроз всегда носит случайный характер.
Средства обработки, передачи и хранения информации могут представлять для нее угрозу в случае выхода их из строя или появления сбоев в работе. Кроме того, при обработке информации с помощью ЭВМ необходимо организовать защиту от возникающих в процессе Работы побочных электромагнитных излучений и наводок.
Технические средства и системы, непосредственно не связанные с обработкой защищаемой информации (электроснабжение, водоснабжение, отопление и пр.) также могут оказывать негативное воздействие на информацию, влияя на средства ее обработки. Так, при отключении электроэнергии временно отключаются и системы обработки информации, что может привести, например, к потере не сохраненных данных в памяти компьютера.
Стихийные бедствия и природные явления могут создавать аварийные ситуации, при которых средства вычислительной техники выходят из строя или временно находятся в нерабочем состоянии.
уничтожение информации и (или) ее носителя;
несанкционированное получение и (или) распространение конфиденциальной информации;
модификация информации, т. е. внесение в нее изменений;
создание ложных сообщений;
блокирование доступа к информации или ресурсам системы, том числе отказ в обслуживании;
несанкционированное или ошибочное использование информационных ресурсов системы;
отказ от получения или отправки информации.
Уничтожение информации и (или) ее носителя может нанести значительный ущерб собственнику (владельцу) данной информации, так как у него не будет достаточных сведения для принятия необходимых решений. Кроме того, если и существует возможность восстановления утраченной информации, то это потребует значительных затрат, А зачастую полное восстановление уничтоженных данных вообще невозможно, например, в случае уничтожения электронного архива организации за много лет работы или обширного банка данных.
Для предотвращения утечки конфиденциальной информации с помощью средств вычислительной техники, необходима техническая защита информации - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащих защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.
Разнообразие технических средств защиты информации огромно. К средствам технической защиты информации, помимо средств контроля, относятся также средства защиты информации от непреднамеренного уничтожения или искажения. Примеры технических средств защиты информации:
Программные - персональные и корпоративные файрволы; антивирусы; системы обнаружения сетевых атак; системы разграничения доступа к данным и т.д.
Программно-аппаратные - маршрутизаторы и файрволы Cisco, Juniper и т.п.; комплексные решения по обнаружению сетевых аномалий; системы предотвращения утечек данных; комплекты резервного копирования и архивирования данных, и другие.
Аппаратные - устройства обнаружения и ликвидации прослушивающей аппаратуры; сканеры радиоизлучения; генераторы радиопомех, устройства бесперебойного питания, и другие.
Решение проблем защиты электронной информации базируется, в том числе и на использовании криптографических методов. Суть криптографической защиты в том, чтобы информация в процессе передачи была защищена от искажения или от перехвата, или от того и другого сразу.
Обеспечение конфиденциальности при передаче сообщений по незащищенным каналам связи - традиционная задача криптографии. В общем случае данная задача решается при помощи криптографических преобразований, заранее согласованных между всеми легитимными участниками информационного обмена. Отправитель сообщения выполняет шифрование, получатели выполняют обратное преобразование - расшифровку. Ключевая информация (ключи шифрования) либо доставляется по защищенному каналу связи, либо совместно генерируется участниками. Злоумышленник, если он контролирует среду, по которой передается сообщение, даже в случае полного перехвата не сможет ознакомиться с его содержанием.
Современные методы криптографического преобразования сохраняют исходную производительность автоматизированной системы, что является немаловажным. Это является наиболее эффективным способом, обеспечивающим конфиденциальность данных, их целостность и подлинность.
Использование криптографических методов в совокупности с техническими и организационными мероприятиями обеспечивают надежную защиту от широкого спектра угроз.
Несанкционированное получение злоумышленником конфиденциальной информации также может привести к значительному ущербу. Так, например, получив информацию, идентифицирующую пользователя; автоматизированной системы при входе в нее, злоумышленник получает право доступа к системе. При этом он становится обладателем всех прав санкционированного пользователя, т. е. пользователя, которому разрешена работа в данной системе. Также злоумышленник может перехватить информацию, которой обмениваются клиент и банковская система, и затем, используя эти сведения, осуществить кражу денег со счета данного клиента. Существует большое множество подобных примеров, когда утечка конфиденциальной информации наносила непоправимый урон ее собственнику.
Модификация информации означает внесение в информацию каких-либо изменений в интересах злоумышленника. Это представляет значительную опасность для собственника (владельца) информации, так как на основе измененных данных он может принять неправильное решение, что нанесет ему ущерб и (или) принесет выгоду злоумышленнику. Если же пользователю станет известно о возможных внесенных искажениях, он должен будет приложить дополнительные усилия по их выявлению, устранению и восстановлению истинных сведений. А это требует дополнительных затрат различных ресурсов (временных, денежных, кадровых).
Непосредственно к модификации информации примыкает и такой вид угроз, как создание ложных сообщений. Это означает, что злоумышленник преднамеренно посылает субъекту заведомо ложную информацию, получение и использование которой данным субъектом выгодно злоумышленнику. При этом такая информация снабжается всеми атрибутами и реквизитами, которые не позволяют получателю заподозрить, что эта информация ложная.
Блокирование доступа к информации или ресурсам системы может иметь негативные последствия в, случае, когда некоторая информация обладает реальной ценностью только на протяжении короткого отрезка времени. В этом случае блокирование нарушает требование своевременности получения информации. Также блокирование доступа к информации может привести к тому, что субъект не будет обладать всей полнотой сведений, необходимых для принятия решения. Одним из способов блокирования информации может быть отказ в обслуживании, когда система вследствие сбоев в работе или действий злоумышленника не отвечает на запросы санкционированного пользователя.
Несанкционированное или ошибочное использование ресурсов системы, с одной стороны, может служить промежуточным звеном для уничтожения, модификации или распространения информации. С другой стороны, оно имеет самостоятельное значение, так как, даже не касаясь пользовательской или системной информации, может нанести ущерб самой системе (например, вывести ее из строя).
Отказ от получения или отправки информации заключается в отрицании пользователем факта посылки или приема какого-либо сообщения. Например, при осуществлении банковской деятельности подобные действия позволяют одной из сторон расторгать так называемым "техническим" путем заключенные финансовые соглашения, т. е. формально не отказываясь от них. Это может нанести второй стороне значительный ущерб.
Перечисленные виды угроз могут реализовываться
различными способами, которые зависят от источника и вида угрозы. Существует
большое количество подобных способов (особенно в сфере безопасности
компьютерных сетей), они постоянно совершенствуются и обновляются.
2.2 Организация систем защиты
конфиденциальной информации
Защитить конфиденциальную информацию организационными мерами, программными и техническими средствами в полной мере в современных условиях невозможно.
Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. Организационная защита обеспечивает:
организацию охраны, режима, работу с кадрами, с документами;
использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.
К основным организационным мероприятиям можно отнести:
организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц;
организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.
В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.
Нормативные правовые положения по защите конфиденциальной информации в государственных и негосударственных структурах определены в Законе РФ "Об информации, информатизации и защите информации".
Создавая систему информационной безопасности, необходимо четко понимать, что без правового обеспечения защиты информации любые последующие претензии со стороны организации к недобросовестному сотруднику, клиенту, конкуренту и должностному лицу окажутся беспочвенными. Если перечень сведений конфиденциального характера не доведен своевременно до каждого сотрудника (при условии, что он допущен по должностным обязанностям) в письменном виде, то сотрудника, укравшего важную информацию, невозможно будет привлечь к ответственности.
Таким образом, состав защищаемой информации в каждой организации должен быть четко определен и задокументирован.
Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
предприятие имеет право определять состав, объем и порядок защиты сведений конфиденциального характера, требовать от своих сотрудников обеспечения их сохранности и защиты от внутренних и внешних угроз;
предприятие обязано обеспечить сохранность конфиденциальной информации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:
Положение о сохранении конфиденциальной информации;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Перечень сведений, разрешенных к опубликованию в открытой печати;
Положение о работе с иностранными фирмами и их представителями;
Обязательство сотрудника о сохранении конфиденциальной информации;
Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре (контракте). Трудовой договор - это правовая основа к тому, чтобы пресечь неверные или противоправные действия работника. Также с каждым работником, допущенным к конфиденциальной информации, следует заключить договор о полной материальной ответственности.
Эта мера носит скорее психологический характер. Дело в том, что даже полную материальную ответственность сотрудника ТК РФ ограничивает размером прямого ущерба, нанесенного работодателю (ст. 238 ТК РФ). Поэтому в лучшем случае со злоумышленника удастся взыскать лишь стоимость бумаги или дискеты, на которых содержались секретные сведения.
Под общими признаками (концепциями) защиты любого вида охраняемой информации понимают следующее;
защиту информации организует и проводит собственник, владелец / уполномоченное на это лицо;
защитой информации собственник охраняет свои права на владение и распространение информации, стремится оградить ее от незаконного завладения и использования в ущерб его интересам;
защита информации осуществляется путем проведения комплекса мер по ограничению доступа к защищаемой информации и созданию условий, исключающих или существенно затрудняющий несанкционированный доступ к засекреченной информации.
Следовательно, защита информации - есть комплекс мероприятий, проводимых собственником информации по ограждению своих прав на владение и распоряжение прав на информацию, создание условий, ограничивающих и исключающих или существенно затрудняющих несанкционированный доступ к засекреченной информации и ее носителям.
В отношении конфиденциальной информации целями защиты являются:
предотвращение утечки, хищения, утраты, искажения информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению и копированию;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение конфиденциальности документированной информации.
Режим защиты в отношении конфиденциальной документированной информации устанавливается собственником информации или уполномоченным лицом на основании этого закона.
Владелец документов, массива документов, информационной системы обеспечивает уровень защиты информации в соответствии с законодательством.