Информационная безопасность

обеспечение оценки степени конфиденциальной информации;  

обеспечение контроля целостности средств защиты и  немедленное реагирование на их выход  из строя. Система защиты информации как любая система должна иметь  определенные виды собственного обеспечения, опираясь на которые она будет  выполнять свою целевую функцию. С учетом этого СЗИ может иметь:  

правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными  в рамках сферы их действий;  

организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными  структурными единицами - такими, как  служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая  деятельность и др.;  

аппаратное обеспечение. Предполагается широкое использование  технических средств, как для  защиты информации, так и для обеспечения  деятельности собственно СЗИ;  

информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в  основе решения задач, обеспечивающих функционирование системы. Сюда могут  входить как показатели доступа, учета, хранения, так и системы  информаци-онного обеспечения расчетных  задач различного характера, связан-ных  с деятельностью службы обеспечения  безопасности;  

программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные  программы, обеспечивающие оценку наличия  и опасности различных каналов  утечки и путей несанкционированного проникновения к источникам конфи-денциальной  информации;  

математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности  технических средств злоумышленников, зон и норм необходимой защиты;  

лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и  пользователей в сфере защиты информации;  

нормативно-методическое обеспечение. Сюда входят нормы и  регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей  при выполнении своей работы в  условиях жестких требований защиты информации. 

Удовлетворить современные  требования по обеспечению безопасности предприятия и защиты его конфиденциаль-ной  информации может только система  безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.  

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и  средства деятельности, которые согла-совываются по месту и времени в зависимости  от условий.

1.2. Концептуальная  модель информационной безопасности.  

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и  развитие в интересах граждан, организа-ций", правомерно определить угрозы безопасности информации, источники этих угроз, способы  их реализации и цели, а также  иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных  действий, приводящих к нанесению  ущерба. 

Практика показала, что для анализа такого значительного  набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется  как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она  проще. Модель должна быть достаточно об-щей, чтобы описывать реальные действия с учетом их сложности. 

Можно предложить следующие  компоненты модели информационной безопасности на первом уровне декомпозиции. 

По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:  

объекты угроз;  

угрозы;  

источники угроз;  

цели угроз со стороны злоумышленников;  

источники информации;  

способы неправомерного овладения конфиденциальной информацией (способы доступа);  

направления защиты информации;  

способы защиты информации;  

средства защиты информации.  

Объектом угроз  информационной безопасности выступают  сведения о составе, состоянии и  деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). 

Угрозы информации выражаются в нарушении ее целостности, кон-фиденциальности, полноты и доступности. Источниками угроз выступают  конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при  этом следующие цели: ознаком-ление  с охраняемыми сведениями, их модификация  в корыстных целях и уничтожение  для нанесения прямого материального  ущерба.  

Неправомерное овладение  конфиденциальной информацией возмож-но за счет ее разглашения источниками  сведений, за счет утечки информации через  технические средства и за счет несанкциониро-ванного  доступа к охраняемым сведениям. 

Источниками конфиденциальной информации являются люди, доку-менты, публикации, технические носители информации, техниче-ские средства обеспечения  производственной и трудовой деятель-ности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная  и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. 

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние  могут быть реализованы как аппаратно, программ-но, так и смешанно-программно-аппаратными  средствами. 

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие  не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуаль-ной модели безопасности информации приведены на следующей схеме.  

Основные элементы концептуальной модели будут рассмотрены  более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.

1.3. Угрозы конфиденциальной  информации  

Под угрозами конфиденциальной информации принято понимать потенциальные  или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладе-нию  охраняемыми сведениями. Такими действиями являются:  

ознакомление с  конфиденциальной информацией различными путями и способами без нарушения  ее целостности;  

модификация информации в криминальных целях как частичное  или значительное изменение состава  и содержания сведений;  

разрушение (уничтожение) информации как акт вандализма с  целью прямого нанесения материального  ущерба. 

В конечном итоге  противоправные действия с информацией  приво-дят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к  нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в  идеале - полностью, реально - значитель-но или хотя бы частично. Но и это  удается далеко не всегда.  

С учетом этого угрозы могут быть классифицированы по следующим  кластерам :  

по величине принесенного ущерба:  

предельный, после  которого фирма может стать банкротом;  

значительный, но не приводящий к банкротству;  

незначительный, который  фирма за какое-то время может  ком-пенсировать и др.;  

по вероятности  возникновения:  

весьма вероятная  угроза;  

вероятная угроза;  

маловероятная угроза;  

по причинам появления:  

стихийные бедствия;  

преднамеренные действия;  

по характеру нанесенного  ущерба:  

материальный;  

моральный;  

по характеру воздействия:  

активные;  

пассивные;  

по отношению к  объекту:  

внутренние;  

внешние.  

Источниками внешних  угроз являются:  

недобросовестные  конкуренты;  

преступные группировки  и формирования;  

отдельные лица и  организации административно-управленческо-го аппарата.  

Источниками внутренних угроз могут быть:  

администрация предприятия;  

персонал;  

технические средства обеспечения производственной и  трудовой деятельности.  

Соотношение внешних  и внутренних угроз на усредненном  уровне можно охарактеризовать так:  

82% угроз совершается  собственными сотрудниками фирмы  либо при их прямом или опосредованном  участии;  

17% угроз совершается  извне - внешние угрозы;  

1% угроз совершается  случайными лицами.  

Угроза - это потенциальные  или реальные действия, приводящие к моральному или материальному  ущербу.

1.4. Действия, приводящие  к неправомерному овладению конфиденциальной  информацией.  

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно  рассматривать с позиции активности в действиях, приводящих к овладению  конфиденциальными сведениями. В  этом случае возможны такие ситуации:  

владелец (источник) не принимает никаких мер к  сохранению конфиденциальной информации, что позволяет злоумышленнику легко  получить интересующие его сведения;  

источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значи-тельные  усилия к осуществлению доступа  к охраняемым сведениям, используя  для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое  или беззаходовое;  

промежуточная ситуация - это утечка информации по техниче-ским каналам, при которой источник еще  не знает об этом (иначе он принял бы меры защиты), а злоумышленник  легко, без особых усилий может их использовать в своих интересах.  

В общем, факт получения  охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла-шение  сведений и несанкционированный  доступ к конфиденциаль-ной информации .  

Разглашение - это  умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение  выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и  в других формах обмена и дей-ствий  с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения  инфор-мации. К формальным коммуникациям  относятся деловые встречи, совещания, переговоры и тому подобные формы  общения: обмен официальными деловыми и научными документами средствами пе-редачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие мас-совые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточ-ное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргумен-тированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориен-тирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации послед-ний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).