Защита информации в компьютерных системах

    Защита  информации в компьютерных системах - слагаемые успеха. Прогресс подарил человечеству великое множество достижений, но тот же прогресс породил и массу проблем. Человеческий разум, разрешая одни проблемы, непременно сталкивается при этом с другими, новыми, и этот процесс обречен на бесконечность в своей последовательности. Хотя, если уж быть точным, новые проблемы - это всего лишь обновленная форма старых. Вечная проблема - защита информации. На различных этапах своего развития человечество решало эту проблему с присущей для данной эпохи характерностью. Изобретение компьютера и дальнейшее бурное развитие информационных технологий во второй половине 20 века сделали проблему защиты информации настолько актуальной и острой, насколько актуальна сегодня информатизация для всего общества. Главная тенденция, характеризующая развитие современных информационных технологий - рост числа компьютерных преступлений и связанных с ними хищений конфиденциальной и иной информации, а также материальных потерь. По результатам одного исследования, посвященного вопросам компьютерных преступлений, около 58% опрошенных пострадали от компьютерных взломов за последние 12 месяцев. Примерно 18 % опрошенных из этого числа заявляют, что потеряли более миллиона долларов в ходе нападений, более 66 процентов потерпели убытки в размере 50 тыс. долларов. Свыше 22% атак были нацелены на промышленные секреты или документы, представляющие интерес прежде всего для конкурентов. Сегодня, наверное, никто не сможет с уверенностью назвать точную цифру суммарных потерь от компьютерных преступлений, связанных с несанкционированных доступом к информации. Это объясняется, прежде всего, нежеланием пострадавших компаний обнародовать информацию о своих потерях, а также тем, что не всегда потери от хищения информации можно точно оценить в денежном эквиваленте. Однако по данным, опубликованным в сети Internet, общие потери от несанкционированного доступа к информации в компьютерных системах в 1997 году оценивались в 20 миллионов долларов, а уже в 1998 года в 53,6 миллионов долларов. Причин активизации компьютерных преступлений и связанных с ними финансовых потерь достаточно много, существенными из них являются: переход от традиционной "бумажной" технологии хранения и передачи сведений на электронную и недостаточное при этом развитие технологии защиты информации в таких технологиях; объединение вычислительных систем, создание глобальных сетей и расширение доступа к информационным ресурсам; увеличение сложности программных средств и связанное с этим уменьшение числа их надежности и увеличением уязвимостей. Любое современное предприятие независимо от вида деятельности и формы собственности не в состоянии успешно развиваться и вести хозяйственную деятельность для создания на нем условий для надежного функционирования системы защиты собственной информации. Отсутствие у многих руководителей предприятий и компаний четкого представления по вопросам защиты информации приводит к тому, что им сложно в полной мере оценить необходимость создания надежной системы защиты информации на своем предприятии и тем более сложно бывает определить конкретные действия, необходимые для защиты тех или иных конфиденциальных сведений. В общем случае руководители предприятий идут по пути создания охранных служб, полностью игнорируя при этом вопросы информационной безопасности. Отрицательную роль при этом играют и некоторые средства массовой информации, публикуя "панические" статьи о состоянии дел по защите информации, формирующие у читателей представление о невозможности в современных условиях обеспечить требуемый уровень защиты информации. Можно с уверенностью утверждать, что создание эффективной системы защиты информации сегодня вполне реально. Надежность защиты информации, прежде всего, будет определяться полнотой решения целого комплекса задач, речь о которых будет продолжена дальше.

    Информация  как объект защиты Построение надежной защиты включает оценку циркулирующей  в компьютерной системе информации с целью уточнения степени  ее конфиденциальности, анализа потенциальных  угроз ее безопасности и установление необходимого режима ее защиты.

    Федеральным законом "Об информации, информатизации и защите информации" определено, что информационные ресурсы, т.е. отдельные  документы или массивы документов, в том числе и в информационных системах, являясь объектом отношений физических, юридических лиц и государства, подлежат обязательному учету и защите, как всякое материальное имущество собственника. При этом собственнику предоставляется право самостоятельно в пределах своей компетенции устанавливать режим защиты информационных ресурсов и доступа к ним.

    Закон также устанавливает, что "конфиденциальной информацией считается такая  документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации". При этом федеральный закон может содержать прямую норму, согласно которой какие-либо сведения относятся к категории конфиденциальных или доступ к ним ограничивается. Так, Федеральный закон "Об информации, информатизации и защите информации" напрямую относит к категории конфиденциальной информации персональные данные (информацию о гражданах). Закон РСФСР "О банках и банковской деятельности в РСФСР" ограничивает доступ к сведениям по операциям, счетам и вкладам клиентов и корреспондентов банков (статья 25).

    Однако  не ко всем сведениям, составляющим конфиденциальную информацию, применима прямая норма. Иногда законодательно определяются только признаки, которым должны удовлетворять эти сведения. Это в частности относится к служебной и коммерческой тайне, признаки которых определяются Гражданским кодексом РФ (статья 139): соответствующая информация неизвестна третьим лицам; к ней свободного доступа на законном основании; меры по обеспечению ее конфиденциальности принимает собственник информации.

    В настоящее время отсутствует какая-либо универсальная методика, позволяющая четко соотносить ту или иную информацию к категории коммерческой тайны. Можно только посоветовать исходить из принципа экономической выгоды и безопасности предприятия - чрезмерная "засекреченность" приводит к необоснованному подорожанию необходимых мер по защите информации и не способствует развитию бизнеса, когда как широкая открытость может привести к большим финансовым потерям или разглашению тайны. Законопроектом "О коммерческой тайне" права по отнесению информации к категории коммерческой тайны представлены руководителю юридического лица.

    Федеральный закон "Об информации, информатизации и защите информации", определяя  нормы, согласно которых сведения относятся  к категории конфиденциальных, устанавливает  и цели защиты информации: предотвращение утечки, хищения, искажения, подделки информации; предотвращение несанкционированных действий по уничтожению, искажению, блокированию информации; сохранение государственной тайны, конфиденциальности документированной информации.

    Определившись в необходимости защиты информации, непосредственно приступают к проектированию системы защиты информации.

    Организация защиты информации Отдельный раздел законопроекта "О коммерческой тайне", посвященный организации защиты коммерческой информации, определяет необходимый комплекс мероприятий по ее защите: установление особого режима конфиденциальности; ограничение доступа к конфиденциальной информации; использование организационных мер и технических средств защиты информации; осуществление контроля за соблюдением установленного режима конфиденциальности.

    Конкретное  содержание указанных мероприятий  для каждого отдельно взятого  предприятия может быть различным  по масштабам и формам. Это зависит  в первую очередь от производственных, финансовых и иных возможностей предприятия, от объемов конфиденциальной информации и степени ее значимости. Существенным является то, что весь перечень указанных мероприятий обязательно должен планироваться и использоваться с учетом особенностей функционирования информационной системы предприятия.

    Установление  особого режима конфиденциальности направлено на создание условий для  обеспечения физической защиты носителей  конфиденциальной информации.

    Как правило, особый режим конфиденциальности подразумевает: организацию охраны помещений, в которых содержатся носители конфиденциальной информации; установление режима работы в помещениях, в которых содержатся носители конфиденциальной информации; установление пропускного режима в помещения, содержащие носители конфиденциальной информации; закрепление технических средств обработки конфиденциальной информации за сотрудниками, определение персональной ответственности за их сохранность; установление порядка пользования носителями конфиденциальной информации (учет, хранение, передача другим должностным лицам, уничтожение, отчетность); организацию ремонта технических средств обработки конфиденциальной информации; организацию контроля за установленным порядком.

    Требования  устанавливаемого на предприятии особого  режима конфиденциальности оформляются в виде организационно-распорядительных документов и доводятся для ознакомления до сотрудников предприятия.

    Ограничение доступа к конфиденциальной информации способствует созданию наиболее эффективных  условий сохранности конфиденциальной информации. Необходимо четко определять круг сотрудников, допускаемых к конфиденциальной информации, к каким конкретно сведениям им разрешен доступ и полномочия сотрудников по доступу к конфиденциальной информации.

    Как показывает практика работы, для разработки необходимого комплекса мероприятий по защите информации желательно привлечение квалифицированных экспертов в области защиты информации.

    Традиционно для организации доступа к  конфиденциальной информации использовались организационные меры, основанные на строгом соблюдении сотрудниками процедур допуска к информации, определяемых соответствующими инструкциями, приказами и другими нормативными документами. Однако с развитием компьютерных систем эти меры перестали обеспечивать необходимую безопасность информации. Появились и в настоящее время широко применяются специализированные программные и программно-аппаратные средства защиты информации, которые позволяют максимально автоматизировать процедуры доступа к информации и обеспечить при этом требуемую степень ее защиты. Подробнее о существующих средствах защиты информации мы остановимся ниже.

    Осуществление контроля за соблюдением установленного режима конфиденциальности предусматривает  проверку соответствия организации  защиты информации установленным требованиям, а также оценку эффективности применяемых мер защиты информации. Как правило, контроль осуществляется в виде плановых и внеплановых проверок силами своих сотрудников или с привлечением других организаций, которые специализируются в этой области. По результатам проверок специалистами по защите информации проводится необходимый анализ с составлением отчета, который включает: вывод о соответствии проводимых на предприятии мероприятий установленным требованиям; оценка реальной эффективности применяемых на предприятии мер защиты информации и предложения по их совершенствованию.

    Обеспечение и реализация перечисленных выше мероприятий потребует создания на предприятии соответствующих  органов защиты информации. Эффективность  защиты информации на предприятии во многом будет определяться тем, насколько правильно выбрана структура органа защиты информации и квалифицированы его сотрудники. Как правило, органы защиты информации представляют собой самостоятельные подразделения, однако на практике часто практикуется и назначение одного из штатных специалистов предприятия ответственным за обеспечение защиты информации. Однако такая форма оправдана в тех случаях, когда объем необходимых мероприятий по защите информации небольшой и создание отдельного подразделения экономически не выгодно.

    Созданием органов защиты информации на предприятии  завершается построение системы  защиты информации, под которой понимается совокупность органов защиты информации или отдельных исполнителей, используемые ими средства защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.

    Средства  защиты информации Как уже отмечалось выше, эффективность защиты информации в автоматизированных системах достигается применением средств защиты информации (СЗИ). Под средством защиты информации понимается техническое, программное средство или материал, предназначенные или используемые для защиты информации. В настоящее время на рынке представлено большое разнообразие средств защиты информации, которые условно можно разделить на несколько групп: средства, обеспечивающие разграничение доступа к информации в автоматизированных системах; средства, обеспечивающие защиту информации при передаче ее по каналам связи; средства, обеспечивающие защиту от утечки информации по различным физическим полям, возникающим при работе технических средств автоматизированных систем; средства, обеспечивающие защиту от воздействия программ-вирусов; материалы, обеспечивающие безопасность хранения, транспортировки носителей информации и защиту их от копирования.

    Основное  назначение средств защиты первой группы - разграничение доступа к локальным  и сетевым информационным ресурсам автоматизированных систем. СЗИ этой группы обеспечивают: идентификацию  и аутентификацию пользователей  автоматизированных систем; разграничение доступа зарегистрированных пользователей к информационным ресурсам; регистрацию действий пользователей; защиту загрузки операционной системы с гибких магнитных дисков и CD-ROM; контроль целостности СЗИ и информационных ресурсов. В качестве идентификаторов пользователей применяются, как правило, условные обозначения в виде набора символов. Для аутентификации пользователей применяются пароли.

    Ввод  значений идентификатора пользователя и его пароля осуществляется по запросу  СЗИ с клавиатуры. Многие современные СЗИ используют и другие типы идентификаторов - магнитные карточки, радиочастотные бесконтактные карточки, смарт-карточки, электронные таблетки Touch Memory и другие. Отдельно стоит сказать об использовании в качестве идентификатора индивидуальных биологических параметров (отпечаток пальца, радужная оболочка глаза), присущих каждому человеку. Использование в качестве идентификаторов индивидуальных биологических параметров характеризуется, с одной стороны, высшим уровнем конфиденциальности, а с другой - очень высокой стоимостью таких систем.