Совершенствование системы безопасности информации ограниченного доступа

     Вторая  проблема – защита конфиденциальной информации. Как сама фирма стремится  узнать секреты других, так и ее конкуренты делают то же самое. Следовательно, каждая фирма может являться одновременно как объектом, так и субъектом  коммерческого шпионажа, или, если использовать более “мягкий” термин – экономической разведки.

     Субъектом коммерческого шпионажа в развитых странах все чаще становятся не сами фирмы-конкуренты, а специализированные коммерческие организации, основной целью  деятельности которых как раз и является изъятие или защита конфиденциальной информации. В этих странах даже государственные спецслужбы вынуждены обеспечивать защиту наиболее важной коммерческой информации частных фирм от международного экономического шпионажа, поскольку потери от утраты информации такого рода достигают сотен миллиардов долларов.

     Объектом  преступных посягательств являются люди (персонал фирмы), документы, технические  средства. Непосредственным носителем  информации могут быть бумажные документы, планы, отчеты, финансовые документы, чертежи, техническая документация, дискеты, кассеты.

     Наряду  с названными выше используются технические  средства коммерческого шпионажа. К  ним относятся: направленные микрофоны, минирадиозакладки (“жучки”), звукозаписывающая  аппаратура, специальные системы наблюдения, фотоаппаратура, приборы для съема информации с телефонных аппаратов, приборы для съема информации через стекло здания.

     Борьба  с угрозами данного вида может  быть эффективной, как правило, на основе:

       во-первых, соблюдения общих требований режима безопасности,

       во-вторых, создания собственной  службы безопасности,

       в-третьих, обращения предпринимателей  в соответствующие специализированные  фирмы, агентства, оказывающие  услуги по охране информации,

       в-четвертых, своевременного информирования правоохранительных органов.

     1.2. Компьютерная безопасность

 

     В системе обеспечения безопасности предпринимательской деятельности все большее значение приобретает  обеспечение компьютерной безопасности. Это связано с возрастающим объемом поступающей информации, совершенствованием средств ее хранения, передачи и обработки. Перевод значительной части информации в электронную форму, использование локальных и глобальных сетей создают качественно новые угрозы конфиденциальной информации.

     Компьютерные  преступления в этом аспекте можно  охарактеризовать как противоправные посягательства на экономическую безопасность предпринимательства, в которых  объектом, либо орудием преступления является компьютер.

     Источник  данного вида угроз может быть внутренним (собственные работники), внешним (например, конкуренты), смешанным (заказчики – внешние, а исполнитель – работник фирмы). Как показывает практика, подавляющее большинство таких преступлений совершается самими работниками фирм. (Приложение 2)

     Что же является непосредственным объектом компьютерных преступлений? Им может являться как информация (данные), так и сами компьютерные программы.

     Преступник  получает доступ к охраняемой информации без разрешения ее собственника или  владельца, либо с нарушением установленного порядка доступа. Способы такого неправомерного доступа к компьютерной информации могут быть различными – кража носителя информации, нарушение средств защиты информации, использование чужого имени, изменение кода или адреса технического устройства, представление фиктивных документов на право доступа к информации, установка аппаратуры записи, подключаемой к каналам передачи данных. Причем доступ может быть осуществлен в помещениях фирмы, где хранятся носители, из компьютера на рабочем месте, из локальной сети, из глобальной сети.

     Все угрозы на объекты информационной безопасности по способу воздействия могут  быть объединены в пять групп(8): собственно информационные, физические, организационно-правовые, программно-математические, радиоэлектронные.

     Последствия совершенных противоправных действий могут быть различными:

     копирование информации (оригинал при этом сохраняется);

     изменение содержания информации по сравнению  с той, которая была ранее;

     блокирование  информации – невозможность ее использования при сохранении информации;

     уничтожение информации без возможности ее восстановления;

     нарушение работы ЭВМ, системы ЭВМ или их сети.

     Большую опасность представляют также компьютерные вирусы, то есть программы, которые  могут приводить к несанкционированному воздействию на информацию, либо ЭВМ (системы ЭВМ и их сети), с теми же последствиями

     Правовое  обеспечение безопасности предпринимательской  деятельности от компьютерных преступлений основывается на том, что по российскому  законодательству защите подлежит любая документированная информация, неправомерное обращение к которой может нанести ущерб ее собственнику, владельцу, пользователю. Защита осуществляется в целях утечки, хищения, утраты, искажения, подделки информации, а также предотвращения несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращения других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечения правового режима документированной информации как объекта собственности(9). Кроме того, за перечисленные выше противоправные действия предусмотрена уголовная ответственность. И это представляется не случайным, поскольку угрозы компьютерным системам могут привести не только к значительным финансовым потерям, но и к необратимым последствиям - ликвидации самого субъекта предпринимательства.

     Угрозы  компьютерным системам и компьютерной информации могут быть со стороны  следующих субъектов:

     работники фирмы, использующие свое служебное  положение (когда законные права по должности используются для незаконных операций с информацией);

     работники фирмы, не имеющие права в силу своих служебных обязанностей, но, тем не менее, осуществившими несанкционированный  доступ к конфиденциальной информации;

     лица, не связанные с фирмой трудовым соглашением (контрактом).

     В процессе своей деятельности предприниматели, неоднократно испытывающие неправомерные  действия других субъектов, не всегда обращаются в правоохранительные органы, либо вообще стараются не разглашать случаи посягательств на их компьютерные системы. Это связано с тем, что фирмы, коммерческие банки не хотят “отпугнуть” клиентов, потребителей тем фактом, что их компьютерные системы (а значит и вся информация, содержащаяся в них) недостаточно хорошо защищены. Латентная по своему характеру преступность приносит наибольший вред, поскольку безнаказанность преступников позволяет им продолжать и расширять свою преступную деятельность.

     Обеспечение безопасности предпринимательской  деятельности со стороны компьютерных систем представляет собой один из блоков проблемы безопасности вообще. Защита от компьютерных преступлений должна начинаться с разработки концепции информационной безопасности фирмы. На основе вышеназванных принципов – вероятности угрозы, возможности защиты и экономической целесообразности защиты информации разрабатываются конкретные способы защиты.

     Способы защиты можно разделить на две  группы – организационные и технические. Организационные способы защиты связаны с ограничением возможного несанкционированного физического доступа к компьютерным системам. Технические способы защиты предполагают использование средств программно-технического характера, направленных, прежде всего, на ограничение доступа пользователя, работающего с компьютерными системами фирмы, к той информации, обращаться к которой он не имеет права¹.

     Специалисты-практики выделяют, например, такие основные направления технической защиты компьютерной системы:

     защита  информационных ресурсов от несанкционированного доступа и использования –  используются средства контроля включения питания и загрузки программного обеспечения, а также методы парольной защиты при входе в систему;

     защита  от утечки по побочным каналам электромагнитных излучений и наводок – с  помощью экранирования аппаратуры, помещений, применением маскирующих генераторов шумов, дополнительной проверкой аппаратуры на наличие компрометирующих излучений;

     защита  информации в каналах связи и  узлах коммутации – используются процедуры аутентификации абонентов  и сообщений, шифрование и специальные  протоколы связи;

     защита  юридической значимости электронных  документов – при доверительных  отношениях двух субъектов предпринимательской  деятельности и когда возникает  необходимость передачи документов (платежных поручений, контрактов) по компьютерным сетям - для определения истинности отправителя документ дополняется “цифровой подписью” – специальной меткой, неразрывно логически связанной с текстом и формируемой с помощью секретного криптографического ключа;

     защита  автоматизированных систем от компьютерных вирусов и незаконной модификации – применяются иммуностойкие программы и механизмы модификации фактов программного обеспечения.

     Действенным способом ограничения несанкционированного доступа к компьютерным системам является также регулярная смена  паролей, особенно при увольнении работников, обладающих информацией о способах защиты.

     1.3. Защита коммерческой информации

     Защита  коммерческой информации как часть  деятельности по обеспечению безопасности предпринимательства в целом, предполагает, что возможные противоправные посягательства на коммерческую информацию могут идти по различным направлениям. В связи с этим эффективная защита информации должна предусматривать целую систему направлений деятельности, каждому из которых соответствует свой способ защиты.

     Кроме того, следует учитывать мировой опыт по защите коммерческой информации. В разных странах существуют различные приоритетные направления защиты коммерческой информации (коммерческой тайны). Так, в Германии преобладают законодательные меры, в США и Франции, наряду с ними, предпочтение отдается организации собственных служб безопасности фирм, для Японии характерен корпоративный дух и долгосрочная занятость в фирме, в Великобритании защита обеспечивается договорными обязательствами².

     Принимая  во внимание российскую специфику, выделяются следующие основные способы защиты информации, которые могут использоваться предпринимателями:

     Законодательный. Основан на соблюдении тех прав предпринимателя  на конфиденциальную информацию, которые  содержатся в российском законодательстве. При обнаружении нарушения прав предпринимателя как собственника, владельца или пользователя информации должно быть обращение в соответствующие органы (МВД, ФСБ, прокуратуру, суд) для восстановления нарушенных прав, возмещения убытков и т.п.

     Физическая защита - охрана, пропускной режим, специальные карточки для посторонних, использование закрывающихся помещений, сейфов, шкафов и пр.

     Организационный. Он включает:

      - введение должности или создания  службы, ответственной за отнесением  определенной информации к категории конфиденциальной, соблюдением правил доступа и пользования этой информацией;

      - разделение информации по степени  конфиденциальности и организация  допуска к конфиденциальной информации  только в соответствии с должностью  или с разрешения руководства;

      - соблюдение правил пользования  информацией (не выносить за  пределы служебных помещений,  не оставлять без присмотра  во время обеда, включить сигнализацию  при уходе);

      - наличие постоянно действующей  системы контроля за соблюдением  правил доступа и пользования информацией (контроль может быть визуальный, документальный и др.).

     Технический. Используются такие средства контроля и защиты как сигнализирующие  устройства, видеокамеры, микрофоны, средства идентификации, а также программные  средства защиты компьютерных систем от несанкционированного доступа.