Обеспечения информационной безопасности и защиты. Основы информационной безопасности. Аппаратная и программная ИБ

С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Что защищать?

Какие виды угроз превалируют: внешние или внутренние?

Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
• сведения в открытом доступе;
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение;
• на доступ к личным персональным данным и внесение в них изменений;
• на блокирование персональных данных и доступа к ним;
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
• на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• документы всех типов: личные, служебные, государственные;
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

• ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
• IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Размещено на http://www.allbest.ru/

• Введение
• 1. Классификация информации
• 2. Информационная безопасность
• 2.1 Угрозы информации
• 2.2 Угрозы конфиденциальной информации.
• 2.3 Направления защиты информации
• 2.4 Система защиты информации
• Заключение
• Список используемых источников
• Введение
• Каждый информационный ресурс, будь то компьютер пользователя, сервер организации или сетевое оборудование, должен быть защищен от всевозможных угроз. Защищены должны быть файловые системы, сеть и т.д. Способы реализации защиты мы в этой статье рассматривать не будем ввиду их огромного разнообразия.
• Однако следует понимать, что обеспечить стопроцентную защиту невозможно. Вместе с тем нужно помнить: чем выше уровень защищенности, тем дороже система, тем более неудобной в использовании она получается для пользователя, что соответственно ведет к ухудшению защиты от человеческого фактора. Как пример вспомним, что чрезмерное усложнение пароля ведет к тому, что пользователь вынужден записывать его на бумажку, которую приклеивает к монитору, клавиатуре и пр.
• Существует широкий спектр программного обеспечения, направленного на решение задач защиты информации. Это антивирусные программы, брандмауэры, встроенные средства операционных систем и многое другое. Однако стоит помнить, что самым уязвимым звеном в защите всегда остается человек! Ведь работоспособность любого программного обеспечения зависит от качества его написания и грамотности администратора, который настраивает то или иное средство защиты.
• Многие организации в связи с этим создают службы (отделы) защиты информации или ставят соответствующие задачи перед своими ИТ-отделами. Вместе с тем нужно понимать, что нельзя взваливать на службу ИТ несвойственные ей функции. Об этом не раз уже говорилось и писалось. Итак, предположим, в вашей организации создан отдел информационной безопасности. Что делать дальше? С чего начать?
• Начинать нужно с обучения сотрудников! И в дальнейшем сделать этот процесс регулярным. Обучение персонала основам защиты информации должно стать постоянной задачей отдела защиты информации. И делать это нужно не реже двух раз в год.
• 1. Классификация информации
• Исторически сложилось так, что как только поднимается вопрос о классификации информации (в первую очередь это относится к информации, принадлежащей государству), ее сразу же начинают классифицировать по уровню секретности (конфиденциальности). О требованиях по обеспечению доступности, целостности, наблюдаемости если и вспоминают, то вскользь, в ряду общих требований к системам обработки информации.
• Если такой взгляд еще можно как-то оправдать необходимостью обеспечения государственной тайны, то перенос его в другую предметную область выглядит просто нелепо. Например, согласно требованиям украинского законодательства, собственник информации сам определяет уровень ее конфиденциальности (в случае, если эта информация не принадлежит государству).
• Во многих областях доля конфиденциальной информации сравнительно мала. Для открытой информации, ущерб от разглашения которой невелик, важнейшими могут быть такие свойства, как доступность, целостность или защищенность от неправомерного копирования. Рассмотрим в качестве примера веб-сайт интернет-издания. На первом месте будет стоять, на мой взгляд, доступность и целостность информации, а не ее конфиденциальность. Оценивать и классифицировать информацию только с позиции и секретности по меньшей мере непродуктивно.
• И объяснить это можно только узостью традиционного подхода к защите информации, отсутствием опыта в плане обеспечения доступности, целостности и наблюдаемости информации, которая не является секретной (конфиденциальной).
• Схема классификации информации по значимости
• ИНФОРМАЦИЯ

A. Особой важности (ОВ)

B. Совершенно секретно (СС)

C. секретно (с)

D. для служебного пользования

F. И открытого характера (О)

С точки зрения защиты у «Информации» можно выделить ряд существенных свойств:

1. Конфиденциальность - свойство информации, значение которого устанавливается владельцем информации, отражающее ограничение доступа к ней, согласно существующему законодательству.

2. Доступность - свойство информации, определяющее степень возможности получения информации.

3. Достоверность - свойство информации, определяющее степень доверия к ней.

4. Целостность - свойство информации, определяющее структурную пригодность информации к использованию.

Категории конфиденциальности защищаемой информации

· совершенно конфиденциально -- информация, признанная конфиденциальной в соответствии с требованиями закона, или информация, ограничение на распространение которой введено решением руководства вследствие того, что ее разглашение может привести к тяжелым финансово-экономическим последствиям для организации вплоть до банкротства;

· конфиденциально -- в данную категорию входит информация, не отнесенная к категории «совершенно конфиденциально», ограничения на распространение которой введены решением руководства в соответствии с предоставленными ему как собственнику информации действующим законодательством правами вследствие того, что ее разглашение может привести к значительным убыткам и утрате конкурентоспособности организации (нанесению существенного ущерба интересам его клиентов, партнеров или сотрудников);

· открытая -- к данной категории относится информация, обеспечение конфиденциальности которой не требуется.

Категории целостности защищаемой информации

· высокая -- информация, несанкционированная модификация или подделка которой может привести к нанесению значительного ущерба организации;

· низкая -- к данной категории относится информация, несанкционированная модификация которой может привести к нанесению незначительного ущерба организации, ее клиентам, партнерам или сотрудникам;

· нет требований -- к данной категории относится информация, к обеспечению целостности и аутентичности которой требований не предъявляется.

2. Информационная безопасность

В то время как информационная безопасность -- это состояние защищённости информационной среды, защита информации представляет собой деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию, то есть процесс, направленный на достижение этого состояния.

Информационная безопасность организации -- состояние защищённости информационной среды организации, обеспечивающее её формирование, использование и развитие.

В современном социуме информационная сфера имеет две составляющие: информационно-техническую (искусственно созданный человеком мир техники, технологий и т. п.) и информационно-психологическую (естественный мир живой природы, включающий и самого человека). Соответственно, в общем случае информационную безопасность общества (государства) можно представить двумя составными частями: информационно-технической безопасностью и информационно-психологической (психофизической) безопасностью.

Безопасность информации (данных) -- состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.

Информационная безопасность -- защита конфиденциальности, целостности и доступности информации.

Информационная безопасность (англ. information security) -- все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств её обработки.

2.1 Угрозы информации

Под угрозами информации, будем понимать потенциальные или реально возможные действия по отношению к информационной сфере, приводящие к несанкционированным изменениям свойств информации (конфиденциальность, доступность, достоверность, целостность).

По конечному проявлению можно выделить следующие угрозы информации:

1. Ознакомление.

2. Модификация.

3. Уничтожение.

4. Блокирование.

Конкретные реализации угроз информации называются - сценариями угроз информации.

Ознакомление с конфиденциальной информацией может проходить различными путями и способами, при этом существенным, является отсутствие изменений самой информации.

Нарушение конфиденциальности или секретности информации связано с ознакомлением с ней тех лиц, для которых она не предназначалась. Какая информация является конфиденциальной или секретной решает собственник или владелец этой информации. Они же определяют круг лиц, имеющих доступ к ней. Нарушение конфиденциальности информации может произойти путем ознакомления с ней лицами, не имеющими на то права и несанкционированной модификации грифа секретности (значимости).

Модификация информации направлена на изменение таких свойств как конфиденциальность, достоверность, целостность, при этом подразумевается изменение состава и содержания сведений. Модификация информации не подразумевает ее полное уничтожение.

Уничтожение информации направлено, как правило, на целостность информации и приводит к ее полному разрушению. Нарушение целостности информации заключается в утере информации. При утере информации она пропадает безвозвратно и не может быть восстановлена никакими средствами. Утеря может произойти из-за разрушения или уничтожения носителя информации или его пропажи, из-за стирания информации на носителях с многократной записью, из-за пропадания питания в устройствах с энергозависимой памятью. При уничтожении информации нарушается также свойство доступности информации.

Блокирование информации приводит к потере доступа к ней, т.е. к недоступности информации. Доступность информации заключается в том, что субъект, имеющей право на ее использование, должен иметь возможность на своевременное ее получение в удобном для него виде. При потере доступа к информации она по-прежнему существует, но воспользоваться ею нельзя. Т.е. субъект не может с ней ознакомиться, скопировать, передать другому субъекту или представить в виде удобном для использования. Потеря доступа может быть связана с отсутствием или неисправностью некоторого оборудования автоматизированных систем (АС), отсутствием какого-либо специалиста или недостаточной его квалификацией, отсутствием или неработоспособностью какого-то программного средства, использованием ресурсов АС для обработки посторонней информации, выходом из строя систем обеспечения АС и др. Так как информация не утеряна, то доступ к ней может быть получен после устранения причин потери доступа.

Перечисленные угрозы информации могут проявляться в виде комплекса последовательных и параллельных реализаций. Реализация угроз информации, связанная с нарушением свойств информации приводит к нарушению режима управления и в конечном итоге к моральным и (или) материальным потерям.

Перечисленные выше угрозы информации могут быть классифицированы по следующим направлениям:

по объектам:

· Персонал,

· материальные и финансовые ценности,

· информация;

по ущербу:

· Предельный,

· Значительный,

· Несущественный;

по причинам появления

· Стихийные,

· Преднамеренные;

по отношению к объекту:

· Внутренние,

· Внешние;

по характеру действия:

· Активные,

· Пассивные.

Источники информационных угроз могут быть как внутренними, так и внешними. Чаще всего такое деление происходит по территориальному признаку и по признаку принадлежности к объекту информационной защиты.

Источники информационных угроз

Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:

· 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;

· 17% угроз совершается извне -- внешние угрозы;

· 1% угроз совершается случайными лицами.

Информационные угрозы имеют векторный характер, т.е. всегда преследуют определенные цели и направлены на конкретные объекты.

Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

К наиболее важным объектам обеспечения информационной безопасности в правоохранительной и судебной сферах относятся:

· информационные ресурсы федеральных органов исполнительной власти, реализующих правоохранительные функции, судебных органов, их информационно-вычислительных центров, научно-исследовательских учреждений и учебных заведений, содержащие специальные сведения и оперативные данные служебного характера;

· информационно-вычислительные центры, их информационное, техническое, программное и нормативное обеспечение;

· информационная инфраструктура (информационно-вычислительные сети, пункты управления, узлы и линии связи).

2.2 Угрозы конфиденциальной информации.

Для систем информационного общения существует одно общее положение, очень важное для понимания информационной безопасности в целом. Информация всегда адресна и всегда имеет владельца. Более того, адресность не произвольна, а определяется собственником информации. Если это право подчеркивается в сообщении (указывается гриф секретности), то информация становится конфиденциальной. Получая данную информацию, пользователь не может произвольно ею распоряжаться, она ему не принадлежит (если не было передачи права собственности).

Право собственности определяется действующим в стране законодательством. В зависимости от вида собственности, конфиденциальная информация может быть отнесена к информации государственной, коммерческой, личной. Такое соотнесение делается соподчинено, с нисходящей иерархией.

Перечень сведений составляющих государственную тайну формирует государство в лице его институтов и учреждений. Эти сведения являются обязательной тайной для отдельных, нижестоящих по рангу, юридических и физических лиц страны.

Перечень сведений определяющих коммерческую тайну, формирует коммерческое предприятие. Оно же обеспечивает их сохранность и защиту.

Личную тайну определяет физическое лицо. Естественно, что сохранность и защита этих сведений - его забота, хотя правовая защита за государством.

Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

Действия, приводящие к незаконному овладению конфиденциальной информацией:

· Разглашение,

· Утечка,

· Несанкционированный доступ.

1. Разглашение -- это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации.

К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.).

Неформальные коммуникации включают личное общение, выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.).

Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства.

2. Утечка -- это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она доверена по техническим каналам утечки информации.

Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая (звук), либо электромагнитное излучение, либо лист бумаги и др.

С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации световые лучи, звуковые волны, электромагнитные волны, материалы и вещества.

Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям.

Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Для реализации этих действий злоумышленнику приходится проникать на объект защиты, используя различные технические средства. С развитием компьютерных технологий стал доступен дистанционный несанкционированный доступ к охраняемой информации или, иначе говоря - компьютерный взлом.

С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией:

ь Разглашение (излишняя болтливость сотрудников) - 32%;

ь Несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

ь Отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

ь Традиционный обмен производственным опытом - 12%;

ь Бесконтрольное использование информационных систем - 10%;

ь Наличие предпосылок возникновения среди сотрудников конфликтов - 8%.

2.3 Направления защиты информации

В литературе предлагается следующая классификация средств защиты информации.

· Средства защиты от несанкционированного доступа (НСД):

· Мандатное управление доступом;

· Избирательное управление доступом;

· Управление доступом на основе ролей;

· Журналирование (так же называется Аудит).

· Системы анализа и моделирования информационных потоков (CASE-системы).

· Системы мониторинга сетей:

· Системы обнаружения и предотвращения вторжений (IDS/IPS).

· Анализаторы протоколов.

· Антивирусные средства.

· Межсетевые экраны.

· Криптографические средства:

· Шифрование;

· Цифровая подпись.

· Системы резервного копирования.

· Системы бесперебойного питания:

· Источники бесперебойного питания;

· Резервирование нагрузки;

· Генераторы напряжения.

· Системы аутентификации:

· Пароль;

· Сертификат;

· Биометрия.

· Средства предотвращения взлома корпусов и краж оборудования.

· Средства контроля доступа в помещения.

· Инструментальные средства анализа систем защиты:

· Мониторинговый программный продукт.

С учетом сложившейся практики обеспечения информационной безопасности выделяют следующие направления защиты информации:

1. Правовая защита - это специальные законы, другие нормативные акты, правила, процедуры и мероприятия, обеспечивающие защиту информации на правовой основе;

2. Организационная защита - это регламентация деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз.

3. Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Для реализации защиты информации создается система безопасности.

Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз.

В рамках системы безопасности присутствует система защиты информации.

Организационное и инженерно-техническое обеспечение информационной безопасности.

Организационная защита - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявления внутренних и внешних угроз.

Организационная защита обеспечивает:

· организацию охраны, режима, работу с кадрами, с документами;

· использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз безопасности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы (или по крайней мере сводили бы к минимуму) возможность возникновения опасности конфиденциальной информации.

Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся в основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.

К основным организационным мероприятиям можно отнести:

· организацию режима и охраны. Их цель - исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей;

· создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа;

· контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы;

· организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;

· организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;

· организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;

· организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;

· организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;

· организацию работы по проведению систематического контроля за работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

· определение границ охраняемой зоны (территории);

· определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;

· определение «опасных», с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;

· выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;

· реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.

Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.

Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.

Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.

Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.

Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.

Специфической областью организационных мер является организация защиты ПЭВМ, информационных систем и сетей.

Инженерно-техническая защита - это совокупность специальных органов, технических средств и мероприятий по их использованию в интересах защиты конфиденциальной информации.

Средства инженерно-технической защиты по функциональному назначению средства инженерно-технической защиты классифицируются на следующие группы:

ь физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

ь аппаратные средства. Приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации;

ь программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и передачи) данных;

ь криптографические средства, специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования.

Очевидно, что такое деление средств защиты информации достаточно условно, так как на практике очень часто они и взаимодействуют и реализуются в комплексе в виде программно-аппаратных модулей с широким использованием алгоритмов закрытия информации.

Физические средства это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников.

К физическим средствам относятся механические, электромеханические, электронные, электронно-оптические, радиотехнические и другие устройства для воспрещения несанкционированного доступа (входа, выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий.

Эти средства применяются для решения следующих задач:

Охрана территории предприятия и наблюдение за ней;

Охрана зданий, внутренних помещений и контроль за ними;

Охрана оборудования, продукции, финансов и информации;

Осуществление контролируемого доступа в здания и помещения.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранная сигнализация и охранное телевидение, например, относятся к средствам обнаружения угроз. Заборы вокруг объектов - это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения, и от других преступных действий (подслушивание, обстрел, бросание гранат и взрывпакетов и др.). Средства пожаротушения относятся к системам ликвидации угроз.

В общем плане, по физической природе и функциональному назначению все средства этой категории можно разделить на следующие группы:

Охранные и охранно-пожарные системы;

Охранное телевидение;

Охранное освещение;

Средства физической защиты.

К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

Проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

Выявление каналов утечки информации на разных объектах и в помещениях;

Локализация каналов утечки информации;

Поиск и обнаружение средств промышленного шпионажа;

Противодействие несанкционированному доступу к источникам конфиденциальной информации и другим действиям.

В особую группу выделяются аппаратные средства защиты ЭВМ и коммуникационных систем на их базе.

Аппаратные средства защиты применяются как в отдельных ПЭВМ, так и на различных уровнях и участках сети: в центральных процессорах ЭВМ, в их оперативных ЗУ (ОЗУ), контроллерах ввода-вывода, внешних ЗУ, терминалах и др.

Для защиты центральных процессоров (ЦП) применяется кодовое резервирование - создание дополнительных битов в форматах машинных команд (разрядов секретности) и резервных регистров (в устройствах ЦП). Одновременно предусматриваются два возможных режима работы процессора, которые отделяют вспомогательные операции от операций непосредственного решения задач пользователя. Для этого служит специальная система прерывания, реализуемая аппаратными средствами.

Одной из мер аппаратной защиты ЭВМ и информационных сетей является ограничение доступа к оперативной памяти с помощью установления границ или полей. Для этого создаются регистры контроля и регистры защиты данных. Применяются также дополнительные биты четности - разновидность метода кодового резервирования.

Для обозначения степени конфиденциальности программ и данных, категорий пользователей используются биты, называемые битами конфиденциальности (это два-три дополнительных разряда, с помощью которых кодируются категории секретности пользователей, программ и данных).

Для предотвращения считывания оставшихся после обработки данных в ОЗУ применяется специальная схема стирания. В этом случае формируется команда на стирание ОЗУ и указывается адрес блока памяти, который должен быть освобожден от информации. Эта схема записывает нули или какую-нибудь другую последовательность символов во все ячейки данного блока памяти, обеспечивая надежное стирание ранее загруженных данных.

Аппаратные средства защиты применяются и в терминалах пользователей. Для предотвращения утечки информации при подключении незарегистрированного терминала необходимо перед выдачей запрашиваемых данных осуществить идентификацию (автоматическое определение кода или номера) терминала, с которого поступил запрос. В многопользовательском режиме этого терминала идентификации его недостаточно. Необходимо осуществить аутентификацию пользователя, то есть установить его подлинность и полномочия. Это необходимо и потому, что разные пользователи, зарегистрированные в системе, могут иметь доступ только к отдельным файлам и строго ограниченные полномочия их использования.

Для идентификации терминала чаще всего применяется генератор кода, включенный в аппаратуру терминала, а для аутентификации пользователя -- такие аппаратные средства, как ключи, персональные кодовые карты, персональный идентификатор, устройства распознавания голоса пользователя или формы его пальцев. Но наиболее распространенными средствами аутентификации являются пароли, проверяемые не аппаратными, а программными средствами опознавания.

Программные средства защиты.

Средства защиты компьютера от чужого вторжения весьма разнообразны и могут быть классифицированы на такие группы, как:

ь Средства собственной защиты, предусмотренные общим программным обеспечением. Элементы защиты присущие самому программному обеспечению или сопровождающие его продажу.

ь Средства защиты в составе вычислительной системы. Защита аппаратуры, дисков и штатных устройств. Выполнение программ зависит от определенных действий, специальных мер предосторожности.

ь Средства защиты с запросом информации. Требуют ввода дополнительной информации с целью идентификации полномочий пользователя.

ь Средства активной защиты. Инициируются при возникновении особых обстоятельств (ввод неправильного пароля и т.д.).

ь Средства пассивной защиты. Направлены на предостережение, контроль, поиск улик и т.д.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

Защита информации от несанкционированного доступа;

Защита информации и программ от копирования;

Защита информации и программ от вирусов;

Программная защита каналов связи.

По каждому из указанных направлений имеется достаточное количество качественных, разработанных профессиональными организациями и распространяемых на рынках программных продуктов.

Программные средства защиты имеют следующие разновидности специальных программ:

Идентификация технических средств, файлов и аутентификации пользователей;

Регистрация и контроль работы технических средств и пользователей;

Обслуживание режимов обработки информации ограниченного пользования;

Защита операционных средств ЭВМ и прикладных программ пользователей;

Уничтожение информации в ЗУ после использования;

Контроль использования ресурсов;

Вспомогательные программы защиты различного назначения.

Криптографические средства защиты

Преобразование математическими методами передаваемого по каналам связи секретного сообщения, телефонного разговора или компьютерных данных таким образом, что они становятся совершенно непонятными для посторонних лиц.

Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий помещений и технических средств, потенциально образующих каналы утечки информации.

В этих целях возможно использование:

Технических средств пассивной защиты, например фильтров ограничителей и тому подобных средств развязки акустических электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио и др.

Технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.

Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.

Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).

Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.

Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.

Технические мероприятия это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИ которых не превышают границу охраняемой территории.

Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.

Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.

Подавление - это создание активных помех средствам злоумышленников.

Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующие признаков деятельности и опознавания.

Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств фильтров и устройств зашумления.

2.4 Система защиты информации

информационный безопасность целостность

Под Системой безопасности будем понимать организационную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятий, государства от внутренних и внешних угроз

Система безопасности

ь Разработка планов и мер по защите информации;

ь Формирование, обеспечение и развитие органов, сил и средств обеспечения безопасности;

ь Восстановление объектов защиты

ь Выявление угрозы;

ь Предотвращение угрозы;

ь Нейтрализация угрозы;

ь Пресечение угрозы;

ь Локализация угрозы;

ь Отражение угрозы;

ь Уничтожение угрозы

Система защиты информации (СЗИ) - это организованная совокупность специальных органов средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.

С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:

1. Непрерывной.

2. Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.

3. Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.

4. Конкретной. Защищаются конкретные данные, объективно подлежащие защите.

5. Активной.

6. Надежной.

7. Универсальной. Распространяется на любые каналы утечки информации.

8. Комплексной. Применяются все необходимые виды и формы защиты.

Для реализации данных требований СЗИ может иметь следующее обеспечение:

1. Правовое.

2. Организационное. Различные виды служб.

3. Аппаратное. Технические средства защиты информации.

4. Информационное. Сведения, данные, показатели.

5. Программное. Программы.

6. Математическое. Математические методы.

7. Лингвистическое. Языковые средства общения.

8. Нормативно-методическое. Регламент деятельности служб, практические методики.

Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.

Способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.

Обеспечение информационной безопасности достигается системой мер, направленных на:

· предупреждение угроз. Предупреждение угроз -- это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;

· выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;

· обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;

· локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;

· ликвидацию последствий угроз и преступных действий и восстановление статус-кво.

Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.

Предупреждение угроз возможно и путем получения (если хотите -- и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.

В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.

Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции.

Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов.

Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.

Ликвидация последствий имеет целью восстановление состояния предшествовавшего наступлению угрозы.

Естественно предположить, что каждому виду угроз присущи его специфические способы, силы и средства.

Заключение

Поскольку человеческий фактор является ключевым для обеспечения должного уровня безопасности, то все сотрудники должны иметь представление о возможных угрозах и проблемах и должны в своей работе реализовывать политику информационной безопасности компании. Для достижения этого должно проводиться обучение сотрудников, имеющих доступ к важной информации.

Службой безопасности компании должны быть обеспечены физическая безопасность и контроль доступа к ресурсам:

· Рабочие места сотрудников, лаборатории и серверные должны располагаться в отдельных помещениях;

· Доступ к ресурсам, а также безопасность внутри центра разработки компании должны эффективно контролироваться с целью обеспечения непрерывности производственных процессов;

· Доступ к помещениям с дорогостоящими системами и носителями конфиденциальной информации должны контролироваться круглосуточно.

Также в компании должен быть разработан и внедрен план по обеспечению непрерывности бизнес-процессов. В этом плане должны быть определены основные риски и угрозы безопасности, методы предотвращения остановки ключевых производственных процессов и их восстановления после нештатных ситуаций. План должен включать в себя регулярное проведение внутренних аудитов, учений по восстановлению после аварий и ликвидации последствий чрезвычайных происшествий.

К техническим мерам по предупреждению утечки информации относится внедрение в компании информационных систем класса ILDP (Information Leakage Detection and Prevention). Это инструменты, призванные выполнять политики информационной безопасности. Технические средства должны анализировать информацию, передаваемую по возможным каналам, и, в случае обнаружения конфиденциальной информации, препятствовать ее утечке в соответствии с правилами и политикой информационной безопасности компании.

Важно помнить, что универсальной 100%-й защиты от утечки информации не существует нигде и не будет существовать никогда. Следовательно, степень защиты информации от утечки может быть определена как соотношение затрат на защиту и стоимости самой защищаемой информации.

Список и спользуем ой литературы

1. Бармен Скотт. Разработка правил информационной безопасности. М.: Вильямс, 2002. -- 208 с. -- ISBN 5-8459-0323-8, ISBN 1-5787-0264-X.

2. Бастриков, М.В. Информационные технологии управления: Учебное пособие /М.В.Бастриков, О.П.Пономарев; Институт «КВШУ».- Калининград: Изд-во Ин-та «КВШУ», 2005

3. Домарев В. В. Безопасность информационных технологий. Системный подход -- К.: ООО ТИД Диа Софт, 2004. -- 992 с.

4. Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.

5. Информационная безопасность и защита информации: Учебное пособие. - Ростов-на-Дону: Ростовский юридический институт МВД России, 2004. - 82 с.

6. Шаньгин В. Ф. Защита компьютерной информации. Эффективные методы и средства. М.: ДМК Пресс, 2008. -- 544 с. -- ISBN 5-94074-383-8.

7. Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. -- М.: Книжный мир, 2009. -- 352 с. -- ISBN 978-5-8041-0378-2.

8. «Служба защиты информации: первые шаги» //КомпьютерПресс 9"2008 (http://www.compress.ru/Index.aspx)

Размещено на Allbest.ru

...

Подобные документы

Состояние защищенности информации и информационной среды от случайных или преднамеренных воздействий. Цели информационной безопасности, классификация угроз. Обеспечение конфиденциальности, целостности, доступности информации; правовая защита человека.

презентация , добавлен 11.04.2016


Классификация информации по значимости. Категории конфиденциальности и целостности защищаемой информации. Понятие информационной безопасности, источники информационных угроз. Направления защиты информации. Программные криптографические методы защиты.

курсовая работа , добавлен 21.04.2015


Влияние вида деятельности предприятия на организацию комплексной системы защиты информации. Состав защищаемой информации. Потенциальные каналы несанкционированного доступа к информации организации. Эффективность системы информационной безопасности.

отчет по практике , добавлен 31.10.2013


Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.

реферат , добавлен 15.11.2011


Понятие и основные принципы обеспечения информационной безопасности. Понятие защищенности в автоматизированных системах. Основы законодательства РФ в области информационной безопасности и защиты информации, процессы лицензирования и сертификации.

курс лекций , добавлен 17.04.2012


Основные аспекты обеспечения информационной безопасности, конфиденциальности и целостности информации. Примеры угроз, которые являются нарушением целостности и доступности информации. Субъекты, объекты и операции в информационных системах, права доступа.

контрольная работа , добавлен 30.12.2010


Анализ информационной защищенности организации, предоставляющей услуги по распечатке изображений (принтов), логотипов, лозунгов. Средства архивации информации. Классификация компьютерных вирусов, антивирусные программы. Профилактика заражения компьютера.

отчет по практике , добавлен 19.12.2014


Структурная и пространственная модели банка. Условные цены единицы информации. Моделирование угроз безопасности. Система рангов наиболее опасных технических каналов утечки информации. Требования к организации информационной безопасности на предприятии.

контрольная работа , добавлен 24.04.2014


Под информационной безопасностью систем понимается поддержание физической сохранности, конфиденциальности, достоверности, своевременности информации, гарантированной работоспособности средств, используемых для ввода, хранения, обработки и передачи данных.

курсовая работа , добавлен 29.11.2008


Требования к информации: доступность, целостность и конфиденциальность. Модель CIA как информационная безопасность, строящаяся на защите доступности, целостности и конфиденциальности информации. Прямые и косвенные угрозы, средства защиты информации.

Если есть угроза - должны быть и методы защиты и противодействия. . Способы - это средства для достижения поставленных задач и порядок методов приемов использования сил по защите конфиденциальной информации.

Принцип действие человека на подсознании рассчитан на достижение положительных результатов. Опыт профессионалов в сфере защите информации достаточно ясно определил совокупность средств, сил и приемов, нацеленных на гарантирование информационной безопасности или информационной надежности.

Обеспечение информационной надежности или информационной безопасности достигается путем следующих действий направленных на:

• Выявление угроз выражается в порядочном анализе и контроле допустимых появлений потенциальных или реальных угроз а также своевременных мерах по их предупреждению;
• предупреждение угроз, достигается путем обеспечения информационной безопасности или информационной надежности в пользу упреждения и их возникновению
  на обнаружение угроз с анализом рисков;
• Включение мер по уничтожению угрозы или преступных действий и локализацию преступных действий;
• обнаружение угроз, достигается путем определения конкретных преступных действий и реальных угроз;
• ликвидацию последствий относительно угроз и преступных конкретных действий. Восстановление статус-кво (рис. 1).

Методы защиты информации:

• препятствие — средство физического преграждения действий злоумышленнику относительно критической информации
• управление доступом — средства защиты информации регулированием использования всех ресурсов ИС в ИТ. Такие методы должны защищать от к информации
• Алгоритмы шифрования — методы реализуют как при хранении так и при обработке информации. При передаче информации — это главный и единственный метод защиты
• Регламентация — создание условий для хранение и обработки информации в информационной системе, при которых стандартны и нормы по защите реализуются в наибольшей степени
• Принуждение — средство защиты, которое заставляет пользователей соблюдать правила работы в информационной системе
• Побуждение — средство защиты, побуждающее пользователей информационной системы не нарушать правила, за счет этических и моральных норм
• Аппаратные средства — устройства, которые встроенные в вычислительные механизмы или подключаются с помощью интерфейсов
• физические средства — разные инженерные сооружения, которые защищают персонал, информацию, устройства, вещи от злоумышленников
• Программные средства — ПО которое внедряется в информационную систему для реализации защиты
• Организационные средства — достигаются на основе нормативных документов, которые регулируют работу сотрудников таким образом, что бы реализовать максимальную защиту информационной системы

Предупреждение противоправных действий и возможных может быть обеспечено различными средствами и мерами, начиная от соблюдение отношений между сотрудниками организационными методами заканчивая защиты аппаратными, физическими,программными и методами( или или ). Предупреждение угроз также возможно этапом получения информации о подготовительных действиях, готовящихся актах, планируемых хищениях и других элементах преступных действий. Для таких целей нужна с информаторами в разных сферах действия с разными задачами. Одни наблюдают и дают объективную оценку происходящей ситуации. Другие оценивают отношения сотрудников внутри коллектива на различных уголках предприятия. Третьи работают среди преступных формирований и конкурентов.

Рисунок 1

Для предупреждения угроз очень существенно играет деятельность информационно-аналитической службы безопасности на основе анализа особой обстановки и деятельности злоумышленников и конкурентов. Если есть доступ к сети интернет, службе безопасности . А также или .

Защита от разглашения данных сводится к создании каталога сведений, представляющих коммерческую тайну на предприятии. Этот каталог сведений должен быть доведен до каждого работника на предприятии, с обязательством в письменном виде этого сотрудника сохранять эту тайну. Одним из важных действий служится система контроля за сбережение целостности и конфиденциальности коммерческих секретов.

Защита конфиденциальной информации от утечки работает на основе учета, выявления и контроля вероятных путей утечки в конкретных ситуациях а также осуществлению технических, организационных, организационно-технических мероприятий по их уничтожению.

Защита конфиденциальной информации от несанкционированного доступа действует на основе реализацией технических, организационных, организационно-технических процедур по противодействию НСД. А также контроля способов несанкционированного доступа и анализа.

На практике все мероприятия в определенной степени используют технические , и они подразделяются на три группы(рис. 2):

• организационные (в сфере технических средств);
• технические.
• организационно-технические;

Рисунок 2

Референция защитных действий

Защитная работа, а также приемы и процедуры по поддержании информационной безопасности классифицируют по характеристикам и по объектам защиты которые делятся на следующие параметры:

По ориентации — защитные методы можно классифицировать как действия, курс на защиту персонала, финансовых и материальных активов и информации как фонд.

По способам - это обнаружение (к примеру: ) или , предупреждение, выявление, пресечение и восстановление.

По направлениям - это защита на основе правовых методов, организационных и инженерно-технических действий.

По охвату защитные средства могут быть нацелены на защиту периметра предприятия, отдельных помещений, здания, конкретных групп аппаратуры, технических средств и систем, отдельных элементов (домов, помещений, аппаратуры) опасных с точки зрения НСД к ним.

Причиной информации могут быть , люди, отходы, технические средства и тд. Носители информации могут быть акустические и электромагнитные поля, либо вещества (изделие, бумага, материал). Средой распространения служит жесткие среды или воздушное пространство.

Правонарушитель может обладать всеми нужными средствами приема электромагнитной и акустической энергии, воздушное наблюдение и возможностью анализировать материалы представления информации.

Представления информации в вещественных формах. Для исключения неправомерного овладения конфиденциальной информацией, следует обработать сигнал или источник информации средствами шифрования приглушенные или других.

С повышением темпов использования и распространения информационных сетей ( или ) и ПК увеличивается роль разных факторов, вызывающих разглашение, утечку и НСД к информации. Таковыми являются:

• ошибки ;
• злоумышленные или несанкционированные поступки сотрудников и пользователей;
• дефолты аппаратуры ил баги в программах;
• стихийные катастрофы, крушение различного происхождения и опасности;
• ошибки пользователей и персонала;
• ошибки при .

В связи с этим, основные целb защиты информации в информационных сетях и ПК есть:

• предупреждение утечки информации и потерь, вмешательства и перехвата на всех степенях влияния, для всех объектов территориально разделенных;
• обеспечение прав пользователей и юридических норм в связи ДОСТУПА к информационным и остальным ресурсам, предполагающее административный смотр за информационной деятельностью, включая действия персональной ответственности за следованием режимов работы и правил пользования;

Рисунок 3

Выводы

1.Обеспечение информационной надежности или безопасности достигается организационными,техническими и организационно-техническими процедурами, любое из которых обеспечивается своеобразными методами, средствами и мерами, имеющими соответствующими параметрами.

2.Разнообразные действия и условия, способствующие незаконному или неправомерному усвоению конфиденциальными данными, вынуждает использовать не менее разнообразных способов, средств, сил и для обеспечения информационной безопасности или надежности.

3.Основными задачами охраны информации служит гарантирование конфиденциальности, целостности и достаточности информационных ресурсов. А также и внедрить ее в систему.

4.Методы обеспечения информационной защиты должны быть нацелены на упреждающий темперамент действий, наведенных на заблаговременные пути предупреждения вероятных угроз коммерческим секретам.

Н аучно-технический прогресс превратил информацию в продукт, который можно купить, продать, обменять. Нередко стоимость данных в несколько раз превышает цену всей технической системы, которая хранит и обрабатывает информацию.

Качество коммерческой информации обеспечивает необходимый экономический эффект для компании, поэтому важно охранять критически важные данные от неправомерных действий. Это позволит компании успешно конкурировать на рынке.

Определение информационной безопасности

Информационная безопасность (ИБ) - это состояние информационной системы, при котором она наименее восприимчива к вмешательству и нанесению ущерба со стороны третьих лиц. Безопасность данных также подразумевает управление рисками, которые связаны с разглашением информации или влиянием на аппаратные и программные модули защиты.

Безопасность информации, которая обрабатывается в организации, - это комплекс действий, направленных на решение проблемы защиты информационной среды в рамках компании. При этом информация не должна быть ограничена в использовании и динамичном развитии для уполномоченных лиц.

Требования к системе защиты ИБ

Защита информационных ресурсов должна быть:

1. Постоянной. Злоумышленник в любой момент может попытаться обойти модули защиты данных, которые его интересуют.

2. Целевой. Информация должна защищаться в рамках определенной цели, которую ставит организация или собственник данных.

3. Плановой. Все методы защиты должны соответствовать государственным стандартам, законам и подзаконным актам, которые регулируют вопросы защиты конфиденциальных данных.

4. Активной. Мероприятия для поддержки работы и совершенствования системы защиты должны проводиться регулярно.

5. Комплексной. Использование только отдельных модулей защиты или технических средств недопустимо. Необходимо применять все виды защиты в полной мере, иначе разработанная система будет лишена смысла и экономического основания.

6. Универсальной. Средства защиты должны быть выбраны в соответствии с существующими в компании каналами утечки.

7. Надежной. Все приемы защиты должны надежно перекрывать возможные пути к охраняемой информации со стороны злоумышленника, независимо от формы представления данных.

Перечисленным требованиям должна соответствовать и DLP-система. И лучше всего оценивать ее возможности на практике, а не в теории. Испытать «СёрчИнформ КИБ» можно бесплатно в течение 30 дней.

Модель системы безопасности

Информация считается защищенной, если соблюдаются три главных свойства.

Первое - целостность - предполагает обеспечение достоверности и корректного отображения охраняемых данных, независимо от того, какие системы безопасности и приемы защиты используются в компании. Обработка данных не должна нарушаться, а пользователи системы, которые работают с защищаемыми файлами, не должны сталкиваться с несанкционированной модификацией или уничтожением ресурсов, сбоями в работе ПО.

Второе - конфиденциальность - означает, что доступ к просмотру и редактированию данных предоставляется исключительно авторизованным пользователям системы защиты.

Третье - доступность - подразумевает, что все авторизованные пользователи должны иметь доступ к конфиденциальной информации.

Достаточно нарушить одно из свойств защищенной информации, чтобы использование системы стало бессмысленным.

Этапы создания и обеспечения системы защиты информации

На практике создание системы защиты информации осуществляется в три этапа.

На первом этапе разрабатывается базовая модель системы, которая будет функционировать в компании. Для этого необходимо проанализировать все виды данных, которые циркулируют в фирме и которые нужно защитить от посягательств со стороны третьих лиц. Планом работы на начальном этапе являются четыре вопроса:

1. Какиеисточники информации следует защитить?
2. Какова цельполучения доступа к защищаемой информации?

Целью может быть ознакомление, изменение, модификация или уничтожение данных. Каждое действие является противоправным, если его выполняет злоумышленник. Ознакомление не приводит к разрушению структуры данных, а модификация и уничтожение приводят к частичной или полной потере информации.

1. Что являетсяисточником конфиденциальной информации?

Источники в данном случае это люди и информационные ресурсы: документы, флеш-носители, публикации, продукция, компьютерные системы, средства обеспечения трудовой деятельности.

1. Способы получения доступа, и как защититься от несанкционированных попыток воздействия на систему?

Различают следующие способы получения доступа:

• Несанкционированный доступ - незаконное использование данных;
• Утечка - неконтролируемое распространение информации за пределы корпоративной сети. Утечка возникает из-за недочетов, слабых сторон технического канала системы безопасности;
• Разглашение - следствие воздействия человеческого фактора. Санкционированные пользователи могут разглашать информацию, чтобы передать конкурентам, или по неосторожности.

Второй этап включает разработку системы защиты. Это означает реализовать все выбранные способы, средства и направления защиты данных.

Система строится сразу по нескольким направлениям защиты, на нескольких уровнях, которые взаимодействуют друг с другом для обеспечения надежного контроля информации.

Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции. Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных.

Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и физическими носителями данных.

Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель - создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа. Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы.

Технический уровень условно разделяют на физический, аппаратный, программный и математический подуровни.

• физический - создание преград вокруг защищаемого объекта: охранные системы, зашумление, укрепление архитектурных конструкций;
• аппаратный - установка технических средств: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей;
• программный - установка программной оболочки системы защиты, внедрение правила разграничения доступа и тестирование работы;
• математический - внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.

Третий, завершающий этап - это поддержка работоспособности системы, регулярный контроль и управление рисками. Важно, чтобы модуль защиты отличался гибкостью и позволял администратору безопасности быстро совершенствовать систему при обнаружении новых потенциальных угроз.

Виды конфиденциальных данных

Конфиденциальные данные - это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно.

• Личные конфиденциальные данные: персональные данные граждан, право на личную жизнь, переписку, сокрытие личности. Исключением является только информация, которая распространяется в СМИ.
• Служебные конфиденциальные данные: информация, доступ к которой может ограничить только государство (органы государственной власти).
• Судебные конфиденциальные данные: тайна следствия и судопроизводства.
• Коммерческие конфиденциальные данные: все виды информации, которая связана с коммерцией (прибылью) и доступ к которой ограничивается законом или предприятием (секретные разработки, технологии производства и т.д.).
• Профессиональные конфиденциальные данные: данные, связанные с деятельностью граждан, например, врачебная, нотариальная или адвокатская тайна, разглашение которой преследуется по закону.

Угрозы конфиденциальности информационных ресурсов

Угроза - это возможные или действительные попытки завладеть защищаемыми информационными ресурсами.

Источниками угрозы сохранности конфиденциальных данных являются компании-конкуренты, злоумышленники, органы управления. Цель любой угрозы заключается в том, чтобы повлиять на целостность, полноту и доступность данных.

Угрозы бывают внутренними или внешними. Внешние угрозы представляют собой попытки получить доступ к данным извне и сопровождаются взломом серверов, сетей, аккаунтов работников и считыванием информации из технических каналов утечки (акустическое считывание с помощью жучков, камер, наводки на аппаратные средства, получение виброакустической информации из окон и архитектурных конструкций).

Внутренние угрозы подразумевают неправомерные действия персонала, рабочего отдела или управления фирмы. В результате пользователь системы, который работает с конфиденциальной информацией, может выдать информацию посторонним. На практике такая угроза встречается чаще остальных. Работник может годами «сливать» конкурентам секретные данные. Это легко реализуется, ведь действия авторизованного пользователя администратор безопасности не квалифицирует как угрозу.

Поскольку внутренние ИБ-угрозы связаны с человеческим фактором, отслеживать их и управлять ими сложнее. Предупреждать инциденты можно с помощью деления сотрудников на группы риска. С этой задачей справится - автоматизированный модуль для составления психологических профилей.

Попытка несанкционированного доступа может происходить несколькими путями:

• через сотрудников , которые могут передавать конфиденциальные данные посторонним, забирать физические носители или получать доступ к охраняемой информации через печатные документы;
• с помощью программного обеспечения злоумышленники осуществляют атаки, которые направлены на кражу пар «логин-пароль», перехват криптографических ключей для расшифровки данных, несанкционированного копирования информации.
• с помощью аппаратных компонентов автоматизированной системы, например, внедрение прослушивающих устройств или применение аппаратных технологий считывания информации на расстоянии (вне контролируемой зоны).

Аппаратная и программная ИБ

Все современные операционные системы оснащены встроенными модулями защиты данных на программном уровне. MAC OS, Windows, Linux, iOS отлично справляются с задачей шифрования данных на диске и в процессе передачи на другие устройства. Однако для создания эффективной работы с конфиденциальной информацией важно использовать дополнительные модули защиты.

Пользовательские ОС не защищают данные в момент передачи по сети, а системы защиты позволяют контролировать информационные потоки, которые циркулируют по корпоративной сети, и хранение данных на северах.

Аппаратно-программный модуль защиты принято разделять на группы, каждая из которых выполняет функцию защиты чувствительной информации:

• Уровень идентификации - это комплексная система распознавания пользователей, которая может использовать стандартную или многоуровневую аутентификацию, биометрию (распознавание лица, сканирование отпечатка пальца, запись голоса и прочие приемы).
• Уровень шифрования обеспечивает обмен ключами между отправителем и получателем и шифрует/дешифрует все данные системы.

Правовая защита информации

Правовую основу информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами и подзаконными актами.

Государство также определят меру ответственности за нарушение положений законодательства в сфере ИБ. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:

• Статья 272 «Неправомерный доступ к компьютерной информации»;
• Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
• Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».

Политика Информационной Безопасности.

1. Общие положения

Настоящая Политика информационной безопасности (далее – Политика ) определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач, а также организационных, технологических и процедурных аспектов обеспечения безопасности информации объектов информационной инфраструктуры, включающих совокупность информационных центров, банков данных и систем связи организации. Настоящая Политика разработана с учетом требований действующего законодательства РФ и ближайших перспектив развития объектов информационной инфраструктуры, а также характеристик и возможностей современных организационно-технических методов и аппаратно-программных средств защиты информации.

Основные положения и требования Политики распространяются на все структурные подразделения организации.

Политика является методологической основой для формирования и проведения единой политики в области обеспечения безопасности информации объектов информационной инфраструктуры, принятия согласованных управленческих решений и разработки практических мер, направленных на обеспечение информационной безопасности, координации деятельности структурных подразделений организации при проведении работ по созданию, развитию и эксплуатации объектов информационной инфраструктуры с соблюдением требований по обеспечению безопасности информации.

Политика не регламентирует вопросы организации охраны помещений и обеспечения сохранности и физической целостности компонентов информационной инфраструктуры, защиты от стихийных бедствий, и сбоев в системе энергоснабжения, однако предполагает построение системы информационной безопасности на тех же концептуальных основах, что и система безопасности организации в целом.

Реализация политики обеспечивается соответствующими руководствами, положениями, порядками, инструкциями, методическими указаниями и системой оценки информационной безопасности в организации.

В Политике используются следующие термины и определения:

Автоматизированная система (АС ) — система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.

Информационная инфраструктура — система организационных структур, обеспечивающих функционирование и развитие информационного пространства и средств информационного взаимодействия. Информационная инфраструктура включает совокупность информационных центров, банков данных и знаний, систем связи, обеспечивает доступ потребителей к информационным ресурсам.

Информационные ресурсы (ИР ) – это отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, базах данных и других информационных системах ).

Информационная система (ИС ) - система обработки информации и соответствующие организационные ресурсы (человеческие, технические, финансовые и т. д. ), которые обеспечивают и распространяют информацию.

Безопасность — состояние защищенности интересов (целей ) организации в условиях угроз.

Информационная безопасность (ИБ ) — безопасность, связанная с угрозами в информационной сфере. Защищенность достигается обеспечением совокупности свойств ИБ — доступности, целостности, конфиденциальности информационных активов. Приоритетность свойств ИБ определяется ценностью указанных активов для интересов (целей ) организации.

Доступность информационных активов — свойство ИБ организации, состоящее в том, что информационные активы предоставляются авторизованному пользователю, причем в виде и месте, необходимых пользователю, и в то время, когда они ему необходимы.

Целостность информационных активов — свойство ИБ организации сохранять неизменность или исправлять обнаруженные изменения в своих информационных активах.

Конфиденциальность информационных активов — свойство ИБ организации, состоящее в том, что обработка, хранение и передача информационных активов осуществляется таким образом, что информационные активы доступны только авторизованным пользователям, объектам системы или процессам.

Система информационной безопасности (СИБ ) — совокупность защитных мер, защитных средств и процессов их эксплуатации, включая ресурсное и административное (организационное ) обеспечение.

Несанкционированный доступ – доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации или получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающем необходимый для выполнения служебных обязанностей.

2. Общие требования по обеспечению информационной безопасности

Требования информационной безопасности (далее — ИБ ) определяют содержание и цели деятельности организации в рамках процессов управления ИБ.

Эти требования формулируются для следующих областей:

• назначение и распределение ролей и доверия к персоналу;
• стадий жизненного цикла объектов информационной инфраструктуры;
• защиты от несанкционированного доступа (далее — НСД ), управления доступом и регистрацией в автоматизированных системах, в телекоммуникационном оборудовании и автоматических телефонных станциях и т.д.;
• антивирусной защиты;
• использования ресурсов Интернет;
• использования средств криптографической защиты информации;
• защиты персональных данных.

3. Объекты, подлежащие защите

Основными объектами, подлежащими защите, являются:

• информационные ресурсы , представленные в виде документов и массивов информации, вне зависимости от формы и вида их представления, включающие в том числе конфиденциальную и открытую информацию;
• система формирования, распространения и использования информационных ресурсов , библиотеки, архивы, базы и банки данных, информационные технологии, регламенты и процедуры сбора, обработки, хранения и передачи информации, технический и обслуживающий персонал;
• информационная инфраструктура , включающая системы обработки и анализа информации, технические и программные средства ее обработки, передачи и отображения, в том числе каналы информационного обмена и телекоммуникации, системы и средства защиты информации, объекты и помещения, в которых размещены компоненты информационной инфраструктуры.

3.1. Особенности Автоматизированной системы

В АС циркулирует информация разных категорий. Защищаемая информация может быть совместно использована различными пользователями из различных подсетей единой корпоративной сети.

В ряде подсистем АС предусмотрено взаимодействие с внешними (государственными и коммерческими, российскими и зарубежными ) организациями по коммутируемым и выделенным каналам связи с использованием специальных средств передачи информации.

Комплекс технических средств АС включает средства обработки данных (рабочие станции, серверы БД, почтовые серверы и т.п. ), средства обмена данными в локальных вычислительных сетях с возможностью выхода в глобальные сети (кабельная система, мосты, шлюзы, модемы и т.д. ), а также средства хранения (в т.ч. архивирования ) данных.

К основным особенностям функционирования АС относятся:

• необходимость объединения в единую систему большого количества разнообразных технических средств обработки и передачи информации;
• большое разнообразие решаемых задач и типов, обрабатываемых данных;
• объединение в единых базах данных информации различного назначения, принадлежности и уровней конфиденциальности;
• наличие каналов подключения к внешним сетям;
• непрерывность функционирования;
• наличие подсистем с различными требованиями по уровням защищенности, физически объединенных в единую сеть;
• разнообразие категорий пользователей и обслуживающего персонала.

В общем виде, единая АС представляет собой совокупность локальных вычислительных сетей подразделений, объединенных между собой средствами телекоммуникаций. Каждая локальная вычислительная сеть объединяет ряд взаимосвязанных и взаимодействующих автоматизированных подсистем (технологических участков ), обеспечивающих решение задач отдельными структурными подразделениями организации.

Объекты информатизации включают:

• технологическое оборудование (средства вычислительной техники, сетевое и кабельное оборудование );
• информационные ресурсы;
• программные средства (операционные системы, системы управления базами данных, общесистемное и прикладное программное обеспечение );
• автоматизированные системы связи и передачи данных (средства телекоммуникации);
• каналы связи;
• служебные помещения.

3.2. Типы информационных активов организации, подлежащих защите

В подсистемах АС организации циркулирует информация различных уровней конфиденциальности, содержащая сведения ограниченного распространения (служебная, коммерческая, персональные данные ) и открытые сведения.

В документообороте АС присутствуют:

• платежные поручения и финансовые документы;
• отчеты (финансовые, аналитические и др. );
• сведения о лицевых счетах;
• персональные данные;
• другая информация ограниченного распространения.

Защите подлежит вся информация, циркулирующая в АС и содержащаяся в следующих типах информационных активов:

• сведения, составляющие коммерческую и служебную тайну, доступ к которым ограничен организацией, как собственником информации, в соответствии с предоставленными Федеральным законом «Об информации, информатизации и защите информации » правами и Федеральным законом «О коммерческой тайне »;
• персональные данные, доступ к которым ограничен в соответствии с Федеральным законом «О персональных данных »;
• открытые сведения, в части обеспечения целостности и доступности информации.

3.3. Категории пользователей Автоматизированной системы

В организации имеется большое число категорий пользователей и обслуживающего персонала, которые должны иметь различные полномочия по доступу к информационным ресурсам АС:

• простые пользователи (конечные пользователи, работники подразделений организации );
• администраторы серверов (файловых серверов, серверов приложений, серверов баз данных ), локальных вычислительных сетей и прикладных систем;
• системные программисты (ответственные за сопровождение общего программного обеспечения ) на серверах и рабочих станциях пользователей;
• разработчики прикладного программного обеспечения;
• специалисты по обслуживанию технических средств вычислительной техники;
• администраторы информационной безопасности и др.

3.4. Уязвимость основных компонентов Автоматизированной системы

Наиболее уязвимыми компонентами АС являются сетевые рабочие станции – автоматизированные рабочие места (далее – АРМ ) работников. С АРМ работников могут быть предприняты попытки несанкционированного доступа к информации или попытки несанкционированных действий (непреднамеренных и умышленных ) в компьютерной сети. Нарушения конфигурации аппаратно-программных средств рабочих станций и неправомерное вмешательство в процессы их функционирования могут приводить к блокированию информации, невозможности своевременного решения важных задач и выходу из строя отдельных АРМ и подсистем.

В особой защите нуждаются такие элементы сетей как выделенные файловые серверы, серверы баз данных и серверы приложений. Недостатки протоколов обмена и средств разграничения доступа к ресурсам серверов могут дать возможность несанкционированного доступа к защищаемой информации и оказания влияния на работу различных подсистем. При этом могут предприниматься попытки как удаленного (со станций сети ), так и непосредственного (с консоли сервера ) воздействия на работу серверов и их средств защиты.

Мосты, шлюзы, концентраторы, маршрутизаторы, коммутаторы и другие сетевые устройства, каналы и средства связи также нуждаются в защите. Они могут быть использованы нарушителями для реструктуризации и дезорганизации работы сети, перехвата передаваемой информации, анализа трафика и реализации других способов вмешательства в процессы обмена данными.

4. Основные принципы обеспечения информационной безопасности

4.1. Общие принципы безопасного функционирования

• Своевременность обнаружения проблем. Организация должна своевременно обнаруживать проблемы, потенциально способные повлиять на его бизнес-цели.
• Прогнозируемость развития проблем. Организация должна выявлять причинно-следственную связь возможных проблем и строить на этой основе точный прогноз их развития.
• Оценка влияния проблем на бизнес-цели. Организация должна адекватно оценивать степень влияния выявленных проблем.
• Адекватность защитных мер. Организация должна выбирать защитные меры, адекватные моделям угроз и нарушителей, с учетом затрат на реализацию таких мер и объема возможных потерь от выполнения угроз.
• Эффективность защитных мер. Организация должна эффективно реализовывать принятые защитные меры.
• Использование опыта при принятии и реализации решений. Организация должна накапливать, обобщать и использовать как свой опыт, так и опыт других организаций на всех уровнях принятия решений и их исполнения.
• Непрерывность принципов безопасного функционирования. Организация должна обеспечивать непрерывность реализации принципов безопасного функционирования.
• Контролируемость защитных мер. Организация должна применять только те защитные меры, правильность работы которых может быть проверена, при этом организация должна регулярно оценивать адекватность защитных мер и эффективность их реализации с учетом влияния защитных мер на бизнес-цели организации.

4.2. Специальные принципы обеспечения информационной безопасности

• Реализация специальных принципов обеспечения ИБ направлена на повышение уровня зрелости процессов управления ИБ в организации.
• Определенность целей. Функциональные цели и цели ИБ организации должны быть явно определены во внутреннем документе. Неопределенность приводит к “расплывчатости ” организационной структуры, ролей персонала, политик ИБ и невозможности оценки адекватности принятых защитных мер.
• Знание своих клиентов и работников. Организация должна обладать информацией о своих клиентах, тщательно подбирать персонал (работников ), вырабатывать и поддерживать корпоративную этику, что создает благоприятную доверительную среду для деятельности организации по управлению активами.
• Персонификация и адекватное разделение ролей и ответственности. Ответственность должностных лиц организации за решения, связанные с ее активами, должна персонифицироваться и осуществляться преимущественно в форме поручительства. Она должна быть адекватной степени влияния на цели организации, фиксироваться в политиках, контролироваться и совершенствоваться.
• Адекватность ролей функциям и процедурам и их сопоставимость с критериями и системой оценки. Роли должны адекватно отражать исполняемые функции и процедуры их реализации, принятые в организации. При назначении взаимосвязанных ролей должна учитываться необходимая последовательность их выполнения. Роль должна быть согласована с критериями оценки эффективности ее выполнения. Основное содержание и качество исполняемой роли реально определяются применяемой к ней системой оценки.
• Доступность услуг и сервисов. Организация должна обеспечить для своих клиентов и контрагентов доступность услуг и сервисов в установленные сроки, определенные соответствующими договорами (соглашениями ) и/или иными документами.
• Наблюдаемость и оцениваемость обеспечения ИБ. Любые предлагаемые защитные меры должны быть устроены так, чтобы результат их применения был явно, наблюдаем (прозрачен ) и мог быть оценен подразделением организации, имеющим соответствующие полномочия.

5. Цели и задачи обеспечения информации безопасности

5.1. Субъекты информационных отношений в Автоматизированной системе

Субъектами правоотношений при использовании АС и обеспечении безопасности информации являются:

• Организация как собственник информационных ресурсов;
• подразделения организации, обеспечивающие эксплуатацию АС;
• работники структурных подразделений организации, как пользователи и поставщики информации в АС в соответствии с возложенными на них функциями;
• юридические и физические лица, сведения о которых накапливаются, хранятся и обрабатываются в АС;
• другие юридические и физические лица, задействованные в процессе создания и функционирования АС (разработчики компонент системы, организации, привлекаемые для оказания различных услуг в области информационных технологий и др. ).

Перечисленные субъекты информационных отношений заинтересованы в обеспечении:

• конфиденциальности определенной части информации;
• достоверности (полноты, точности, адекватности, целостности ) информации;
• защиты от навязывания ложной (недостоверной, искаженной ) информации;
• своевременного доступа к необходимой информации;
• разграничения ответственности за нарушения законных прав (интересов ) других субъектов информационных отношений и установленных правил обращения с информацией;
• возможности осуществления непрерывного контроля и управления процессами обработки и передачи информации;
• защиты части информации от незаконного ее тиражирования (защиты авторских прав, прав собственника информации и т.п. ).

5.2. Цель обеспечения безопасности информации

Основной целью обеспечения безопасности информации является защита субъектов информационных отношений от возможного нанесения им материального, морального или иного ущерба посредством случайного или преднамеренного несанкционированного вмешательства в процесс функционирования АС или несанкционированного доступа к циркулирующей в ней информации и ее незаконного использования.

Указанная цель достигается посредством обеспечения и постоянного поддержания следующих свойств информации и автоматизированной системы ее обработки:

• доступности обрабатываемой информации для зарегистрированных пользователей;
• конфиденциальности определенной части информации, хранимой, обрабатываемой и передаваемой по каналам связи;
• целостности и аутентичности информации, хранимой, обрабатываемой и передаваемой по каналам связи.

5.3. Задачи обеспечения безопасности информации

Для достижения основной цели обеспечения безопасности информации система информационной безопасности АС должна обеспечивать эффективное решение следующих задач:

• защиту от вмешательства в процесс функционирования АС посторонних лиц;
• разграничение доступа зарегистрированных пользователей к аппаратным, программным и информационным ресурсам АС, то есть защиту от несанкционированного доступа;
• регистрацию действий пользователей при использовании защищаемых ресурсов АС в системных журналах и периодический контроль корректности действий пользователей системы путем анализа содержимого этих журналов специалистами подразделений безопасности;
• защиту от несанкционированной модификации и контроль целостности (обеспечение неизменности ) среды исполнения программ и ее восстановление в случае нарушения;
• защиту от несанкционированной модификации и контроль целостности используемых в АС программных средств, а также защиту системы от внедрения несанкционированных программ, включая компьютерные вирусы;
• защиту информации от утечки по техническим каналам при ее обработке, хранении и передаче по каналам связи;
• защиту информации, хранимой, обрабатываемой и передаваемой по каналам связи, от несанкционированного разглашения или искажения;
• обеспечение аутентификации пользователей, участвующих в информационном обмене;
• обеспечение живучести криптографических средств защиты информации при компрометации части ключевой системы;
• своевременное выявление источников угроз безопасности информации, причин и условий, способствующих нанесению ущерба заинтересованным субъектам информационных отношений, создание механизма оперативного реагирования на угрозы безопасности информации и негативные тенденции;
• создание условий для минимизации и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, ослабление негативного влияния и ликвидация последствий нарушения безопасности информации.

5.4. Пути решения задач обеспечения безопасности информации

Решение задач обеспечения безопасности информации достигается:

• строгим учетом всех подлежащих защите ресурсов системы (информации, задач, каналов связи, серверов, АРМ );
• регламентацией процессов обработки информации и действий работников структурных подразделений организации, а также действий персонала, осуществляющего обслуживание и модификацию программных и технических средств АС, на основе организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• полнотой, реальной выполнимостью и непротиворечивостью требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• назначением и подготовкой работников, ответственных за организацию и осуществление практических мероприятий по обеспечению безопасности информации;
• наделением каждого работника минимально необходимыми для выполнения им своих функциональных обязанностей полномочиями по доступу к ресурсам АС;
• четким знанием и строгим соблюдением всеми работниками, использующими и обслуживающими аппаратные и программные средства АС, требований организационно-распорядительных документов по вопросам обеспечения безопасности информации;
• персональной ответственностью за свои действия каждого работника, участвующего в рамках своих функциональных обязанностей, в процессах автоматизированной обработки информации и имеющего доступ к ресурсам АС;
• реализацией технологических процессов обработки информации с использованием комплексов организационно-технических мер защиты программного обеспечения, технических средств и данных;
• принятием эффективных мер обеспечения физической целостности технических средств и непрерывным поддержанием необходимого уровня защищенности компонентов АС;
• применением технических (программно-аппаратных) средств защиты ресурсов системы и непрерывной административной поддержкой их использования;
• разграничением потоков информации и запрещением передачи информации ограниченного распространения по незащищенным каналам связи;
• эффективным контролем за соблюдением работниками требований по обеспечению безопасности информации;
• постоянным мониторингом сетевых ресурсов, выявлением уязвимостей, своевременным обнаружением и нейтрализацией внешних и внутренних угроз безопасности компьютерной сети;
• юридической защитой интересов организации от противоправных действий в области информационной безопасности.
• проведением постоянного анализа эффективности и достаточности принятых мер и применяемых средств защиты информации, разработкой и реализацией предложений по совершенствованию системы защиты информации в АС.

6.Угрозы безопасности информации

6.1. Угрозы безопасности информации и их источники

Наиболее опасными угрозами безопасности информации, обрабатываемой в АС, являются:

• нарушение конфиденциальности (разглашение, утечка ) сведений, составляющих служебную или коммерческую тайну, в том числе персональных данных;
• нарушение работоспособности (дезорганизация работы ) АС, блокирование информации, нарушение технологических процессов, срыв своевременного решения задач;
• нарушение целостности (искажение, подмена, уничтожение ) информационных, программных и других ресурсов АС.

Основными источниками угроз безопасности информации АС являются:

• неблагоприятные события природного и техногенного характера;
• террористы, криминальные элементы;
• компьютерные злоумышленники, осуществляющие целенаправленные деструктивные воздействия, в том числе использование компьютерных вирусов и других типов вредоносных кодов и атак;
• поставщики программно-технических средств, расходных материалов, услуг и т.п.;
• подрядчики, осуществляющие монтаж, пусконаладочные работы оборудования и его ремонт;
• несоответствие требованиям надзорных и регулирующих органов, действующему законодательству;
• сбои, отказы, разрушения/повреждения программных и технических средств;
• работники, являющиеся легальными участниками процессов в АС и действующие вне рамок предоставленных полномочий;
• работники, являющиеся легальными участниками процессов в АС и действующие в рамках предоставленных полномочий.

6.2. Непреднамеренные действия, приводящие к нарушению информационной безопасности, и меры по их предотвращению

Работники организации, имеющие непосредственный доступ к процессам обработки информации в АС, являются потенциальным источником непреднамеренных случайных действий, которые могут привести к нарушению информационной безопасности.

Основные непреднамеренные действия, приводящие к нарушению информационной безопасности (действия, совершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла ) и меры по предотвращению подобных действий и минимизации наносимого ими ущерба приведены в Таблице 1 .

Таблица 1

Основные действия, приводящие к нарушению информационной безопасности
Действия работников, приводящие к частичному или полному отказу системы или нарушению работоспособности аппаратных или программных средств; отключению оборудования или изменение режимов работы устройств и программ; разрушению информационных ресурсов системы (неумышленная порча оборудования, удаление, искажение программ или файлов с важной информацией, в том числе системных, повреждение каналов связи, неумышленная порча носителей информации и т.п. )	Организационные меры (). Применение физических средств, препятствующих неумышленному совершению нарушения. Применение технических (аппаратно-программных ) средств разграничения доступа к ресурсам. Резервирование критичных ресурсов.
Несанкционированный запуск программ, способных при некомпетентном использовании вызывать потерю работоспособности системы (зависания или зацикливания ) или осуществляющих необратимые изменения в системе (форматирование или реструктуризацию носителей информации, удаление данных и т.п. )	Организационные меры (удаление всех потенциально опасных программ с АРМ ). Применение технических (аппаратно-программных ) средств разграничения доступа к программам на АРМ.
Несанкционированное внедрение и использование неучтенных программ (игровых, обучающих, технологических и других, не являющихся необходимыми для выполнения работниками своих служебных обязанностей ) с последующим необоснованным расходованием ресурсов (процессорного времени, оперативной памяти, памяти на внешних носителях и т.п. )	Организационные меры (введение запретов ). Применение технических (аппаратно-программных ) средств, препятствующих несанкционированному внедрению и использованию неучтенных программ.
Непреднамеренное заражение компьютера вирусами	Организационные меры (регламентация действий, введение запретов ). Технологические меры (применение специальных программ обнаружения и уничтожения вирусов ). Применение аппаратно-программных средств, препятствующих заражению компьютерными вирусами.
Разглашение, передача или утрата атрибутов разграничения доступа (паролей, ключей шифрования или ЭП, идентификационных карточек, пропусков и т.п. )	Организационные меры (регламентация действий, введение запретов, усиление ответственности ). Применение физических средств обеспечения сохранности указанных реквизитов.
Игнорирование организационных ограничений (установленных правил ) при работе в системе	Организационные меры (). Использование дополнительных физических и технических средств защиты.
Некомпетентное использование, настройка или неправомерное отключение средств защиты персоналом подразделения безопасности	Организационные меры (обучение персонала, усиление ответственности и контроля ).
Ввод ошибочных данных	Организационные меры (усиление ответственности и контроля ). Технологические меры контроля за ошибками операторов ввода данных.

6.3. Умышленные действия по нарушению информационной безопасности и меры по их предотвращению

Основные умышленные действия (с корыстными целями, по принуждению, из желания отомстить и т.п. ), приводящие к нарушению информационной безопасности АС, и меры по их предотвращению и снижению возможного наносимого ущерба приведены в Таблице 2 .

Таблица 2

Основные умышленные действия, приводящие к нарушению информационной безопасности	Меры по предотвращению угроз и минимизации ущерба
Физическое разрушение или вывод из строя всех или отдельных наиболее важных компонентов автоматизированной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п. ), отключение или вывод из строя подсистем обеспечения функционирования вычислительных систем (электропитания, линий связи и т.п. )	Организационные меры (регламентация действий, введение запретов ). Применение физических средств, препятствующих умышленному совершению нарушения. Резервирование критичных ресурсов.
Внедрение агентов в число персонала системы (в том числе, в административную группу, отвечающую за безопасность ), вербовка (путем подкупа, шантажа, угроз и т.п. ) пользователей, имеющих определенные полномочия по доступу к защищаемым ресурсам	Организационные меры (подбор, расстановка и работа с кадрами, усиление контроля и ответственности ). Автоматическая регистрация действий персонала.
Хищение носителей информации (распечаток, магнитных дисков, лент, запоминающих устройств и целых ПЭВМ ), хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п. )	Организационные меры ().
Несанкционированное копирование носителей информации, чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств	Организационные меры (организация хранения и использования носителей с защищаемой информацией ). Применение технических средств разграничения доступа к защищаемым ресурсам и автоматической регистрации получения твердых копий документов.
Незаконное получение паролей и других реквизитов разграничения доступа (агентурным путем, используя халатность пользователей, путем подбора, путем имитации интерфейса системы программными закладками и т.д. ) с последующей маскировкой под зарегистрированного пользователя.	Организационные меры (регламентация действий, введение запретов, работа с кадрами ). Применение технических средств, препятствующих внедрению программ перехвата паролей, ключей и других реквизитов.
Несанкционированное использование АРМ пользователей, имеющих уникальные физические характеристики, такие как номер рабочей станции в сети, физический адрес, адрес в системе связи, аппаратный блок кодирования и т.п.	Организационные меры (строгая регламентация доступа в помещения и допуска к работам на данных АРМ ). Применение физических и технических средств разграничения доступа.
Несанкционированная модификация программного обеспечения – внедрение программных «закладок» и «вирусов» («троянских коней» и «жучков» ), то есть таких участков программ, которые не нужны для осуществления заявленных функций, но позволяющих преодолевать систему защиты, скрытно и незаконно осуществлять доступ к системным ресурсам с целью регистрации и передачи защищаемой информации или дезорганизации функционирования системы	Организационные меры (строгая регламентация допуска к работам ). Применение физических и технических средств разграничения доступа и препятствующих несанкционированной модификации аппаратно-программной конфигурации АРМ. Применение средств контроля целостности программ.
Перехват данных, передаваемых по каналам связи, их анализ с целью получения конфиденциальной информации и выяснения протоколов обмена, правил вхождения в сеть и авторизации пользователей, с последующими попытками их имитации для проникновения в систему	Физическая защита каналов связи. Применение средств криптографической защиты передаваемой информации.
Вмешательство в процесс функционирования системы из сетей общего пользования с целью несанкционированной модификации данных, доступа к конфиденциальной информации, дезорганизации работы подсистем и т.п.	Организационные меры (регламентация подключения и работы в сетях общего пользования ). Применение специальных технических средств защиты (межсетевых экранов, средств контроля защищенности и обнаружения атак на ресурсы системы и т.п. ).

6.4. Утечка информации по техническим каналам

При эксплуатации технических средств АС возможны следующие каналы утечки или нарушения целостности информации, нарушения работоспособности технических средств:

• побочные электромагнитные излучения информативного сигнала от технических средств и линий передачи информации;
• наводки информативного сигнала, обрабатываемого на средствах электронно-вычислительной техники, на провода и линии, выходящие за пределы контролируемой зоны офисов, в т.ч. на цепи заземления и электропитания;
• различные электронные устройства перехвата информации (в т.ч. «закладки» ), подключенные к каналам связи или техническим средствам обработки информации;
• просмотр информации с экранов дисплеев и других средств ее отображения с помощью оптических средств;
• воздействие на технические или программные средства в целях нарушения целостности (уничтожения, искажения ) информации, работоспособности технических средств, средств защиты информации и своевременности информационного обмена, в том числе электромагнитное, через специально внедренные электронные и программные средства («закладки» ).

С учетом специфики обработки и обеспечения безопасности информации угрозы утечки конфиденциальной информации (в том числе персональных данных ) по техническим каналам являются для организации неактуальными.

6.5. Неформальная модель вероятного нарушителя

Нарушитель — это лицо, которое предприняло попытку выполнения запрещенных операций (действий ) по ошибке, незнанию или осознанно со злым умыслом (из корыстных интересов ) или без такового (ради игры или удовольствия, с целью самоутверждения и т.п. ) и использующее для этого различные возможности, методы и средства.

Система защиты АС должна строиться исходя из предположений о следующих возможных типах нарушителей в системе (с учетом категории лиц, мотивации, квалификации, наличия специальных средств и др. ):

• «Неопытный (невнимательный) пользователь » – работник, который может предпринимать попытки выполнения запрещенных операций, доступа к защищаемым ресурсам АС с превышением своих полномочий, ввода некорректных данных и т.п. действия по ошибке, некомпетентности или халатности без злого умысла и использующий при этом только штатные (доступные ему ) аппаратные и программные средства.
• «Любитель » — работник, пытающийся преодолеть систему защиты без корыстных целей и злого умысла, для самоутверждения или из «спортивного интереса ». Для преодоления системы защиты и совершения запрещенных действий он может использовать различные методы получения дополнительных полномочий доступа к ресурсам (имен, паролей и т.п. других пользователей ), недостатки в построении системы защиты и доступные ему штатные (установленные на рабочей станции ) программы (несанкционированные действия посредством превышения своих полномочий на использование разрешенных средств ). Помимо этого, он может пытаться использовать дополнительно нештатные инструментальные и технологические программные средства (отладчики, служебные утилиты ), самостоятельно разработанные программы или стандартные дополнительные технические средства.
• «Мошенник » – работник, который может предпринимать попытки выполнения незаконных технологических операций, ввода подложных данных и тому подобные действия в корыстных целях, по принуждению или из злого умысла, но использующий при этом только штатные (установленные на рабочей станции и доступные ему ) аппаратные и программные средства от своего имени или от имени другого работника (зная его имя и пароль, используя его кратковременное отсутствие на рабочем месте и т.п. ).
• «Внешний нарушитель (злоумышленник) » — постороннее лицо или бывший работник, действующий целенаправленно из корыстных интересов, из мести или из любопытства, возможно в сговоре с другими лицами. Он может использовать весь набор способов нарушения безопасности информации, методов и средств взлома систем защиты, характерных для сетей общего пользования (в особенности сетей на основе IP-протокола ), включая удаленное внедрение программных закладок и использование специальных инструментальных и технологических программ, используя имеющиеся слабости протоколов обмена и системы защиты узлов сети АС организации.
• «Внутренний злоумышленник » — работник, зарегистрированный как пользователь системы, действующий целенаправленно из корыстных интересов или мести, возможно в сговоре с лицами, не являющимися работниками организации. Он может использовать весь набор методов и средств взлома системы защиты, включая агентурные методы получения реквизитов доступа, пассивные средства (технические средства перехвата без модификации компонентов системы), методы и средства активного воздействия (модификация технических средств, подключение к каналам передачи данных, внедрение программных закладок и использование специальных инструментальных и технологических программ ), а также комбинации воздействий как изнутри, так и из сетей общего пользования.

Внутренним нарушителем может быть лицо из следующих категорий персонала:

• зарегистрированные конечные пользователи АС (работники подразделений и филиалов );
• работники, не допущенные к работе с АС;
• персонал, обслуживающий технические средства АС (инженеры, техники );
• работники подразделений разработки и сопровождения программного обеспечения (прикладные и системные программисты );
• технический персонал, обслуживающий здания и помещения организации (уборщицы, электрики, сантехники и другие работники, имеющие доступ в здания и помещения, где расположены компоненты АС );
• руководители различных уровней.

• уволенные работники;
• представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности организации (энерго- , водо- , теплоснабжения и т.п. );
• представители фирм, поставляющих технику, программное обеспечение, услуги и т.п.;
• члены преступных организаций и конкурирующих коммерческих структур или лица, действующие по их заданию;
• лица, случайно или умышленно проникшие в сети из внешних сетей («хакеры» ).

Пользователи и обслуживающий персонал из числа работников имеют наиболее широкие возможности по осуществлению несанкционированных действий, вследствие наличия у них определенных полномочий по доступу к ресурсам и хорошего знания технологии обработки информации. Действия этой группы нарушителей напрямую связаны с нарушением действующих правил и инструкций. Особую опасность эта группа нарушителей представляет при взаимодействии с криминальными структурами.

Уволенные работники могут использовать для достижения целей свои знания о технологии работы, защитных мерах и правах доступа.

Криминальные структуры представляют наиболее агрессивный источник внешних угроз. Для осуществления своих замыслов эти структуры могут идти на открытое нарушение закона и вовлекать в свою деятельность работников организации всеми доступными им силами и средствами.

Хакеры имеют наиболее высокую техническую квалификацию и знания о слабостях программных средств, используемых в АС. Наибольшую угрозу они представляют при взаимодействии с работающими или уволенными работниками и криминальными структурами.

Организации, занимающиеся разработкой, поставкой и ремонтом оборудования, информационных систем, представляют внешнюю угрозу в силу того, что эпизодически имеют непосредственный доступ к информационным ресурсам. Криминальные структуры могут использовать эти организации для временного устройства на работу своих членов с целью доступа к защищаемой информации.

7. Техническая политика в области обеспечения безопасности информации

7.1. Основные положения технической политики

Реализация технической политики в области обеспечения безопасности информации должна исходить из предпосылки, что невозможно обеспечить требуемый уровень защищенности информации не только с помощью одного отдельного средства (мероприятия ), но и с помощью их простой совокупности. Необходимо их системное согласование между собой (комплексное применение ), а отдельные разрабатываемые элементы АС должны рассматриваться как часть единой информационной системы в защищенном исполнении при оптимальном соотношении технических (аппаратных, программных ) средств и организационных мероприятий.

Основными направлениями реализации технической политики обеспечения безопасности информации АС является обеспечение защиты информационных ресурсов от хищения, утраты, утечки, уничтожения, искажения или подделки за счет несанкционированного доступа и специальных воздействий.

В рамках указанных направлений технической политики обеспечения безопасности информации осуществляются:

• реализация разрешительной системы допуска исполнителей (пользователей, обслуживающего персонала ) к работам, документам и информации конфиденциального характера;
• ограничение доступа исполнителей и посторонних лиц в здания и помещения, где проводятся работы конфиденциального характера и размещены средства информатизации и коммуникации, на которых обрабатывается (хранится, передается ) информация конфиденциального характера, непосредственно к самим средствам информатизации и коммуникациям;
• разграничение доступа пользователей и обслуживающего персонала к информационным ресурсам, программным средствам обработки и защиты информации в подсистемах различного уровня и назначения, входящих в АС;
• учет документов, информационных массивов, регистрация действий пользователей и обслуживающего персонала, контроль за несанкционированным доступом и действиями пользователей, обслуживающего персонала и посторонних лиц;
• предотвращение внедрения в автоматизированные подсистемы программ-вирусов, программных закладок;
• криптографическая защита информации, обрабатываемой и передаваемой средствами вычислительной техники и связи;
• надежное хранение машинных носителей информации, криптографических ключей (ключевой информации ) и их обращение, исключающее хищение, подмену и уничтожение;
• необходимое резервирование технических средств и дублирование массивов и носителей информации;
• снижение уровня и информативности побочных излучений и наводок, создаваемых различными элементами автоматизированных подсистем;
• электрическая развязка цепей питания, заземления и других цепей объектов информатизации, выходящих за пределы контролируемой зоны;
• противодействие оптическим и лазерным средствам наблюдения.

7.2. Формирование режима безопасности информации

С учетом выявленных угроз безопасности АС режим безопасности информации должен формироваться как совокупность способов и мер защиты циркулирующей в АС информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации.

Комплекс мер по формированию режима безопасности информации включает:

• установление в АС организационно-правового режима безопасности информации (нормативные документы, работа с персоналом, делопроизводство );
• выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам;
• организационные и программно-технические мероприятия по предупреждению несанкционированных действий (доступа ) к информационным ресурсам АС;
• комплекс мероприятий по контролю функционирования средств и систем защиты информационных ресурсов ограниченного распространения после случайных или преднамеренных воздействий.

8. Меры, методы и средства обеспечения безопасности информации

8.1. Организационные меры

Организационные меры — это меры организационного характера, регламентирующие процессы функционирования АС, использование их ресурсов, деятельность обслуживающего персонала, а также порядок взаимодействия пользователей с системой таким образом, чтобы в наибольшей степени затруднить или исключить возможность реализации угроз безопасности и снизить размер ущерба в случае их реализации.

8.1.1. Формирование политики безопасности

Главная цель организационных мер — сформировать политику в области обеспечения безопасности информации, отражающую подходы к защите информации, и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.

С практической точки зрения политику в области обеспечения безопасности АС целесообразно разбить на два уровня. К верхнему уровню относятся решения, затрагивающие деятельность организации в целом. Примером таких решений могут быть:

• формирование или пересмотр комплексной программы обеспечения безопасности информации, определение ответственных за ее реализацию;
• формулирование целей, постановка задач, определение направлений деятельности в области безопасности информации;
• принятие решений по вопросам реализации программы безопасности, которые рассматриваются на уровне организации в целом;
• обеспечение нормативной (правовой ) базы вопросов безопасности и т.п.

Политика нижнего уровня определяет процедуры и правила достижения целей и решения задач безопасности информации и детализирует (регламентирует) эти правила:

• какова область применения политики безопасности информации;
• каковы роли и обязанности должностных лиц, отвечающие за проведение политики безопасности информации;
• кто имеет права доступа к информации ограниченного распространения;
• кто и при каких условиях может читать и модифицировать информацию и т.д.

Политика нижнего уровня должна:

• предусматривать регламент информационных отношений, исключающих возможность произвольных, монопольных или несанкционированных действий в отношении конфиденциальных информационных ресурсов;
• определять коалиционные и иерархические принципы и методы разделения секретов и разграничения доступа к информации ограниченного распространения;
• выбирать программные и аппаратные средства криптографической защиты, противодействия НСД, аутентификации, авторизации, идентификации и других защитных механизмов, обеспечивающих гарантии реализации прав и ответственности субъектов информационных отношений.

8.1.2. Регламентация доступа к техническим средствам

Эксплуатация защищенных АРМ и серверов Банка должна осуществляться в помещениях, оборудованных надежными автоматическими замками, средствами сигнализации и постоянно находящимися под охраной или наблюдением, исключающим возможность бесконтрольного проникновения в помещения посторонних лиц и обеспечивающим физическую сохранность находящихся в помещении защищаемых ресурсов (АРМ, документов, реквизитов доступа и т.п. ). Размещение и установка технических средств таких АРМ должна исключать возможность визуального просмотра вводимой (выводимой ) информации лицами, не имеющими к ней отношения. Уборка помещений с установленным в них оборудованием должна производиться в присутствии ответственного, за которым закреплены данные технические средства, или дежурного по подразделению с соблюдением мер, исключающих доступ посторонних лиц к защищаемым ресурсам.

В помещениях во время обработки информации ограниченного распространения должен присутствовать только персонал, допущенный к работе с данной информацией.

По окончании рабочего дня помещения с установленными защищенными АРМ должны сдаваться под охрану.

Для хранения служебных документов и машинных носителей с защищаемой информацией работники обеспечиваются металлическими шкафами, а также средствами уничтожения документов.

Технические средства, которые используются для обработки или хранения конфиденциальной информации должны опечатываться.

8.1.3. Регламентация допуска работников к использованию информационных ресурсов

В рамках разрешительной системы допуска устанавливается: кто, кому, какую информацию и для какого вида доступа может предоставить и при каких условиях; система разграничения доступа, которая предполагает определение для всех пользователей АС информационных и программных ресурсов, доступных им для конкретных операций (чтение, запись, модификация, удаление, выполнение ) с помощью заданных программно-технических средств доступа.

Допуск работников к работе с АС и доступ к их ресурсам должен быть строго регламентирован. Любые изменения состава и полномочий пользователей подсистем АС должны производиться установленным порядком.

Основными пользователями информации в АС являются работники структурных подразделений организации. Уровень полномочий каждого пользователя определяется индивидуально, соблюдая следующие требования:

• открытая и конфиденциальная информация размещаются по возможности на различных серверах;
• каждый работник пользуется только предписанными ему правами по отношению к информации, с которой ему необходима работа в соответствии с должностными обязанностями;
• начальник имеет права на просмотр информации своих подчиненных;
• наиболее ответственные технологические операции должны производиться по правилу «в две руки» — правильность введенной информации подтверждается другим должностным лицом, не имеющим права ввода информации.

Все работники, допущенные к работе в АС и обслуживающий персонал АС, должны нести персональную ответственность за нарушения установленного порядка автоматизированной обработки информации, правил хранения, использования и передачи, находящихся в их распоряжении защищаемых ресурсов системы. Каждый работник при приеме на работу должен подписывать Обязательство о соблюдении требований по сохранению конфиденциальной информации и ответственности за их нарушение, а также о выполнении правил работы с защищаемой информацией в АС.

Обработка защищаемой информации в подсистемах АС должна производиться в соответствии с утвержденными технологическими инструкциями (порядками ) для данных подсистем.

Для пользователей, защищенных АРМ должны быть разработаны необходимые технологические инструкции, включающие требования по обеспечению безопасности информации.

8.1.4. Регламентация процессов ведения баз данных и осуществления модификации информационных ресурсов

Все операции по ведению баз данных в АС и допуск работников к работе с этими базами данных должны быть строго регламентированы. Любые изменения состава и полномочий пользователей баз данных АС должны производиться установленным порядком.

Распределение имен, генерация паролей, сопровождение правил разграничения доступа к базам данных возлагается на работников Департамента информационных технологий. При этом могут использоваться как штатные, так и дополнительные средства защиты СУБД и операционных систем.

8.1.5. Регламентация процессов обслуживания и осуществления модификации аппаратных и программных ресурсов

Подлежащие защите ресурсы системы (задачи, программы, АРМ ) подлежат строгому учету (на основе использования соответствующих формуляров или специализированных баз данных ).

Аппаратно-программная конфигурация автоматизированных рабочих мест, на которых обрабатывается защищаемая информация или с которых возможен доступ к защищаемым ресурсам, должна соответствовать кругу возложенных на пользователей данного АРМ функциональных обязанностей. Все неиспользуемые в работе (лишние) устройства ввода-вывода информации (COM, USB, LPT порты, дисководы НГМД, CD и другие носители информации ) на таких АРМ должны быть отключены (удалены), ненужные для работы программные средства и данные с дисков АРМ также должны быть удалены.

Для упрощения сопровождения, обслуживания и организации защиты АРМ должны оснащаться программными средствами и конфигурироваться унифицировано (в соответствии с установленными правилами ).

Ввод в эксплуатацию новых АРМ и все изменения в конфигурации технических и программных средств, существующих АРМ в АС организации должны осуществляться только установленным порядком.

Все программное обеспечение (разработанное специалистами организации, полученное или приобретенной у фирм-производителей ) должно установленным порядком проходить испытания и передаваться в депозитарий программ организации. В подсистемах АС должны устанавливаться и использоваться только полученные установленным порядком из депозитария программные средства. Использование в АС программного обеспечения, не учтенного в депозитарии программ, должно быть запрещено.

Разработка программного обеспечения, проведение испытаний разработанного и приобретенного программного обеспечения, передача программного обеспечения в эксплуатацию должна осуществляться в соответствии с установленным порядком.

8.1.6. Подготовка и обучение пользователей

До предоставления доступа к АС ее пользователи, а также руководящий и обслуживающий персонал должны быть ознакомлены с перечнем конфиденциальной информации и своим уровнем полномочий, а также организационно-распорядительной, нормативной, технической и эксплуатационной документацией, определяющей требования и порядок обработки такой информации.

Защита информации по всем перечисленным направлениям возможна только после выработки у пользователей определенной дисциплины, т.е. норм, обязательных для исполнения всеми, кто работает в АС. К таким нормам можно отнести запрещение любых умышленных или неумышленных действий, которые нарушают нормальную работу АС, вызывают дополнительные затраты ресурсов, нарушают целостность хранимой и обрабатываемой информации, нарушают интересы законных пользователей.

Все работники, использующие при работе конкретные подсистемы АС, должны быть ознакомлены с организационно-распорядительными документами по защите АС в части, их касающейся, должны знать и неукоснительно выполнять технологические инструкции и общие обязанности по обеспечению безопасности информации. Доведение требований указанных документов до лиц, допущенных к обработке защищаемой информации, должно осуществляться руководителями подразделений под подпись.

8.1.7. Ответственность за нарушение требований информационной безопасности

По каждому серьезному нарушению требований информационной безопасности работниками организации должно проводиться служебное расследование. К виновным должны применяться адекватные меры воздействия. Мера ответственности персонала за действия, совершенные в нарушение установленных правил обеспечения безопасной автоматизированной обработки информации, должна определяться нанесенным ущербом, наличием злого умысла и другими факторами.

Для реализации принципа персональной ответственности пользователей за свои действия необходимы:

• индивидуальная идентификация пользователей и инициированных ими процессов, т.е. установление за ними идентификатора, на базе которого будет осуществляться разграничение доступа в соответствии с принципом обоснованности доступа;
• проверка подлинности пользователей (аутентификация ) на основе паролей, ключей на различной физической основе и т.п.;
• регистрация (протоколирование ) работы механизмов контроля доступа к ресурсам информационных систем с указанием даты и времени, идентификаторов запрашивающего и запрашиваемых ресурсов, вида взаимодействия и его результата;
• реакция на попытки несанкционированного доступа (сигнализация, блокировка и т.д. ).

8.2. Технические средства защиты

Технические (аппаратно-программные ) средства защиты — различные электронные устройства и специальные программы, входящих в состав АС и выполняющих (самостоятельно или в комплексе с другими средствами) функции защиты (идентификацию и аутентификацию пользователей, разграничение доступа к ресурсам, регистрацию событий, криптографическую защиту информации и т.д. ).

С учетом всех требований и принципов обеспечения безопасности информации в АС по всем направлениям защиты в состав системы защиты должны быть включены следующие средства:

• средства аутентификации пользователей и элементов АС (терминалов, задач, элементов баз данных и т.п. ), соответствующих степени конфиденциальности информации и обрабатываемых данных;
• средства разграничения доступа к данным;
• средства криптографической защиты информации в линиях передачи данных и в базах данных;
• средства регистрации обращения и контроля за использованием защищаемой информации;
• средства реагирования на обнаруженный НСД или попытки НСД;
• средства снижения уровня и информативности побочных излучений и наводок;
• средства защиты от оптических средств наблюдения;
• средства защиты от вирусов и вредоносных программ;
• средства электрической развязки как элементов АС, так и конструктивных элементов помещений, в которых размещается оборудование.

На технические средства защиты от НСД возлагается решение следующих основных задач:

• идентификация и аутентификации пользователей при помощи имен и/или специальных аппаратных средств (Touch Memory, Smart Card и т.п. );
• регламентация доступа пользователей к физическим устройствам рабочих станций (дискам, портам ввода-вывода );
• избирательное (дискреционное) управление доступом к логическим дискам, каталогам и файлам;
• полномочное (мандатное) разграничение доступа к защищаемым данным на рабочей станции и на файловом сервере;
• создание замкнутой программной среды разрешенных для запуска программ, расположенных как на локальных, так и на сетевых дисках;
• защита от проникновения компьютерных вирусов и вредоносных программ;
• контроль целостности модулей системы защиты, системных областей диска и произвольных списков файлов в автоматическом режиме и по командам администратора;
• регистрация действий пользователя в защищенном журнале, наличие нескольких уровней регистрации;
• защита данных системы защиты на файловом сервере от доступа всех пользователей, включая администратора сети;
• централизованное управление настройками средств разграничения доступа на рабочих станциях сети;
• регистрация всех событий НСД, происходящих на рабочих станциях;
• оперативный контроль за работой пользователей сети, изменение режимов функционирования рабочих станций и возможность блокирования (при необходимости ) любой станции сети.

Успешное применение технических средств защиты предполагает, что выполнение перечисленных ниже требований обеспечено организационными мерами и используемыми физическими средствами защиты:

• физическая целостность всех компонент АС обеспечена;
• каждый работник (пользователь системы ) имеет уникальное системное имя и минимально необходимые для выполнения им своих функциональных обязанностей полномочия по доступу к ресурсам системы;
• использование на рабочих станциях инструментальных и технологических программ (тестовых утилит, отладчиков и т.п. ), позволяющих предпринять попытки взлома или обхода средств защиты, ограничено и строго регламентировано;
• в защищенной системе нет программирующих пользователей, а разработка и отладка программ осуществляется за пределами защищенной системы;
• все изменения конфигурации технических и программных средств производятся строго установленным порядком;
• сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п. ) располагается в местах, недоступных для посторонних (специальные помещениях, шкафах, и т.п. );
• службой информационной безопасности осуществляется непрерывное управление и административная поддержка функционирования средств защиты информации.

8.2.1. Средства идентификации и аутентификации пользователей

В целях предотвращения доступа в АС посторонних лиц необходимо обеспечить возможность распознавания системой каждого законного пользователя (или ограниченных групп пользователей). Для этого в системе (в защищенном месте ) должен храниться ряд признаков каждого пользователя, по которым этого пользователя можно опознать. В дальнейшем при входе в систему, а при необходимости — и при выполнении определенных действий в системе, пользователь обязан себя идентифицировать, т.е. указать идентификатор, присвоенный ему в системе. Кроме того, для идентификации могут применяться различного рода устройства: магнитные карточки, ключевые вставки, дискеты и т.п.

Аутентификация (подтверждение подлинности ) пользователей должна осуществляться на основе использования паролей (секретных слов) или специальных средств аутентификации проверки уникальных характеристик (параметров) пользователей.

8.2.2. Средства разграничения доступа к ресурсам Автоматизированной системы

После распознавания пользователя система должна осуществлять авторизацию пользователя, то есть определять, какие права предоставлены пользователю, т.е. какие данные и как он может использовать, какие программы может выполнять, когда, как долго и с каких терминалов может работать, какие ресурсы системы может использовать и т.п. Авторизация пользователя должна осуществляется с использованием следующих механизмов реализации разграничения доступа:

• механизмов избирательного управления доступом, основанных на использовании атрибутных схем, списков разрешений и т.п.;
• механизмов полномочного управления доступом, основанных на использовании меток конфиденциальности ресурсов и уровней допуска пользователей;
• механизмов обеспечения замкнутой среды доверенного программного обеспечения (индивидуальных для каждого пользователя списков разрешенных для запуска программ ), поддерживаемых механизмами идентификации и аутентификации пользователей при их входе в систему.

Зоны ответственности и задачи конкретных технических средств защиты устанавливаются исходя из их возможностей и эксплуатационных характеристик, описанных в документации на данные средства.

Технические средства разграничения доступа должны быть составной частью единой системы контроля доступа:

• на контролируемую территорию;
• в отдельные помещения;
• к элементам АС и элементам системы защиты информации (физический доступ );
• к ресурсам АС (программно-математический доступ );
• к информационным хранилищам (носителям информации, томам, файлам, наборам данных, архивам, справкам, записям и т.д. );
• к активным ресурсам (прикладным программам, задачам, формам запросов и т.п. );
• к операционной системе, системным программам и программам защиты и т.п.

8.2.3. Средства обеспечения и контроля целостности программных и информационных ресурсов

Контроль целостности программ, обрабатываемой информации и средств защиты, с целью обеспечения неизменности программной среды, определяемой предусмотренной технологией обработки, и защиты от несанкционированной корректировки информации должен обеспечиваться:

• средствами подсчета контрольных сумм;
• средствами электронной подписи;
• средствами сравнения критичных ресурсов с их эталонными копиями (и восстановления в случае нарушения целостности );
• средствами разграничения доступа (запрет доступа с правами модификации или удаления ).

В целях защиты информации и программ от несанкционированного уничтожения или искажения необходимо обеспечить:

• дублирование системных таблиц и данных;
• дуплексирование и зеркальное отображение данных на дисках;
• отслеживание транзакций;
• периодический контроль целостности операционной системы и пользовательских программ, а также файлов пользователей;
• антивирусная защита и контроль;
• резервное копирование данных по заранее установленной схеме.

8.2.4. Средства контроля событий безопасности

Средства контроля должны обеспечивать обнаружение и регистрацию всех событий (действий пользователей, попыток НСД и т.п. ), которые могут повлечь за собой нарушение политики безопасности и привести к возникновению кризисных ситуаций. Средства контроля должны предоставлять возможности:

• постоянного контроля ключевых узлов сети и сетеобразующего коммуникационного оборудования, а также сетевой активности в ключевых сегментах сети;
• контроля использования пользователями корпоративных и публичных сетевых сервисов;
• ведения и анализа журналов регистрации событий безопасности;
• своевременным обнаружением внешних и внутренних угроз информационной безопасности.

При регистрации событий безопасности в системном журнале должна фиксироваться следующая информация:

• дата и время события;
• идентификатор субъекта (пользователя, программы ), осуществляющего регистрируемое действие;
• действие (если регистрируется запрос на доступ, то отмечается объект и тип доступа ).

Средства контроля должны обеспечивать обнаружение и регистрацию следующих событий:

• вход пользователя в систему;
• вход пользователя в сеть;
• неудачная попытка входа в систему или сеть (неправильный ввод пароля );
• подключение к файловому серверу;
• запуск программы;
• завершение программы;
• попытка запуска программы, недоступной для запуска;
• попытка получения доступа к недоступному каталогу;
• попытка чтения/записи информации с диска, недоступного пользователю;
• попытка запуска программы с диска, недоступного пользователю;
• нарушение целостности программ и данных системы защиты и др.

Должны поддерживаться следующие основные способы реагирования на обнаруженные факты НСД (возможно с участием администратора безопасности ):

• извещение владельца информации о НСД к его данным;
• снятие программы (задания ) с дальнейшего выполнения;
• извещение администратора баз данных и администратора безопасности;
• отключение терминала (рабочей станции ), с которого были осуществлены попытки НСД к информации или неправомерные действия в сети;
• исключение нарушителя из списка зарегистрированных пользователей;
• подача сигнала тревоги и др.

8.2.5. Криптографические средства защиты информации

Одним из важнейших элементов системы обеспечения безопасности информации АС должно быть использование криптографических методов и средств защиты информации от несанкционированного доступа при ее передаче по каналам связи и хранении на машинных носителях информации.

Все средства криптографической защиты информации в АС должны строиться на основе базисного криптографического ядра. На право использования криптографических средств информации организация должна иметь установленные законодательством лицензии.

Ключевая система применяемых в АС средств криптографической защиты должна обеспечивать криптографическую живучесть и многоуровневую защиту от компрометации ключевой информации, разделение пользователей по уровням обеспечения защиты и зонам их взаимодействия между собой и пользователями других уровней.

Конфиденциальность и имитозащита информации при ее передаче по каналам связи должна обеспечиваться за счет применения в системе средств абонентского и канального шифрования. Сочетание абонентского и канального шифрования информации должно обеспечивать ее сквозную защиту по всему тракту прохождения, защищать информацию в случае ее ошибочной переадресации за счет сбоев и неисправностей аппаратно-программных средств центров коммутации.

В АС, являющейся системой с распределенными информационными ресурсами, также должны использоваться средства формирования и проверки электронной подписи, обеспечивающие целостность и юридически доказательное подтверждение подлинности сообщений, а также аутентификацию пользователей, абонентских пунктов и подтверждение времени отправления сообщений. При этом должны использоваться стандартизованные алгоритмы электронной подписи.

8.3. Управление системой обеспечения безопасности информации

Управление системой обеспечения безопасности информации в АС представляет собой целенаправленное воздействие на компоненты системы обеспечения безопасности (организационные, технические, программные и криптографические ) с целью достижения требуемых показателей и норм защищенности циркулирующей в АС информации в условиях реализации основных угроз безопасности.

Главной целью организации управления системой обеспечения безопасности информации является повышение надежности защиты информации в процессе ее обработки, хранения и передачи.

Управление системой обеспечения безопасности информации реализуется специализированной подсистемой управления, представляющей собой совокупность органов управления, технических, программных и криптографических средств, а также организационных мероприятий и взаимодействующих друг с другом пунктов управления различных уровней.

Функциями подсистемы управления являются: информационная, управляющая и вспомогательная.

Информационная функция заключается в непрерывном контроле состояния системы защиты, проверке соответствия показателей защищенности допустимым значениям и немедленном информировании операторов безопасности о возникающих в АС ситуациях, способных привести к нарушению безопасности информации. К контролю состояния системы защиты предъявляются два требования: полнота и достоверность. Полнота характеризует степень охвата всех средств защиты и параметров их функционирования. Достоверность контроля характеризует степень адекватности значений контролируемых параметров их истинному значению. В результате обработки данных контроля формируется информация состояния системы защиты, которая обобщается и передается на вышестоящие пункты управления.

Управляющая функция заключается в формировании планов реализации технологических операций АС с учетом требований безопасности информации в условиях, сложившихся для данного момента времени, а также в определении места возникновения ситуации уязвимости информации и предотвращении ее утечки за счет оперативного блокирования участков АС, на которых возникают угрозы безопасности информации. К управляющим функциям относятся учет, хранение, и выдача документов и информационных носителей, паролей и ключей. При этом генерация паролей, ключей, сопровождение средств разграничения доступа, приемка включаемых в программную среду АС новых программных средств, контроль соответствия программной среды эталону, а также контроль за ходом технологического процесса обработки конфиденциальной информации возлагается на работников департамента информационных технологий и департамента экономической безопасности.

К вспомогательным функциям подсистемы управления относятся учет всех операций, выполняемых в АС с защищаемой информацией, формирование отчетных документов и сбор статистических данных с целью анализа и выявления потенциальных каналов утечки информации.

8.4. Контроль эффективности системы защиты

Контроль эффективности системы защиты информации осуществляется с целью своевременного выявления и предотвращения утечки информации за счет несанкционированного доступа к ней, а также предупреждения возможных специальных воздействий, направленных на уничтожение информации, разрушение средств информатизации.

Оценка эффективности мер защиты информации проводится с использованием организационных, технических и программных средств контроля на предмет соответствия установленным требованиям.

Контроль может осуществляться как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

8.5. Особенности обеспечения информационной безопасности персональных данных

Классификация персональных данных проводится в соответствии со степенью тяжести последствий потери свойств безопасности персональных данных для субъекта персональных данных.

• О персональных данных ” к специальным категориям персональных данных;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к биометрическим персональным данным;
• персональные данные, которые не могут быть отнесены к специальным категориям персональных данных, к биометрическим персональным данным, к общедоступным или обезличенным персональным данным;
• персональные данные, отнесенные в соответствии с Федеральным законом “О персональных данных ” к общедоступным или обезличенным персональным данным.

Передача персональных данных третьему лицу должна осуществляться на основании Федерального закона или согласия субъекта персональных данных. В том случае, если организация поручает обработку персональных данных третьему лицу на основании договора, существенным условием такого договора является обязанность обеспечения третьим лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.

Организация должна прекратить обработку персональных данных и уничтожить собранные персональные данные, если иное не установлено законодательством РФ, в сроки, установленные законодательством РФ в следующих случаях:

• по достижении целей обработки или при утрате необходимости в их достижении;
• по требованию субъекта персональных данных или Уполномоченного органа по защите прав субъектов персональных данных - если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
• при отзыве субъектом персональных данных согласия на обработку своих персональных данных, если такое согласие требуется в соответствии с законодательством РФ;
• при невозможности устранения оператором допущенных нарушений при обработке персональных данных.

В организации должны быть определены и документально зафиксированы:

• порядок уничтожения персональных данных (в том числе и материальных носителей персональных данных );
• порядок обработки обращений субъектов персональных данных (или их законных представителей ) по вопросам обработки их персональных данных;
• порядок действий в случае запросов Уполномоченного органа по защите прав субъектов персональных данных или иных надзорных органов, осуществляющих контроль и надзор в области персональных данных;
• подход к отнесению АС к информационным системам персональных данных (далее — ИСПДн );
• перечень ИСПДн. В перечень ИСПДн должны быть включены АС, целью создания и использования которых является обработка персональных данных.

Для каждой ИСПДн должны быть определены и документально зафиксированы:

• цель обработки персональных данных;
• объем и содержание обрабатываемых персональных данных;
• перечень действий с персональными данными и способы их обработки.

Объем и содержание персональных данных, а также перечень действий и способы обработки персональных данных должны соответствовать целям обработки. В том случае, если для выполнения информационного технологического процесса, реализацию которого поддерживает ИСПДн, нет необходимости в обработке определенных персональных данных, эти персональные данные должны быть удалены.

Требования по обеспечению безопасности персональных данных в ИСПДн в об­щем случае реализуются комплексом организационных, технологических, технических и программных мер, средств и механизмов защиты информации.

Организация выполнения и (или ) реализация требований по обеспечению безопасности персональных данных должна осуществляться структурным подразделением или должностным лицом (работником) организации, ответственным за обеспечение безопасности персо­нальных данных, либо на договорной основе организацией - контрагентом организации, имеющей лицензию на деятельность по технической защите конфиденциальной информации.

Создание ИСПДн организации должно включать разработку и согласование (утверждение ) предусмотренной техническим заданием организационно­ распорядительной, проектной и эксплуатационной документации на создаваемую систему. В документации долж­ны быть отражены вопросы обеспечения безопасности обрабатываемых персональных данных.

Разработка концепций, технических заданий, проектирование, создание и тестирование, приемка и ввод в действие ИСПДн должны осуществляться по согласованию и под контролем структурного подразделения или должностного лица (работника), ответст­венного за обеспечение безопасности персональных данных.

Все информационные активы, принадлежащие ИСПДн организации, долж­ны быть защищены от воздействий вредоносного кода. В организации должны быть оп­ределены и документально зафиксированы требования по обеспечению безопасности персо­нальных данных средствами антивирусной защиты и порядок проведения контроля реализации этих требований.

В организации должна быть определена система контроля доступа, позволяющая осуществлять контроль доступа к коммуникационным портам, устройствам ввода­ вывода информации, съемным машинным носителям и внешним накопителям информации ИСПДн.

Руководители эксплуатирующих и обслуживающих ИСПДн подразделений организации обеспечивают безопасность персональных данных при их обработке в ИСПДн.

Работники, осуществляющие обработку персональных данных в ИСПДн, должны действовать в соответствии с инструкцией (руководством, регламентом и т.п. ), входящей в состав эксплуатационной документации на ИСПДн, и соблюдать требования документов по обеспечению ИБ.

Обязанности по администрированию средств защиты и механизмов защиты, реа­лизующих требования по обеспечению ИБ ИСПДн организации, возлагаются приказами (распоряжениями ) на специалистов департамента информационных технологий.

Порядок действий специалистов Департамента информационных технологий и пер­сонала, занятых в процессе обработки персональных данных, должен быть определен инструк­циями (руководствами ), которые готовятся разработчиком ИСПДн в составе эксплуатационной документации на ИСПДн.

Указанные инструкции (руководства ):

• устанавливают требования к квалификации персонала в области защиты информации, а также актуальный перечень защищаемых объектов и правила его обновления;
• содержат в полном объеме актуальные (по времени ) данные о полномочиях пользова­телей;
• содержат данные о технологии обработки информации в объеме, необходимом для специалиста по информационной безопасности;
• устанавливают порядок и периодичность анализа журналов регистрации событий (архи­вов журналов );
• регламентируют другие действия.

Параметры конфигурации средств защиты и механизмов защиты информации от НСД, используемых в зоне ответственности специалистов Департамента информационных технологий, опре­деляются в эксплуатационной документации на ИСПДн. Порядок и периодичность проверок установленных параметров конфигурации устанавливаются в эксплуатационной документации или регламентируются внутренним документом, при этом проверки долж­ны проводиться не реже чем раз в год.

В организации должен быть определен и документально зафиксирован по­рядок доступа в помещения, в которых размещаются технические средства ИСПДн и хранятся носители персональных данных, предусматривающий контроль доступа в помещения посторон­них лиц и наличие препятствий для несанкционированного проникновения в помещения. Указанный порядок должен быть разработан структурным подразделением или должно­стным лицом (работником ), ответственным за обеспечение режима физи­ческой безопасности и согласован структурным подразделением или долж­ностным лицом (работником ), ответственным за обеспечение безопасно­сти персональных данных, и департаментом экономической безопасности.

Пользователи и обслуживающий персонал ИСПДн не должны осуществлять несанк­ционированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных дан­ных. С этой целью организационно-­техническими мерами должно быть запрещено несанкцио­нированное и (или ) не регистрируемое (бесконтрольное ) копирование персональных данных, в том числе с использованием отчуждаемых (сменных ) носителей информации, мобильных уст­ройств копирования и переноса информации, коммуникационных портов и устройств ввода­ вывода, реализующих различные интерфейсы (включая беспроводные ), запоминающих уст­ройств мобильных средств (например, ноутбуков, карманных персональных компьютеров, смартфонов, мобильных телефонов ), а также устройств фото­ и видеосъемки.

Контроль обеспечения безопасности персональных осуществляется специалистом по информационной безопасности, как с помощью штатных средств системы защиты информации, так и с помощью специальных средств контроля и технологического мониторинга.

Скачать ZIP файл (65475)

Пригодились документы - поставь «лайк» или :