Иноформационная безопасность

• аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;

• информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
• программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
• математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
• лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
• нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.

   Удовлетворить современные требования по обеспечению  безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.

   Как и  любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. 

   1.2. Концептуальная модель информационной  безопасности.

   Понимая информационную безопасность как "состояние  защищенности информационной среды  общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.

   Практика  показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых  формируется как бы "заместитель" реальных ситуаций. При этом следует  учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.

   Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции. По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:

• объекты угроз;
• угрозы;
• источники угроз;
• цели угроз со стороны злоумышленников;
• источники информации;
• способы неправомерного овладения конфиденциальной информацией (способы доступа);
• направления защиты информации;
• способы защиты информации;
• средства защиты информации.

   Объектом  угроз информационной безопасности выступают сведения о составе, состоянии  и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

   Угрозы  информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

   Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

   Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.

   Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства.

   Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая  защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.

   Средствами  защиты информации являются физические средства, аппаратные средства, программные  средства и криптографические методы.

   В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие несанкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме.

   Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних  угроз. 

   1.3. Угрозы конфиденциальной информации

   Под угрозами конфиденциальной информации принято  понимать потенциальные или реально  возможные действия по отношению  к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:

• ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
• модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
• разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.

   В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.

   С учетом этого угрозы могут быть классифицированы по следующим критериям:

• по величине принесенного ущерба:

• предельный, после которого фирма может стать банкротом;
• значительный, но не приводящий к банкротству;
• незначительный, который фирма за какое-то время может компенсировать;
• по вероятности возникновения:

• весьма вероятная угроза;

• вероятная угроза;
• маловероятная угроза;

• по причинам появления:

• стихийные бедствия;
• преднамеренные действия;

• по характеру нанесенного ущерба:

• материальный;
• моральный;

• по характеру воздействия:

• активные;
• пассивные;

• по отношению к объекту:

• внутренние. Источниками внутренних угроз могут быть: администрация предприятия; персонал; технические средства обеспечения производственной и трудовой деятельности.
• внешние. Источниками внешних угроз являются: недобросовестные конкуренты; преступные группировки и формирования; отдельные лица и организации административно-управленческого аппарата.

   Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так: 82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии; 17% угроз совершается извне - внешние угрозы; 1% угроз совершается случайными лицами.

   1.4. Действия, приводящие к неправомерному  овладению конфиденциальной информацией.

   Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:

1. Владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
2. Источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное.
3. Промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.

   В значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации.

   Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение  выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).

   Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электро-магнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.