Информационная безопасность

обеспечение оценки степени конфиденциальной информации;  

обеспечение контроля целостности средств защиты и  немедленное реагирование на их выход  из строя. Система защиты информации как любая система должна иметь  определенные виды собственного обеспечения, опираясь на которые она будет  выполнять свою целевую функцию. С учетом этого СЗИ может иметь:  

правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными  в рамках сферы их действий;  

организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;  

аппаратное обеспечение. Предполагается широкое использование  технических средств, как для  защиты информации, так и для обеспечения  деятельности собственно СЗИ;  

информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информаци-онного обеспечения расчетных задач различного характера, связан-ных с деятельностью службы обеспечения безопасности;  

программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные  программы, обеспечивающие оценку наличия  и опасности различных каналов  утечки и путей несанкционированного проникновения к источникам конфи-денциальной информации;  

математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности  технических средств злоумышленников, зон и норм необходимой защиты;  

лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;  

нормативно-методическое обеспечение. Сюда входят нормы и  регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации. 

Удовлетворить современные  требования по обеспечению безопасности предприятия и защиты его конфиденциаль-ной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.  

Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и  средства деятельности, которые согла-совываются по месту и времени в зависимости  от условий.

1.2. Концептуальная модель информационной безопасности.  

Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и  развитие в интересах граждан, организа-ций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба. 

Практика показала, что для анализа такого значительного  набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется  как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно об-щей, чтобы описывать реальные действия с учетом их сложности. 

Можно предложить следующие  компоненты модели информационной безопасности на первом уровне декомпозиции. 

По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:  

объекты угроз;  

угрозы;  

источники угроз;  

цели угроз со стороны злоумышленников;  

источники информации;  

способы неправомерного овладения конфиденциальной информацией (способы доступа);  

направления защиты информации;  

способы защиты информации;  

средства защиты информации.  

Объектом угроз  информационной безопасности выступают  сведения о составе, состоянии и  деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов). 

Угрозы информации выражаются в нарушении ее целостности, кон-фиденциальности, полноты и доступности. Источниками угроз выступают  конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознаком-ление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.  

Неправомерное овладение  конфиденциальной информацией возмож-но за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкциониро-ванного доступа к охраняемым сведениям. 

Источниками конфиденциальной информации являются люди, доку-менты, публикации, технические носители информации, техниче-ские средства обеспечения производственной и трудовой деятель-ности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности. 

Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние  могут быть реализованы как аппаратно, программ-но, так и смешанно-программно-аппаратными средствами. 

В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие  не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуаль-ной модели безопасности информации приведены на следующей схеме.  

Основные элементы концептуальной модели будут рассмотрены  более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.

1.3. Угрозы конфиденциальной  информации  

Под угрозами конфиденциальной информации принято понимать потенциальные  или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладе-нию охраняемыми сведениями. Такими действиями являются:  

ознакомление с  конфиденциальной информацией различными путями и способами без нарушения  ее целостности;  

модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;  

разрушение (уничтожение) информации как акт вандализма с  целью прямого нанесения материального  ущерба. 

В конечном итоге  противоправные действия с информацией приво-дят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значитель-но или хотя бы частично. Но и это удается далеко не всегда.  

С учетом этого угрозы могут быть классифицированы по следующим кластерам :  

по величине принесенного ущерба:  

предельный, после  которого фирма может стать банкротом;  

значительный, но не приводящий к банкротству;  

незначительный, который  фирма за какое-то время может  ком-пенсировать и др.;  

по вероятности возникновения:  

весьма вероятная  угроза;  

вероятная угроза;  

маловероятная угроза;  

по причинам появления:  

стихийные бедствия;  

преднамеренные действия;  

по характеру нанесенного  ущерба:  

материальный;  

моральный;  

по характеру воздействия:  

активные;  

пассивные;  

по отношению к  объекту:  

внутренние;  

внешние.  

Источниками внешних  угроз являются:  

недобросовестные  конкуренты;  

преступные группировки  и формирования;  

отдельные лица и  организации административно-управленческо-го аппарата.  

Источниками внутренних угроз могут быть:  

администрация предприятия;  

персонал;  

технические средства обеспечения производственной и  трудовой деятельности.  

Соотношение внешних  и внутренних угроз на усредненном  уровне можно охарактеризовать так:  

82% угроз совершается  собственными сотрудниками фирмы  либо при их прямом или опосредованном  участии;  

17% угроз совершается  извне - внешние угрозы;  

1% угроз совершается  случайными лицами.  

Угроза - это потенциальные  или реальные действия, приводящие к моральному или материальному ущербу.

1.4. Действия, приводящие  к неправомерному овладению конфиденциальной  информацией.  

Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:  

владелец (источник) не принимает никаких мер к  сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;  

источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значи-тельные  усилия к осуществлению доступа  к охраняемым сведениям, используя  для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;  

промежуточная ситуация - это утечка информации по техниче-ским каналам, при которой источник еще  не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.  

В общем, факт получения  охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разгла-шение сведений и несанкционированный доступ к конфиденциаль-ной информации .  

Разглашение - это  умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и дей-ствий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения инфор-мации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами пе-редачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие мас-совые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточ-ное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргумен-тированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориен-тирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации послед-ний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).