Защита экономической информации

    Процессы  по нарушению надежности информации можно классифицировать на случайные и злоумышленные (преднамеренные). В первом случае источниками разрушительных, искажающих и иных процессов являются непреднамеренные, ошибочные действия людей, технические сбои и др.; во втором случае – злоумышленные действия людей.

    Следует напомнить, что если в первые десятилетия  активного использования ПК основную опасность представляли хакеры, или «электронные разбойники», которые подключались к компьютерам в основном через телефонную сеть, то в последнее десятилетие нарушение надежности информации прогрессирует через программы - компьютерные вирусы и через глобальную сеть Интернет.

    Практика  функционирования СОД показывает, что  существует достаточно много способов несанкционированного доступа к  информации:

    1) просмотр;

    2) копирование и подмена данных;

    3) ввод ложных программ и сообщений в результате подключения к каналам связи;

    4) чтение остатков информации на  ее носителях;

    5) прием сигналов электромагнитного  излучения и волнового характера;

    6) использование специальных программных  и аппаратных «заглушек» и  т. п.

    Следовательно, необходимы не разработка и внедрение отдельных локальных (пусть и очень важных) мероприятий по защите информации, а создание многоступенчатой непрерывной и управляемой архитектуры безопасности информации. Защищать нужно не только информацию, содержащую государственную или военную тайну, но и информацию коммерческого и конфиденциального (личного) содержания.

    Надежная  защита информации в разрабатываемых  и функционирующих системах обработки данных может быть эффективной, если она будет надежной на всех объектах и во всех элементах системы, которые могут быть подвергнуты угрозам. В связи с этим для создания средств защиты важно определить природу угроз, формы и пути их возможного проявления и осуществления, перечень объектов и элементов, которые, с одной стороны, могут быть подвергнуты (косвенно или непосредственно) угрозам с целью нарушения защищенности информации, а с другой – могут быть достаточно четко локализованы для организации эффективной защиты информации.

    При проведении исследовательских работ  в этом направлении необходимо разграничить два класса рисков: один - для автономных ПК и автономных компьютерных систем; другой - для систем, имеющих выход в большие сети, включая Интернет.

    Под объектом защиты понимается такой структурный  компонент системы, в котором находится или может находиться подлежащая защите информация, а под элементом защиты - совокупность данных, которая может содержать подлежащие защите сведения. В качестве элементов защиты выступают блоки (порции, массивы, потоки и др.) информации в объектах защиты.

    Доступ  к объектам и элементам защиты информации теоретически и практически возможен для двух категорий лиц: законных пользователей и нарушителей.

    При отсутствии на рабочем месте законного  пользователя или при его халатном отношении к своим должностным обязанностям, при недостаточной защите информации, при бесконтрольной загрузке в компьютер программы квалифицированный нарушитель может модифицировать данные и алгоритмы, ввести вредоносную программу типа «троянский конь», с помощью которой впоследствии он может реализовывать нужные для себя функции.

    Несанкционированное ознакомление с информацией возможно путем непосредственного подключения нарушителем «шпионских» средств к каналам связи и сетевым аппаратным средствам.

    Несанкционированное ознакомление с информацией подразделяется на пассивное и активное. В первом случае не происходит нарушения информационных ресурсов, и нарушитель лишь получает возможность раскрывать содержание сообщений, используя это в дальнейшем в своих корыстных целях. Во втором случае нарушитель может выборочно изменить, уничтожить, переупорядочить и перенаправить сообщения, задержать и создать поддельные сообщения и др.

    Для обеспечения безопасности информации в личных компьютерах и особенно в офисных системах и компьютерных сетях проводятся различные мероприятия, объединяемые понятием «система защиты информации».

    Система защиты информации - это совокупность организационных (административных) и технологических мер, программно-технических средств, правовых и морально-этических норм, направленных на противодействие угрозам нарушителей с целью сведения до минимума возможного ущерба пользователям и владельцам системы.

    На  практике при построении системы  защиты информации сложились два подхода: фрагментарный и комплексный. В первом случае мероприятия по защите направляются на противодействие вполне определенным угрозам при строго определенных условиях, например, обязательная проверка носителей антивирусными программами, применение криптографических систем шифрования и т.д. При комплексном подходе различные меры противодействия угрозам объединяются, формируя так называемую архитектуру безопасности систем.

    Учитывая  важность, масштабность и сложность  решения проблемы сохранности и безопасности информации, рекомендуется разрабатывать архитектуру безопасности в несколько этапов:

    1. Анализ возможных угроз;

    2. Разработка системы защиты;

    3. Реализация системы защиты;

    4. Сопровождение системы защиты.

    Следует, однако, заметить, что на конкретном объекте и в конкретной системе обработки данных из всего многообразия угроз и возможных воздействий следует в первую очередь выбрать наиболее вероятные, а также те, которые могут нанести наиболее серьезный ущерб.

    Этап  разработки системы защиты информации предусматривает использование различных комплексов мер и мероприятий организационно-административного, технического, программно-аппаратного, технологического, правового, морально-этического характера и др.

    Организационно-административные средства защиты сводятся к регламентации доступа к информационным и вычислительным ресурсам, функциональным процессам систем обработки данных, к регламентации деятельности персонала и др. Их цель - в наибольшей степени затруднить или исключить возможность реализации угроз безопасности. Наиболее типичные организационно-административные средства:

    - создание контрольно-пропускного  режима на территории, где располагаются  средства обработки информации;

    - изготовление и выдача специальных  пропусков;

    - мероприятия по подбору персонала,  связанного с обработкой данных;

    - допуск к обработке и передаче  конфиденциальной информации только проверенных должностных лиц;

    - хранение магнитных и иных  носителей информации, представляющих определенную тайну, а также регистрационных журналов в сейфах, не доступных для посторонних лиц;

    - организация защиты от установки  прослушивающей аппаратуры в помещениях, связанных с обработкой информации;

    - организация учета использования  и уничтожения документов (носителей) с конфиденциальной информацией;

    - разработка должностных инструкций  и правил по работе с компьютерными  средствами и информационными  массивами;

    - разграничение доступа к информационным  и вычислительным ресурсам должностных лиц в соответствии с их функциональными обязанностями.

    Технические средства защиты призваны создать некоторую  физически замкнутую среду вокруг объекта и элементов защиты. В  этом случае используются такие мероприятия:

    - установка средств физической  преграды защитного контура помещений, где ведется обработка информации (кодовые замки; охранная сигнализация - звуковая, световая, визуальная без записи и с записью на видеопленку);

    - ограничение электромагнитного  излучения путем экранирования помещений, где происходит обработка информации, листами из металла или специальной пластмассы;

    - осуществление электропитания оборудования, обрабатывающего ценную информацию, от автономного источника питания или от общей электросети через специальные сетевые фильтры;

    - применение, во избежание несанкционированного дистанционного съема информации, жидкокристаллических или плазменных дисплеев, струйных или лазерных принтеров соответственно с низким электромагнитным и акустическим излучением;

    - использование автономных средств  защиты аппаратуры в виде кожухов, крышек, дверец, шторок с установкой средств контроля вскрытия аппаратуры.

    Технологические средства защиты информации - это комплекс мероприятий, органично встраиваемых в технологические процессы преобразования данных. Среди них:

    1. Создание архивных копий носителей;

    2. Ручное или автоматическое сохранение  обрабатываемых файлов во внешней  памяти компьютера;

    3. Регистрация пользователей компьютерных  средств в журналах;

    4. Автоматическая регистрация доступа  пользователей к тем или иным  ресурсам;

    5. Разработка специальных инструкций  по выполнению всех технологических  процедур и др.

    К правовым и морально-этическим мерам  и средствам защиты относятся  действующие в стране законы, нормативные  акты, регламентирующие правила обращения с информацией и ответственность за их нарушение; нормы поведения, соблюдение которых способствует защите информации.

    Примером  законодательных актов в Российской Федерации, которыми регламентированы юридические и моральные отношения в сфере информационного рынка, являются Законы РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. № 24-ФЗ; «О правовой охране программ для ЭВМ и баз данных» от 09.07.1993 г. № 5351-4 в редакции Федерального закона от 19.07.1995 г. № 110-ФЗ и др.; пример предписаний морально-этического характера - «Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США».

    Закон РФ «Об информации, информатизации и защите информации» от 20.02.1995 г. создает условия для включения России в международный информационный обмен, предотвращает бесхозяйственное отношение к информационным ресурсам и информатизации, обеспечивает информационную безопасность и права юридических и физических лиц на информацию. Заложив юридические основы гарантий прав граждан на информацию, закон направлен на обеспечение защиты собственности в сфере информационных систем и технологий, формирование рынка информационных ресурсов, услуг, систем, технологий, средств их обеспечения.

    В действующем ныне Уголовном кодексе  РФ имеется глава «Преступления  в сфере компьютерной информации». В ней содержатся три статьи: «Неправомерный доступ к компьютерной информации» (ст. 272), «Создание, использование и распространение вредоносных программ для ЭВМ» (ст. 273) и «Нарушение прав эксплуатации ЭВМ, систем ЭВМ или их сетей» (ст. 274).

    В зависимости от серьезности последствий  компьютерного злоупотребления  к лицам, его совершившим, могут  применяться различные меры наказания, вплоть до лишения свободы сроком до 5 лет.

    Программные средства и методы защиты активнее и шире других применяются для защиты информации в персональных компьютерах и компьютерных сетях, реализуя такие функции защиты, как разграничение и контроль доступа к ресурсам; регистрация и анализ протекающих процессов, событий, пользователей; предотвращение возможных разрушительных воздействий па ресурсы; криптографическая защита информации; идентификация и аутентификация пользователей и процессов и др.

    В настоящее время наибольший удельный вес в этой группе мер в системах обработки экономической информации составляют специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью реализации задач по защите информации, а также антивирусные программные пакеты.