Лекция 2
Основные направления обеспечения безопасности информационных ресурсов
Учебные вопросы:
1. Информационные ресурсы и конфиденциальность информации.
2. Угрозы конфиденциальной информации организации.
3. Система защиты конфиденциальной информации.
Вопрос 1. Информационные ресурсы и конфиденциальность информации
В соответствии с действующим Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы предприятия, организации, учреждения, банка, компании и других государственных и негосударственных предпринимательских структур (далее по тексту – фирмы) включают в себя отдельные документы и отдельные массивы документов (дела), документы и комплексы документов в информационных системах (библиотеках, архивах, фондах, банках данных компьютеров и других информационных системах) на любых носителях, в том числе обеспечивающих работу вычислительной и организационной техники.
Информационные ресурсы (информация) являются объектами отношений физических и юридических лиц между собой и с государством. В совокупности они составляют информационные ресурсы России и защищаются законом наряду с другими видами ресурсов. Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. Следует учитывать, что документ может быть не только и даже не столько управленческим (деловым), имеющим в большинстве случаев текстовую, табличную или анкетную форму. Значительно большие объемы наиболее ценных документов представлены в изобразительной форме:
1) конструкторские документы,
2) картографические документы,
3) научно-технические документы,
4) документы на фотографических, магнитных и иных носителях.
По принадлежности к тому или иному виду собственности информационные ресурсы могут быть государственными или негосударственными и как элемент состава имущества находиться в собственности граждан, органов государственной власти, исполнительных органов, органов местного самоуправления, государственных учреждений, организаций и предприятий, общественных объединений, предпринимательских структур.
В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, а также правовыми, экономическими и другими интересами предпринимательских структур информационные ресурсы могут быть: а) открытыми, т. е. общедоступными, используемыми в работе без специального разрешения, публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях и интервью; б) ограниченного доступа и использования, т. е. содержащими сведения, составляющие тот или иной вид тайны и подлежащие защите, охране, наблюдению и контролю.
Запрещается относить к информации ограниченного доступа:
• законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации;
• документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно-эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом;
• документы, содержащие информацию о деятельности органов государственной власти, исполнительных органов и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне;
• документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, исполнительных органов, органов местного самоуправления, организаций, общественных объединений, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Накопители информационных ресурсов называются источниками (обладателями) информации. Они представляют собой пассивные концентраторы этой информации и включают в себя:
• публикации о фирме и ее разработках;
• рекламные издания, выставочные материалы, документацию;
• персонал фирмы и окружающих фирму людей;
• физические поля, волны, излучения, сопровождающие работу вычислительной и другой офисной техники, различных приборов и средств связи.
Источники содержат информацию как открытого, так и ограниченного доступа. Причем информация того и другого рода находится в едином информационном пространстве и разделить ее без тщательного содержательного анализа часто не представляется возможным. Например, систематизированная совокупность открытой информации может в комплексе содержать сведения ограниченного доступа.
Документация как источник информации ограниченного доступа включает:
• документацию, содержащую ценные сведения, ноу-хау;
• комплексы обычной деловой и научно-технической документации, содержащей общеизвестные сведения, организационно-правовые и распорядительные документы;
• рабочие записи сотрудников, их служебные дневники, личные рабочие планы, переписку по производственным вопросам;
• личные архивы сотрудников фирмы. В каждой из указанных групп могут быть:
• документы на традиционных бумажных носителях (листах бумаги, ватмане, фотобумаге и т. п.);
• документы на технических носителях (магнитных, фотопленочных и т. п.);
• электронные документы, банки электронных документов, изображения документов на экране дисплея (видеограммы).
При выполнении управленческих и производственных действий любая информация источника всегда распространяется во внешней среде. Тем самым увеличивается число опасных источников разглашения или утечки информации ограниченного доступа, источников, подлежащих учету и контролю.
Каналы распространения информации носят объективный характер, отличаются активностью и включают в себя:
• деловые, управленческие, торговые, научные и другие коммуникативные регламентированные связи;
• информационные сети;
• естественные технические каналы излучения, создания фона. Канал распространения информации представляет собой путь перемещения сведений из одного источника в другой в санкционированном (разрешенном, законном) режиме или в силу объективных закономерностей. Например: обсуждение важного вопроса на закрытом совещании, запись на бумаге содержания изобретения, переговоры с потенциальным партнером, работа на ЭВМ и т. д.
Следовательно, информационные ресурсы фирмы представляют собой динамичную категорию, что проявляется прежде всего в процессе документирования информации, объективном возникновении и расширении состава источников и каналов ее распространения.
Документированные информационные ресурсы, которые используются предпринимателем в бизнесе и управлении фирмой, являются его собственной или частной информацией, представляющей для него значительную ценность. Эта информация составляет интеллектуальную собственность предпринимателя.
Ценность информации может быть стоимостной категорией и характеризовать конкретный размер прибыли при ее использовании или размер убытков при ее утрате. Информация часто становится ценной ввиду ее правового значения для фирмы или развития бизнеса, например: учредительные документы, программы и планы, договоры с партнерами и посредниками и т. д. Ценность может проявляться в ее перспективном научном, техническом или технологическом значении.
Обычно выделяется два вида информации, интеллектуально ценной для предпринимателя:
техническая, технологическая: методы изготовления продукции, программное обеспечение, производственные показатели, химические формулы, рецептуры, результаты испытаний опытных образцов, данные контроля качества и т. п.;
деловая: стоимостные показатели, результаты исследования рынка, списки клиентов, экономические прогнозы, стратегия действий на рынке и т. п.
Ценная информация охраняется нормами права (патентного, авторского, смежных прав и др.), товарным знаком или защищается включением ее в категорию информации, составляющей тайну фирмы.
Процесс выявления и регламентации реального состава ценной информации, составляющей тайну фирмы, является основополагающей частью системы защиты информации. Состав этих сведений фиксируется в специальном перечне, закрепляющем факт отнесения их к защищаемой информации и определяющем период (срок) конфиденциальности (т. е. недоступности для всех) этих сведений, уровень (гриф) их конфиденциальности, список сотрудников фирмы, которым дано право использовать эти сведения в работе. В основе перечня лежит типовой состав защищаемых сведений фирм данного профиля. Перечень является постоянным /рабочим материалом руководства фирмы, служб безопасности и конфиденциальной документации. Он представляет собой классифицированный список типовой и конкретной ценной информации о проводимых работах, производимой продукции, научных и деловых идеях, технологических новшествах. В перечень включаются действительно Ценные сведения («изюминки») о каждой работе фирмы. Следует отметить, что нельзя ограничивать доступ к информации, относящейся к новой продукции, но не имеющей ценности.
Дополнительно может составляться перечень документов, в которых защищаемая информация отражается (документируется). В перечень включаются также документы, не содержащие указанную информацию, но представляющие ценность для фирмы и подлежащие охране. Часто обычный открытый правовой акт важно сохранить в целостности и безопасности от похитителя или стихийного бедствия. Перечни формируются индивидуально каждой фирмой в соответствии с рекомендациями специальной комиссии и утверждаются первым руководителем фирмы. Эта комиссия регулярно вносит текущие изменения в перечни в соответствии с динамикой выполнения фирмой конкретных работ.
При заключении любого договора (контракта) стороны должны брать на себя взаимные письменные обязательства по защите конфиденциальной информации другой стороны и документов, полученных при переговорах, исполнении условий договора.
Производственная или коммерческая ценность информации, как правило, недолговечна и определяется временем, необходимым конкуренту для выработки той же идеи или ее хищения и воспроизводства, а также временем до патентования, опубликования и перехода в число общеизвестных.
Документированная информация ограниченного доступа всегда принадлежит к одному из видов тайны – государственной или негосударственной. В соответствии с этим документы делятся на секретные и несекретные. Обязательным признаком (критерием принадлежности) секретного документа является наличие в нем сведений, составляющих в соответствии с законодательством государственную тайну. Несекретные документы, включающие сведения, относимые к негосударственной тайне (служебной, коммерческой, банковской, профессиональной, производственной и др.), или содержащие персональные данные граждан, именуются конфиденциальными.
Несмотря на то, что конфиденциальность является синонимом секретности, термин широко используется исключительно для обозначения информационных ресурсов ограниченного доступа, не отнесенных к государственной тайне. Конфиденциальность отражает ограничение, которое накладывает собственник информации на доступ к ней других лиц, т. е. собственник устанавливает правовой режим этой информации в соответствии с законом. Вместе с тем в соответствии с постановлением Правительства «О перечне сведений, которые не могут составлять коммерческую тайну» от 05.12.91 к конфиденциальным документам нельзя относить учредительные документы, уставы предпринимательских структур, финансовую документацию, сведения о заработной плате персонала и другую документированную информацию, необходимую правоохранительным и налоговым государственным органам.
Под конфиденциальным (закрытым, защищаемым) документом понимается необходимым образом оформленный носитель документированной информации, содержащий сведения ограниченного доступа или использования, которые составляют интеллектуальную собственность юридического или физического лица. Конфиденциальные документы не следует называть служебными или ставить на них гриф секретности, так как конфиденциальные и секретные документы отражают различные виды тайны.
Конфиденциальные документы включают в себя:
• в государственных структурах – служебную информацию ограниченного распространения, именуемую в чиновничьем обиходе информацией для служебного пользования, т. е. информацией, отнесенной к служебной тайне, а также документы, имеющие рабочий характер и не подлежащие публикации в открытой печати (проекты документов, сопутствующие материалы и др.);
• в предпринимательских структурах и направлениях подобной деятельности – сведения, которые их собственник или владелец в соответствии с законодательством имеет право отнести к коммерческой (предпринимательской) тайне, тайне фирмы, тайне мастерства;
• независимо от принадлежности – любые персональные (личные) данные о гражданах, а также сведения, содержащие профессиональную тайну, технические и технологические новшества (до их патентования), тайну предприятий связи, сферы обслуживания и т. п.
Особенностью конфиденциального документа является то, что он представляет собой одновременно:
• массовый носитель ценной, защищаемой информации;
• основной источник накопления и объективного распространения этой информации, а также ее неправомерного разглашения или утечки;
• обязательный объект защиты.
Конфиденциальность документов всегда имеет значительный разброс по срокам ограничения свободного доступа к ним персонала фирмы (от нескольких часов до значительного числа лет). Следует учитывать, что основная масса конфиденциальных документов после окончания их исполнения или работы с ними теряет свою ценность и конфиденциальность. Например, переписка до заключения контракта может иметь гриф конфиденциальности, но после его подписания этот гриф с письменного разрешения первого руководителя фирмы снимается.
Исполненные документы, сохранившие конфиденциальный характер и ценность для деятельности фирмы, формируются в дела в соответствии с номенклатурой дел. Период нахождения конфиденциальных документов в делах может быть кратковременным или долговременным в зависимости от ценности информации, содержащейся в документах дела. Период конфиденциальности документов определяется по указанному выше перечню конфиденциальных сведений и зависит от специфики деятельности фирмы. Например, производственные, научно-исследовательские фирмы обладают более ценными документами, чем торговые, посреднические и др.
Документы долговременного периода конфиденциальности (программы и планы развития бизнеса, технологическая документация ноу-хау, изобретения и др.) имеют усложненный вариант обработки и хранения, обеспечивающий безопасность информации и ее носителя. Документы кратковременного периода конфиденциальности, имеющие оперативное значение для деятельности фирмы, обрабатываются и хранятся по упрощенной схеме и могут не выделяться из технологической системы обработки открытых документов при наличии в этой системе минимальных защитных, контрольных и аналитических элементов.
Вывод: конфиденциальные документы характеризуются специфическими особенностями, которые отражают их сущность как носителей информации ограниченного доступа и определяют построение системы защиты этой информации.
Вопрос 2. Угрозы конфиденциальной информации организации
Все информационные ресурсы фирмы постоянно подвергаются объективным и субъективным угрозам утраты носителя или ценности информации.
Под угрозой или опасностью утраты информации понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление неблагоприятных возможностей внешних или внутренних источников угрозы создавать критические ситуации, события, оказывать дестабилизирующее воздействие на защищаемую информацию, документы и базы данных.
Риск угрозы любым (открытым и ограниченного доступа) информационным ресурсам создают стихийные бедствия, экстремальные ситуации, аварии технических средств и линий связи-Другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица. К угрозам, создаваемым этими лицами, относятся: несанкционированное уничтожение документов, ускорение угасания (старения) текста или изображения, подмена или изъятие документов, фальсификация текста или его части и др.
Для информационных ресурсов ограниченного доступа диапазон угроз, предполагающих утрату информации (разглашение, утечку) или утерю носителя, значительно шире в результате того, что к этим документам проявляется повышенный интерес со стороны различного рода злоумышленников. В отличие от объективного распространения утрата информации влечет за собой незаконный переход конфиденциальных сведений, документов к субъекту, не имеющему права владения ими и использования в своих целях.
Под злоумышленником понимается лицо, действующее в интересах конкурента, противника или в личных корыстных интересах (агентов иностранных спецслужб, промышленного и экономического шпионажа, криминальных структур, отдельных преступных элементов, лиц, сотрудничающих со злоумышленником, психически больных лиц и т. п.).
Основной угрозой безопасности информационных ресурсов ограниченного распространения является несанкционированный (незаконный, неразрешенный) доступ злоумышленника или постороннего лица к документированной информации и как результат – овладение информацией и противоправное ее использование или совершение иных действий. Целью и результатом несанкционированного доступа может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, подмена и т. п. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности фирмы (работники коммунальных служб, экстремальной помощи, прохожие и др.), посетители фирмы, работники других организационных структур, а также сотрудники данной фирмы, не обладающие правом доступа в определенные помещения, к конкретному документу, информации, базе данных. Каждое из указанных лиц может быть злоумышленником или его сообщником, агентом, но может и не быть им.
Обязательным условием успешного осуществления попытки несанкционированного доступа к информационным ресурсам ограниченного доступа является интерес к ним со стороны конкурентов, определенных лиц, служб и организаций. При отсутствии такого интереса угроза информации не возникает даже в том случае, если создались предпосылки для ознакомления с ней постороннего лица. Основным виновником несанкционированного доступа к информационным ресурсам является, как правило, персонал, работающий с документами, информацией и базами данных. При этом надо иметь в виду, что утрата информации происходит в большинстве случаев не в результате преднамеренных действий, а из-за невнимательности и безответственности персонала.
Следовательно, утрата информационных ресурсов ограниченного доступа может наступить:
• при наличии интереса конкурента, учреждений, фирм или лиц к конкретной информации;
• при возникновении риска угрозы, организованной злоумышленником или при случайно сложившихся обстоятельствах;
• при наличии условий, позволяющих злоумышленнику осуществить необходимые действия и овладеть информацией. Эти условия могут включать:
• отсутствие системной аналитической и контрольной работы по выявлению и изучению угроз, каналов и степени риска нарушений безопасности информационных ресурсов;
• неэффективную систему защиты информации или отсутствие этой системы;
• непрофессионально организованную технологию обработки и хранения конфиденциальных документов;
• неупорядоченный подбор персонала и текучесть кадров, сложный психологический климат в коллективе;
• отсутствие системы обучения сотрудников правилам защиты информации ограниченного доступа;
• отсутствие контроля со стороны руководства фирмы за соблюдением персоналом требований нормативных документов по работе с информационными ресурсами ограниченного доступа;
• бесконтрольное посещение помещений фирмы посторонними лицами.
Следует всегда помнить, что факт документирования резко увеличивает риск угрозы информации. Великие мастера прошлого никогда не записывали секреты своего искусства, а передавали их устно сыну, ученику. Поэтому тайна изготовления многих уникальных предметов того времени так и не раскрыта до наших дней.
Угрозы сохранности, целостности и конфиденциальности информационных ресурсов ограниченного доступа практически реализуются через риск образования канала несанкционированного получения (добывания) кем-то ценной информации и документов. Этот канал представляет собой совокупность незащищенных или слабо защищенных фирмой направлений возможной утраты конфиденциальной информации, которые злоумышленник использует для получения необходимых сведений, преднамеренного незаконного доступа к защищаемой информации.
Каждая конкретная фирма обладает своим набором каналов несанкционированного доступа к информации, что зависит от множества моментов – профиля деятельности, объемов защищаемой информации, профессионального уровня персонала, местоположения здания и т. п.
Функционирование канала несанкционированного доступа к информации обязательно влечет за собой утрату информации, исчезновение носителя информации.
В том случае, когда речь идет об утрате информации по вине персонала, используется термин «разглашение (огласка) информации». Человек может разглашать информацию устно, письменно, с помощью жестов, мимики, условных сигналов, лично, через посредников, по каналам связи и т. д. Термин «утечка информации», хотя и используется наиболее широко, однако в большей степени относится, по нашему мнению, к утрате информации за счет ее перехвата с помощью технических средств разведки, по техническим каналам.
Утрата информации характеризуется двумя условиями, информация переходит а) непосредственно к заинтересованному лицу – конкуренту, злоумышленнику или б) к случайному, третьему лицу. Под третьим лицом в данном случае понимается любое постороннее лицо, получившее информацию во владение в силу обстоятельств или безответственности персонала, не обладающее правом владения ею и, что очень важно, не заинтересованное в этой информации. Однако от третьего лица информация может легко перейти к злоумышленнику.
Переход информации к третьему лицу представляется достаточно частым явлением, и его можно назвать непреднамеренным, стихийным, хотя при этом факт разглашения информации, нарушения ее безопасности имеет место.
Непреднамеренный переход информации к третьему лицу возникает в результате:
• утери или неправильного уничтожения документа, пакета с документами, дела, конфиденциальных записей;
• игнорирования или умышленного невыполнения сотрудником требований по защите документированной информации;
• излишней разговорчивости сотрудников при отсутствии злоумышленника (с коллегами по работе, родственниками, друзьями, иными лицами в местах общего пользования, транспорте и т. п.);
• работы с документами ограниченного доступа при посторонних лицах, несанкционированной передачи их другому сотруднику;
• использования сведений ограниченного доступа в открытых документации, публикациях, интервью, личных записях, дневниках и т. п.;
• отсутствия маркировки (грифования) информации и документов ограниченного доступа (в том числе документов на технических носителях);
• наличия в документах излишней информации ограниченного доступа;
• самовольного копирования сотрудником документов в служебных или коллекционных целях.
В отличие от третьего лица злоумышленник или его сообщник целенаправленно охотятся за конкретной информацией и преднамеренно, противоправно устанавливают контакт с источником этой информации или преобразуют канал ее объективного распространения в канал ее разглашения или утечки. Такие каналы всегда являются тайной злоумышленника.
Каналы несанкционированного доступа могут быть двух типов: организационные и технические. Обеспечиваются они легальными и нелегальными методами.
Организационные каналы разглашения информации отличаются большим разнообразием видов и основаны на установлении разнообразных, в том числе законных, взаимоотношений злоумышленника с фирмой или ее сотрудником для последующего несанкционированного доступа к интересующей информации.
Основными видами организационных каналов могут быть:
• поступление злоумышленника на работу в фирму, как правило, на техническую или вспомогательную должность (оператором ЭВМ, секретарем, дворником, охранником, шофером и т. п.);
• участие в работе фирмы в качестве партнера, посредника, клиента, использование разнообразных обманных способов;
• поиск злоумышленником сообщника (инициативного помощника), работающего в интересующей его фирме, который становится его соучастником;
• установление злоумышленником доверительных взаимоотношений с сотрудником учреждения, фирмы или посетителем, сотрудником другого учреждения, обладающим интересующими злоумышленника сведениями;
• использование коммуникативных связей фирмы – участие в переговорах, совещаниях, переписке с фирмой и др.;
• использование ошибочных действий персонала или умышленное провоцирование злоумышленником этих действий;
• тайное или по фиктивным документам проникновение в здание фирмы и помещения, криминальный, силовой доступ к информации, т. е. кража документов, дискет, дисков, компьютеров, шантаж и склонение к сотрудничеству отдельных сотрудников, подкуп сотрудников, создание экстремальных ситуаций и т. п.;
• получение нужной информации от третьего (случайного) лица.
Организационные каналы отбираются или формируются злоумышленником индивидуально в соответствии с его профессиональным умением, конкретной ситуацией, и прогнозировать их крайне сложно. Обнаружение организационных каналов требует проведения серьезной поисковой и аналитической работы.
Широкие возможности несанкционированного получения подобных сведений создает техническое обеспечение офисных технологий. Любая управленческая деятельность всегда связана с обсуждением ценной информации в кабинетах или по линиям связи, проведением расчетов и анализа ситуаций на ЭВМ, изготовлением, размножением документов и т. п.
Технические каналы утечки информации возникают при использовании злоумышленником специальных технических средств промышленного шпионажа, позволяющих получать защищаемую информацию без непосредственного контакта с персоналом фирмы, документами, делами и базами данных.
Технический канал представляет собой физический путь утечки информации от источника или канала объективного распространения информации к злоумышленнику. Канал возникает при анализе злоумышленником физических полей и излучений, появляющихся в процессе работы вычислительной и другой офисной техники, при перехвате информации, имеющей звуковую, зрительную или иную форму отображения. Основными техническими каналами являются: акустический, визуально-оптический, электромагнитный и др. Это каналы прогнозируемые, носят стандартный характер и перекрываются стандартными средствами противодействия. Обычным и профессионально грамотным является творческое сочетание в действиях злоумышленника каналов обоих типов, например установление доверительных отношений с сотрудником фирмы и перехват информации по техническим каналам с помощью этого сотрудника. Вариантов и сочетаний каналов может быть множество. Изобретательность грамотного злоумышленника не знает предела, поэтому риск утраты информации всегда достаточно велик. При эффективной системе защиты информации фирмы злоумышленник разрушает отдельные элементы защиты и формирует необходимый ему канал получения информации.
В целях практической реализации поставленных задач злоумышленник определяет не только каналы несанкционированного доступа к информации фирмы, но и совокупность методов получения этой информации.
Легальные методы входят в содержание понятий «невинного шпионажа» и «разведки в бизнесе», отличаются правовой безопасностью и, как правило, предопределяют возникновение интереса к конкурирующей фирме. В соответствии с этим может появиться необходимость использования каналов несанкционированного доступа к требуемой информации. В основе «невинного шпионажа» лежит кропотливая аналитическая работа специалистов-экспертов над опубликованными и общедоступными материалами конкурирующей фирмы. Одновременно изучается продукция фирмы, рекламные издания, сведения, полученные в процессе официальных и неофициальных бесед и переговоров с сотрудниками фирмы, материалы пресс-конференций, презентаций фирмы и продукции, научных симпозиумов и семинаров, сведения, получаемые из информационных сетей. Легальные методы дают злоумышленнику основную массу интересующей его информации и позволяют определить состав отсутствующих сведений, которые предстоит добыть нелегальными методами.
Нелегальные методы получения ценной информации всегда носят незаконный характер и используются в целях доступа к защищаемой информации, которую невозможно получить легальными методами. В основе нелегального получения информации лежит поиск злоумышленником существующих в фирме и наиболее эффективных в конкретных условиях незащищенных организационных и технических каналов несанкционированного доступа к информации, формирование таких каналов при их отсутствии и реализация плана практического комплексного использования этих каналов.
Нелегальные методы предполагают: воровство, продуманный обман, подслушивание разговоров, подделку идентифицирующих документов, взяточничество, инсценирование или организацию экстремальных ситуаций, использование различных криминальных приемов и т. д. В процессе реализации нелегальных методов часто образуется агентурный канал добывания ценной информации. К нелегальным методам относятся также: перехват информации, объективно распространяемой по техническим каналам, визуальное наблюдение за помещениями фирмы и персоналом, анализ продуктов и объектов, содержащих следы защищаемой информации, анализ архитектурных особенностей объектов защиты, анализ отходов производства, мусора, выносимого из офиса.
В результате эффективного использования каналов несанкционированного доступа к информации ограниченного доступа и разнообразных методов ее добывания злоумышленник получает:
• подлинник или официальную копию документа (бумажного, машиночитаемого, электронного), содержащего информацию ограниченного доступа;
• несанкционированно сделанную копию этого документа (рукописную или изготовленную с помощью копировального аппарата, фототехники, компьютера и т. п.);
• диктофонную, магнитофонную, видеокассету с записью текста документа, переговоров, совещания;
• письменное или устное изложение за пределами фирмы содержания документа, ознакомление с которым осуществлялось санкционирование или тайно;
• устное изложение текста документа по телефону, переговорному устройству, специальной радиосвязи и т. п.;
• аналог документа, переданного по факсимильной связи или электронной почте;
• речевую или визуальную запись текста документа, выполненную с помощью технических средств разведки (радиозакладок, встроенных микрофонов и видеокамер, микрофотоаппаратов, фотографирования с большого расстояния). Получение ценных документов или информации ограниченного доступа может быть единичным явлением или регулярным процессом, протекающим на протяжении относительно длительного времени.
Вывод: любые информационные ресурсы фирмы являются весьма уязвимой категорией и при интересе, возникшем к ним со стороны злоумышленника, опасность их утраты становится достаточно реальной.
Вопрос 3. Система защиты конфиденциальной информации
Практической реализацией политики (концепции) информационной безопасности фирмы является технологическая система защиты информации. Защита информации представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности ценных информационных ресурсов и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности фирмы.
Система защиты информации – рациональная совокупность направлений, методов, средств и мероприятий, снижающих уязвимость информации и препятствующих несанкционированному доступу к информации, ее разглашению или утечке. Главными требованиями к организации эффективного функционирования системы являются: персональная ответственность руководителей и сотрудников за сохранность носителя и конфиденциальность информации, регламентация состава конфиденциальных сведений и документов, подлежащих защите, регламентация порядка доступа персонала к конфиденциальным сведениям и документам, наличие специализированной службы безопасности, обеспечивающей практическую реализацию системы защиты и нормативно-методического обеспечения деятельности этой службы.
Собственники информационных ресурсов, в том числе государственные учреждения, организации и предприятия, самостоятельно определяют (за исключением информации, отнесенной к государственной тайне) необходимую степень защищенности ресурсов и тип системы, способы и средства защиты, исходя из ценности информации. Ценность информации и требуемая надежность ее защиты находятся в прямой зависимости. Важно, что структура системы защиты должна охватывать не только электронные информационные системы, а весь управленческий комплекс фирмы в единстве его реальных функциональных и производственных подразделений, традиционных документационных процессов. Отказаться от бумажных документов и часто рутинной, исторически сложившейся управленческой технологии не всегда представляется возможным, особенно если вопрос стоит о безопасности ценной, конфиденциальной информации.
Основной характеристикой системы является ее комплексность, т. е. наличие в ней обязательных элементов, охватывающих все направления защиты информации. Соотношение элементов и их содержания обеспечивают индивидуальность построения системы защиты информации конкретной фирмы и гарантируют неповторимость системы, трудность ее преодоления. Конкретную систему защиты можно представить в виде кирпичной стены, состоящей из множества разнообразных элементов (кирпичиков). Элементами системы являются: правовой, организационный, инженерно-технический, программно-аппаратный и криптографический.
Правовой элемент системы защиты информации основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные собственником информации ограничительные и технологические меры защитного характера, а также ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
• наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудниками, в должностных и рабочих инструкциях положений и обязательств по защите конфиденциальной информации;
• формулирование и доведение до сведения всех сотрудников фирмы (в том числе не связанных с конфиденциальной информацией) положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
• разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
Организационный элемент системы защиты информации содержит меры управленческого, ограничительного (режимного) и технологического характера, определяющие основы и содержание системы защиты, побуждающие персонал соблюдать правила защиты конфиденциальной информации фирмы. Эти меры связаны с установлением режима конфиденциальности в фирме. Элемент включает в себя регламентацию:
• формирования и организации деятельности службы безопасности и службы конфиденциальной документации (или менеджера по безопасности, или референта первого руководителя), обеспечения деятельности этих служб (сотрудника) нормативно-методическими документами по организации и технологии защиты информации;
• составления и регулярного обновления состава (перечня, списка, матрицы) защищаемой информации фирмы, составления и ведения перечня (описи) защищаемых бумажных, машиночитаемых и электронных документов фирмы;
• разрешительной системы (иерархической схемы) разграничения доступа персонала к защищаемой информации;
• методов отбора персонала для работы с защищаемой информацией, методики обучения и инструктирования сотрудников;
• направлений и методов воспитательной работы с персоналом, контроля соблюдения сотрудниками порядка защиты информации;
• технологии защиты, обработки и хранения бумажных, машиночитаемых и электронных документов фирмы (делопроизводственной, автоматизированной и смешанной технологий); внемашинной технологии защиты электронных документов;
• порядка защиты ценной информации фирмы от случайных или умышленных несанкционированных действий персонала;
• веления всех видов аналитической работы;
• порядка защиты информации при проведении совещаний, заседаний, переговоров, приеме посетителей, работе с представителями рекламных агентств, средств массовой информации;
• оборудования и аттестации помещений и рабочих зон, выделенных для работы с конфиденциальной информацией, лицензирования технических систем и средств защиты информации и охраны, сертификации информационных систем, предназначенных для обработки защищаемой информации;
• пропускного режима на территории, в здании и помещениях фирмы, идентификации персонала и посетителей;
• системы охраны территории, здания, помещений, оборудования, транспорта и персонала фирмы;
• действий персонала в экстремальных ситуациях;
• организационных вопросов приобретения, установки и эксплуатации технических средств защиты информации и охраны;
• организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей;
• работы по управлению системой защиты информации;
• критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации.
Элемент организационной защиты является стержнем, основной частью рассматриваемой комплексной системы. По мнению большинства специалистов, меры организационной защиты информации составляют 50–60 % в структуре большинства систем защиты информации. Это связано с рядом факторов и также с тем, что важной составной частью организационной защиты информации является подбор, расстановка и обучение персонала, который будет реализовывать на практике систему защиты информации. Сознательность, обученность и ответственность персонала можно с полным правом назвать краеугольным камнем любой даже самой технически совершенной системы защиты информации. Организационные меры защиты отражаются в нормативно-методических документах службы безопасности, службы конфиденциальной документации учреждения или фирмы. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты – «элемент организационно-правовой защиты информации».
Инженерно-технический элемент системы защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территории, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет весьма важное значение, хотя стоимость средств технической защиты и охраны велика. Элемент включает в себя:
• сооружения физической (инженерной) защиты от проникновения посторонних лиц на территорию, в здание и помещения (заборы, решетки, стальные двери, кодовые замки, идентификаторы, сейфы и др.);
• средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования, при проведении совещаний, заседаний, беседах с посетителями и сотрудниками, диктовке документов и т. п.;
• средства защиты помещений от визуальных способов технической разведки;
• средства обеспечения охраны территории, здания и помещений (средства наблюдения, оповещения, сигнализирования, информирования и идентификации);
• средства противопожарной охраны;
• средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной миниатюрной звукозаписывающей и телевизионной аппаратуры и т. п.);
• технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т. п. Программно-аппаратный элемент системы защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите. Элемент включает в себя:
• автономные программы, обеспечивающие защиту информации и контроль степени ее защищенности;
• программы защиты информации, работающие в комплексе с программами обработки информации;
• программы защиты информации, работающие в комплексе с техническими (аппаратными) устройствами защиты информации (прерывающими работу ЭВМ при нарушении системы доступа, стирающие данные при несанкционированном входе в базу данных и др.).
Криптографический элемент системы защиты информации предназначен для защиты конфиденциальной информации методами криптографии. Элемент включает:
• регламентацию использования различных криптографических методов в ЭВМ и локальных сетях;
• определение условий и методов криптографирования текста документа при передаче его по незащищенным каналам почтовой, телеграфной, телетайпной, факсимильной и электронной связи;
• регламентацию использования средств криптографирования переговоров по незащищенным каналам телефонной и радиосвязи;
• регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами;
• регламентацию доступа персонала в выделенные помещения с помощью идентифицирующих кодов, шифров.
Составные части криптографической защиты, коды, пароли и другие ее атрибуты разрабатываются и меняются специализированной организацией. Применение пользователями собственных систем шифровки не допускается.
В каждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в крупных и некрупных фирмах различного профиля, малом бизнесе. Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы. Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.
В крупных производственных и исследовательских фирмах с множеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т. е. они должны быть «прозрачными».
Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу не могут быть пользователями этой системы.
Вывод: безопасность информации в современных условиях компьютеризации информационных процессов имеет принципиальное значение для предотвращения незаконного и часто преступного использования ценных сведений. Задачи обеспечения безопасности информации реализуются комплексной системой защиты информации, которая по своему назначению способна решить множество проблем, возникающих в процессе работы с конфиденциальной информацией и документами. Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является прежде всего организация в фирме аналитических исследований, построенных на современном научном уровне и позволяющих иметь постоянные сведения об эффективности системы защиты и направлениях ее совершенствования в соответствии с возникающими ситуационными проблемами.