Информационная безопасность и организация защиты информации. Глава V. Обеспечение безопасности и защиты информации. Информационная база и принципы соиб

Аннотация: В лекции рассмотрены основные понятия информационной безопасности. Ознакомление с ФЗ " Об информации, информационных технологиях и о защите информации".

ГОСТ " Защита информации . Основные термины и определения" вводит понятие информационной безопасности как состояние защищенности информации, при котором обеспечены ее конфиденциальность , доступность и целостность .

• Конфиденциальность – состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право.
• Целостность – состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
• Доступность – состояние информации, при котором субъекты, имеющие право доступа, могут реализовывать его беспрепятственно.

Угрозы информационной безопасности – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации [ , ]. Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, - злоумышленником . Потенциальные злоумышленники называются источниками угрозы .

Угроза является следствием наличия уязвимых мест или уязвимостей в информационной системе. Уязвимости могут возникать по разным причинам, например, в результате непреднамеренных ошибок программистов при написании программ.

Угрозы можно классифицировать по нескольким критериям:

• по свойствам информации (доступность, целостность, конфиденциальность), против которых угрозы направлены в первую очередь;
• по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура );
• по способу осуществления (случайные/преднамеренные, действия природного/техногенного характера);
• по расположению источника угроз (внутри/вне рассматриваемой ИС).

Обеспечение информационной безопасности является сложной задачей, для решения которой требуется комплексный подход . Выделяют следующие уровни защиты информации:

1. законодательный – законы, нормативные акты и прочие документы РФ и международного сообщества;
2. административный – комплекс мер, предпринимаемых локально руководством организации;
3. процедурный уровень – меры безопасности, реализуемые людьми;
4. программно-технический уровень – непосредственно средства защиты информации.

Законодательный уровень является основой для построения системы защиты информации, так как дает базовые понятия предметной области и определяет меру наказания для потенциальных злоумышленников. Этот уровень играет координирующую и направляющую роли и помогает поддерживать в обществе негативное (и карательное) отношение к людям, нарушающим информационную безопасность .

1.2. ФЗ "Об информации, информационных технологиях и о защите информации"

В российском законодательстве базовым законом в области защиты информации является ФЗ "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 года номер 149-ФЗ. Поэтому основные понятия и решения, закрепленные в законе, требуют пристального рассмотрения.

Закон регулирует отношения, возникающие при:

• осуществлении права на поиск, получение, передачу, производство и распространение информации;
• применении информационных технологий;
• обеспечении защиты информации.

Закон дает основные определения в области защиты информации. Приведем некоторые из них:

• информация - сведения (сообщения, данные) независимо от формы их представления;
• информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов;
• информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;
• оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
• конфиденциальность информации - обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя .

В статье 4 Закона сформулированы принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации:

1. свобода поиска, получения, передачи, производства и распространения информации любым законным способом;
2. установление ограничений доступа к информации только федеральными законами;
3. открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами;
4. равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации;
5. обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации;
6. достоверность информации и своевременность ее предоставления;
7. неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия;
8. недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Вся информация делится на общедоступную и ограниченного доступа . К общедоступной информации относятся общеизвестные сведения и иная информация , доступ к которой не ограничен. В законе, определяется информация , к которой нельзя ограничить доступ , например, информация об окружающей среде или деятельности государственных органов. Оговаривается также, что ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства. Обязательным является соблюдение конфиденциальности информации, доступ к которой ограничен федеральными законами.

Запрещается требовать от гражданина (физического лица) предоставления информации о его частной жизни, в том числе информации, составляющей личную или семейную тайну, и получать такую информацию помимо воли гражданина (физического лица), если иное не предусмотрено федеральными законами.

1. информацию, свободно распространяемую;
2. информацию, предоставляемую по соглашению лиц, участвующих в соответствующих отношениях;
3. информацию, которая в соответствии с федеральными законами подлежит предоставлению или распространению;
4. информацию, распространение которой в Российской Федерации ограничивается или запрещается.

Закон устанавливает равнозначность электронного сообщения, подписанного электронной цифровой подписью или иным аналогом собственноручной подписи, и документа, подписанного собственноручно.

Дается следующее определение защите информации - представляет собой принятие правовых, организационных и технических мер, направленных на:

1. обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
2. соблюдение конфиденциальности информации ограниченного доступа;
3. реализацию права на доступ к информации.

Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

1. предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
2. своевременное обнаружение фактов несанкционированного доступа к информации;
3. предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
4. недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
5. возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
6. постоянный контроль за обеспечением уровня защищенности информации.

Таким образом, ФЗ "Об информации, информационных технологиях и о защите информации" создает правовую основу информационного обмена в РФ и определяет права и обязанности его субъектов.

Определению информации как сведений разного рода, представленных в любой форме и являющихся объектами различных процессов, соответствует следующая трактовка понятия «защита информации» в законе «Об информации, информационных технологиях и о защите информации».

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• 1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• 2) соблюдение конфиденциальности информации ограниченного доступа,
• 3) реализацию права на доступ к информации.

В соответствии с руководящими документами ФСТЭК России безопасность информации - это состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних и внешних угроз.

В соответствии с ГОСТ Р 50922-96 защита информации - деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию .

Здесь отражено парирование двух видов угроз - несанкционированного получения (утечки) защищаемой информации и воздействия на защищаемую информацию.

Таким образом, под защитой информации понимается совокупность мероприятий и действий, направленных на обеспечение ее безопасности в процессе сбора, передачи, обработки и хранения.

В узком смысле приведенное определение понятия «защита информации» прежде всего тождественно понятию «обеспечение безопасности информации» (рис. 1.5). Отметим, что безопасность информации - это состояние ее защищенности от дестабилизирующего воздействия внешней среды (человека и природы) и внутренних угроз системы или сети, в которой она находится или может находиться, т.е. конфиденциальность, целостность и доступность информации.

Еще раз подчеркнем, что конфиденциальность информации - это статус (требование), определенный ее их обладателем и определяющий требуемую степень ее защиты. По существу конфиденциальность информации - это требование к информации быть известной только допущенным и прошедшим проверку (авторизованным)

Рис. 1.5.

субъектам системы (пользователям, процессам, программам). Для остальных субъектов системы эта информация должна быть неизвестной.

Целостность информации - это способность информации (требование к информации) сохранять неизменным семантическое содержание (по отношению к исходным данным), т.е. ее устойчивость к случайному или преднамеренному искажению или разрушению.

Доступность информации - это способность (требование) объекта - информационной системы (сети) - обеспечивать своевременный беспрепятственный доступ авторизованных субъектов (пользователей, абонентов) к интересующей их информации или осуществлять своевременный информационный обмен между ними.

Субъект - это активный компонент системы, который может стать причиной образования потока информации от объекта к субъекту или изменения состояния системы. Объект - пассивный компонент системы, обрабатывающий, хранящий, принимающий или передающий информацию. Доступ к объекту означает доступ к содержащейся в нем информации.

Подчеркнем, что доступ к информации - возможность получения и использования информации, т.е. возможность ее приема, ознакомления с информацией, обработки, в частности, копирования, модификации или уничтожения информации.

Различают санкционированный и несанкционированный доступ к информации. Санкционированный доступ к информации - это доступ к информации, не нарушающий установленные правила разграничения доступа. Правила разграничения доступа служат для регламентации прав доступа субъектов доступа к объектам доступа.

Несанкционированный доступ к информации характеризуется нарушением установленных правил разграничения доступа.

Пользователь, программа или процесс, осуществляющие несанкционированный доступ к информации, являются нарушителями правил разграничения доступа (одного из элементов политики безопасности). Несанкционированный доступ является наиболее распространенным видом компьютерных и сетевых нарушений.

Отметим, что в приведенной здесь трактовке понятия «защита информации» (как обеспечение безопасности информации - конфиденциальности, целостности и доступности информации) соответствует понятие «информационная безопасность». В соответствии с ГОСТ Р ИСО/МЭК 17799-2005 информационная безопасность - механизм защиты, обеспечивающий конфиденциальность (доступ к информации только авторизованных пользователей), целостность (достоверность и полноту информации и методов ее обработки) и доступность (доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости). В стандарте ОАО «РЖД» (СТО РЖД 1.18.002-2009) «Управление информационной безопасностью. Общие положения» информационная безопасность также определяется как состояние защищенности информации, при котором обеспечиваются такие ее характеристики, как конфиденциальность, целостность и доступность .

Осуществление деятельности по обеспечению информационной безопасности Российской Федерации возложено на государство, которое в соответствии с законодательством является основным субъектом обеспечения безопасности. Отметим, что государство - это организация политической власти, охватывающая определенную территорию и выступающая одновременно как средство обеспечения интересов всего общества и как особый механизм управления и подавления.

В Доктрине информационной безопасности Российской Федерации (2000 г.) под информационной безопасностью РФ понимается состояние защищенности ее национальных интересов в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества и государства.

Выделяются четыре основные составляющие национальных интересов Российской Федерации в информационной сфере:

• 1) соблюдение конституционных прав и свобод человека и гражданина в области получения информации и пользования ею, обеспечение духовного обновления России, сохранение и укрепление нравственных ценностей общества, традиций патриотизма и гуманизма, культурного и научного потенциала страны;
• 2) информационное обеспечение государственной политики РФ, связанное, в том числе, с обеспечением доступа граждан к открытым государственным информационным ресурсам;
• 3) развитие современных информационных технологий, отечественной индустрии информации, обеспечение потребностей внутреннего рынка ее продукцией и выход этой продукции на мировой рынок; обеспечение накопления, сохранности и эффективного использования отечественных информационных ресурсов;
• 4) защита национальных информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.

Таким образом, целью обеспечения информационной безопасности Российской Федерации является, прежде всего, защита жизненно важных сбалансированных интересов субъектов информационных отношений в информационной сфере - граждан, сообществ людей, предприятий, организаций, корпораций, государства.

При всем многообразии видов организаций, направлений и масштабов их деятельности, численности участников их существенными активами являются информация, поддерживающие ее процессы, информационные системы и сетевая инфраструктура, т.е. информационные активы. Конфиденциальность, целостность и доступность информации могут существенно способствовать обеспечению конкурентоспособности, ликвидности, доходности, соответствия законодательству и деловой репутации организации.

Содержание их информационной безопасности заключается в защищенности целенаправленной деятельности, связанной с информацией и информационной инфраструктурой, предоставляемых информационных услуг, других информационных активов организации. К ним относятся информационные системы и ресурсы, объекты интеллектуальной собственности, имущественные права на эти объекты, личные неимущественные права членов организации, права на сохранение установленного режима доступа к сведениям, составляющим охраняемую законом тайну, например, коммерческую тайну и персональные данные. Эти составляющие организации как объекта информационной безопасности и защищаются от внешних и внутренних угроз.

Под информационной безопасностью организации, корпорации, предприятия будем понимать состояние защищенности информационных активов (ресурсов) - информации и информационной инфраструктуры, других информационных активов, при котором обеспечивается приемлемый риск нанесения ущерба в условиях проявления внешних и внутренних, случайных и преднамеренных угроз.

Главной целью обеспечения информационной безопасности организаций является минимизация или достижение приемлемого риска или экономического ущерба при нарушении безопасности информации - компрометации ее конфиденциальности, нарушении целостности и доступности.

При разработке требований к безопасности организации в целом и безопасности ее «информационного измерения» - информационной безопасности, анализе и оценивании защищенности, управлении информационной безопасностью организации, как правило, используется методология приемлемого (или неприемлемого) риска деятельности организации (рис. 1.6). Величина риска определяется ожидаемой опасностью наступления неблагоприятных

Рис. 1.6.

безопасности последствий, обусловленных проявлением угроз деятельности организации (вероятностью реализации угрозы и ценностью ресурса).

К основным задачам обеспечения информационной безопасности организации, корпорации, предприятия относятся:

• - выявление наиболее важных, а также слабых и уязвимых в информационном отношении объектов;
• - оценивание и прогнозирование источников угроз информационной безопасности и способов их реализации;
• - разработка политики обеспечения информационной безопасности корпорации, комплекса мероприятий и механизмов ее реализации;
• - разработка нормативной базы обеспечения информационной безопасности корпорации, координация деятельности органов управления по обеспечению информационной безопасности;
• - разработка мероприятий по обеспечению информационной безопасности при угрозе или возникновении чрезвычайных ситуаций;
• - развитие иерархической системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности;
• - обеспечение безопасной интеграции корпоративной системы или сети в глобальные информационные сети и системы.

Широкое толкование понятия «защита информации» предусматривает совокупность мероприятий по обеспечению безопасности информации, представленной в любой материальной форме, безопасности функционирования информационных систем и телекоммуникационных сетей и использования информационных технологий. И в этом смысле оно совпадает с формирующимся представлением о понятии «обеспечение информационной безопасности» информационных или телекоммуникационных систем (в настоящее время не определенном законодательными актами).

Приведенная современная трактовка защиты информации (в широком смысле - как обеспечение безопасности информации и информационной инфраструктуры - информационных систем и технологий) не имеет достаточно четкой границы с процессом обеспечения информационной безопасности .

В то же время содержание процессов обеспечения информационной безопасности и защиты информации (и соответственно понятий информационной безопасности и безопасности информации) различается уровнем иерархии и сложности организации защищаемых объектов, и характером угроз. Обеспечение информационной безопасности объектов предполагает «защиту информации» и «защиту от информации», обеспечение защищенности (безопасности) информации и информационной инфраструктуры от проявления угроз. Оба понятия предполагают использование комплекса мер и средств защиты - правовых, организационных и технологических (технических) с акцентом на той или иной их группе.

Примем следующую трактовку понятий «информационная безопасность» и «обеспечение информационной безопасности».

Сначала отметим, что понятие безопасность определяется как «состояние, при котором не угрожает опасность, есть защита от опасности», и в общем случае как невозможность нанесения вреда кому-нибудь или чему-нибудь вследствие проявления угроз, т.е. их защищенность (состояние защищенности) от угроз. Понятие обеспечение будем рассматривать двояко - как деятельность и средства деятельности - и включать в него также субъектов обеспечения.

В соответствии с работой в структуре понятия «информационная безопасность» будем выделять объект информационной безопасности, угрозы этому объекту и обеспечение его информационной безопасности от проявления угроз (рис. 1.7).

В контексте глобальной проблемы безопасного развития в качестве основных объектов информационной безопасности рассматриваются человек, общество (сообщества людей, организации, включая корпорации, предприятия и т.п.) и государство.

В наиболее общем виде для этих объектов информационная безопасность может быть определена как невозможность нанесения вреда свойствам объекта безопасности или свойствам его структурных составляющих, обусловливаемым информацией и информационной инфраструктурой, т.е. как безопасность (состояние защищенности) их «информационного измерения».

На основе вышеизложенного можно определить содержание информационной безопасности человека, общества и государства как безопасности их «информационного измерения».

Информационная безопасность человека состоит в невозможности нанесения вреда ему как личности, социальная деятельность которой во многом базируется на осмыслении получаемой инфор-

Рис. 1.7.

мации, информационных взаимодействиях с другими индивидами и которая часто использует информацию в качестве предмета деятельности.

Информационная безопасность общества заключается в невозможности нанесения вреда его духовной сфере, культурным ценностям, социальным регуляторам поведения людей, информационной инфраструктуре и передаваемым с ее помощью сообщениям.

Информационная безопасность государства заключается в невозможности нанесения вреда его деятельности по выполнению функций управления делами общества, связанных с использованием информации и информационной инфраструктуры общества. Иногда, принимая важность компоненты информационной безопасности, связанной с воздействиями на психику и сознание человека и общественное сознание, в ней выделяют информационно-психологическую безопасность.

Обеспечение информационной безопасности характеризуется деятельностью по недопущению вреда свойствам объекта безопасности, обусловливаемым информацией и информационной инфраструктурой, а также средствами и субъектами этой деятельности.

Таким образом, обеспечение информационной безопасности рассматривается прежде всего как решение глобальной проблемы безопасного развития мировой цивилизации, государств, сообществ людей, отдельного человека, существования природы. При этом понятие «информационная безопасность» характеризует состояние защищенности человека, общества, государства, природы в условиях возможного действия двух видов обобщенных угроз: компрометации (разглашения) принадлежащих им тайн, а также негативного (случайного или преднамеренного) воздействия информации на их информационные подсистемы (сознание и психику отдельного человека, массовое сознание, информационную сферу (среду), общества и государства, информационно-чувствительные элементы природных объектов).

Под информационной безопасностью человека, общества, государства будем понимать состояние защищенности их «информационного измерения» (жизненно важных интересов человека, общества, государства в информационной сфере; информационных активов организации, корпорации, предприятия; собственно информации и информационной инфраструктуры) от проявления внешних и внутренних, случайных и преднамеренных угроз.

Конкретные формулировки будут приведены в следующем пункте.

В последние годы понятие «информационная безопасность» распространилось (но не закреплено законодательно) и на такие объекты информационной безопасности как собственно информационные и автоматизированные системы, корпоративные и телекоммуникационные сети. Примем для них следующую трактовку понятия «информационная безопасность» .

Информационная безопасность корпоративной информационной системы или сети представляет собой состояние защищенности находящейся или циркулирующей в ней информации и ее информационной инфраструктуры, которое обеспечивает устойчивое функционирование системы или сети в условиях действия дестабилизирующих факторов (угроз).

Когда мы говорим об угрозе информационной безопасности, как правило, нам представляется опытный хакер, день и ночь скрупулезно изучающий малейшие бреши в защите баз данных. Однако, как показывает практика, часто беда приходит изнутри компании - по недосмотру, или же по злому умыслу, конфиденциальная информация утекает именно через сотрудников организации.

Целый ряд серьёзных специалистов по информационной безопасности организации называет внутреннюю угрозу важнейшей, отдавая ей до 80% от общего числа потенциальных рисков. Действительно, если рассмотреть средний ущерб от хакерских атак, то он будет близиться к нулю, ввиду большого числа попыток взлома и весьма низкой их результативности. Единичный же случай ошибки персонала или успешного злодеяния инсайдера может стоить компании многомиллионных убытков (прямых и косвенных), судебных разбирательств и дурной славы в глазах клиентов. По факту, под угрозой может оказаться само существование фирмы и это, увы, реальность. Как обеспечить? Как защититься от утечек информации? Как вовремя распознать и предотвратить внутреннюю угрозу? Какие методы борьбы с ней наиболее эффективны сегодня?

Враг внутри

Внутренним злоумышленником, или инсайдером, может стать практически любой сотрудник, имеющий доступ к конфиденциальной информации компании. Мотивация действий инсайдера не всегда очевидна, что влечёт за собой значительные трудности в его идентификации. Недавно уволенный сотрудник, затаивший обиду на работодателя; нечистый на руку работник, желающий подзаработать на продаже данных; современный Герострат; специально внедрённый агент конкурента или преступной группы - вот лишь несколько архетипов инсайдера.

Корень всех бед, которые могут принести злоумышленные действия инсайдеров, кроется в недооценке важности этой угрозы. Согласно исследованию проведённому компанией Perimetrix, утечка более 20% конфиденциальной информации фирмы в большинстве случаев ведёт за собой её крах и банкротство. Особенно частой, но до сих пор наиболее уязвимой жертвой инсайдеров становятся финансовые учреждения, причём любого размера - со штатом от сотни до нескольких тысяч работников. Несмотря на то, что в большинстве случаев компании стараются скрыть или существенно занизить реальные цифры ущерба от действий инсайдеров, даже официально оглашаемые суммы убытков поистине впечатляют. Гораздо больнее финансовых потерь по компании бьёт ущерб репутации фирмы и резкое снижение доверия клиентов. Зачастую, непрямые потери могут многократно превышать фактический прямой ущерб. Так, широко известен случай с лихтенштейнским банком LGT, когда в 2008 году сотрудник банка передал базу данных по вкладчикам спецслужбам Германии, США, Великобритании и других стран. Как оказалось, огромное количество иностранных клиентов банка использовали особый статус LGT для проведения транзакций в обход действующих в их странах налоговых законов. По миру прокатилась волна финансовых расследований и связанных с ними судебных разбирательств, а банк LGT растерял всех своих значимых клиентов, понёс критические потери и вверг весь Лихтенштейн в тяжелый экономический и дипломатический кризис. За совсем свежими примерами тоже не нужно ходить далеко - в начале 2011 года факт утечки персональных данных клиентов признал такой финансовый гигант, как Bank of America. В результате мошеннических действий, из банка утекла информация с именами, адресами, номерами социального страхования и телефонов, номерами банковских счетов и водительских прав, адресами электронной почты, PIN-кодами и прочими личными данными вкладчиков. Едва ли удастся точно определить реальный масштаб потерь банка, если только официально было заявлено о сумме «более 10 миллионов долларов». Причина утечки данных - действия инсайдера, который передавал информацию организованной преступной группе. Впрочем, под угрозой инсайдерских атак не только банки и фонды, достаточно будет вспомнить целый ряд громких скандалов, связанных с публикаций конфиденциальных данных на ресурсе WikiLeaks - по оценке специалистов, изрядная доля информации была получена именно через инсайдеров.

Проза жизни

Непредумышленное причинение вреда конфиденциальным данным компании, их утечка или потеря - вещь куда более частая и прозаическая, чем вред, наносимый инсайдерами. Безалаберность персонала и отсутствие должного технического обеспечения информационной безопасности может стать причиной прямой утечки корпоративных секретов. Такая халатность несёт не только серьёзные убытки бюджету и репутации компании, но и может вызывать широкий общественный диссонанс. Вырвавшись на волю, секретная информация становится достоянием не узкого круга злоумышленников, а всего информационного пространства - утечку обсуждают в интернете, на телевидении, в прессе. Вспомним громкий скандал с публикацией SMS-сообщений крупнейшего российского оператора сотовой связи «Мегафон». Из-за невнимательности технического персонала, смс-сообщения были проиндексированы интернет-поисковиками, в сеть попала переписка абонентов, содержащая информацию как личного, так и делового характера. Совсем недавний случай: публикация личных данных клиентов Пенсионного фонда России. Ошибка представителей одного из региональных представительств фонда привела к индексации персональной информации 600 человек - имена, регистрационные номера, подробные суммы накоплений клиентов ПФР мог прочитать любой пользователь интернета.

Очень частая причина утечек конфиденциальных данных по неосторожности связана с ежедневной ротацией документов внутри компании. Так, например, сотрудник может скопировать файл, содержащий секретные данные, на портативный компьютер, USB-носитель или КПК для работы с данными вне офиса. Также, информация может попасть на файлообменник или личную почту работника. При подобных ситуациях, данные оказываются полностью беззащитными для злоумышленников, которые могут воспользоваться непреднамеренной утечкой.

Золотые доспехи или бронежилет?

Для защиты от утечки данных в индустрии информационной безопасности создаются разнообразные системы защиты информации от утечки, традиционно обозначаемых аббревиатурой DLP от англ. Data Leakage Prevention («предотвращение утечки данных»). Как правило, это сложнейшие программные комплексы, имеющие широкий функционал по предотвращению злоумышленной или случайной утечки секретной информации. Особенностью таких систем является то, что для корректной их работы требуется строго отлаженная структура внутреннего оборота информации и документов, поскольку анализ безопасности всех действий с информацией строится на работе с базами данных. Этим объясняется высокая стоимость установки профессиональных DLP-решений: ещё перед непосредственным внедрением, компании-клиенту приходится приобретать систему управления базами данных (как правило, Oracle или SQL), заказывать дорогостоящий анализ и аудит структуры оборота информации, вырабатывать новую политику безопасности. Обычной является ситуация, когда в компании неструктурированно более 80% информации, что даёт зрительное представление о масштабе подготовительных мероприятий. Разумеется, сама DLP-система тоже стоит немалых денег. Неудивительно, что профессиональную DLP-систему могут себе позволить только крупные компании, готовые тратить миллионы на информационную безопасность организации .

Но что же делать предприятиям среднего и малого бизнеса, которым требуется обеспечить информационную безопасность бизнеса , но средств и возможностей на внедрение профессиональной DLP-системы нет? Самое важное для руководителя компании или офицера службы безопасности определить, какую информацию защищать и какие стороны информационной деятельности сотрудников подвергать контролю. В российском бизнесе до сих пор преобладает мнение, что защищать нужно абсолютно все, без классификации информации и расчета эффективности средств защиты. При таком подходе совершенно очевидно, что узнав суммы расходов на информационную безопасность предприятия , руководитель среднего и малого бизнеса машет рукой и надеется на «авось».

Существуют альтернативные способы защиты, которые не затрагивают базы данных и сложившийся жизненный цикл информации, но дают надёжную защиту от действий злоумышленников и халатности сотрудников. Это гибкие модульные комплексы, которые без проблем работают с другими средствами безопасности, как аппаратными, так и программными (например, с антивирусами). Грамотно составленная система безопасности даёт очень надёжную защиту как от внешних, так и от внутренних угроз, предоставляя идеальный баланс цены и функционала. По мнению специалистов российской компании-разработчика систем информационной безопасности SafenSoft, оптимальным является сочетание элементов защиты от внешних угроз (например, HIPS для предотвращения вторжений, плюс антивирусный сканер) со средствами мониторинга и контроля доступа пользователей и приложений к отдельным секторам информации. При таком подходе вся сетевая структура организации полностью защищена от возможного взлома или инфицирования вирусами, а средства контроля и наблюдения за действиями персонала при работе с информацией позволяют эффективно препятствовать утечкам данных. При наличии всего необходимого арсенала защитных средств, стоимость модульных систем в десятки раз меньше комплексных DLP-решений и не требует никаких затрат на предварительный анализ и адаптацию информационной структуры компании.

Итак, подведём итоги. Угрозы информационной безопасности предприятия совершенно реальны, их нельзя недооценивать. Кроме противодействия внешним угрозам особое внимание следует уделить угрозам внутренним. Важно помнить, что утечки корпоративных секретов случаются не только по злому умыслу - как правило, их причина в элементарной халатности и невнимательности работника. При выборе средств защиты не нужно пытаться охватить все мыслимые и немыслимые угрозы, на это просто не хватит денег и сил. Постройте надёжную модульную систему безопасности, закрытую от рисков вторжения извне и позволяющую осуществлять контроль и мониторинг за потоком информации внутри компании.

Информационная безопасность предприятия - это состояние защищённости корпоративных данных, при которой обеспечивается их конфиденциальность, целостность, аутентичность и доступность.

Информационная безопасность предприятия достигается целым комплексом организационных и технических мер, направленных на защиту корпоративных данных. Организационные меры включают документированные процедуры и правила работы с разными видами информации, ИТ-сервисами, средствами защиты и т.д. Технические меры заключаются в использовании аппаратных и программных средств контроля доступа, мониторинга утечек, антивирусной защиты, межсетевого экранирования, защиты от электромагнитных излучений и проч.

Задачи систем информационной безопасности предприятия многообразны. Это обеспечение защищённого хранения информации на разных носителях; защита данных, передаваемых по каналам связи; разграничение доступа к различным видам документов; создание резервных копий, послеаварийное восстановление информационных систем и т.д.

Обеспечение информационной безопасности предприятия возможно только при системном и комплексном подходе к защите. В системе ИБ должны учитываться все актуальные компьютерные угрозы и уязвимости.

Полноценная информационная безопасность предприятий и организаций подразумевает непрерывный контроль в реальном времени всех важных событий и состояний, влияющих на безопасность данных. Защита должна осуществляться круглосуточно и круглогодично и охватывать весь жизненный цикл информации - от её поступления или создания до уничтожения или потери актуальности.

На уровне предприятия за информационную безопасность отвечают отделы информационных технологий, экономической безопасности, кадров и другие службы.

Обеспечение информационной безопасности - сложная общественно-социальная, правовая, экономическая, научная проблема. Лишь комплексное решение ее целей и задач одновременно в нескольких плоскостях сможет оказать свое регулирующее воздействие на обеспечение информационной безопасности страны. Работы, проводимые в этой области, должны иметь не только практическую направленность, но и научное обоснование.

Основные цели обеспечения информационной безопасности определяются на базе устойчивых приоритетов национальной и экономической безопасности, отвечающих долговременным интересам общественного развития, к которым относятся:

Сохранение и укрепление российской государственности и политической стабильности в обществе;

Сохранение и развитие демократических институтов общества, обеспечение прав и свобод граждан, укрепление законности и правопорядка;

Обеспечение достойного места и роли страны в мировом сообществе;

Обеспечение территориальной целостности страны;

Обеспечение прогрессивного социально-экономического развития;

Сохранение национальных культурных ценностей и традиций.

В соответствии с указанными приоритетами основными задачами обеспечения информационной безопасности являются:

Выявление оценка и прогнозирование источников угроз информационной безопасности;

Разработка государственной политики обеспечения информационной безопасности, комплекса мероприятий и механизмов ее реализации;

Разработка нормативно-правовой базы обеспечения информационной безопасности, координация деятельности органов государственной власти и предприятий по обеспечению информационной безопасности;

Развитие системы обеспечения информационной безопасности, совершенствование ее организации, форм, методов и средств предотвращения, парирования и нейтрализации угроз информационной безопасности и ликвидации последствий ее нарушения;

Обеспечение активного участия страны в процессах создания использования глобальных информационных сетей и систем.

Важнейшими принципами обеспечения информационной безопасности являются:

1) законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере;

2) непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы;

3) экономическая целесообразность, т е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации

4) комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.

Реализация процесса защиты информации включает несколько этапов:

Определение объекта защиты: права на защиту информационного ресурса, стоимостная оценка информационного ресурса и его основных элементов, длительность жизненного цикла информационного ресурса, траектория информационного процесса по функциональным подразделениям фирмы;

Выявление источников угроз (конкурентов, преступников, сотрудников и др.), целей угроз (ознакомление, модификация, уничтожение и др.), возможных каналов реализации угроз (разглашение, утечка и др.);

Определение необходимых мер защиты;

Оценка их эффективности и экономической целесообразности;

Реализация принятых мер с учетом выбранных критериев;

Доведение принятых мер до персонала, контроль за их эффективностью и устранение (предотвращение) последствий угроз.

Реализация описанных этапов, по сути, является процессом управления информационной безопасностью объекта и обеспечивается системой управления, включающей в себя, кроме самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым, а также механизм управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать достижение минимума информационного ущерба, а целью управления - обеспечение требуемого состояния объекта в смысле его информационной защищенности.

Методы обеспечения информационной безопасности разделяются на правовые, организационно-технические и экономические.

К правовым методам обеспечения информационной безопасности относится разработка нормативно-правовых актов, регламентирующих отношения в информационной сфере, и нормативных методических документов по вопросам обеспечения информационной безопасности. Наиболее важными направлениями этой деятельности являются:

Внесение изменений и дополнений в законодательство, регулирующее отношения в области обеспечения информационной безопасности, в целях создания и совершенствования системы обеспечения информационной безопасности, устранения внутренних противоречии в федеральном законодательстве, противоречий, связанных с международными соглашениями, а также в целях конкретизации правовых норм, устанавливающих ответственность за правонарушения в области обеспечения информационной безопасности;

Законодательное разграничение полномочий в области обеспечения определения целей, задач и механизмов участия в этой деятельности общественных объединений, организаций и граждан;

Разработка и принятие нормативных правовых актов, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ к информации, ее противоправное копирование, искажение и противозаконное использование, преднамеренное распространение недостоверной информации, противоправное раскрытие конфиденциальной информации, использование в преступных и корыстных целях служебной информации или информации, содержащей коммерческую тайну;

Уточнение статуса иностранных информационных агентств, средств массовой информации и журналистов, а также инвесторов при привлечении иностранных инвестиций для развития отечественной информационной инфраструктуры;

Законодательное закрепление приоритета развития национальных сетей связи и отечественного производства космических спутников связи;

Определение статуса организаций, предоставляющих услуги глобальных информационно-коммуникационных сетей и правовое регулирование деятельности этих организаций;

Создание правовой базы для формирования региональных структур обеспечения информационной безопасности.

Организационно-техническими методами обеспечения информационной безопасности являются:

Создание и совершенствование системы обеспечения информационной безопасности государства;

Усиление правоприменительной деятельности органов власти, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере;

Разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения;

Создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи;

Выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-коммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации;

Сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации;

Совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности;

Контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информационной безопасности государства;

Формирование системы мониторинга показателей и характеристик информационной безопасности в наиболее важных сферах жизни и деятельности общества и государства.

Экономические методы обеспечения информационной безопасности включают:

Разработку программ обеспечения информационной безопасности государства и определение порядка их финансирования;

Совершенствование системы финансирования работ, связанных с реализацией правовых и организационно-технических методов защиты информации, создание системы страхования информационных рисков физических и юридических лиц.

Наряду с широким использованием стандартных методов и средств для сферы экономики приоритетными направлениями обеспечения информационной безопасности являются:

Разработка и принятие правовых положений, устанавливающих ответственность юридических и физических лиц за несанкционированный доступ и хищение информации, преднамеренное распространение недостоверной информации, разглашение коммерческой тайны, утечку конфиденциальной информации;

Построение системы государственной статистической отчетности, обеспечивающей достоверность, полноту, сопоставимость и защищенность информации путем введения строгой юридической ответственности первичных источников информации, организации действенного контроля за их деятельностью и деятельностью служб обработки и анализа статистической информации, ограничения ее коммерциализации, использования специальных организационных и программно-технических средств защиты информации;

Создание и совершенствование специальных средств защиты финансовой и коммерческой информации;

Разработка комплекса организационно-технических мероприятий по совершенствованию технологии информационной деятельности и защиты информации в хозяйственных, финансовых, промышленных и других экономических структурах с учетом специфических для сферы экономики требований информационной безопасности;

Совершенствование системы профессионального отбора и подготовки персонала, систем отбора, обработки, анализа и распространения экономической информации.

Государственная политика обеспечения информационной безопасности формирует направления деятельности органов государственной власти и управления в области обеспечения информационной безопасности, включая гарантии прав всех субъектов на информацию, закрепление обязанностей и ответственности государства и его органов за информационную безопасность страны, и базируется на соблюдении баланса интересов личности, общества и государства в информационной сфере.

Государственная политика обеспечения информационной безопасности исходит из следующих основных положений:

Ограничение доступа к информации есть исключение из общего принципа открытости информации, и осуществляется только на основе законодательства;

Ответственность за сохранность информации, ее засекречивание и рассекречивание персонифицируется;

Доступ к какой-либо информации, а также вводимые ограничения доступа осуществляются с учетом определяемых законом прав собственности на эту информацию;

Формирование государством нормативно-правовой базы, регламентирующей права, обязанности и ответственность всех субъектов, действующих в информационной сфере;

Юридические и физические лица, собирающие, накапливающие и обрабатывающие персональные данные и конфиденциальную информацию, несут ответственность перед законом за их сохранность и использование;

Обеспечение государством законными средствами защиты общества от ложной, искаженной и недостоверной информации, поступающей через средства массовой информации;

Осуществление государственного контроля за созданием и использованием средств защиты информации посредством их обязательной сертификации и лицензирования деятельности в области защиты информации;

Проведение протекционистской политики государства, поддерживающей деятельность отечественных производителей средств информатизации и защиты информации и осуществляющей меры по защите внутреннего рынка от проникновения на него некачественных средств информации и информационных продуктов;

Государственная поддержка в деле предоставления гражданам доступа к мировым информационным ресурсам, глобальным информационным сетям,

Формирование государством федеральной программы информационной безопасности, объединяющей усилия государственных организаций и коммерческих структур в создании единой системы информационной безопасности страны;

Государство прилагает усилия для противодействия информационной экспансии других стран, поддерживает интернационализацию глобальных информационных сетей и систем.

На основе изложенных принципов и положений определяются общие направления формирования и реализации политики информационной безопасности в политической, экономической и других сферах деятельности государства.

Государственная политика в качестве механизма согласования интересов субъектов информационных отношений и нахождения компромиссных решений предусматривает формирование и организацию эффективной работы различных советов, комитетов и комиссий с широким представительством специалистов и всех заинтересованных структур. Механизмы реализации государственной политики должны быть гибкими и своевременно отражать изменения, происходящие в экономической и политической жизни страны.

Правовое обеспечение информационной безопасности государства является приоритетным направлением формирования механизмов реализации политики обеспечения информационной безопасности и включает в себя:

1) нормотворческую деятельность по созданию законодательства, регулирующего отношения в обществе, связанные с обеспечением информационной безопасности;

2) исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации и защиты информации органами государственной власти и управления, организациями, гражданами.

Нормотворческая деятельность в области обеспечения информационной безопасности предусматривает:

Оценку состояния действующего законодательства и разработку программы его совершенствования;

Создание организационно-правовых механизмов обеспечения информационной безопасности;

Формирование правового статуса всех субъектов в системе информационной безопасности, пользователей информационных и телекоммуникационных систем и определение их ответственности за обеспечение информационной безопасности;

Разработку организационно-правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех видов информации;

Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействия угроз, восстановления нарушенного права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность предусматривает разработку процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с конфиденциальной информацией и нарушившим регламент информационных взаимодействий. Вся деятельность по правовому обеспечению информационной безопасности строится на основе трех фундаментальных положений права: соблюдения законности, обеспечения баланса интересов отдельных субъектов и государства, неотвратимости наказания.

Соблюдение законности предполагает наличие законов и иных нормативных установлений, их применение и исполнение субъектами права в области информационной безопасности.

12.3. СОСТОЯНИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ

Оценка состояния информационной безопасности государства предполагает оценку существующих угроз. В п. 2 «Доктрины информационной безопасности РФ» 1 выделяются следующие угрозы информационной безопасности Российской Федерации:

Угрозы конституционным правам и свободам человека и гражданина в области духовной жизни и информационной деятельности, индивидуальному, групповому и общественному сознанию, духовному возрождению России;

Угрозы информационному обеспечению государственной политики Российской Федерации;

Угрозы развитию отечественной индустрии информации, включая индустрию средств информатизации, телекоммуникации и связи, обеспечению потребностей внутреннего рынка в ее продукции и выходу этой продукции на мировой рынок, а также обеспечению накопления, сохранности и эффективного использования отечественных информационных ресурсов;

__________________________________________________________________

Угрозы безопасности информационных и телекоммуникационных систем, как уже развернутых, так и создаваемых на территории России.

К внешним источникам угроз информационной безопасности России относятся:

1) деятельность иностранных политических, экономических, военных, разведывательных и информационных структур, направленная против Российской Федерации в информационной сфере;

2) стремление ряда стран к доминированию и ущемлению интересов России в мировом информационном пространстве, вытеснению ее с внешнего и внутреннего информационного рынков;

3) обострение международной конкуренции за обладание информационными технологиями и ресурсами;

4) деятельность международных террористических организаций;

5) увеличение технологического отрыва ведущих держав мира наращивание их возможностей по противодействию созданию конкурентоспособных российских информационных технологий;

6) деятельность космических, воздушных, морских и наземных технических и иных средств (видов) разведки иностранных государств;

7) разработка рядом государств концепций информационных войн, предусматривающих создание средств опасного воздействия на информационные сферы других стран мира, нарушение нормального функционирования информационных и телекоммуникационных систем, сохранности информационных ресурсов, получение несанкционированного доступа к ним.

К внутренним источникам угроз информационной безопасности России относятся:

1) критическое состояние отечественных отраслей промышленности;

2) неблагоприятная криминогенная обстановка, сопровождающаяся тенденциями сращивания государственных и криминальных структур в информационной сфере, получения криминальными структурами доступа к конфиденциальной информации, усиления влияния организованной преступности на жизнь общества, снижение степени защищенности законных интересов граждан, общества и государства в информационной сфере;

3) недостаточная координация деятельности федеральных органов государственной власти, органов государственной власти субъектов РФ по формированию и реализации единой государственной политики в области обеспечения информационной безопасности РФ;

4) недостаточная разработанность нормативной правовой базы, регулирующей отношения в информационной сфере, а также недостаточная правоприменительная практика;

5) неразвитость институтов гражданского общества и недостаточный контроль за развитием информационного рынка России;

6) недостаточная экономическая мощь государства;

7) снижение эффективности системы образования и воспитания, недостаточное количество квалифицированных кадров в области обеспечения информационной безопасности;

8) отставание России от ведущих стран мира по уровню информатизации федеральных органов государственной власти, кредит-но-финансовой сферы, промышленности, сельского хозяйства, образования, здравоохранения, сферы услуг и быта граждан.

За последние годы в России реализован комплекс мер по совершенствованию обеспечения ее информационной безопасности. Осуществлены мероприятия по обеспечению информационной безопасности в федеральных органах государственной власти, органах государственной власти субъектов РФ, на предприятиях, в учреждениях и организациях независимо от формы собственности. Развернуты работы по созданию защищенной информационно-телекоммуникационной системы специального назначения в интересах органов государственной власти.

Успешному решению вопросов обеспечения информационной безопасности РФ способствуют государственная система защиты информации, система защиты государственной тайны и системы сертификации средств защиты информации.

Структуру государственной системы защиты информации составляют:

Органы государственной власти и управления РФ и субъектов РФ, решающие задачи обеспечения информационной безопасности в пределах своей компетенции;

Государственные и межведомственные комиссии и советы, специализирующиеся на проблемах информационной безопасности;

Государственная техническая комиссия при Президенте РФ;

Федеральная служба безопасности РФ;

Министерство внутренних дел РФ;

Министерство обороны РФ;

Федеральное агентство правительственной связи и информации при Президенте РФ;

Служба внешней разведки РФ;

Структурные и межотраслевые подразделения по защите информации органов государственной власти;

Головные и ведущие научно-исследовательские, научно-технические, проектные и конструкторские организации по защите информации;

Учебные заведения, осуществляющие подготовку и переподготовку кадров для работы в системе обеспечения информационной безопасности.

Государственная техническая комиссия при Президенте РФ, являясь органом государственного управления, осуществляет проведение единой технической политики и координацию работ в области защиты информации, возглавляет государственную систему защиты информации от технических разведок, несет ответственность за обеспечение защиты информации от ее утечки по техническим каналам на территории России, осуществляет контроль эффективности принимаемых мер защиты.

Особое место в системе информационной безопасности занимают государственные и общественные организации, осуществляющие контроль за деятельностью государственных и негосударственных средств массовой информации.

К настоящему времени сформирована законодательная и нормативно-правовая база в сфере информационной безопасности России, которая включает в себя:

1. Законы Российской Федерации:

Конституция РФ;

«О банках и банковской деятельности»;

«О безопасности»;

«О внешней разведке»;

«О государственной тайне»;

«О связи»;

«О сертификации продукции и услуг»;

«О средствах массовой информации»;

«О стандартизации»;

«Об информации, информационных технологиях и о защите информации»;

«Об органах Федеральной службы безопасности в Российской Федерации»;

«Об обязательном экземпляре документов»;

«Об участии в международном информационном обмене»;

«О6 электронно-цифровой подписи» и др.

2. Нормативно-правовые акты Президента Российской Федерации:

«Доктрина информационной безопасности РФ»;

«О стратегии национальной безопасности Российской Федерации до 2020 г»;

«О некоторых вопросах межведомственной комиссии по защите государственной тайны»;

«О перечне сведений, отнесенных к государственной тайне»;

«Об основах государственной политики в сфере информатизации»;

«Об утверждении перечня сведений конфиденциального характера» и др.

З. Нормативные правовые акты Правительства Российской Федерации:

«О сертификации средств защиты информации»;

«О лицензировании деятельности предприятий, учреждений и организаций по проведению работ, связанных с использованием сведений, составляющих государственную тайну, созданием средств защиты информации, а также осуществлением мероприятий и (или) оказанием услуг по защите государственной тайны»;

«Об утверждении правил отнесения сведений, составляющих государственную тайну, к различным степеням секретности»;

«О лицензировании отдельных видов деятельности» и др.

4. Руководящие документы Гостехкомиссии России:

«Концепция защиты средств вычислительной техники и автоматизированных систем от несанкционированного доступа к информации»;

«Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации»;

«Защита информации. Специальные защитные знаки. Классификация и общие требования»;

«Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия не-декларированных возможностей».

5. Гражданский кодекс РФ (часть четвертая).

6. УК РФ.

Международное сотрудничество в области обеспечения информационной безопасности - неотъемлемая составляющая экономического, политического, военного, культурного и других видов взаимодействия стран, входящих в мировое сообщество. Такое сотрудничество должно способствовать повышению информационной безопасности всех членов мирового сообщества, включая Россию. Особенность международного сотрудничества РФ в области обеспечения информационной безопасности заключается в том, что оно осуществляется в условиях обострения международной конкуренции за обладание технологическими и информационными ресурсами, за доминирование на рынках сбыта, усиления технологического отрыва ведущих держав мира и наращивания их возможностей для создания «информационного оружия». Это может привести к новому этапу развертывания гонки вооружений в информационной сфере.

Международное сотрудничество в области информационной безопасности опирается на следующую нормативно-правовую базу:

Соглашение с Республикой Казахстан от 13 января 1995 г, с Москва (Постановление Правительства РФ от 15 мая 1994 г Nч 679);

Соглашение с Украиной от 14 июня 1996 г, г Киев (Постановление Правительства РФ от 7 июня 1996 г Ns 655);

Соглашение с Республикой Беларусь (Проект);

Выдача сертификатов и лицензий при международном информационном обмене (Федеральный закон от 4 июля 1996 г Х 85-ФЗ).

Основными направлениями международного сотрудничества, отвечающими интересам РФ, являются:

Предотвращение несанкционированного доступа к конфиденциальной информации в международных банковских сетях и в каналах информационного обеспечения мировой торговли, к конфиденциальной информации в международных экономических и политических союзах, блоках и организациях, к информации в международных правоохранительных организациях, ведущих борьбу с международной организованной преступностью и международным терроризмом;

Запрещение разработки, распространения и применения «информационного оружия»;

Обеспечение безопасности международного информационного обмена, в том числе сохранности информации при ее передаче по национальным телекоммуникационным сетям и каналам связи;

Координация деятельности правоохранительных органов государств - участников международного сотрудничества по предотвращению компьютерных преступлений;

Участие в проведении международных конференций и выставок по проблеме безопасности информации.

Особое внимание в ходе сотрудничества должно быть уделено проблемам взаимодействия со странами СНГ с учетом перспектив создания единого информационного пространства на территории бывшего СССР, в пределах которого используются практически единые телекоммуникационные системы и линии связи.

Вместе с тем анализ состояния информационной безопасности России показывает, что ее уровень не в полной мере соответствует потребностям общества и государства. Современные условия политического и социально-экономического развития страны вызывают обострение противоречий между потребностями общества в расширении свободного обмена информацией и необходимостью сохранения отдельных регламентированных ограничений на ее распространение.

Закрепленные в Конституции РФ права граждан на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки не имеют достаточного правового, организационного и технического обеспечения. Неудовлетворительно организована защита собираемых федеральными органами государственной власти персональных данных.

Отсутствует четкость в проведении государственной политики в области формирования российского информационного пространства, развития системы массовой информации, организации международного информационного обмена и интеграции информационного пространства России в мировое информационное пространство, что создает условия для вытеснения российских информационных агентств, средств массовой информации с внутреннего информационного рынка и деформации структуры международного информационного обмена.

Недостаточна государственная поддержка деятельности российских информационных агентств по продвижению их продукции на международный информационный рынок.

Ухудшается ситуация с обеспечением сохранности сведений, составляющих государственную тайну.

Серьезный урон нанесен кадровому потенциалу научных и производственных коллективов, действующих в области создания средств информатизации, телекоммуникации и связи, в результате массового ухода из этих коллективов наиболее квалифицированных специалистов.

Отставание отечественных информационных технологий вынуждает органы государственной власти РФ при создании информационных систем идти по пути закупок импортной техники и привлечения иностранных фирм, из-за чего повышается вероятность несанкционированного доступа к обрабатываемой информации и возрастает зависимость России от иностранных производителей компьютерной и телекоммуникационной техники, а также программного обеспечения.

В связи с интенсивным внедрением зарубежных информационных технологий в сферы деятельности личности, общества и государства, а также с широким применением открытых информационно-теле-коммуникационных систем, интеграцией отечественных и международных информационных систем возросли угрозы применения «информационного оружия» против информационной инфраструктуры России. Работы по адекватному комплексному противодействию этим угрозам ведутся при недостаточной координации и слабом бюджетном финансировании.

Контрольные вопросы

1. Каково место информационной безопасности в системе экономической безопасности государства? Покажите на примерах значение информационной безопасности в обеспечении экономической безопасности государства?

2. Чем обусловлено повышение значимости информационной безопасности в современный период?

3. Охарактеризуйте основные категории информационной безопасности: информация, информатизация, документ, информационный процесс, информационная система, информационные ресурсы, персональные данные, конфиденциальная информация.

4. В чем заключаются интересы личности, общества и государства в информационной сфере?

5. Какие существуют виды угроз информационной безопасности?

6. Назовите способы воздействия угроз на объекты информационной безопасности.

7. Объясните понятие «информационная война».

8. Перечислите внешние источники угроз информационной безопасности России.

9. Перечислите внутренние источники угроз информационной безопасности России.

10. Какие нормативные акты обеспечивают информационную безопасность на территории РФ?

11. Какие международные нормативные акты в сфере защиты информации вы знаете?

12. В чем заключается суть государственной политики обеспечения информационной безопасности?

13. Перечислите методы обеспечения информационной безопасности.

14. Охарактеризуйте структуру государственной системы защиты информации

15. Дайте оценку состояния информационной безопасности России.

С оздатель кибернетики Норберт Винер полагал, что информация обладает уникальными характеристиками и ее нельзя отнести ни к энергии, ни к материи. Особый статус информации как явления породил множество определений.

В словаре стандарта ISO/IEC 2382:2015 «Информационные технологии» приводится такая трактовка:

Информация (в области обработки информации) - любые данные, представленные в электронной форме, написанные на бумаге, высказанные на совещании или находящиеся на любом другом носителе, используемые финансовым учреждением для принятия решений, перемещения денежных средств, установления ставок, предоставления ссуд, обработки операций и т.п., включая компоненты программного обеспечения системы обработки.

Для разработки концепции обеспечения информационной безопасности (ИБ) под информацией понимают сведения, которые доступны для сбора, хранения, обработки (редактирования, преобразования), использования и передачи различными способами, в том числе в компьютерных сетях и других информационных системах.

Такие сведения обладают высокой ценностью и могут стать объектами посягательств со стороны третьих лиц. Стремление оградить информацию от угроз лежит в основе создания систем информационной безопасности.

Правовая основа

В декабре 2017 года в России принята Доктрины информационной безопасности. В документ ИБ определена как состояние защищенности национальных интересов в информационной сфере. Под национальными интересами в данном случае понимается совокупность интересов общества, личности и государства, каждая группа интересов необходима для стабильного функционирования социума.

Доктрина - концептуальный документ. Правоотношения, связанные с обеспечением информационной безопасности, регулируются федеральными законами «О государственной тайне», «Об информации», «О защите персональных данных» и другими. На базе основополагающих нормативных актов разрабатываются постановления правительства и ведомственные нормативные акты, посвященные частным вопросам защиты информации.

Определение информационной безопасности

Прежде чем разрабатывать стратегию информационной безопасности, необходимо принять базовое определение самого понятия, которое позволит применять определенный набор способов и методов защиты.

Практики отрасли предлагают понимать под информационной безопасностью стабильное состояние защищенности информации, ее носителей и инфраструктуры, которая обеспечивает целостность и устойчивость процессов, связанных с информацией, к намеренным или непреднамеренным воздействиям естественного и искусственного характера. Воздействия классифицируются в виде угроз ИБ, которые могут нанести ущерб субъектам информационных отношений.

Таким образом, под защитой информации будет пониматься комплекс правовых, административных, организационных и технических мер, направленных на предотвращение реальных или предполагаемых ИБ-угроз, а также на устранение последствий инцидентов. Непрерывность процесса защиты информации должна гарантировать борьбу с угрозами на всех этапах информационного цикла: в процессе сбора, хранения, обработки, использования и передачи информации.

Информационная безопасность в этом понимании становится одной из характеристик работоспособности системы. В каждый момент времени система должна обладать измеряемым уровнем защищенности, и обеспечение безопасности системы должно быть непрерывным процессом, которые осуществляется на всех временных отрезках в период жизни системы.

В инфографике использованы данные собственного «СёрчИнформ».

В теории информационной безопасности под субъектами ИБ понимают владельцев и пользователей информации, причем пользователей не только на постоянной основе (сотрудники), но и пользователей, которые обращаются к базам данных в единичных случаях, например, государственные органы, запрашивающие информацию. В ряде случаев, например, в банковских ИБ-стандартах к владельцам информации причисляют акционеров - юридических лиц, которым принадлежат определенные данные.

Поддерживающая инфраструктура, с точки зрения основ ИБ, включает компьютеры, сети, телекоммуникационное оборудование, помещения, системы жизнеобеспечения, персонал. При анализе безопасности необходимо изучить все элементы систем, особое внимание уделив персоналу как носителю большинства внутренних угроз.

Для управления информационной безопасностью и оценки ущерба используют характеристику приемлемости, таким образом, ущерб определяется как приемлемый или неприемлемый. Каждой компании полезно утвердить собственные критерии допустимости ущерба в денежной форме или, например, в виде допустимого вреда репутации. В государственных учреждениях могут быть приняты другие характеристики, например, влияние на процесс управления или отражение степени ущерба для жизни и здоровья граждан. Критерии существенности, важности и ценности информации могут меняться в ходе жизненного цикла информационного массива, поэтому должны своевременно пересматриваться.

Информационной угрозой в узком смысле признается объективная возможность воздействовать на объект защиты, которое может привести к утечке, хищению, разглашению или распространению информации. В более широком понимании к ИБ-угрозам будут относиться направленные воздействия информационного характера, цель которых - нанести ущерба государству, организации, личности. К таким угрозам относится, например, диффамация, намеренное введение в заблуждение, некорректная реклама.

Три основных вопроса ИБ-концепции для любой организации

Что защищать?

Какие виды угроз превалируют: внешние или внутренние?

Как защищать, какими методами и средствами?

Система ИБ

Система информационной безопасности для компании - юридического лица включает три группы основных понятий: целостность, доступность и конфиденциальность. Под каждым скрываются концепции с множеством характеристик.

Под целостностью понимается устойчивость баз данных, иных информационных массивов к случайному или намеренному разрушению, внесению несанкционированных изменений. Понятие целостности может рассматриваться как:

• статическое , выражающееся в неизменности, аутентичности информационных объектов тем объектам, которые создавались по конкретному техническому заданию и содержат объемы информации, необходимые пользователям для основной деятельности, в нужной комплектации и последовательности;
• динамическое , подразумевающее корректное выполнение сложных действий или транзакций, не причиняющее вреда сохранности информации.

Для контроля динамической целостности используют специальные технические средства, которые анализируют поток информации, например, финансовые, и выявляют случаи кражи, дублирования, перенаправления, изменения порядка сообщений. Целостность в качестве основной характеристики требуется тогда, когда на основе поступающей или имеющейся информации принимаются решения о совершении действий. Нарушение порядка расположения команд или последовательности действий может нанести большой ущерб в случае описания технологических процессов, программных кодов и в других аналогичных ситуациях.

Доступность - это свойство, которое позволяет осуществлять доступ авторизированных субъектов к данным, представляющим для них интерес, или обмениваться этими данными. Ключевое требование легитимации или авторизации субъектов дает возможность создавать разные уровни доступа. Отказ системы предоставлять информацию становится проблемой для любой организации или групп пользователей. В качестве примера можно привести недоступность сайтов госуслуг в случае системного сбоя, что лишает множество пользователей возможности получить необходимые услуги или сведения.

Конфиденциальность означает свойство информации быть доступной тем пользователям: субъектам и процессам, которым допуск разрешен изначально. Большинство компаний и организаций воспринимают конфиденциальность как ключевой элемент ИБ, однако на практике реализовать ее в полной мере трудно. Не все данные о существующих каналах утечки сведений доступны авторам концепций ИБ, и многие технические средства защиты, в том числе криптографические, нельзя приобрести свободно, в ряде случаев оборот ограничен.

Равные свойства ИБ имеют разную ценность для пользователей, отсюда - две крайние категории при разработке концепций защиты данных. Для компаний или организаций, связанных с государственной тайной, ключевым параметром станет конфиденциальность, для публичных сервисов или образовательных учреждений наиболее важный параметр - доступность.

Дайджест информационной безопасности

Объекты защиты в концепциях ИБ

Различие в субъектах порождает различия в объектах защиты. Основные группы объектов защиты:

• информационные ресурсы всех видов (под ресурсом понимается материальный объект: жесткий диск, иной носитель, документ с данными и реквизитами, которые помогают его идентифицировать и отнести к определенной группе субъектов);
• права граждан, организаций и государства на доступ к информации, возможность получить ее в рамках закона; доступ может быть ограничен только нормативно-правовыми актами, недопустима организация любых барьеров, нарушающих права человека;
• система создания, использования и распространения данных (системы и технологии, архивы, библиотеки, нормативные документы);
• система формирования общественного сознания (СМИ, интернет-ресурсы, социальные институты, образовательные учреждения).

Каждый объект предполагает особую систему мер защиты от угроз ИБ и общественному порядку. Обеспечение информационной безопасности в каждом случае должно базироваться на системном подходе, учитывающем специфику объекта.

Категории и носители информации

Российская правовая система, правоприменительная практика и сложившиеся общественные отношения классифицируют информацию по критериям доступности. Это позволяет уточнить существенные параметры, необходимые для обеспечения информационной безопасности:

• информация, доступ к которой ограничен на основании требований законов (государственная тайна, коммерческая тайна, персональные данные);
• сведения в открытом доступе;
• общедоступная информация, которая предоставляется на определенных условиях: платная информация или данные, для пользования которыми требуется оформить допуск, например, библиотечный билет;
• опасная, вредная, ложная и иные типы информации, оборот и распространение которой ограничены или требованиями законов, или корпоративными стандартами.

Информация из первой группы имеет два режима охраны. Государственная тайна , согласно закону, это защищаемые государством сведения, свободное распространение которых может нанести ущерб безопасности страны. Это данные в области военной, внешнеполитической, разведывательной, контрразведывательной и экономической деятельности государства. Владелец этой группы данных - непосредственно государство. Органы, уполномоченные принимать меры по защите государственной тайны, - Министерство обороны, Федеральная служба безопасности (ФСБ), Служба внешней разведки, Федеральной службы по техническому и экспортному контролю (ФСТЭК).

Конфиденциальная информация - более многоплановый объект регулирования. Перечень сведений, которые могут составлять конфиденциальную информацию, содержится в указе президента №188 «Об утверждении перечня сведений конфиденциального характера» . Это персональные данные; тайна следствия и судопроизводства; служебная тайна; профессиональная тайна (врачебная, нотариальная, адвокатская); коммерческая тайна; сведения об изобретениях и о полезных моделях; сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.

Персональные данные существует в открытом и в конфиденциальном режиме. Открытая и доступная всем пользователям часть персональных данных включает имя, фамилию, отчество. Согласно ФЗ-152 «О персональных данных», субъекты персональных данных имеют право:

• на информационное самоопределение;
• на доступ к личным персональным данным и внесение в них изменений;
• на блокирование персональных данных и доступа к ним;
• на обжалование неправомерных действий третьих лиц, совершенных в отношении персональных данных;
• на возмещение причиненного ущерба.

Право на закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК. Компании, которые профессионально работают с персональными данными широкого круга лиц, например, операторы связи, должны войти в реестр, его ведет Роскомнадзор.

Отдельным объектом в теории и практике ИБ выступают носители информации, доступ к которым бывает открытым и закрытым. При разработке концепции ИБ способы защиты выбираются в зависимости от типа носителя. Основные носители информации:

• печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
• сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
• средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
• документы всех типов: личные, служебные, государственные;
• программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
• электронные носители информации, которые обрабатывают данные в автоматическом порядке.

Для целей разработки концепций ИБ-защиты средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).

Неформальные средства защиты - это документы, правила, мероприятия, формальные - это специальные технические средства и программное обеспечение. Разграничение помогает распределить зоны ответственности при создании ИБ-систем: при общем руководстве защитой административный персонал реализует нормативные способы, а IT-специалисты, соответственно, технические.

Основы информационной безопасности предполагают разграничение полномочий не только в части использования информации, но и в части работы с ее охраной. Подобное разграничение полномочий требует и нескольких уровней контроля.

Формальные средства защиты

Широкий диапазон технических средств ИБ-защиты включает:

Физические средства защиты. Это механические, электрические, электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним. Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств снятия информации, закладных устройств.

Аппаратные средства защиты. Это электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы. Перед внедрением аппаратных средств в информационные системы необходимо удостовериться в совместимости.

Программные средства - это простые и системные, комплексные программы, предназначенные для решения частных и комплексных задач, связанных с обеспечением ИБ. Примером комплексных решений служат и : первые служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков, вторые - обеспечивают защиту от инцидентов в сфере информационной безопасности. Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.

можно бесплатно протестировать в течение 30 дней. Перед установкой системы инженеры «СёрчИнформ» проведут технический аудит в компании заказчика.

К специфическим средствам информационной безопасности относятся различные криптографические алгоритмы, позволяющие шифровать информацию на диске и перенаправляемую по внешним каналам связи. Преобразование информации может происходить при помощи программных и аппаратных методов, работающих в корпоративных информационных системах.

Все средства, гарантирующие безопасность информации, должны использоваться в совокупности, после предварительной оценки ценности информации и сравнения ее со стоимостью ресурсов, затраченных на охрану. Поэтому предложения по использованию средств должны формулироваться уже на этапе разработки систем, а утверждение должно производиться на том уровне управления, который отвечает за утверждение бюджетов.

В целях обеспечения безопасности необходимо проводить мониторинг всех современных разработок, программных и аппаратных средств защиты, угроз и своевременно вносить изменения в собственные системы защиты от несанкционированного доступа. Только адекватность и оперативность реакции на угрозы поможет добиться высокого уровня конфиденциальности в работе компании.

В 2018 году вышел первый релиз . Эта уникальная программа составляет психологические портреты сотрудников и распределяет их по группам риска. Такой подход к обеспечению информационной безопасности позволяет предвидеть возможные инциденты и заранее принять меры.

Неформальные средства защиты

Неформальные средства защиты группируются на нормативные, административные и морально-этические. На первом уровне защиты находятся нормативные средства, регламентирующие информационную безопасность в качестве процесса в деятельности организации.

• Нормативные средства

В мировой практике при разработке нормативных средств ориентируются на стандарты защиты ИБ, основный - ISO/IEC 27000. Стандарт создавали две организации:

• ISO - Международная комиссия по стандартизации, которая разрабатывает и утверждает большинство признанных на международном уровне методик сертификации качества процессов производства и управления;
• IEC - Международная энергетическая комиссия, которая внесла в стандарт свое понимание систем ИБ, средств и методов ее обеспечения

Актуальная версия ISO/IEC 27000-2016 предлагают готовые стандарты и опробованные методики, необходимые для внедрения ИБ. По мнению авторов методик, основа информационной безопасности заключается в системности и последовательной реализации всех этапов от разработки до пост-контроля.

Для получения сертификата, который подтверждает соответствие стандартам по обеспечению информационной безопасности, необходимо внедрить все рекомендуемые методики в полном объеме. Если нет необходимости получать сертификат, в качестве базы для разработки собственных ИБ-систем допускается принять любую из более ранних версий стандарта, начиная с ISO/IEC 27000-2002, или российских ГОСТов, имеющих рекомендательный характер.

По итогам изучения стандарта разрабатываются два документа, которые касаются безопасности информации. Основной, но менее формальный - концепция ИБ предприятия, которая определяет меры и способы внедрения ИБ-системы для информационных систем организации. Второй документ, которые обязаны исполнять все сотрудники компании, - положение об информационной безопасности, утверждаемое на уровне совета директоров или исполнительного органа.

Кроме положения на уровне компании должны быть разработаны перечни сведений, составляющих коммерческую тайну, приложения к трудовым договорам, закрепляющий ответственность за разглашение конфиденциальных данных, иные стандарты и методики. Внутренние нормы и правила должны содержать механизмы реализации и меры ответственности. Чаще всего меры носят дисциплинарный характер, и нарушитель должен быть готов к тому, что за нарушением режима коммерческой тайны последуют существенные санкции вплоть до увольнения.

• Организационные и административные меры

В рамках административной деятельности по защите ИБ для сотрудников служб безопасности открывается простор для творчества. Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации. Важными организационными мерами станут сертификация деятельности компании по стандартам ISO/IEC 27000, сертификация отдельных аппаратно-программных комплексов, аттестация субъектов и объектов на соответствие необходимым требованиям безопасности, получений лицензий, необходимых для работы с защищенными массивами информации.

С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.

• Морально-этические меры

Морально-этические меры определяют личное отношение человека к конфиденциальной информации или информации, ограниченной в обороте. Повышение уровня знаний сотрудников касательно влияния угроз на деятельность компании влияет на степень сознательности и ответственности сотрудников. Чтобы бороться с нарушениями режима информации, включая, например, передачу паролей, неосторожное обращение с носителями, распространение конфиденциальных данных в частных разговорах, требуется делать упор на личную сознательность сотрудника. Полезным будет установить показатели эффективности персонала, которые будут зависеть от отношения к корпоративной системе ИБ.