1. Сущность комплексной системы защиты информации
Объектами профессиональной деятельности специалиста по защите
информации являются методы, средства и мероприятия по обеспечению
комплексной системы защиты информации (КСЗИ) на предприятии. А
функциями КСЗИ будут функции защиты, то есть совокупность однородных
функциональных отношений и мероприятий, регулярно осуществляемых на
предприятии с целью создания, поддержания и обеспечения условий,
необходимых для защиты информации.
Современное предприятие представляет собой сложную систему, в
рамках которой осуществляется защита информации.
Основные особенности такого сложного современного предприятия
таковы:
1. сложная организационная структура;
2. многоаспектность функционирования;
3. высокая техническая оснащѐнность;
4. широкие связи по кооперации;
5. непрерывно расширяющаяся доступность;
6. всѐ возрастающий удельный вес безбумажной технологии обработки
информации.
Кроме того, нахождение информации по местам хранения и обработки,
сюда же входят помещения, где разрабатываются программы, обострило
ситуацию с ее защитой. Только один пример. Появились в огромных
количествах персональные компьютеры и на их основе построены сети ЭВМ
(локальные, глобальные, национальные, транснациональные), которые
используют различные каналы связи, в том числе спутниковые.
Все это требует постоянного совершенствования, создания и разработки
совокупности методологических, организационных и технических
элементов комплексной защиты, взаимообусловленных и взаимоувязанных.
Также надо учитывать, что на современном предприятии одновременно
присутствуют люди, техника, ЭВМ, т.е. интегрально, комплексная система
защиты информации может быть представлена совокупностью трех групп
систем:
1) люди – это биосоциальные системы;
2) техника – включает в себя технические системы и помещения, в
которых они расположены;
3) ЭВМ, т.е. программное обеспечение, которое является
интеллектуальным посредником между человеком и техникой
(интеллектуальные системы).
2. Совокупность этих трех групп образует социотехническую систему.
Но максимально эффективной защита информации будет лишь в том
случае, когда будут созданы механизмы защиты, и в процессе
функционирования комплексной системы будет осуществляться
непрерывное управление этими механизмами. Чтобы это было, в КСЗИ
должно быть предусмотрено два вида функций защиты, которые являются
основополагающими:
I) функция, основной целью которой является создание механизмов
защиты, сводящая до минимума возможность воздействия
дестабилизирующих факторов на защищаемую информацию;
II) функция, осуществляемая с целью непрерывного и оптимального
управления механизмами комплексной защиты.
Первая функция включает в себя:
1. Создание и поддержание таких механизмов защиты, в которых
появление дестабилизирующих факторов (ДФ), способных оказать
отрицательное воздействие на защищаемую информацию, маловероятно;
2. Предупреждение проявлений дестабилизирующих факторов в случае
возникновения благоприятных для них условий;
3. Своевременное обнаружение воздействия дестабилизирующих
факторов на информацию, локализация этих факторов и быстрая их
ликвидация.
Вторая функция, т.е. функция непрерывного и оптимального управления
механизмами комплексной защиты.
Здесь управление определяется как элемент, функция организованных
систем различной природы (люди, техника, ЭВМ и прочее), обеспечивающая
сохранение определенной структуры, поддержание режимов деятельности,
реализации их программ и целей.
Но главным направлением поиска путей создания комплексных систем
защиты информации на предприятии является повышение системности
подхода к самой проблеме организации и эксплуатации КСЗИ.
Цели системного подхода к защите информации
Для каждой системы должна быть сформулирована цель, к которой эта
система стремится. Чем точнее и конкретнее указано назначение или
перечислены функции системы, тем быстрее и правильнее можно выбрать
лучший вариант ее построения. Например, цель, сформулированная в самом
3. общем виде как обеспечение безопасности предприятия, заставит его
рассматривать варианты создания глобальной системы защиты.
Если же цель уточнить, определив ее, например, как обеспечение
безопасности информации, передаваемой по каналам связи внутри здания, то
круг возможных технических решений существенного сузится. Следует
иметь в виду, что, как правило, глобальная цель достигается через
достижение множества менее общих локальных целей (подцелей).
Построение такого «дерева целей» значительно облегчает, ускоряет и
удешевляет процесс создания системы защиты информации.
Как правило, всегда рассматривается несколько вариантов построения
системы, обеспечивающей заданные цели по защите информации. Чтобы
оценить, какой из вариантов построения системы лучше, необходимо:
1. определить качество реализации заданных функций, ведущих к цели;
2. учитывать затраты ресурсов, необходимых для выполнения
функционального назначения системы (ресурсы это не только деньги,
техника, но и люди, и чем они подготовленнее, тем меньше затрачивается
ресурсов. Например, инженер после института и сотрудник после школы);
3. иметь ясный и однозначный физический смысл;
4. быть связанным с основными характеристиками системы и допускать
количественную оценку на всех этапах создания системы.
Таким образом, учитывая многообразие потенциальных угроз
информации на предприятии, сложность его структуры, а также участие
человека в технологическом процессе обработки информации цели защиты
информации могут быть достигнуты только путем создания СЗИ на основе
комплексного подхода.
А это одновременно подразумевает, что защита информации – есть
непрерывный процесс, который заключается в контроле защищенности,
выявлении узких мест в системе защиты, обосновании и реализации
наиболее рациональных путей совершенствования и развития системы
защиты.
Учитывая все вышесказанное можно сформулировать четыре пункта
постулата системы защиты:
1. система защиты информации может быть обеспечена лишь при
комплексном использовании всего арсенала имеющихся средств защиты,
сочетающая в себе такие направления защиты, как правовая,
организационная и инженерно-техническая;
2. никакая система защиты не обеспечит безопасности информации без
надлежащей подготовки пользователей и соблюдения ими всех правил
защиты;
4. 3. никакую систему защиты нельзя считать абсолютно надежной, т.к.
всегда может найтись злоумышленник, который найдет лазейку для доступа
к информации (действия злоумышленника всегда носят комплексный
характер, т.к. он любыми средствами стремится добыть важную
информацию);
4. система защиты должна быть адаптируемой (приспособляющейся) к
изменяющимся условиям.
5. Методология защиты информации как теоретический базис
комплексной системы защиты информации
Главная цель создания СЗИ это достижение максимальной
эффективности защиты за счет одновременного использования всех
необходимых ресурсов, методов и средств, исключающих
несанкционированный доступ к защищаемой информации и
обеспечивающих физическую сохранность ее носителей.
Организация – это совокупность элементов (людей, органов,
подразделений) объединенных для достижения какой-либо цели, решения
какой-либо задачи на основе разделения труда, распределения обязанностей
и иерархической структуры.
СЗИ относится к системам организационно-технологического
(социотехнического) типа, т.к. общую организацию защиты и решение
значительной части задач осуществляют люди (организационная
составляющая), а защита информации осуществляется параллельно с
технологическим процессами ее обработки (технологическая составляющая).
Серьезным побудительным мотивом к проведению перспективных
исследований в области защиты информации послужили те постоянно
нарастающие количественные и качественные изменения в сфере
информатизации, которые имели место в последнее время и которые,
безусловно, должны быть учтены в концепциях защиты информации.
Постановка задачи защиты информации на современном этапе
приобретает целый ряд особенностей: во-первых, ставится вопрос о
комплексной (в современной интерпретации) защите информации; во-
вторых, защита информации становится все более актуальной для массы
объектов (больших и малых, государственной и негосударственной
принадлежности), в-третьих, резко расширяется разнообразие подлежащей
защите информации (государственная, промышленная, коммерческая,
персональная и т.п.). Осуществление мероприятий по защите информации
носит массовый характер, занимается этой проблемой большое количество
специалистов различного профиля. Но успешное осуществление указанных
мероприятий при такой их масштабности возможно только при наличии
хорошего инструментария в виде методов и средств решения
соответствующих задач. Разработка такого инструментария требует наличия
развитых научно-методологических основ защиты информации.
Под научно-методологическими основами комплексной защиты
информации (как решения любой другой проблемы) понимается
совокупность принципов, подходов и методов (научно-технических
6. направлений), необходимых и достаточных для анализа (изучения,
исследования) проблемы комплексной защиты, построения оптимальных
механизмов защиты и управления механизмами защиты в процессе их
функционирования. Уже из приведенного определения следует, что
основными компонентами научно-методологических основ являются
принципы, подходы и методы. При этом под принципами понимается
основное исходное положение какой-либо теории, учения, науки,
мировоззрения; под подходом - совокупность приемов, способов изучения и
разработки какой-либо проблемы; под методом - способ достижения какой-
либо цели, решения конкретной задачи. Например, при реализации принципа
разграничения доступа в качестве подхода можно выбрать моделирование, а
в качестве метода реализации – построение матрицы доступа.
Общее назначение методологического базиса заключается:
1. в формировании обобщенного взгляда на организацию и управление
КСЗИ, отражающего наиболее существенные аспекты проблемы;
2. в формировании полной системы принципов, следование которым
обеспечивает наиболее полное решение основных задач;
3. в формировании совокупности методов, необходимых и достаточных
для решения всей совокупности задач управления.
Предмет нашего исследования – рассмотрение различных аспектов
обеспечения безопасности социотехнической системы, характерным
примером которой является современный объект информатизации
Поэтому состав научно-методологических основ можно определить
следующим образом:
- т.к. речь идет об организации и построении КСЗИ, то
общеметодологической основой будут выступать основные положения
теории систем;
- т.к. речь идет об управлении, то в качестве научно-методической
основы будут выступать общие законы кибернетики (как науки об
управлении в системах любой природы);
- т.к. процессы управления связаны с решением большого количества
разноплановых задач, то в основе должны быть принципы и методы
моделирования больших систем и процессов их функционирования.
Состав научно-методологических основ комплексной системы защиты
информации представлен на рис.2.1.
7. Научно-методологические основы
Теория Общие Концепция Методы
законы управления моделирова-
систем ния
Фундаментальные науки
Прикладные научно-
технические направления
Рис. 2.1. Состав научно-методологических основ КСЗИ
Методология защиты информации как теоретический базис
комплексной системы защиты информации
Главная цель создания СЗИ это достижение максимальной эффективности
защиты за счет одновременного использования всех необходимых ресурсов,
методов и средств, исключающих несанкционированный доступ к
защищаемой информации и обеспечивающих физическую сохранность ее
носителей.
Организация – это совокупность элементов (людей, органов,
подразделений) объединенных для достижения какой-либо цели, решения
какой-либо задачи на основе разделения труда, распределения обязанностей
и иерархической структуры.
СЗИ относится к системам организационно-технологического
(социотехнического) типа, т.к. общую организацию защиты и решение
значительной части задач осуществляют люди (организационная
составляющая), а защита информации осуществляется параллельно с
технологическим процессами ее обработки (технологическая составляющая).
Серьезным побудительным мотивом к проведению перспективных
исследований в области защиты информации послужили те постоянно
нарастающие количественные и качественные изменения в сфере
информатизации, которые имели место в последнее время и которые,
безусловно, должны быть учтены в концепциях защиты информации.
Постановка задачи защиты информации на современном этапе
приобретает целый ряд особенностей: во-первых, ставится вопрос о
комплексной (в современной интерпретации) защите информации; во-
вторых, защита информации становится все более актуальной для массы
объектов (больших и малых, государственной и негосударственной
принадлежности), в-третьих, резко расширяется разнообразие подлежащей
8. защите информации (государственная, промышленная, коммерческая,
персональная и т.п.). Осуществление мероприятий по защите информации
носит массовый характер, занимается этой проблемой большое количество
специалистов различного профиля. Но успешное осуществление указанных
мероприятий при такой их масштабности возможно только при наличии
хорошего инструментария в виде методов и средств решения
соответствующих задач. Разработка такого инструментария требует наличия
развитых научно-методологических основ защиты информации.
9. Организационные основы защиты информации на предприятии
Основные направления, принципы и условия организационной защиты
информации
Из упоминавшихся ранее средств и методов обеспечения информационной
безопасности особо были выделены организационные, которые в
совокупности с другими элементами системы защиты информации на
предприятии подробно описаны в последующих главах учебника. Для
наиболее полного и глубокого анализа происходящих в сфере защиты
конфиденциальной информации процессов, понимание сущности
планируемых и проводимых в этих целях мероприятий прежде всего
необходимо рассмотреть одно из важнейших направлений защиты
конфиденциальной информации — организационную защиту информации.
Организационная защита информации является организационным началом,
так называемым «ядром» в общей системе защиты конфиденциальной
информации предприятия. От полноты и качества решения руководством
предприятия и должностными лицами организационных задач зависит
эффективность функционирования системы защиты информации в целом.
Роль и место организационной защиты информации в общей системе мер,
направленных на защиту конфиденциальной информации предприятия,
определяются исключительной важностью принятия руководством
своевременных и верных управленческих решений с учетом имеющихся в
его распоряжении сил, средств, методов и способов защиты информации и на
основе действующего нормативно-методического аппарата.
Среди основных направлений защиты информации наряду с
организационной выделяют правовую и инженерно-техническую защиту
информации.
Однако организационной защите информации среди этих направлений
отводится особое место.
Организационная защита информации призвана посредством выбора
конкретных сил и средств (включающие в себя правовые, инженерно-
технические и инженерно-геологические) реализовать на практике
спланированные руководством предприятия меры по защите информации.
10. Эти меры принимаются в зависимости от конкретной обстановки на
предприятии, связанной с наличием возможных угроз, воздействующих на
защищаемую информацию и ведущих к ее утечке.
Роль руководства предприятия в решении задач по защите информации
трудно переоценить. Основными направлениями деятельности,
осуществляемой руководителем предприятия в этой области, являются:
планирование мероприятий по защите информации и персональный контроль
за их выполнением, принятие решений о непосредственном доступе к
конфиденциальной информации своих сотрудников и представителей других
организаций, распределение обязанностей и задач между должностными
лицами и структурными подразделениями, аналитическая работа и т.д. Цель
принимаемых руководством предприятия и должностными лицами
организационных мер — исключение утечки информации и, таким образом,
уменьшение или полное исключение возможности нанесения предприятию
ущерба, к которому эта утечка может привести.
Система мер по защите информации в широком смысле слова должна
строиться исходя из тех начальных условий и факторов, которые, в свою
очередь, определяются состоянием устремленности разведок противника
либо действиями конкурента на рынке товаров и услуг, направленными на
овладение информацией, подлежащей защите. Это правило действует как на
государственном уровне, так и на уровне конкретного предприятия.
Используются два примерно равнозначных определения организационной
зашиты информации.
Организационная защита информации — составная часть системы защиты
информации, определяющая и вырабатывающая порядок и правила
функционирования объектов защиты и деятельности должностных лиц в
целях обеспечения защиты информации.
Организационная защита информации на предприятии — регламентация
производственной деятельности и взаимоотношений субъектов (сотрудников
предприятия) на нормативно-правовой основе, исключающая или
ослабляющая нанесение ущерба данному предприятию.
Первое из приведенных определений в большей степени показывает
сущность организационной защиты информации. Второе — раскрывает ее
11. структуру на уровне предприятия. Вместе с тем оба определения
подчеркивают важность нормативно-правового регулирования вопросов
защиты информации наряду с комплексным подходом к использованию в
этих целях имеющихся сил и средств. Основные направления
организационной защиты информации приведены ниже.
Организационная защита информации:
- Организация работы с персоналом;
- Организация внутриобъектового и пропускного режимов и охраны;
- Организация работы с носителями сведений;
- Комплексное планирование мероприятий по защите информации;
- Организация аналитической работы и контроля.
Основные принципы организационной защиты информации:
- принцип комплексного подхода — эффективное использование сил,
средств, способов и методов защиты информации для решения поставленных
задач в зависимости от конкретной складывающейся ситуации и наличия
факторов, ослабляющих или усиливающих угрозу защищаемой информации;
- принцип оперативности принятия управленческих решений (существенно
влияет на эффективность функционирования и гибкость системы защиты
информации и отражает нацеленность руководства и персонала предприятия
на решение задач защиты информации);
- принцип персональной ответственности — наиболее эффективное
распределение задач по защите информации между руководством и
персоналом предприятия и определение ответственности за полноту и
качество их выполнения.
Среди основных условий организационной защиты информации можно
выделить следующие:
12. - непрерывность всестороннего анализа функционирования системы защиты
информации в целях принятия своевременных мер по повышению ее
эффективности;
- неукоснительное соблюдение руководством и персоналом предприятия
установленных норм и правил защиты конфиденциальной информации.
При соблюдении перечисленных условий обеспечивается наиболее полное и
качественное решение задач по защите конфиденциальной информации на
предприятии.
13. Программно-технические методы обеспечения информационной
безопасности
Идентификация и аутентификация
Эти, на первый взгляд, достаточно формальные термины фактически
являются основой всех программно-технических средств информационной
безопасности, поскольку остальные средства, рассматриваемые ниже,
рассчитаны на работу с уже идентифицированными пользователями. Часто
процессы идентификации и аутентификации взаимосвязаны, поэтому
возможна некоторая путаница этих понятий. Давайте остановимся на их
смысле подробнее, опуская пока технические детали.
Идентификация — процесс, позволяющий установить имя пользователя.
Хорошим примером здесь, в частности, может служить вручение визитной
карточки, где указаны имя, должность и другие атрибуты конкретного лица.
Но как убедиться, что визитная карточка принадлежит действительно тому
человеку, который называет ее своей?
Здесь потребуется уже процедура аутентификации. Аутентификация
предполагает выполнение процесса проверки подлинности введенного в
систему имени пользователя. На бытовом уровне аутентификация может,
например, осуществляться с помощью фотографии. Еще одним примером
аутентификации может служить узнавание голоса при звонках по телефону
— вряд ли вы будете продолжать беседу с человеком, назвавшимся по
телефону знакомой фамилией, но говорящим незнакомым голосом и с
другими интонациями.
Средства идентификации и аутентификации могут и объединяться. Всем
известным примером здесь может быть служебное удостоверение, где
приведены и данные для идентификации (фамилия, должность и пр.) и
данные для аутентификации (фотография). Важно отметить, что и сами
средства идентификации и аутентификации могут иметь некоторые
признаки, подтверждающие их подлинность. На удостоверении, например,
это печати, подписи и, при необходимости, другие признаки защиты от
подделок.
14. Предыдущий пример приведен неслучайно. В информационных технологиях
способы идентификации и аутентификации являются своеобразным
служебным удостоверением пользователя, обеспечивающим его доступ в
информационное пространство организации в целом или отдельные разделы
этого пространства.
Весьма значительное число используемых в настоящее время способов
идентификации и аутентификации пользователя информационно-
вычислительных систем можно разделить на следующие основные группы:
• парольные методы;
• методы с применением специализированных аппаратных средств;
• методы, основанные на анализе биометрических характеристик
пользователя.
Наибольшее распространение получили парольные методы, что объясняется
относительной простотой их реализации. Смысл этих методов заключается в
том, что для входа в систему пользователь вводит два кода: свое условное
имя (идентификация) и уникальный, известный только ему одному код-
пароль для аутентификации. При правильном использовании парольные
схемы могут обеспечить приемлемый для многих организаций уровень
безопасности. Тем не менее по совокупности характеристик они считаются
сегодня самым слабым средством аутентификации. Дело в том, что
надежность паролей очень сильно зависит от «человеческого фактора». Она
изначально основана на способности людей помнить пароль и хранить его в
тайне. Однако, чтобы пароль был запоминающимся, его зачастую делают
простым, а простой пароль нетрудно угадать, особенно если знать
пристрастия данного пользователя. Сложный пароль часто записывают на
бумажке, которую не так уж трудно найти злоумышленнику. Кроме того,
пароль можно подсмотреть при вводе, подобрать с помощью специальных
программ и т.п.
Вторая из выделенных схем идентификации и аутентификации предполагает
использование специальных устройств — магнитных карт, смарт-карт, так
называемых таблеток, токенов и др., на которых записана уникальная
информация. Эти методы отличаются большей устойчивостью, однако
15. потребуют от вас в рабочее время постоянного ношения соответствующего
блока. В принципе это необременительно, поскольку сейчас такие устройства
по размеру и весу не больше обычного брелка для ключей (да, как правило,
они и носятся таким же образом). Однако существует вполне реальная
возможность потери или кражи аппаратного идентификатора, его можно
просто забыть дома и т.п. Поэтому в ряде организаций практикуется
получение аппаратных идентификаторов утром перед началом работы и
возврат их на хранение перед уходом с предприятия с соответствующим
документированием этой процедуры.
Наиболее перспективным в настоящее время считается использование
средств идентификации пользователя по биометрическим признакам —
отпечаток пальца, рисунок радужной оболочки глаз, отпечаток ладони и др.
Эти методы обладают достаточно высокой надежностью и в то же время не
требуют от пользователя запоминания и хранения в тайне сложных паролей
или заботы о сохранности аппаратного идентификатора. Многим из вас,
возможно, эти методы знакомы пока лишь по приключенческим
кинофильмам, однако развитие информационных технологий ведет к тому,
что стоимость этих средств становится доступной для большинства
организаций. Правда, и эти средства не лишены недостатков. Не говоря уже о
возможности использования «мертвой руки» или «мертвого пальца», здесь
можно упомянуть о проблемах с идентификацией, возникающих из-за
изменения радужной оболочки под воздействием некоторых лекарств или
связанных с изменениями в кожном покрове под воздействием высокой или
низкой температуры воздуха. Например, если вы вошли в помещение с
замерзшими руками, система аутентификации по отпечаткам пальцев может
вас не опознать.
С какими из рассмотренных методов придется иметь дело на практике? В
принципе вопрос о применимости того или иного средства решается в
зависимости от выявленных угроз и технических характеристик
защищаемого объекта. Здесь обычно выбирается компромисс между
надежностью, доступностью по цене, удобством использования и
администрирования средств идентификации и аутентификации. Наверняка
большинство из наших читателей уже тем или иным способом использовали
парольную защиту. Вполне возможно, что в будущем вы столкнетесь и с
аппаратными идентификаторами и с идентификацией по биометрическим
характеристикам. Некоторые примеры реализации этих методов мы
рассмотрим во второй части книги.
16. Разграничение доступа
Итак, с помощью средств идентификации и аутентификации вы получили
доступ в систему. Теперь в дело вступают средства логического управления
доступом. В принципе их задача примерно та же, что и у средств
физического управления доступом, которые мы рассмотрели выше. Средства
логического управления доступом тоже контролируют возможность
попадания пользователя в тот или иной раздел информации, хранящейся в
системе, только они реализуются программным путем. Логическое
управление доступом — это основной механизм многопользовательских
систем, призванный обеспечить конфиденциальность и целостность
информации.
Нужно сказать, что тема логического управления доступом — одна из
сложнейших в области информационной безопасности. Поскольку вам
наверняка не придется разбираться в ней «изнутри», мы отметим лишь
следующее. Схему управления доступом принято характеризовать так
называемой матрицей доступа, в строках которой перечислены субъекты, в
столбцах — объекты, а в клетках, расположенных на пересечении строк и
столбцов, записаны разрешенные виды доступа и дополнительные условия
(например, время и место действия).
Удобной надстройкой над средствами логического управления доступом
является ограничивающий интерфейс, когда пользователя лишают самой
возможности попытаться совершить несанкционированные действия,
включив в число видимых ему объектов только те, к которым он имеет
доступ. Подобный подход обычно реализуют в рамках системы меню и
пользователю показывают лишь допустимые варианты выбора.
Протоколирование и аудит
Эти термины невольно вызывают ассоциации с правоохранительными
органами и финансовой деятельностью. В информационной безопасности
они имеют свою специфику.
17. Под протоколированием понимается сбор и накопление информации о
событиях, происходящих в информационно-вычислительной системе. У
каждой программы есть свой набор возможных событий, но в любом случае
их можно подразделить на внешние — вызванные действиями других
программ или оборудования, внутренние — вызванные действиями самой
программы, и клиентские — вызванные действиями пользователей и
администраторов.
Аудит — это анализ накопленной информации, проводимый оперативно,
почти в реальном времени, или периодически.
Реализация протоколирования и аудита преследует следующие главные цели:
• обеспечение подотчетности пользователей и администраторов;
• обеспечение возможности реконструкции последовательности событий;
• обнаружение попыток нарушений информационной безопасности;
• предоставление информации для выявления и анализа проблем.
Вы, как пользователь, не в состоянии вмешаться в процесс
протоколирования, а в процессе аудита будете участвовать скорее всего
только тогда, когда по результатам аудита к вам будут претензии. Тем не
менее не стоит забывать, что в хорошо сделанной системе фиксируются все
ваши попытки доступа к информации и практически все виды действий,
которые вы над этой информацией производите.
В принципе обеспечение подобной подотчетности считается одним из
средств сдерживания попыток нарушения информационной безопасности —
в этих условиях труднее замести следы, поэтому злоумышленнику нужно
принимать какие-то дополнительные меры, а просто любопытные побоятся
предпринимать несанкционированные действия. Если есть основания
подозревать какого-то конкретного пользователя, его работу можно
рассмотреть «под микроскопом» — регистрировать его действия особенно
детально, например, до каждого нажатия клавиши. Последующая
реконструкция событий позволяет выявить слабости в защите, найти
виновника, определить способ устранения проблемы и вернуться к
18. нормальной работе. Тем самым в определенной степени обеспечивается
целостность информации.
Можно, однако, упомянуть и о другой стороне медали — если подобными
средствами воспользуется злоумышленник, который тем или иным образом
получил соответствующие полномочия, то работа системы будет перед ним
как на ладони.
Криптографическое преобразование данных
Криптография, или шифрование — одна из самых наукоемких и до
настоящего времени одна из самых закрытых областей информационной
безопасности. Во многих отношениях она занимает центральное место среди
программно-технических средств безопасности, являясь основой реализации
многих из них и, если можно так выразиться, последним барьером,
предотвращающим несанкционированный доступ к информации.
Поскольку разработка криптографических средств наверняка не входит в
ваши обязанности, но использовать их вам скорее всего придется, мы
ограничимся здесь самыми общими представлениями.
В современной криптографии используются два основных метода
шифрования — симметричное и асимметричное.
В симметричном шифровании один и тот же ключ используется и для
шифровки, и для расшифровки сообщений. Существуют весьма эффективные
методы симметричного шифрования. Имеется и российский стандарт на
подобные методы — ГОСТ 28147-89 «Системы обработки информации.
Защита криптографическая. Алгоритм криптографического преобразования.
Основным недостатком симметричного шифрования является то, что
секретный ключ должен быть известен и отправителю, и получателю. С
одной стороны, это ставит проблему безопасной пересылки ключей при
обмене сообщениями.
С другой — получатель, имеющий шифрованное и расшифрованное
сообщение, не может доказать, что он получил его от конкретного
отправителя, поскольку такое же сообщение он мог сгенерировать и сам.
19. В асимметричных методах применяются два ключа. Один из них,
несекретный, используется для шифровки и может без всяких опасений
передаваться по открытым каналам, другой — секретный, применяется для
расшифровки и известен только получателю.
Асимметричные методы шифрования позволяют реализовать так
называемую электронную подпись, или электронное заверение сообщения.
Идея состоит в том, что отправитель посылает два экземпляра сообщения —
открытое и дешифрованное его секретным ключом (здесь следует учитывать,
что дешифровка незашифрованного сообщения на самом деле есть форма
шифрования). Получатель может зашифровать с помощью открытого ключа
отправителя дешифрованный экземпляр и сравнить с открытым. Если они
совпадут, личность и подпись отправителя можно считать установленными.
Существенным недостатком асимметричных методов является их низкое
быстродействие, поэтому их приходится сочетать с симметричными. Так, для
решения задачи рассылки ключей сообщение сначала симметрично шифруют
случайным ключом, затем этот ключ шифруют открытым асимметричным
ключом получателя, после чего сообщение и ключ отправляются по сети.
Обратим внимание на то, что при использовании асимметричных методов
необходимо иметь гарантию подлинности пары (имя, открытый ключ)
адресата. Для решения этой задачи вводится понятие сертификационного
центра, который заверяет справочник имен/ключей своей подписью.
В любом случае вам нужно иметь в виду, что ахиллесовой пятой любого
метода шифрования является секретный ключ. При его случайном или
намеренном раскрытии все усилия по шифрованию пропадут даром. Поэтому
определенную проблему здесь составляет надежное хранение закрытых
ключей.
20. Организационные основы защиты информации на предприятии
Основные направления, принципы и условия организационной защиты
информации
Из упоминавшихся ранее средств и методов обеспечения информационной
безопасности особо были выделены организационные, которые в
совокупности с другими элементами системы защиты информации на
предприятии подробно описаны в последующих главах учебника. Для
наиболее полного и глубокого анализа происходящих в сфере защиты
конфиденциальной информации процессов, понимание сущности
планируемых и проводимых в этих целях мероприятий прежде всего
необходимо рассмотреть одно из важнейших направлений защиты
конфиденциальной информации — организационную защиту информации.
Организационная защита информации является организационным началом,
так называемым «ядром» в общей системе защиты конфиденциальной
информации предприятия. От полноты и качества решения руководством
предприятия и должностными лицами организационных задач зависит
эффективность функционирования системы защиты информации в целом.
Роль и место организационной защиты информации в общей системе мер,
направленных на защиту конфиденциальной информации предприятия,
определяются исключительной важностью принятия руководством
своевременных и верных управленческих решений с учетом имеющихся в
его распоряжении сил, средств, методов и способов защиты информации и на
основе действующего нормативно-методического аппарата.
Среди основных направлений защиты информации наряду с
организационной выделяют правовую и инженерно-техническую защиту
информации.
Однако организационной защите информации среди этих направлений
отводится особое место.
Организационная защита информации призвана посредством выбора
конкретных сил и средств (включающие в себя правовые, инженерно-
технические и инженерно-геологические) реализовать на практике
спланированные руководством предприятия меры по защите информации.
21. Эти меры принимаются в зависимости от конкретной обстановки на
предприятии, связанной с наличием возможных угроз, воздействующих на
защищаемую информацию и ведущих к ее утечке.
Роль руководства предприятия в решении задач по защите информации
трудно переоценить. Основными направлениями деятельности,
осуществляемой руководителем предприятия в этой области, являются:
планирование мероприятий по защите информации и персональный контроль
за их выполнением, принятие решений о непосредственном доступе к
конфиденциальной информации своих сотрудников и представителей других
организаций, распределение обязанностей и задач между должностными
лицами и структурными подразделениями, аналитическая работа и т.д. Цель
принимаемых руководством предприятия и должностными лицами
организационных мер — исключение утечки информации и, таким образом,
уменьшение или полное исключение возможности нанесения предприятию
ущерба, к которому эта утечка может привести.
Система мер по защите информации в широком смысле слова должна
строиться исходя из тех начальных условий и факторов, которые, в свою
очередь, определяются состоянием устремленности разведок противника
либо действиями конкурента на рынке товаров и услуг, направленными на
овладение информацией, подлежащей защите.
Это правило действует как на государственном уровне, так и на уровне
конкретного предприятия.
Используются два примерно равнозначных определения организационной
зашиты информации.
Организационная защита информации — составная часть системы защиты
информации, определяющая и вырабатывающая порядок и правила
функционирования объектов защиты и деятельности должностных лиц в
целях обеспечения защиты информации.
Организационная защита информации на предприятии — регламентация
производственной деятельности и взаимоотношений субъектов (сотрудников
предприятия) на нормативно-правовой основе, исключающая или
ослабляющая нанесение ущерба данному предприятию.
22. Первое из приведенных определений в большей степени показывает
сущность организационной защиты информации. Второе — раскрывает ее
структуру на уровне предприятия. Вместе с тем оба определения
подчеркивают важность нормативно-правового регулирования вопросов
защиты информации наряду с комплексным подходом к использованию в
этих целях имеющихся сил и средств. Основные направления
организационной защиты информации приведены ниже.
Организационная защита информации:
- Организация работы с персоналом;
- Организация внутриобъектового и пропускного режимов и охраны;
- Организация работы с носителями сведений;
- Комплексное планирование мероприятий по защите информации;
- Организация аналитической работы и контроля.
Основные принципы организационной защиты информации:
- принцип комплексного подхода — эффективное использование сил,
средств, способов и методов защиты информации для решения поставленных
задач в зависимости от конкретной складывающейся ситуации и наличия
факторов, ослабляющих или усиливающих угрозу защищаемой информации;
- принцип оперативности принятия управленческих решений (существенно
влияет на эффективность функционирования и гибкость системы защиты
информации и отражает нацеленность руководства и персонала предприятия
на решение задач защиты информации);
- принцип персональной ответственности — наиболее эффективное
распределение задач по защите информации между руководством и
персоналом предприятия и определение ответственности за полноту и
качество их выполнения.
Среди основных условий организационной защиты информации можно
выделить следующие:
- непрерывность всестороннего анализа функционирования системы защиты
информации в целях принятия своевременных мер по повышению ее
эффективности;
23. - неукоснительное соблюдение руководством и персоналом предприятия
установленных норм и правил защиты конфиденциальной информации.
При соблюдении перечисленных условий обеспечивается наиболее полное и
качественное решение задач по защите конфиденциальной информации на
предприятии.
Основные подходы и требования к организации системы защиты
информации
Успешное решение комплекса задач по защите информации не может быть
достигнуто без создания единой основы, так называемого «активного кулака»
предприятия, способного концентрировать все усилия и имеющиеся ресурсы
для исключения утечки конфиденциальной информации и недопущения
возможности нанесения ущерба предприятию. Таким «кулаком» призвана
стать система защиты информации на предприятии, создаваемая на
соответствующей нормативно-методической основе и отражающая все
направления и специфику деятельности данного предприятия.
Под системой защиты информации понимают совокупность органов защиты
информации (структурных подразделений или должностных лиц
предприятия), используемых ими средств и методов защиты информации, а
также мероприятий, планируемых и проводимых в этих целях.
Для решения организационных задач по созданию и обеспечению
функционирования системы защиты информации используются несколько
основных подходов, которые вырабатываются на основе существующей
нормативно-правовой базы и с учетом методических разработок по тем или
иным направлениям защиты конфиденциальной информации.
Один из основных подходов к созданию системы защиты информации
заключается во всестороннем анализе состояния защищенности
информационных ресурсов предприятия с учетом устремленности
конкурирующих организаций к овладению конфиденциальной информацией
и, тем самым, нанесению ущерба предприятию. Важным элементом анализа
является работа по определению перечня защищаемых информационных
ресурсов с учетом особенностей их расположения (размещения) и доступа к
ним различных категорий сотрудников (работников других предприятий).
24. Работу по проведению такого анализа непосредственно возглавляет
руководитель предприятия и его заместители по направлениям деятельности.
Изучение защищенности информационных ресурсов основывается на
положительном и отрицательном опыте работы предприятия, накопленном в
течение последних нескольких лет, а также на деловых связях и контактах
предприятия с организациями, осуществляющими аналогичные виды
деятельности.
При создании системы защиты информации, в первую очередь, учитываются
наиболее важные, приоритетные направления деятельности предприятия,
требующие особого внимания. Предпочтение также отдается новым,
перспективным направлениям деятельности предприятия, которые связаны с
научными исследованиями, новейшими технологиями, формирующими
интеллектуальную собственность, а также развивающимся международным
связям. В соответствии с названными приоритетами формируется перечень
возможных угроз информации, подлежащей защите, и определяются
конкретные силы, средства, способы и методы ее защиты.
К организации системы защиты информации с позиции системного подхода
выдвигается ряд требований, определяющих ее целостность, стройность и
эффективность.
Система защиты информации должна быть:
- централизованной — обеспечивающей эффективное управление системой
со стороны руководителя и должностных лиц, отвечающих за различные
направления деятельности предприятия;
- плановой — объединяющей усилия различных должностных лиц и
структурных подразделений для выполнения стоящих перед предприятием
задач в области защиты информации;
- конкретной и целенаправленной — рассчитанной на защиту абсолютно
конкретных информационных ресурсов, представляющих интерес для
конкурирующих организаций;
- активной — обеспечивающей защиту информации с достаточной степенью
настойчивости и возможностью концентрации усилий на наиболее важных
направлениях деятельности предприятия;
- надежной и универсальной — охватывающей всю деятельность
предприятия, связанную с созданием и обменом информацией.
25. Основные методы, силы и средства, используемые для организации
защиты информации
Один из важнейших факторов, влияющих на эффективность системы
защиты конфиденциальной информации, — совокупность сил и средств
предприятия, используемых для организации защиты информации.
Силы и средства различных предприятий отличаются по структуре,
характеру и порядку использования. Предприятия, работающие с
конфиденциальной информацией и решающие задачи по ее защите в рамках
повседневной деятельности на постоянной основе, вынуждены с этой целью
создавать самостоятельные структурные подразделения и использовать
высокоэффективные средства защиты информации. Если предприятия лишь
эпизодически работают с конфиденциальной информацией в силу ее
небольших объемов, вместо создания подразделений они могут включать в
свои штаты отдельные должности специалистов по защите информации.
Данные подразделения и должности являются органами защиты
информации.
Предприятия, работающие с незначительными объемами конфиденциальной
информации, могут на договорной основе использовать потенциал более
крупных предприятий, имеющих необходимое количество
квалифицированных сотрудников, высокоэффективные средства защиты
информации, а также большой опыт практической работы в данной области.
Ведущую роль в организации защиты информации на предприятии играют
руководитель предприятия, а также его заместитель, непосредственно
возглавляющий эту работу.
Руководитель предприятия несет персональную ответственность за
организацию и проведение необходимых мероприятий, направленных на
исключение утечки сведений, отнесенных к конфиденциальной информации,
и утрат носителей информации. Он обязан:
- знать фактическое состояние дел в области защиты информации,
организовывать постоянную работу по выявлению и закрытию возможных
каналов утечки конфиденциальной информации;
- определять обязанности и задачи должностным лицам и структурным
подразделениям предприятия в этой области;
26. - проявлять высокую требовательность к персоналу предприятия в вопросах
сохранности конфиденциальной информации;
- оценивать деятельность должностных лиц и эффективность мероприятий
по защите информации.
Заместитель руководителя предприятия обязан постоянно изучать все
стороны и направления деятельности предприятия для принятия
своевременных мер по защите информации; руководить работой службы
безопасности (иных структурных подразделений, решающих задачи по
защите информации); выполнять другие функции по организации защиты
информации в ходе проведения предприятием всех видов работ. Более
подробно обязанности руководителя предприятия и его заместителя,
отвечающего за защиту информации, рассмотрены в других статьях.
На предприятиях для организации работ по защите информации могут
создаваться следующие основные виды структурных подразделений:
режимно-секретные;
подразделения по технической защите информации и противодействию
иностранным техническим разведкам;
подразделения криптографической защиты информации; мобилизационные;
подразделения охраны и пропускного режима.
Функции, возлагаемые на перечисленные подразделения, определяются
решением (приказом) руководителя предприятия и отражаются в
соответствующих положениях.
По решению руководителя предприятия данные подразделения
организационно могут объединяться в службу безопасности, руководитель
которой в некоторых случаях может быть наделен статусом заместителя
руководителя предприятия и полномочиями должностного лица,
осуществляющего руководство работой структурных подразделений
предприятия, деятельность которых связана с использованием и защитой
информации.
Режимно-секретное подразделение, мобилизационное подразделение и
подразделение по технической защите информации и противодействию
иностранным техническим разведкам создаются на предприятиях,
выполняющих работы с использованием сведений, составляющих
27. государственную тайну (вне зависимости от наличия на предприятии иной
информации с ограниченным доступом).
Режимно-секретное подразделение является основным структурным
подразделением предприятия и решает задачи организации, координации и
контроля деятельности других структурных подразделений (персонала
предприятия) по обеспечению защиты сведений, составляющих
государственную тайну. На предприятиях, не выполняющих работы со
сведениями, составляющими государственную тайну, для решения
аналогичных задач в отношении других видов информации с ограниченным
доступом создается и функционирует служба безопасности (служба защиты
информации).
Подразделение по технической защите информации и противодействию
иностранным техническим разведкам решает задачи организации и
проведения комплекса технических мероприятий, направленных на
исключение или существенное затруднение добывания иностранными
разведками с помощью технических средств сведений, отнесенных к
конфиденциальной информации и подлежащих защите.
Подразделение криптографической защиты информации создается в целях
предотвращения утечки конфиденциальной информации при ее передаче по
открытым каналам (линиям) связи с помощью технических средств, а также
при использовании локальных вычислительных сетей, имеющих выход за
пределы территории предприятия.
Подразделение охраны и пропускного режима создается в целях
предотвращения несанкционированного (бесконтрольного) пребывания на
территории и объектах предприятия посторонних лиц и транспорта,
нанесения ущерба предприятию путем краж (хищений) с территории
предприятия материальных средств и иного имущества. В некоторых случаях
для решения задач охраны и пропускного режима на предприятиях могут
создаваться отдельные самостоятельные подразделения.
Мобилизационное подразделение решает задачи всесторонней подготовки
предприятия к работе в условиях военного времени, призыва и поступления
мобилизационных людских и материальных ресурсов.
28. Кроме перечисленных подразделений предприятия к работе по организации
защиты информации могут привлекаться и иные структурные подразделения,
для которых выполнение мероприятий по защите информации не является
основной функцией.
К таким подразделениям относятся кадровый орган, орган юридической
службы (юрисконсульт), орган психологической и воспитательной работы,
пресс-служба предприятия и др. Особо необходимо отметить важность
участия в организации защиты информации производственных, так
называемых «тематических» структурных подразделений (отдельных
должностных лиц), которые создают продукцию и товары или оказывают
услуги (например, производство стрейч пленки), и в связи с этим самым
непосредственным образом взаимодействуют с другими предприятиями и
органами государственной власти.
Для проведения работ по организации защиты информации используются
также возможности различных нештатных подразделений предприятия, в том
числе коллегиальных органов (комиссий), создаваемых для решения
специфических задач в этой области. В их числе — постоянно действующая
техническая комиссия, экспертная комиссия, комиссия по рассекречиванию
носителей конфиденциальной информации, комиссия по категорированию
объектов информатизации и др. Функции, возлагаемые на данные комиссии,
рассмотрены в других статьях.
Чтобы добиться максимальной эффективности при решении задач защиты
информации, наряду с возможностями упомянутых штатных и нештатных
подразделений (должностных лиц) необходимо использовать имеющиеся на
предприятии средства защиты информации.
Под средствами защиты информации понимают технические,
криптографические, программные и другие средства и системы,
разработанные и предназначенные для защиты конфиденциальной
информации, а также средства, устройства и системы контроля
эффективности защиты информации.
Технические средства защиты информации — устройства (приборы),
предназначенные для обеспечения защиты информации, исключения ее
утечки, создания помех (препятствий) техническим средствам доступа к
информации, подлежащей защите.
29. Криптографические средства защиты информации — средства (устройства),
обеспечивающие защиту конфиденциальной информации путем ее
криптографического преобразования (шифрования).
Программные средства защиты информации — системы защиты средств
автоматизации (персональных электронно-вычислительных машин и их
комплексов) от внешнего (постороннего) воздействия или вторжения.
Эффективное решение задач организации защиты информации невозможно
без применения комплекса имеющихся в распоряжении руководителя
предприятия соответствующих сил и средств. Вместе с тем определяющую
роль в вопросах организации защиты информации, применения в этих целях
сил и средств предприятия играют методы защиты информации,
определяющие порядок, алгоритм и особенности использования данных сил
и средств в конкретной ситуации.
Методы защиты информации — применяемые в целях исключения утечки
информации универсальные и специфические способы использования
имеющихся сил и средств (приемы, меры, мероприятия), учитывающие
специфику деятельности по защите информации.
Общие методы защиты информации подразделяются на правовые,
организационные, технические и экономические.
Методы защиты информации с точки зрения их теоретической основы и
практического использования взаимосвязаны. Правовые методы
регламентируют и всесторонне нормативно регулируют деятельность по
защите информации, выделяя, прежде всего, ее организационные
направления. Тесную связь организационных и правовых методов защиты
информации можно показать на примере решения задач по исключению
утечки конфиденциальной информации, в частности относящейся к
коммерческой тайне предприятия, при его взаимодействии с различными
государственными и территориальными инспекторскими и надзорными
органами. Эти органы в соответствии с предоставленными им законом
полномочиями осуществляют деятельность по получению (истребованию),
обработке и хранению информации о предприятиях и гражданах
(являющихся их сотрудниками).
30. Передача информации, в установленном порядке отнесенной к
коммерческой тайне или содержащей персональные данные работника
предприятия, должна осуществляться на основе договора,
предусматривающего взаимные обязательства сторон по нераспространению
(неразглашению) этой информации, а также необходимые меры по ее защите.
Организационные механизмы защиты информации определяют порядок и
условия комплексного использования имеющихся сил и средств,
эффективность которого зависит от применяемых методов технического и
экономического характера.
Технические методы защиты информации, используемые в комплексе с
организационными методами, играют большую роль в обеспечении защиты
информации при ее хранении, накоплении и обработке с использованием
средств автоматизации. Технические методы необходимы для эффективного
применения имеющихся в распоряжении предприятия средств защиты
информации, основанных на новых информационных технологиях.
Среди перечисленных методов защиты информации особо выделяются
организационные методы, направленные на решение следующих задач:
реализация на предприятии эффективного механизма управления,
обеспечивающего защиту конфиденциальной информации и
недопущение ее утечки;
осуществление принципа персональной ответственности
руководителей подразделений и персонала предприятия за защиту
конфиденциальной информации;
определение перечней сведений, относимых на предприятии к
различным категориям (видам) конфиденциальной информации;
ограничение круга лиц, имеющих право доступа к различным видам
информации в зависимости от степени ее конфиденциальности;
подбор и изучение лиц, назначаемых на должности, связанные с
конфиденциальной информацией, обучение и воспитание персонала
предприятия, допущенного к конфиденциальной информации;
организация и ведение конфиденциального делопроизводства;
осуществление систематического контроля за соблюдением
установленных требований по защите информации.
