Реферат Информационная безопасность и её роль на предприятии
Работа добавлена на сайт bukvasha.net: 2015-10-28Поможем написать учебную работу
Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
от 25%
договор
,,Информационная безопасность
Введение
Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество, и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.
Особое место отводится информационным ресурсам в условиях рыночной экономики.
Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (ВРЕМЯ-ДЕНЬГИ!!!) производит и продает. В сущности это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.
В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".
Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.
Люди осознают и отдают себе отчет в сложности проблемы защиты информации вообще, и с помощью технических средств в частности. Тем не менее взгляд на эту проблему излагается на этом Web-сайте, считается, что этим охватывается не все аспекты сложной проблемы, а лишь определенные ее части.
Концепция информационной безопасности
1. Основные концептуальные положения системы защиты информации
2. Концептуальная модель информационной безопасности
3. Угрозы конфиденциальной информации
4. Действия, приводящие к неправомерному овладению конфиденциальной информацией
"ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств" (Закон РФ "Об участии в международном информационном обмене").
Постулаты
Информация - это всеобщее свойство материи.
Любое взаимодействие в природе и обществе основано на информации.
Всякий процесс совершения работы есть процесс информационного взаимодействия.
Информация - продукт отражения действительности.
Действительность отражается в пространстве и времени.
Ничего не происходит из ничего.
Информация сохраняет значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации - ПАМЯТЬ.
Ничто не исчезает просто так.
Понятие "информация" сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМАЦИИ - информационным веком.
Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.
Как и всякий продукт, информация имеет потребителей, нуждающихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект.
С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.
1.1 Основные концептуальные положения системы защиты информации.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
значительное число фирм, специализирующихся на решении вопросов защиты информации;
достаточно четко очерченная система взглядов на эту проблему;
наличие значительного практического опыта и др.
И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
активной. Защищать информацию необходимо с достаточной степенью настойчивости;
надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
охватывать весь технологический комплекс информационной деятельности;
быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
быть открытой для изменения и дополнения мер обеспечения безопасности информации;
быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
быть простой для технического обслуживания и удобной для эксплуатации пользователями;
быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:
четкость определения полномочии и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальной информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
1.2. Концептуальная модель информационной безопасности.
Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.
Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции.
По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
объекты угроз;
угрозы;
источники угроз;
цели угроз со стороны злоумышленников;
источники информации;
способы неправомерного овладения конфиденциальной информацией (способы доступа);
направления защиты информации;
способы защиты информации;
средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме.
Основные элементы концептуальной модели будут рассмотрены более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
1.3. Угрозы конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:
ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам :
по величине принесенного ущерба:
предельный, после которого фирма может стать банкротом;
значительный, но не приводящий к банкротству;
незначительный, который фирма за какое-то время может компенсировать и др.;
по вероятности возникновения:
весьма вероятная угроза;
вероятная угроза;
маловероятная угроза;
по причинам появления:
стихийные бедствия;
преднамеренные действия;
по характеру нанесенного ущерба:
материальный;
моральный;
по характеру воздействия:
вия:
активные;
пассивные;
по отношению к объекту:
внутренние;
внешние.
Источниками внешних угроз являются:
недобросовестные конкуренты;
преступные группировки и формирования;
отдельные лица и организации административно-управленческого аппарата.
Источниками внутренних угроз могут быть:
администрация предприятия;
персонал;
технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
17% угроз совершается извне - внешние угрозы;
1% угроз совершается случайными лицами.
Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией.
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:
владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.
В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации .
Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).
Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.
С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией. Указываются следующие условия:
разглашение (излишняя болтливость сотрудников) - 32%;
несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
традиционный обмен производственным опытом - 12%;
бесконтрольное использование информационных систем - 10%;
наличие предпосылок возникновения среди сотрудников конфликтных ситуаций 8%;
а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.
Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:
экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),
парализации деятельности фирмы (31%),
компрометации фирмы (11%),
шантаже руководителей фирмы (10%);
физическое подавление:
ограбления и разбойные нападения на офисы, склады, грузы (73%),
угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),
убийства и захват заложников (5%);
информационное воздействие:
подкуп сотрудников (43%),
копирование информации (24%),
проникновение в базы данных (18%),
продажа конфиденциальных документов (10%),
подслушивание телефонных переговоров и переговоров в помещениях (5%),
а также ограничение доступа к информации, дезинформация;
финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.
Государственный стандарт РФ ГОСТ Р 50922 - 96
ГОСТ Р 50922 - 96
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
Основные термины и определения
Дата введения 1.07.97 г.
1. Область применения
2. Общие положения
3 Стандартизованные термины и их определения
3.1 Основные понятия
3.2 Организация защиты информации
4. Приложение А (справочное)
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.
Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.
2 ОБЩИЕ ПОЛОЖЕНИЯ
Установленные в стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы.
Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.
Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.
3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
Я
3.1 Основные понятия
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание: Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Примечание: Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации - желаемый результат защиты информации.
Примечание: Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности зашиты информации - мера или характеристика для оценки эффективности защиты информации.
Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.
3.2 Организация защиты информации
Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.
Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности защиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности зашиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.
ГОСТ Р 50922-96 Приложение А (справочное) Термины и определения, необходимые для понимания текста стандарта
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.
Примечание: Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации.
Носитель информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации - право доступа: совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации - правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Орган защиты информации - административный орган, осуществляющий организацию защиты информации.
Способы защиты информации
3.1. Общие положения
3.2. Характеристика защитных действий
Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.
1. Подальше положишь - поближе возьмешь.
2. Береженого Бог бережет.
3. На Бога надейся, а сам не плошай.
4. Сначала подумай, потом говори.
5. Не зная броду, не суйся в воду.
6. Семь раз отмерь, один раз отрежь.
7. Дело мастера боится.
8. Негоже, когда сапоги тачает пирожник, а пироги печет сапожник.
9. Отыщи всему начало, и ты многое поймешь (К. Прутков).
Любое действие человека, ориентированное на достижение каких-либо результатов, реализуется определенными способами. Естественно, что имеющийся опыт по защите информации достаточно четко определил совокупность приемов, сил и средств, ориентированных на обеспечение информационной безопасности. С учетом этого можно так определить понятие способов защиты информации: способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.
Естественно предположить, что каждому виду угроз присущи свои специфические способы, силы и средства.
3.1. Общие положения
Обеспечение информационной безопасности достигается системой мер, направленных:
на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
ацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.
Предупреждение угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные".
Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.
Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
предотвращение разглашения и утечки конфиденциальной информации;
воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
соблюдение конфиденциальности информации;
обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД.
На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:
организационные (в части технических средств);
организационно-технические;
технические.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
определение границ охраняемой зоны (территории);
определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;
определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование:
технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.;
технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.
Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление - это создание активных помех средствам злоумышленников.
Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.
3.2. Характеристика защитных действий
Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.
Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.
Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.
По направлениям - это правовая, организационная и инженерно-техническая защита.
По способам - это предупреждение, выявление, обнаружение, пресечение и восстановление.
По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.
Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.
Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).
Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации.
Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации.
С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:
несанкционированные и злоумышленные действия персонала и пользователя;
ошибки пользователей и персонала;
отказы аппаратуры и сбои в программах;
стихийные бедствия, аварии различного рода и опасности.
В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:
обеспечение юридических норм и прав пользователей в отношении ДОСТУПА к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;
предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;
обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.
В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:
определение содержания передаваемых сообщений;
внесение изменений в сообщения;
необоснованный отказ в доступе;
несанкционированный доступ;
ложную инициализацию обмена;
возможность измерения и анализа энергетических и других характеристик информационной системы.
Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).
В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах. Одновременно на ней отражены и защитные возможности тех или иных механизмов.
Заключение
Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации.
Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др.
Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.
Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов.
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.
Список литературы
Для подготовки данной работы были использованы материалы с сайта http://protection.km.ru
Информационная безопасность
Информационная безопасность
Введение
Примечательная особенность нынешнего периода - переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные или энергические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество и которое при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот, и их назначение понятно каждому. Но вот появилось понятие "информационные ресурсы", и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы - отдельные документы и отдельные массивы, документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, уничтожить. Собственная информация для производителя представляет значительную ценность, так как нередко получение (создание) такой информации - весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.
Особое место отводится информационным ресурсам в условиях рыночной экономики.
Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее (ВРЕМЯ-ДЕНЬГИ!!!) производит и продает. В сущности это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.
В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47% охраняемых сведений добывается с помощью технических средств промышленного шпионажа.
В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом "целями защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствие с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологии и средств их обеспечения".
Как видно из этого определения целей защиты, информационная безопасность - довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать, когда защищать, чем защищать и какой должна быть эта защита.
Основное внимание уделяется защите конфиденциальной информации, с которой большей частью встречаются предприниматели негосударственного сектора экономики.
Люди осознают и отдают себе отчет в сложности проблемы защиты информации вообще, и с помощью технических средств в частности. Тем не менее взгляд на эту проблему излагается на этом Web-сайте, считается, что этим охватывается не все аспекты сложной проблемы, а лишь определенные ее части.
Концепция информационной безопасности
1. Основные концептуальные положения системы защиты информации
2. Концептуальная модель информационной безопасности
3. Угрозы конфиденциальной информации
4. Действия, приводящие к неправомерному овладению конфиденциальной информацией
"ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств" (Закон РФ "Об участии в международном информационном обмене").
Постулаты
Информация - это всеобщее свойство материи.
Любое взаимодействие в природе и обществе основано на информации.
Всякий процесс совершения работы есть процесс информационного взаимодействия.
Информация - продукт отражения действительности.
Действительность отражается в пространстве и времени.
Ничего не происходит из ничего.
Информация сохраняет значение в неизменном виде до тех пор, пока остается в неизменном виде носитель информации - ПАМЯТЬ.
Ничто не исчезает просто так.
Понятие "информация" сегодня употребляется весьма широко и разносторонне. Трудно найти такую область знаний, где бы оно не использовалось. Огромные информационные потоки буквально захлестывают людей. Объем научных знаний, например, по оценке специалистов, удваивается, каждые пять лет. Такое положение приводит к заключению, что XXI век будет веком торжества теории и практики ИНФОРМАЦИИ - информационным веком.
Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, "синьки", кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.
Как и всякий продукт, информация имеет потребителей, нуждаю-щихся в ней, и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект.
С точки зрения обладателя - сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства, и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от внутренних и внешних угроз, можно выделить и компоненты безопасности - такие, как персонал, материальные и финансовые средства и информацию.
1.1 Основные концептуальные положения системы защиты информации.
Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
значительное число фирм, специализирующихся на решении вопросов защиты информации;
достаточно четко очерченная система взглядов на эту проблему;
наличие значительного практического опыта и др.
И, тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
Опыт также показывает, что:
обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту.
С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);
целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
активной. Защищать информацию необходимо с достаточной степенью настойчивости;
надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
Комплексный характер защиты проистекает из того, что защита - это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.
Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
охватывать весь технологический комплекс информационной деятельности;
быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
быть открытой для изменения и дополнения мер обеспечения безопасности информации;
быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
быть простой для технического обслуживания и удобной для эксплуатации пользователями;
быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы. К системе безопасности информации предъявляются также определенные требования:
четкость определения полномочии и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальной информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации как любая система должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию. С учетом этого СЗИ может иметь:
правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;
организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами - такими, как служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая деятельность и др.;
аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности собственно СЗИ;
информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности;
программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации;
математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты;
лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации;
нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности. Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз.
Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий.
1.2. Концептуальная модель информационной безопасности.
Понимая информационную безопасность как "состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций", правомерно определить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, а также иные условия и действия, нарушающие безопасность. При этом, естественно, следует рассматривать и меры защиты информации от неправомерных действий, приводящих к нанесению ущерба.
Практика показала, что для анализа такого значительного набора источников, объектов и действий целесообразно использовать методы моделирования, при которых формируется как бы "заместитель" реальных ситуаций. При этом следует учитывать, что модель не копирует оригинал, она проще. Модель должна быть достаточно общей, чтобы описывать реальные действия с учетом их сложности.
Можно предложить следующие компоненты модели информационной безопасности на первом уровне декомпозиции.
По нашему мнению, такими компонентами концептуальной модели безопасности информации могут быть следующие:
объекты угроз;
угрозы;
источники угроз;
цели угроз со стороны злоумышленников;
источники информации;
способы неправомерного овладения конфиденциальной информацией (способы доступа);
направления защиты информации;
способы защиты информации;
средства защиты информации.
Объектом угроз информационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности. Источниками угроз выступают конкуренты, преступники, коррупционеры, административно-управленческие органы. Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.
Неправомерное овладение конфиденциальной информацией возможно за счет ее разглашения источниками сведений, за счет утечки информации через технические средства и за счет несанкционированного доступа к охраняемым сведениям.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями защиты информации являются правовая, организационная и инженерно-техническая защиты информации как выразители комплексного подхода к обеспечению информационной безопасности.
Средствами защиты информации являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно-программно-аппаратными средствами.
В качестве способов защиты выступают всевозможные меры, пути, способы и действия, обеспечивающие упреждение противоправных действий, их предотвращение, пресечение и противодействие не-санкционированному доступу. В обобщенном виде рассмотренные компоненты в виде концептуальной модели безопасности информации приведены на следующей схеме.
Основные элементы концептуальной модели будут рассмотрены более подробно в следующих разделах книги. Концепция безопасности является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз.
1.3. Угрозы конфиденциальной информации
Под угрозами конфиденциальной информации принято понимать потенциальные или реально возможные действия по отношению к информационным ресурсам, приводящие к неправомерному овладению охраняемыми сведениями. Такими действиями являются:
ознакомление с конфиденциальной информацией различными путями и способами без нарушения ее целостности;
модификация информации в криминальных целях как частичное или значительное изменение состава и содержания сведений;
разрушение (уничтожение) информации как акт вандализма с целью прямого нанесения материального ущерба.
В конечном итоге противоправные действия с информацией приводят к нарушению ее конфиденциальности, полноты, достоверности и доступности, что в свою очередь приводит к нарушению как режима управления, так и его качества в условиях ложной или неполной информации. Каждая угроза влечет за собой определенный ущерб - моральный или материальный, а защита и противодействие угрозе призвано снизить его величину, в идеале - полностью, реально - значительно или хотя бы частично. Но и это удается далеко не всегда.
С учетом этого угрозы могут быть классифицированы по следующим кластерам :
по величине принесенного ущерба:
предельный, после которого фирма может стать банкротом;
значительный, но не приводящий к банкротству;
незначительный, который фирма за какое-то время может компенсировать и др.;
по вероятности возникновения:
весьма вероятная угроза;
вероятная угроза;
маловероятная угроза;
по причинам появления:
стихийные бедствия;
преднамеренные действия;
по характеру нанесенного ущерба:
материальный;
моральный;
по характеру воздействия:
активные;
пассивные;
по отношению к объекту:
внутренние;
внешние.
Источниками внешних угроз являются:
недобросовестные конкуренты;
преступные группировки и формирования;
отдельные лица и организации административно-управленческого аппарата.
Источниками внутренних угроз могут быть:
администрация предприятия;
персонал;
технические средства обеспечения производственной и трудовой деятельности.
Соотношение внешних и внутренних угроз на усредненном уровне можно охарактеризовать так:
82% угроз совершается собственными сотрудниками фирмы либо при их прямом или опосредованном участии;
17% угроз совершается извне - внешние угрозы;
1% угроз совершается случайными лицами.
Угроза - это потенциальные или реальные действия, приводящие к моральному или материальному ущербу.
1.4. Действия, приводящие к неправомерному овладению конфиденциальной информацией.
Отношение объекта (фирма, организация) и субъекта (конкурент, злоумышленник) в информационном процессе с противоположными интересами можно рассматривать с позиции активности в действиях, приводящих к овладению конфиденциальными сведениями. В этом случае возможны такие ситуации:
владелец (источник) не принимает никаких мер к сохранению конфиденциальной информации, что позволяет злоумышленнику легко получить интересующие его сведения;
источник информации строго соблюдает меры информационной безопасности, тогда злоумышленнику приходится прилагать значительные усилия к осуществлению доступа к охраняемым сведениям, используя для этого всю совокупность способов несанкционированного проникновения: легальное или нелегальное, заходовое или беззаходовое;
промежуточная ситуация - это утечка информации по техническим каналам, при которой источник еще не знает об этом (иначе он принял бы меры защиты), а злоумышленник легко, без особых усилий может их использовать в своих интересах.
В общем, факт получения охраняемых сведений злоумышленниками или конкурентами называют утечкой. Однако одновременно с этим в значительной части законодательных актов, законов, кодексов, официальных материалов используются и такие понятия, как разглашение сведений и несанкционированный доступ к конфиденциальной информации .
Разглашение - это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним. Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами средствами передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение (встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов. Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видео мониторинг).
Утечка - это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена. Утечка информации осуществляется по различным техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.
Несанкционированный доступ - это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам. Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении "продать" секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действий злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарных или в подвижном варианте, оборудованных самыми современными техническими средствами. Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников. Такой подход к классификации действий, способствующих неправо-мерному овладению конфиденциальной информацией, показывает многогранность угроз и многоаспектность защитных мероприятий, необходимых для обеспечения комплексной информационной безопасности.
С учетом изложенного остается рассмотреть вопрос, какие условия способствуют неправомерному овладению конфиденциальной информацией. Указываются следующие условия:
разглашение (излишняя болтливость сотрудников) - 32%;
несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;
отсутствие на фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;
традиционный обмен производственным опытом - 12%;
бесконтрольное использование информационных систем - 10%;
наличие предпосылок возникновения среди сотрудников конфликтных ситуаций 8%;
а также отсутствие высокой трудовой дисциплины, психологическая несовместимость, случайный подбор кадров, слабая работа кадров по сплочению коллектива.
Среди форм и методов недобросовестной конкуренции находят наибольшее распространение:
экономическое подавление, выражающееся в срыве сделок и иных соглашений (48%),
парализации деятельности фирмы (31%),
компрометации фирмы (11%),
шантаже руководителей фирмы (10%);
физическое подавление:
ограбления и разбойные нападения на офисы, склады, грузы (73%),
угрозы физической расправы над руководителями фирмы и ведущими специалистами (22%),
убийства и захват заложников (5%);
информационное воздействие:
подкуп сотрудников (43%),
копирование информации (24%),
проникновение в базы данных (18%),
продажа конфиденциальных документов (10%),
подслушивание телефонных переговоров и переговоров в помещениях (5%),
а также ограничение доступа к информации, дезинформация;
финансовое подавление включает такие понятия, как инфляция, бюджетный дефицит, коррупция, хищение финансов, мошенничество; психическое давление может выражаться в виде хулиганских выходок, угрозы и шантажа, энергоинформационного воздействия.
Основными угрозами информации являются ее разглашение, утечка и несанкционированный доступ к ее источникам. Каждому из условий неправомерного овладения конфиденциальной информацией можно поставить в соответствие определенные каналы, определенные способы защитных действий и определенные классы средств защиты или противодействия. Совокупность определений, каналов, способов и средств представляется в виде следующей схемы.
Государственный стандарт РФ ГОСТ Р 50922 - 96
ГОСТ Р 50922 - 96
ГОСУДАРСТВЕННЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ
Защита информации
Основные термины и определения
Дата введения 1.07.97 г.
1. Область применения
2. Общие положения
3 Стандартизованные термины и их определения
3.1 Основные понятия
3.2 Организация защиты информации
4. Приложение А (справочное)
1 ОБЛАСТЬ ПРИМЕНЕНИЯ
Настоящий стандарт устанавливает основные термины и их определения в области защиты информации.
Термины, установленные настоящим стандартом, обязательны для применения во всех видах документации и литературы по защите информации.
Настоящий стандарт применяется совместно с ГОСТ РВ 50170-92.
2 ОБЩИЕ ПОЛОЖЕНИЯ
Установленные в стандарте термины расположены в систематизированном порядке, отражающем систему понятий в данной области знания.
Для каждого понятия установлен один стандартизованный термин.
Заключенная в круглые скобки часть термина может быть опущена при использовании термина в документах по стандартизации.
Наличие квадратных скобок в терминологической статье означает, что в нее включены два (три, четыре и т.п.) термина, имеющие общие терминоэлементы.
Разрешается, при необходимости, уточнять приведенные определения, вводя дополнительные признаки, раскрывающие значения терминов, без искажения смысла определения.
Термины и определения общетехнических понятий, необходимые для понимания текста стандарта, приведены в приложении А.
3 СТАНДАРТИЗОВАННЫЕ ТЕРМИНЫ И ИХ ОПРЕДЕЛЕНИЯ
3.1 Основные понятия
Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.
Примечание: Собственником информации может быть - государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.
Защита информации - защита информации: Деятельность по предотвращению утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.
Защита информации от утечки - деятельность по предотвращению неконтролируемого распространения защищаемой информации от ее разглашения, несанкционированного доступа к защищаемой информации и от получения защищаемой информации [иностранными] разведками.
Защита информации от несанкционированного воздействия - защита информации от НСВ: Деятельность по предотвращению воздействия на защищаемую информацию с нарушением установленных прав и/или правил на изменение информации, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Зашита информации от непреднамеренного воздействия - деятельность по предотвращению воздействия на защищаемую информацию ошибок пользователя информацией, сбоя технических и программных средств информационных систем, а также природных явлений или иных нецеленаправленных на изменение информации воздействий, связанных с функционированием технических средств, систем или с деятельностью людей, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.
Защита информации от разглашения - деятельность по предотвращению несанкционированного доведения защищаемой информации до неконтролируемого количества получателей информации.
Защита информации от несанкционированного доступа - защита информации от НСД: Деятельность по предотвращению получения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.
Примечание: Заинтересованным субъектом, осуществляющим несанкционированный доступ к защищаемой информации, может выступать: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.
Защита информации от [иностранной] разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой.
Защита информации от [иностранной] технической разведки - деятельность по предотвращению получения защищаемой информации [иностранной] разведкой с помощью технических средств.
Защита информации от агентурной разведки - деятельность по предотвращению получения защищаемой информации агентурной разведкой.
Цель защиты информации - желаемый результат защиты информации.
Примечание: Целью защиты информации может быть предотвращение ущерба собственнику, владельцу, пользователю информации в результате возможной утечки информации и/или несанкционированного и непреднамеренного воздействия на информацию.
Эффективность защиты информации - степень соответствия результатов защиты информации поставленной цели.
Показатель эффективности зашиты информации - мера или характеристика для оценки эффективности защиты информации.
Нормы эффективности защиты информации - значения показателей эффективности защиты информации, установленные нормативными документами.
3.2 Организация защиты информации
Организация защиты информации - содержание и порядок действий по обеспечению защиты информации.
Система защиты информации - совокупность органов и/или исполнителей, используемая ими техника защиты информации, а также объекты защиты, организованные и функционирующие по правилам, установленным соответствующими правовыми, организационно-распорядительными и нормативными документами по защите информации.
Мероприятие по защите информации - совокупность действий по разработке и/или практическому применению способов и средств защиты информации.
Мероприятие по контролю эффективности защиты информации- совокупность действий по разработке и/или практическому применению методов [способов] и средств контроля эффективности защиты информации.
Техника защиты информации - средства защиты информации, средства контроля эффективности защиты информации, средства и системы управления, предназначенные для обеспечения защиты информации.
Объект защиты - информация или носитель информации или информационный процесс, в отношении которых необходимо обеспечивать защиту в соответствии с поставленной целью защиты информации.
Способ защиты информации - порядок и правила применения определенных принципов и средств защиты информации.
Категорирование защищаемой информации [объекта защиты] - установление градаций важности защиты защищаемой информации [объекта защиты].
Метод [способ] контроля эффективности защиты информации - порядок и правила применения определенных принципов и средств контроля эффективности защиты информации.
Контроль состояния защиты информации - проверка соответствия организации и эффективности защиты информации установленным требованиям и/или нормам в области защиты информации.
Средство защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для защиты информации.
Средство контроля эффективности защиты информации - техническое, программное средство, вещество и/или материал, предназначенные или используемые для контроля эффективности защиты информации.
Контроль организации защиты информации - проверка соответствия состояния организации, наличия и содержания документов требованиям правовых, организационно-распорядительных и нормативных документов по защите информации.
Контроль эффективности защиты информации - проверка соответствия эффективности мероприятий по защите информации установленным требованиям или нормам эффективности защиты информации.
Организационный контроль эффективности зашиты информации- проверка полноты и обоснованности мероприятий по защите информации требованиям нормативных документов по защите информации.
Технический контроль эффективности зашиты информации - контроль эффективности защиты информации, проводимой с использованием средств контроля.
ГОСТ Р 50922-96 Приложение А (справочное) Термины и определения, необходимые для понимания текста стандарта
Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
Доступ к информации - получение субъектом возможности ознакомления с информацией, в том числе при помощи технических средств.
Субъект доступа к информации - субъект доступа: участник правоотношений в информационных процессах.
Примечание: Информационные процессы - процессы создания, обработки, хранения, защиты от внутренних и внешних угроз, передачи, получения, использования и уничтожения информации.
Носитель информации - физическое лицо, или материальный объект, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов.
Собственник информации - субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения информацией в соответствии с законодательными актами.
Владелец информации - субъект, осуществляющий владение и пользование информацией и реализующий полномочия распоряжения в пределах прав, установленных законом и/или собственником информации.
Пользователь [потребитель] информации - субъект, пользующийся информацией, полученной от ее собственника, владельца или посредника в соответствии с установленными правами и правилами доступа к информации либо с их нарушением.
Право доступа к информации - право доступа: совокупность правил доступа к информации, установленных правовыми документами или собственником, владельцем информации.
Правило доступа к информации - правило доступа: совокупность правил, регламентирующих порядок и условия доступа субъекта к информации и ее носителям.
Орган защиты информации - административный орган, осуществляющий организацию защиты информации.
Способы защиты информации
3.1. Общие положения
3.2. Характеристика защитных действий
Способы - это порядок и приемы использования сил и средств для достижения поставленной цели по защите конфиденциальной информации.
1. Подальше положишь - поближе возьмешь.
2. Береженого Бог бережет.
3. На Бога надейся, а сам не плошай.
4. Сначала подумай, потом говори.
5. Не зная броду, не суйся в воду.
6. Семь раз отмерь, один раз отрежь.
7. Дело мастера боится.
8. Негоже, когда сапоги тачает пирожник, а пироги печет сапожник.
9. Отыщи всему начало, и ты многое поймешь (К. Прутков).
Любое действие человека, ориентированное на достижение каких-либо результатов, реализуется определенными способами. Естественно, что имеющийся опыт по защите информации достаточно четко определил совокупность приемов, сил и средств, ориентированных на обеспечение информационной безопасности. С учетом этого можно так определить понятие способов защиты информации: способы защиты информации - это совокупность приемов, сил и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам.
Естественно предположить, что каждому виду угроз присущи свои специфические способы, силы и средства.
3.1. Общие положения
Обеспечение информационной безопасности достигается системой мер, направленных:
на предупреждение угроз. Предупреждение угроз - это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от создания климата глубоко осознанного отношения сотрудников к проблеме безопасности и защиты информации до создания глубокой, эшелонированной системы защиты физическими, аппаратными, программными и криптографическими средствами.
Предупреждение угроз возможно и путем получения (если хотите - и добывания) информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
В предупреждении угроз весьма существенную роль играет информационно-аналитическая деятельность службы безопасности на основе глубокого анализа криминогенной обстановки и деятельности конкурентов и злоумышленников.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и "внедренные".
Обнаружение угроз - это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники СБ, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.
Пресечение или локализация угроз - это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.
Ликвидация последствий имеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва и др.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
предотвращение разглашения и утечки конфиденциальной информации;
воспрещение несанкционированного доступа к источникам конфиденциальной информации; сохранение целостности, полноты и доступности информации;
соблюдение конфиденциальности информации;
обеспечение авторских прав.
Защита от разглашения сводится в общем плане к разработке перечня сведений, составляющих коммерческую тайну предприятия. Эти сведения должны быть доведены до каждого сотрудника, допущенного к ним, с обязательством этого сотрудника сохранять коммерческую тайну. Одним из важных мероприятий является система контроля за сохранностью коммерческих секретов.
Защита от утечки конфиденциальной информации сводится к выявлению, учету и контролю возможных каналов утечки в конкретных условиях и к проведению организационных, организационно-технических и технических мероприятий по их ликвидации.
Защита от несанкционированного доступа к конфиденциальной "формации обеспечивается путем выявления, анализа и контроля возможных способов несанкционированного доступа и проникновения к источникам конфиденциальной информации и реализацией организационных, организационно-технических и технических мероприятий по противодействию НСД.
На практике в определенной степени все мероприятия по использованию технических средств защиты информации подразделяются на три группы:
организационные (в части технических средств);
организационно-технические;
технические.
Организационные мероприятия - это мероприятия ограничительного характера, сводящиеся основном, к регламентации доступа и использования технических средств обработки информации. Они, как правило, проводятся силами самой организации путем использования простейших организационных мер.
В общем плане организационные мероприятия предусматривают проведение следующих действий:
определение границ охраняемой зоны (территории);
определение технических средств, используемых для обработки конфиденциальной информации в пределах контролируемой территории;
определение "опасных", с точки зрения возможности образования каналов утечки информации, технических средств и конструктивных особенностей зданий и сооружений;
выявление возможных путей проникновения к источникам конфиденциальной информации со стороны злоумышленников;
реализация мер по обнаружению, выявлению и контролю за обеспечением защиты информации всеми доступными средствами.
Организационные мероприятия выражаются в тех или иных ограничительных мерах. Можно выделить такие ограничительные меры, как территориальные, пространственные и временные.
Территориальные ограничения сводятся к умелому расположению источников на местности или в зданиях и помещениях, исключающих подслушивание переговоров или перехват сигналов радиоэлектронных средств.
Пространственные ограничения выражаются в выборе направлений излучения тех или иных сигналов в сторону наименьшей возможности их перехвата злоумышленниками.
Временные ограничения проявляются в сокращении до минимума времени работы технических средств, использовании скрытых методов связи, шифровании и других мерах защиты.
Одной из важнейших задач организационной деятельности является определение состояния технической безопасности объекта, его помещений, подготовка и выполнение организационных мер, исключающих возможность неправомерного овладения конфиденциальной информацией, воспрещение ее разглашения, утечки и несанкционированного доступа к охраняемым секретам.
Организационно-технические мероприятия обеспечивают блокирование разглашения и утечки конфиденциальных сведений через технические средства обеспечения производственной и трудовой деятельности, а также противодействие техническим средствам промышленного шпионажа с помощью специальных технических средств, устанавливаемых на элементы конструкций зданий, помещений и технических средств, потенциально образующих каналы утечки информации. В этих целях возможно использование:
технических средств пассивной защиты, например фильтров, ограничителей и тому подобных средств развязки акустических, электрических и электромагнитных систем защиты сетей телефонной связи, энергоснабжения, радио- и часофикации и др.;
технических средств активной защиты: датчиков акустических шумов и электромагнитных помех.
Организационно-технические мероприятия по защите информации можно подразделить на пространственные, режимные и энергетические.
Пространственные меры выражаются в уменьшении ширины диаграммы направленности, ослаблении боковых и заднего лепестков диаграммы направленности излучения радиоэлектронных средств (РЭС).
Режимные меры сводятся к использованию скрытых методов передачи информации по средствам связи: шифрование, квазипеременные частоты передачи и др.
Энергетические - это снижение интенсивности излучения и работа РЭС на пониженных мощностях.
Технические мероприятия - это мероприятия, обеспечивающие приобретение, установку и использование в процессе производственной деятельности специальных, защищенных от побочных излучений (безопасных) технических средств или средств, ПЭМИН которых не превышают границу охраняемой территории.
Технические мероприятия по защите конфиденциальной информации можно подразделить на скрытие, подавление и дезинформацию.
Скрытие выражается в использовании радиомолчания и создании пассивных помех приемным средствам злоумышленников.
Подавление - это создание активных помех средствам злоумышленников.
Дезинформация - это организация ложной работы технических средств связи и обработки информации; изменение режимов использования частот и регламентов связи; показ ложных демаскирующих признаков деятельности и опознавания.
Защитные меры технического характера могут быть направлены на конкретное техническое устройство или конкретную аппаратуру и выражаются в таких мерах, как отключение аппаратуры на время ведения конфиденциальных переговоров или использование тех или иных защитных устройств типа ограничителей, буферных средств, фильтров и устройств зашумления.
3.2. Характеристика защитных действий
Защитные действия ориентированы на пресечение разглашения, защиту информации от утечки и противодействия несанкционированному доступу.
Защитные действия, способы и мероприятия по обеспечению информационной безопасности можно классифицировать по основным характеристикам и объектам защиты по таким параметрам, например, как ориентация, характер угроз, направления, способы действий, охват, масштаб и др.
Защитные действия по ориентации можно классифицировать как действия, направленные на защиту персонала, материальных и финансовых средств и информации как ресурса.
По направлениям - это правовая, организационная и инженерно-техническая защита.
По способам - это предупреждение, выявление, обнаружение, пресечение и восстановление.
По охвату защитные меры могут быть ориентированы на защиту территории фирмы, зданий, отдельных (выделенных) помещений, конкретных видов аппаратуры или технических средств и систем или отдельных элементов зданий, помещений, аппаратуры, опасных с точки зрения несанкционированного доступа к ним или оборудования каналов утечки информации.
Применение защитных мер можно рассматривать и в пространственном плане. Так, например, известно, что распространение (разглашение, утечка или НСД) осуществляется от источника информации через среду к злоумышленнику.
Источником информации могут быть люди, документы, технические средства, отходы и др. Носителем информации может быть либо поле (электромагнитное, акустическое), либо вещество (бумага, материал, изделие и т.д.). Средой является воздушное пространство, жесткие среды (стены, коммуникации).
Злоумышленник обладает необходимыми средствами приема акустической и электромагнитной энергии, средствами воздушного наблюдения и возможностью обрабатывать материально-вещественные формы представления информации.
Чтобы исключить неправомерное овладение конфиденциальной информацией, следует локализовать (выключить, ослабить сигнал, зашифровать и др.) источник информации.
С увеличением масштабов распространения и использования ПЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:
несанкционированные и злоумышленные действия персонала и пользователя;
ошибки пользователей и персонала;
отказы аппаратуры и сбои в программах;
стихийные бедствия, аварии различного рода и опасности.
В соответствии с этими основными целями защиты информации в ПЭВМ и информационных сетях являются:
обеспечение юридических норм и прав пользователей в отношении ДОСТУПА к информационным и другим сетевым ресурсам, предусматривающее административный надзор за информационной деятельностью, включая меры четкой персональной ответственности за соблюдение правил пользования и режимов работы;
предотвращение потерь и утечки информации, перехвата и вмешательства на всех уровнях, для всех территориально разделенных объектов;
обеспечение целостности данных на всех этапах и фазах их преобразования и сохранности средств программного обеспечения.
В связи с тем, что информационная сеть, в отличие от автономной ПЭВМ, является территориально распределенной системой, она требует принятия специальных мер и средств защиты. Средства защиты должны предотвращать:
определение содержания передаваемых сообщений;
внесение изменений в сообщения;
необоснованный отказ в доступе;
несанкционированный доступ;
ложную инициализацию обмена;
возможность измерения и анализа энергетических и других характеристик информационной системы.
Если это нецелесообразно или невозможно, то нарушить информационный контакт можно за счет использования среды распространения информации. Например, при почтовой связи использовать надежного связного и доставить почтовое отправление абоненту, полностью исключив возможность несанкционированного доступа к нему со стороны. Или исключить возможность подслушивания путем использования специального помещения, надежно защищенного о; такого вида НСД. И, наконец, можно воздействовать на злоумышленника или на его средства путем постановки активных средств воздействия (помехи).
В каждом конкретном случае реализации информационного контакта используются и свои специфические способы воздействия как на источник, так и на среду и на злоумышленника. В качестве примера рассмотрим матрицу, характеризующую взаимосвязь целей защиты информации и механизмов ее защиты в процессе телекоммуникационного обмена в распределенных автоматизированных системах. Одновременно на ней отражены и защитные возможности тех или иных механизмов.
Заключение
Информация - это ресурс. Потеря конфиденциальной информации приносит моральный или материальный ущерб.
Условия, способствующие неправомерному овладению конфиденциальной информацией, сводятся к ее разглашению, утечке и несанкционированному доступу к ее источникам.
В современных условиях безопасность информационных ресурсов может быть обеспечена только комплексной системной защиты информации.
Комплексная система защиты информации должна быть: непрерывной, плановой, целенаправленной, конкретной, активной, надежной и др.
Система защиты информации должна опираться на систему видов собственного обеспечения, способного реализовать ее функционирование не только в повседневных условиях, но и критических ситуациях.
Многообразие условий, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов, сил и средств для обеспечения информационной безопасности,
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
Основными целями защиты информации являются обеспечение конфиденциальности, целостности, полноты и достаточности информационных ресурсов.
Обеспечение информационной безопасности достигается организационными, организационно-техническими и техническими мероприятиями, каждое из которых обеспечивается специфическими силами, средствами и мерами, обладающими соответствующими характеристиками.
Совокупность способов обеспечения информационной безопасности может быть подразделена на общие и частные, применение которых обусловливается масштабностью защитных действий.
Организация подготовки и проведения совещаний
и переговоров по конфиденциальным вопросам.
1. Защита информации при проведении совещаний и переговоров.
Конфиденциальными именуются обычно совещания и переговоры, в процессе которых могут обсуждаться сведения, составляющие тайну предприятия или его партнеров. Порядок проведения подобных совещаний и переговоров регламентируется специальными требованиями, обеспечивающими безопасность конфиденциальной информации, которая в процессе этих мероприятий распространяется в разрешенном режиме.
Основной угрозой ценной информации является разглашение большего объема сведений о новой идее, продукции или технологии, чем это необходимо.
Общеизвестны причины, по которым информация может разглашаться на конфиденциальных совещаниях или переговорах, это:
- слабое знание сотрудниками состава ценной информации и требований по ее защите;
- умышленное невыполнение этих требований;
- провоцированные и неспровоцированные ошибки сотрудников;
- отсутствие контроля рекламной и рекламно-выставочной деятельности и др.
Оглашение ценной информации в санкционированном режиме должно быть оправдано деловой необходимостью и целесообразностью для конкретных условий и характера обсуждаемых вопросов.
Выделяют следующие этапы проведения конфиденциальных совещаний и переговоров:
- подготовка к проведению;
- процесс их ведения и документирования;
- анализ итогов и выполнения достигнутых договоренностей (рис. 1).
Разрешение на проведение конфиденциальных совещаний и переговоров с приглашением представителей других организаций и фирм дает директор предприятия. Решение директора о предстоящем конфиденциальном совещании доводится до сведения руководителя секретариата, секретаря-референта, специалиста по защите конфиденциальной информации и начальника службы безопасности. В целях дальнейшего контроля подготовки и проведения такого совещания информация об этом решении фиксируется в учетной карточке, в которой указываются: наименование совещания, дата, время, состав участников по каждому вопросу и руководитель, ответственный за проведение.
Рис. 1. Этапы проведения конфиденциальных совещаний и переговоров.
Доступ сотрудников предприятия на любые конфиденциальные совещания осуществляется на основе действующей разрешительной системы доступа персонала к конфиденциальной информации.
Приглашение на конфиденциальные совещания лиц, не являющихся сотрудниками предприятия, разрешается только в случае крайней необходимости их личного участия в обсуждении конкретного вопроса.
Ответственность за обеспечение защиты ценной информации и сохранение тайны предприятия в ходе совещания несет руководитель, организующий данное совещание. Сотрудники службы безопасности оказывают ему помощь и осуществляют перекрытие возможных организационных и технических каналов утраты информации.
Подготовку конфиденциального совещания осуществляет организующий его руководитель с привлечением сотрудников предприятия, допущенных к работе с конкретной ценной информацией, составляющей тайну предприятия или ее партнеров. Из числа этих сотрудников назначается ответственный организатор, планирующий и координирующий выполнение подготовительных мероприятий и проведение самого совещания.
В процессе подготовки конфиденциального совещания составляются программа проведения совещания, повестка дня, информационные материалы, проекты решений и список участников совещания по каждому вопросу повестки дня. Все документы, составляемые в процессе подготовки конфиденциального совещания, должны иметь гриф «Конфиденциально», изготовляться и издаваться в соответствии с требованиями инструкции по обработке и хранению конфиденциальных документов. Документы, предназначенные для раздачи участникам совещания, не должны содержать конфиденциальные сведения. Эта информация сообщается участникам совещания устно при обсуждении конкретного вопроса.
Список участников конфиденциального совещания составляется отдельно по каждому обсуждаемому вопросу. К участию в обсуждении вопроса привлекаются только те сотрудники предприятия, которые имеют непосредственное отношение к этому вопросу. Это правило касается и руководителей.
Документы, составляемые при подготовке конфиденциального совещания, на котором предполагается присутствие представителей других фирм и организаций, согласовываются с руководителем службы безопасности. Отмеченные им недостатки в обеспечении защиты ценной информации должны быть исправлены ответственным организатором совещания. После этого документы утверждаются руководителем, организующим совещание.
Одновременно с визированием подготовленных документов руководитель службы безопасности и ответственный организатор определяют место проведения совещания, порядок доступа участников в это помещение, порядок документирования хода совещания, а также порядок передачи участникам совещания оформленных решений и подписанных документов.
Конфиденциальное совещание проводится в специальном помещении и оборудованном средствами технической защиты информации. Доступ в такие помещения сотрудников предприятия и представителей других организаций разрешается только руководителем службы безопасности.
Перед началом конфиденциального совещания, сотрудник службы безопасности обязан убедиться в отсутствии в помещении несанкционированно установленных аудио- и видеозаписывающих или передающих устройств, а также в качественной работе средств технической защиты на всех возможных каналах утечки информации. Помещение должно быть оборудовано кондиционером, так как открытие окон, дверей в ходе совещания не допускается. Окна закрываются светопроницаемыми шторами, входная дверь оборудуется сигналом, оповещающим о ее неплотном закрытии. В целях звукоизоляции целесообразно иметь двойную дверь или зашторивать двери звукопоглощающей тканью.
В помещении для проведения конфиденциальных совещаний не должны находиться приборы, оборудование и технические средства, которые непосредственно не используются для обеспечения хода совещания. Документирование, аудио- и видеозапись конфиденциальных совещаний ведутся только по письменному указанию директором предприятия одним из сотрудников, готовивших совещание.
Доступ участников на конфиденциальное совещание осуществляет ответственный организатор под контролем сотрудника службы безопасности в соответствии с утвержденным списком и предъявляемыми участниками персональными документами. Перед началом обсуждения каждого вопроса состав присутствующих корректируется. Нахождение на совещании лиц, не имеющих отношения к обсуждаемому вопросу, не разрешается.
Обычно при открытии совещания организовавший его руководитель должен напомнить участникам о необходимости сохранения производственной и коммерческой тайны и уточнить, какие конкретные сведения являются конфиденциальными на данном совещании.
Участникам конфиденциального совещания, независимо от занимаемой должности и статуса на совещании, не разрешается:
- вносить на совещание фото-, и видеоаппаратуру, компьютеры, магнитофоны, диктофоны и радиотелефоны (мобильные) и другую бытовую аппаратуру и пользоваться ими;
- делать выписки из документов, используемых при решении вопросов на совещании и имеющих гриф ограничения доступа;
- обсуждать вопросы, вынесенные на совещание, в местах общего пользования;
- информировать о совещании любых лиц, не связанных с проведением данного совещания, в том числе сотрудников предприятия.
Участники совещания, нарушившие перечисленные правила, лишаются права дальнейшего присутствия на совещании.
По окончании конфиденциального совещания сотрудник службы безопасности осматривает помещение, запирает, опечатывает и сдает под охрану. Документы, принятые на совещании, оформляются, подписываются, при необходимости размножаются и передаются участникам совещания в соответствии с требованиями по работе с конфиденциальными документами предприятия. Все экземпляры этих документов должны иметь гриф ограничения доступа. Рассылать документы, содержащие строго конфиденциальную информацию, не разрешается.
Тема 16-17. Организация защиты информации при приеме в организации посетителей командированных лиц и иностранных представителей.
1. Организация приема посетителей в организации.
Организация приема посетителей предполагает сочетание умения организовать эффективную и полезную для предприятия работу с посетителями и одновременно выполнить ее таким образом, чтобы была сохранена целостность конфиденциальной информации, а также достигнута безопасность деятельности предприятия.
Под посетителем понимается, во-первых, лицо, которому необходимо решить определенный круг деловых или личных вопросов с руководителями и специалистами предприятия, и, во-вторых, лицо, совместно с которым полномочные лица вырабатывают определенные решения по направлениям деятельности предприятия.
Процесс защиты информации при приеме посетителей предполагает проведение четкой их классификации, на базе которой формируется система ограничительных и аналитических мер.
На уровне руководителей предприятия посетителей можно разделить на три категории: сотрудники предприятия, посетители, не являющиеся ее сотрудниками и иностранные граждане.
К посетителям – сотрудникам предприятия относятся:
- сотрудники, имеющие право свободного входа в кабинет руководителя в любое время рабочего дня;
- сотрудники, работающие с руководителем в режиме вызова;
- сотрудники, инициирующие свой прием руководителем в часы приема по личным вопросам.
Угрозы информационной безопасности, исходящие от посетителей-сотрудников, могут наступить в случае, если эти сотрудники являются злоумышленниками или их сообщниками. Состав угроз может быть самым разнообразным: от кражи документов со стола руководителя до выведывания нужной информации с помощью хорошо подготовленного перечня, на первый взгляд, безобидных вопросов.
Посетители, не являющиеся сотрудниками предприятия, в соответствии с характером их взаимоотношений с фирмой могут подразделяться на:
- лиц, не включенных в штат сотрудников, но входящих в качестве членов в коллективный орган управления деятельностью предприятия;
- представителей государственных учреждений и организаций;
- сотрудничающих с предприятием физических лиц и представителей предприятий и организаций;
- частных лиц;
- иностранных граждан.
Перечисленные представители и лица должны находиться под особо внимательным контролем сотрудников службы безопасности, так как если они относятся к категории злоумышленников, спектр исходящей от них опасности крайне велик и определяется теми целями, которые перед ними поставлены. Утрата информации может идти по организационным или техническим каналам или в сочетании того и другого.
Особое внимание следует уделять приему иностранных граждан, поскольку вред, в случае утечки информации, может быть причинен не только данному предприятию (организации), но и интересам государства. Организациям и предприятиям, имеющим доступ и работающим с информацией составляющей государственную тайну, категорически запрещено осуществлять прием иностранных граждан без соответствующего разрешения компетентных органов.
При приеме директором предприятия любой из указанных категорий посетителей следует соблюдать следующие правила.
1. Он не должен принимать посетителей во время работы с конфиденциальными документами.
2. При вызове кого-либо из сотрудников, в связи с работой над определенным документом, на столе руководителя должен находиться только тот документ, с которым он работает, другие документы следует хранить в запертом сейфе.
3. С целью обеспечения информационной безопасности и организации упорядоченной работы, директор должен выделить определенное время, в которое он работает с документами и время, когда он ведет переговоры и прием посетителей.
Распорядок работы руководителя должен включать:
- время для ежедневного приема сотрудников предприятия по служебным вопросам;
- время для ежедневного приема посетителей, не являющихся сотрудниками предприятия, но представляющих ту или иную организационную структуру;
- часы приема в разные дни для частных лиц, которым необходимо решить вопрос, относящийся к компетенции руководителя.
В часы приема указанных категорий посетителей любые сотрудники предприятия могут посещать руководителя только по вызову и только по вопросу, связанному с визитом конкретного посетителя.
Периодически выделяются часы приема сотрудников предприятия по личным вопросам.
Прием иностранных граждан осуществляется по отдельной инструкции, разрабатываемой службой безопасности предприятия. Инструкция должна включать:
- перечень информации, к которой запрещен доступ иностранных граждан;
- порядок прохода и нахождения иностранных граждан на территории объекта (обязательное сопровождение, контроль проноса запрещенных предметов, список помещений, где разрешено находиться, маршруты следования по территории объекта);
- перечень лиц, допущенных к переговорам с иностранными гражданами;
- правила проведения совещаний с присутствием иностранных граждан;
- дополнительные меры защиты информации в период нахождения на объекте иностранных граждан.
Как иностранных, так и российских посетителей нее допускается оставлять одних при выходе руководителя из кабинета. Во время отсутствия руководителя никто из посетителей или персонала предприятия не должен входить в его кабинет.
Ежедневное число посетителей должно соответствовать реальному времени, отведенному руководителем на этот вид работы.
Следует планировать прием таким образом, чтобы посетители длительное время не находились в приемной, так как подобные ожидания всегда сопровождаются подсознательным или умышленным прослушиванием переговоров в приемной, получением значительного объема ценной информации.
Для организации работы директора с посетителями целесообразно формирование графика приема.
График целесообразно формировать централизованно в виде единой схемы, охватывающей посетителей руководства предприятия и структурных подразделений. На основании графика секретарь директора ежедневно в начале рабочего дня сообщает сведения о посетителях и характере разрешенного их доступа к делам предприятия в службу безопасности для оформления пропусков.
Установление соответствия личности посетителя сведениям в графике приема и документе, удостоверяющем его личность, выполняется:
- сотрудником службы безопасности при входе в здание предприятия и выдаче посетителю пропуска;
- секретарем при входе посетителя в приемную руководителя предприятия.
В период ожидания посетителем приема секретарю следует внимательно наблюдать за его поведением, фиксировать возможные странности в движениях, излишнюю возбужденность и т.п. При возникновении каких-либо опасений референт должен вызвать сотрудника службы безопасности, который будет присутствовать в кабинете при беседе руководителя с посетителем.
По окончании приема руководителем секретарь организует дальнейшие действия посетителя. Возможны два варианта:
- посетитель в сопровождении сотрудника службы безопасности направляется к выходу из здания;
- секретарь вызывает в приемную специалиста предприятия, к которому посетитель направлен для решения важных для него задач.
В подразделениях предприятия соблюдается в целом тот же порядок приема и работы с посетителями. Посетитель может быть допущен только к тем документам, работа с которыми ему разрешена директором предприятия. Все его перемещения по территории предприятия осуществляются в сопровождении сотрудника. Посетители, нарушившие правила работы с информационными ресурсами предприятия, замеченные в попытке несанкционированного получения ценных сведений у персонала, лишаются права дальнейшего пребывания на предприятии. При выходе с предприятия посетитель сдает пропуск.
Таким образом, разработка и использование эффективной системы обеспечения информационной безопасности в процессе приема и работы с посетителями является одной из важных частей системы защиты информации и охраны материальных ценностей предприятия.
2. Организация защиты информации в кадровой службе.
Работа отдела кадров предприятия связана с накоплением, формированием, обработкой, хранением и использованием значительных объемов сведений обо всех категориях сотрудников.
Эти сведения относятся к так называемым персональным данным, которые по своей сути отражают личную или семейную тайну граждан, их частную жизнь и входят в круг информации, подлежащей защите от несанкционированного доступа.
Личная тайна гражданина охраняется Конституцией Российской Федерации. Разглашение этой тайны, т.е. бесконтрольное распространение персональных данных во времени и пространстве, может нанести значительный ущерб физическому лицу. Понятие личной тайны близко примыкает к семейной тайне. Семейная тайна или тайна нескольких физических лиц, членов семьи не тождественна личной тайне по составу защищаемых сведений.
Под персональными данными понимается любая документированная информация, относящаяся к конкретному человеку, так называемая личная тайна. Личная тайна гражданина охраняется Конституцией Российской Федерации.
Субъектами персональных данных являются граждане Российской Федерации, иностранные граждане и лица без гражданства, находящиеся на территории России, к личности которых относятся соответствующие персональные данные.
Держатели персональных данных – органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, осуществляющие владение и пользование этими данными.
Пользователями персональных данных могут быть органы государственной власти и местного самоуправления, предприятия, учреждения, организации, юридические и физические лица, обращающиеся к держателю данных за получением необходимых им персональных данных и пользования ими без права передачи.
Персональные данные всегда относятся к категории конфиденциальной информации. Не допускается сбор, передача, уничтожение, хранение, использование и распространение информации о частной жизни физического лица без его согласия, кроме как на основании судебного решения. Режим конфиденциальности персональных данных снимается в случаях обезличивания этих данных или по истечении 75 лет срока их хранения, если иное не определено законом.
Субъект персональных данных самостоятельно решает вопрос передачи кому-либо сведений о себе за исключением случаев, предусмотренных законодательством. В свою очередь, субъект имеет право на доступ к персональным данным, относящимся к его личности, и получение сведений о наличии этих данных и самих данных. При наличии оснований, подтвержденных соответствующими документами, субъект персональных данных вправе требовать от держателя этих данных внесения в них изменений и дополнений. С другой стороны, субъект обязан сообщить держателю об изменении тех или иных персональных данных.
Конфиденциальность и сохранность персональных данных, их защита обеспечиваются отнесением их к сфере негосударственной тайны – служебной или профессиональной тайне. Наиболее концентрированное и обширное отражение персональные данные находят в разнообразной по составу и значительной по объемам кадровой документации, которая обеспечивает информацией функции управления персоналом и сопровождает реализацию правовых взаимоотношений граждан с государственными и негосударственными учреждениями.
C целью выявления состава конфиденциальных сведений и определения основных направлений защиты персональных данных в отделе кадров выделяют две большие группы документации:
- документация по организации работы отдела;
- документация, образующаяся в процессе основной деятельности отдела и содержащая персональные данные в единичном или сводном виде.
Первая группа документации содержит организационно-правовую документацию отдела кадров и включает:
- положение об отделе;
- должностные инструкции работников отдела;
- указания руководства предприятия;
- документы, регламентирующие структуру отдела;
- рабочие инструкции по выполнению основных функций отдела, ведению документации и формированию персональных данных в комплексы (документы, базы данных и т.п.) в процессе основной деятельности отдела кадров, и содержащие персональные данные работников.
Вторая группа – документация включающая:
- комплексы документов для оформления гражданина на работу, при переводе, увольнении;
- комплексы материалов по анкетированию, тестированию, проведению собеседований с кандидатами на должность;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- дела, содержащие основания к приказам по личному составу;
- дела, содержащие материалы аттестации сотрудников, служебных расследований и т.п.;
- справочно-информационный банк данных по персоналу.
Основным условием при защите персональных и конфиденциальных данных является четкая регламентация функций работников отдела кадров. По каждой функции, выполняемой работником отдела кадров, должен быть регламентирован состав документов, дел и баз данных, с которыми этот работник имеет право работать. Не допускается, чтобы работник мог знакомиться с любыми документами и материалами отдела.
При оформлении на личных делах гриф ограничения доступа не ставится, так как весь комплекс личных дел является конфиденциальным. Личное дело должно обязательно иметь опись документов, включенных в дело. Листы дела нумеруются в процессе формирования дела. При помещении в личное дело нового документа данные о нем первоначально вносятся в опись дела, затем листы документа нумеруются и только после этого документ подшивается.
Изменения и дополнения в персональные данные вносятся отдельным документом в дополнение к личному листку по учету кадров, на основании приказов по личному составу и документов, предоставляемых сотрудниками. Все новые записи в дополнении к личному листку по учету кадров и учетных формах заверяются росписью работника отдела кадров.
В сферу ответственности работника, осуществляющего ведение личных дел, входит работа с трудовыми книжками сотрудников предприятия. Трудовые книжки всегда хранятся отдельно от личных дел. Начальник отдела должен строго контролировать, чтобы подчиненные ему работники не оформляли трудовые книжки на неучтенных бланках. Под особым контролем должны находиться операции по проставлению в трудовых книжках печатей и штампов.
Целесообразно, чтобы эти операции производил только начальник отдела кадров, так как в противном случае может возникнуть опасность несанкционированного использования печатей и штампов предприятия.
Не менее строгого контроля требует работа со справочно-информационным банком данных по персоналу предприятия. Этот банк содержит основную массу ценных сведений о сотрудниках. Доступ работников отдела к справочно-информационному банку данных должен быть ограничен и определяется их служебными обязанностями.
Помимо операций с документами, работники отдела кадров значительную часть времени тратят на прием посетителей. Этот вид работы также должен быть строго регламентирован, так как посетители могут представлять определенную угрозу информационным ресурсам отдела кадров.
Прием посетителей чаще всего связан с ведением справочной работы (ответов на вопросы посетителей и выдачей им справок). Ответы на вопросы даются только лично тому лицу, которого они касаются. Не допускается передача персональной информации по телефону. Ответы на письменные запросы других учреждений, фирм и организаций даются в том объеме, который позволяет не разглашать излишний объем персональных сведений.
Таким образом, работа отдела кадров любого предприятия связана с обработкой значительных объемов персональных сведений, отражающих профессиональные, деловые и личные качества сотрудников и являющихся конфиденциальными. Функционирование отдела кадров должно быть подчинено решению задач обеспечения безопасности персональных сведений, их защиты от множества видов угроз, которые может создать злоумышленник, чтобы завладеть этими сведениями и использовать их в противоправных целях.
3. Общие правила работы с документами на предприятии.
В настоящее время важным направлением в организации работы по защите информации является установление общего порядка обращения с ее носителями, такими как документы, чертежи, дискеты, компьютерные программы и т.п.
При этом следует учитывать, что:
- специалисты ставят обязательным условием наличие на носителях конфиденциальной информации отличительных пометок, различающихся в зависимости от уровня секретности;
- в условиях предприятия обеспечить каждому исполнителю работу в специально выделенном помещении бывает практически невозможно, поэтому следует работать так, чтобы в отсутствие работника на его рабочем месте не было никаких документов.
Директор предприятия должен упорядочить процессы отражения конфиденциальной информации в деловых бумагах и организовать их движение таким образом, чтобы похищение конфиденциальных документов было бы затруднено настолько, чтобы оно становилось экономически невыгодным для похитителя.
При работе с документами, содержащими коммерческую тайну, следует соблюдать определенные правила, которые сводятся к нижеследующим:
- строгий контроль допуска персонала к секретным документам;
- назначение ответственных лиц, осуществляющих контроль секретного делопроизводства и наделение их соответствующими полномочиями;
- разработка инструкции по работе с секретными документами, ознакомление с ней сотрудников предприятия;
- контроль принятия служащими письменных обязательств о сохранении коммерческой тайны предприятия;
- введение системы материального и морального поощрения сотрудников, имеющих доступ к секретной информации;
- внедрение в повседневную практику современных технологий защиты коммерческой тайны предприятия.
Существуют различные способы ведения защищенного делопроизводства, которые направлены на предотвращение утечки содержащихся в документах коммерческих секретов. Грамотно поставленная работа с документами поможет защитить их от постороннего глаза.
Не следует держать на столе сразу несколько документов, да к тому же различных по степени значимости. При работе с документами не следует выходить из комнаты, а если приходится выходить, то нужно закрыть дверь на ключ. Документы, которые правомерно могут потребовать сотрудники налоговой инспекции или правоохранительных служб, следует держать отдельно от остальных конфиденциальных бумаг. По окончании работы важные документы убираются в сейф. Помещение, где они хранятся, следует опечатать и сдать на хранение сотрудникам службы безопасности предприятия.
Вероятность утечки конфиденциальной информации из документов особенно велика в процессе их пересылки. Если нет возможности пользоваться услугами военизированной фельдсвязи, то доставку ценных документов следует организовать своими силами с привлечением сотрудников собственной службы безопасности или же обратиться в специализированные предприятия, которые такие услуги оказывают за плату.
Доверяя конфиденциальные документы обычной почте, следует отправлять их заказными письмами в тщательно заклеенных конвертах с уведомлением о вручении их адресату.
И последняя рекомендация. Служащие предприятия, отвечающие за сохранность, использование и своевременное уничтожение важных документов, должны быть защищены от соблазна торговли секретами предприятия простым, но самым древним и весьма надежным способом – достойной оплатой труда.
Тема 18-19. Организация защиты информации в работе пресс-служб, при осуществлении научно-публицистической и рекламной деятельности.
На практике местом проведения переговоров часто становятся постоянно действующие и периодические торговые или торговопромышленные выставки и ярмарки. Любая выставка является, с одной стороны, отличным источником полезной для бизнеса информации, объектом добросовестного маркетингового исследования рынка товаров, а с другой – опасным каналом несанкционированного получения конфиденциальных сведений, касающихся новых идей, технологий и продукции.
Обобщенно источники ценных сведений в процессе выставочной деятельности включают в себя: экспозицию, персонал предприятия, участвующий в выставке, и рекламно-выставочные материалы. Утрата ценной информации происходит в результате общения специалистов родственных профессий, но разных фирм и наличия в выставочной экспозиции самого нового продукта. Проводимые вместе с выставочными мероприятиями пресс-конференции, семинары, презентации фирм и товаров создают дополнительную угрозу сохранности ценной информации.
Для обеспечения безопасности конфиденциальной информации в рекламно-выставочных материалах следует заблаговременно:
- проанализировать множество предполагаемых к изданию материалов с точки зрения возможности извлечения из них ценных конфиденциальных сведений;
- разбить информацию на части и распределить их между разными рекламно-выставочными материалами, предназначенными для массового посетителя и посетителей-специалистов;
- разбить информацию по видам и средствам рекламы – традиционным бумажным изданиям, электронной рекламе, Web-странице, рекламе в средствах массовой информации и др.
Таким образом, подготовка и проведение совещаний и переговоров по конфиденциальным вопросам, а также осуществление научно-публицистической и рекламной деятельности связаны с выполнением ряда обязательных процедур, необходимых для правильной организации работы организаторов и участников этих мероприятий. При несоблюдении этих требований возникает серьезная опасность разглашения или утечки конфиденциальных сведений и секретов предприятия.
Контрольные вопросы
1. Назовите основные этапы проведения совещания.
2. Кто дает разрешение на проведение конфиденциального совещания?
3. Что не разрешается делать участникам конфиденциального совещания?
4. Кто несет ответственность за обеспечение безопасности ценной информации при проведении конфиденциального совещания?
5. Какие мероприятия необходимо провести для обеспечения защиты информации при проведении переговоров и совещаний?
6. Что следует сделать для обеспечения безопасности конфиденциальной информации в рекламно-выставочных материалах?
7. Как осуществляется защита информации при работе с посетителями?
8. Что необходимо сделать для организации защиты персональных данных в кадровой службе?
9. Ставится ли гриф ограничения на личные дела сотрудников предприятия?
10. Сформулируйте правила, которые следует соблюдать при работе с конфиденциальными документами.