Вопросы:
1. Основные понятия и определения в области защиты информации.
2. Концептуальные вопросы защиты информации.
3. Структура и функции органов и подразделений по технической защите информации в организации.
Литература:
1. Будников С.А., Паршин Н.В. Информационная безопасность автоматизированных систем: Учебн. пособие – Воронеж, ЦПКС ТЗИ, 2009.
2. Белов Е.Б. и др. Основы информационной безопасности: Учебное пособие. – М.: Горячая линия – Телеком, 2005.
3. Галатенко В.А. Основы информационной безопасности: курс лекций: учебное пособие /Издание третье. – М.: ИНТУИТ.РУ «Интернет-университет Информационных Технологий», 2006. – 208 с.
4. Запечников С.В. и др. Информационная безопасность открытых систем. Часть 1: Учебник для вузов. – М.: Горячая линия – Телеком, 2006.
5. Закон Российской Федерации от 28.12.2010 № 390 «О безопасности».
6. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
7. Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера».
Интернет-ресурсы:
1. http://ict.edu.ru
1. Основные понятия и определения в области защиты информации
Термин информационная безопасность в разных контекстах может иметь различное значение.
В Доктрине информационной безопасности РФ он используется в широком смысле и означает состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В рамках изучаемой дисциплины основное внимание уделяется информационным процессам хранения, обработки и передачи информации вне зависимости от того, на каком языке она закодирована, кто или что является ее источником, и какое психологическое воздействие на человека она оказывает. Поэтому в данной дисциплине термин информационная безопасность будет рассматриваться в узком смысле и означать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [3].
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Следовательно, угроза информационной безопасности – это оборотная сторона использования информационных технологий. Из этого положением можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно отличаться.
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие (например: поломка системы, приведшая к перерыву в работе).
К поддерживающей инфраструктуре следует отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций, а также обслуживающий персонал.
Информационная безопасность – многогранная, многомерная область деятельности, в которой успех может принести только системный, комплексный подход. Спектр интересов субъектов, связанных с использование информационных систем, можно разделить на следующие категории: обеспечение доступности, целостности и конфиденциальности информационных ресурсов и поддерживающей инфраструктуры.
Доступность – это гарантия получения требуемой информации или информационной услуги пользователем за определенное время.
Целостность – это актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения. То есть целостность предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации. Целостность можно подразделить на статическую (неизменность информационных объектов) и динамическую (корректное выполнение сложных действий – транзакций). Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т.д. Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно так же неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.
Конфиденциальность – это защита от несанкционированного доступа к информации. Основным средством обеспечения конфиденциальности является шифрование информации. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе. Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности.
Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности – к фальсификации информации и, наконец, нарушение конфиденциальности – к раскрытию информации.
2. Концептуальные вопросы защиты информации
С позиций системного подхода к защите информации предъявляются определенные требования [2]. Защита информации должна быть:
· Непрерывной.
· Плановой. Каждая служба разрабатывает план защиты информации в сфере своей компетенции.
· Целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели.
· Конкретной. Защищаются конкретные данные, объективно подлежащие защите.
· Активной.
· Надежной.
· Универсальной. Распространяется на любые каналы утечки информации.
· Комплексной. Применяются все необходимые виды и формы защиты.
К системе безопасности информации предъявляются следующие требования:
четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
сведение к минимуму числа общих для нескольких пользователей средств защиты;
учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
обеспечение оценки степени конфиденциальной информации;
обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя
Система защиты информации (СЗИ), как и любая система, должна иметь определенные виды собственного обеспечения (совокупность обеспечивающих подсистем), опираясь на которые она будет выполнять свою целевую функцию. В частности, СЗИ может иметь:
1. Правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действия.
2. Организационное обеспечение. Имеется в виду, что реализация защиты информации осуществляется определенными структурными единицами, такими как: служба защиты документов; служба режима, допуска, охраны; служба защиты информации техническими средствами; информационно-аналитическая служба и другими.
3. Аппаратное обеспечение. Предполагается широкое использование технических средств, как для защиты информации, так и для обеспечения деятельности самой СЗИ.
4. Информационное обеспечение. Оно включает в себя сведения, данные, показатели, параметры, лежащие в основе решения задач, обеспечивающих функционирование системы. Сюда могут входить как показатели доступа, учета, хранения, так и системы информационного обеспечения расчетных задач различного характера, связанных с деятельностью службы обеспечения безопасности.
5. Программное обеспечение. К нему относятся различные информационные, учетные, статистические и расчетные программы, обеспечивающие оценку наличия и опасности различных каналов утечки и путей несанкционированного проникновения к источникам конфиденциальной информации.
6. Математическое обеспечение. Предполагает использование математических методов для различных расчетов, связанных с оценкой опасности технических средств злоумышленников, зон и норм необходимой защиты.
7. Лингвистическое обеспечение. Совокупность специальных языковых средств общения специалистов и пользователей в сфере защиты информации.
8. Нормативно-методическое обеспечение. Сюда входят нормы и регламенты деятельности органов, служб, средств, реализующих функции защиты информации, различного рода методики, обеспечивающие деятельность пользователей при выполнении своей работы в условиях жестких требований защиты информации.
Под системой безопасности будем понимать организованную совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности,
Рис.1. Концептуальная модель безопасности информации
предприятия и государства от внутренних и внешних угроз. Как и любая система, система информационной безопасности имеет свои цели, задачи, методы и средства деятельности, которые согласовываются по месту и времени в зависимости от условий. На рисунке 1 представлена концептуальная модель безопасности информации.
В каждой организации разрабатывается концепция информационной безопасности. Она является основным правовым документом, определяющим защищенность предприятия от внутренних и внешних угроз. Она определяет систему взглядов на проблему обеспечения безопасности информации и представляет собой систематизированное изложение целей и задач защиты, основных принципов построения, организационных, технологических и процедурных аспектов обеспечения безопасности информации в ИС. Концепция является методологической основой:
· формирования и проведения единой политики в области обеспечения безопасности информации в ИС;
· принятия управленческих решений и разработки практических мер по воплощению политики безопасности информации и выработки комплекса согласованных мер нормативно-правового, технологического и организационно-технического характера, направленных на выявление, отражение и ликвидацию последствий реализации различных видов угроз безопасности информации;
· координации деятельности структурных подразделений при проведении работ по созданию, развитию и эксплуатации ИС с соблюдением требований обеспечения безопасности информации;
· разработки предложений по совершенствованию правового, нормативного, методического, технического и организационного обеспечения безопасности ИС.
При разработке концепции должны учитываться основные принципы создания комплексных систем обеспечения безопасности информации, характеристики и возможности организационно-технических методов и современных аппаратно- программных средств защиты и противодействия угрозам безопасности информации, а также текущее состояние и перспективы развития информационных технологий.
Основные положения концепции должны базироваться на качественном осмыслении вопросов безопасности информации и не концентрировать внимание на экономическом (количественном) анализе рисков и обосновании необходимых затрат на защиту информации.
Положения концепции предусматривают существование в рамках проблемы обеспечения безопасности информации в ИС двух относительно самостоятельных направлений, объединенных единым замыслом: защита информации от утечки по техническим каналам и защита информации в ИС от несанкционированного доступа.
3. Структура и функции органов и подразделений по технической защите информации в организации
В организации, как правило, подразделение, занимающееся защитой информации, называется службой информационной безопасности. Зачастую это лишь несколько сотрудников. СТРУКТУРА органов (подразделения) должна:
· руководствоваться нормативной БАЗОЙ, где описаны ее состав, назначение и функции;
· действовать в соответствии с установленными МЕРАМИ, т.е. выполнять принятую в организации политику информационной безопасности;
· иметь в своем распоряжении соответствующие СРЕДСТВА, т.е. техническое оснащение.
При этом СТРУКТУРА должна решать задачи обеспечения безопасности информации по ЭТАПАМ, на соответствующих НАПРАВЛЕНИЯХ.
БАЗА. Разумеется, основные положения политики безопасности должны быть закреплены в соответствующих распорядительных документах, состав и содержание которых определяются спецификой объекта защиты. Однако, как правило, ни одна организация не может обойтись без положений о коммерческой тайне, о защите информации, об администраторе безопасности сети, о разграничении прав доступа к информации.
МЕРЫ. Основу политики безопасности составляет перечень обязательных мероприятий, направленных на выработку плана действий по информационной защите объекта: определение состава службы по защите информации, ее место в организационной структуре предприятия, сфера ее компетенции, права и полномочия, варианты действий в различных ситуациях во избежание конфликтов между подразделениями.
Работы по обеспечению функционирования службы ЗИ входят в комплекс организационных мер, на основе которых может быть достигнут высокий уровень безопасности информации. Тем не менее, перечисленные меры не позволят на должном уровне поддерживать функционирование системы защиты без целого ряда организационно-технических мероприятий. Их проведение позволяет своевременно выявлять новые каналы утечки информации, принимать меры по их нейтрализации, совершенствованию системы защиты и оперативно реагировать на нарушения режима безопасности.
СРЕДСТВА. Использование качественных средств защиты позволяет закрывать большинство уязвимых мест, если информация о «дырах» в системах безопасности обновляется достаточно оперативно – по мере их нахождения специальными группами экспертов в области информационной безопасности.
Правильно отработанная методика проведения работ по ЗИ гарантирует, что ни один аспект информационной безопасности не останется без внимания.
ЭТАПЫ:
· Определение информации, подлежащей защите
· Выявление угроз и каналов утечки информации
· Проведение оценки уязвимости и рисков
· Определение требований к системе ЗИ
· Осуществление выбора средств защиты
· Внедрение и использование выбранных мер и средств
· Контроль целостности и управление защитой.
НАПРАВЛЕНИЯ:
· Защита объектов информационной системы
· Защита процессов и программ
· Защита каналов связи
· ПЭМИН
· Управление системой защиты.
Перечень задач, решаемых службой информационной безопасности.
[Служба ИБ должна участвовать в работах по созданию корпоративной информационной системы с начала ее проектирования до момента ввода в эксплуатацию. Вместе с тем, уже работающую систему необходимо периодически обследовать на предмет выявления новых слабостей и рисков.]
1. Определение информационных и технических ресурсов, подлежащих защите. Для решения этой задачи необходимо рассмотреть функции органов (лиц), ответственных за определение информации (сведений) и средств, подлежащих защите на различных НАПРАВЛЕНИЯХ. К сожалению, часто бывает так, что меры безопасности информации становятся и мерами распределения потоков информации. Это может привести к довольно громоздким процедурам и вызвать впечатление у сотрудников, что меры безопасности усложняют их работу.
Если придется создавать систему безопасности информации, рекомендуется сначала присмотреться к процедурам распределения информации в этой организации.
2. Выявление полного множества потенциально возможных угроз и каналов утечки информации. Процедуры безопасности могут обеспечить проверку паролей и строгий контроль доступа к ценным общим данным, но взломщика, хорошо знающего внутреннее устройство системы, практически невозможно остановить. Одной из наиболее уязвимых точек любой организации с точки зрения безопасности становится ее персонал, и, соответственно, большое значение приобретают грамотная реализация внутренней политики и работа с персоналом, которая предусматривает:
· подбор и расстановку кадров;
· адаптирование сотрудника к новому коллективу;
· распределение задач и ответственности;
· обучение и повышение квалификации;
· мотивацию поведения сотрудников;
· контроль за исполнением сотрудником возложенных на него функций;
· мониторинг психологического климата в коллективе;
· выявление неудовлетворенных своим положением и нелояльных сотрудников;
· увольнение сотрудников.
Среди указанных видов работ в компетенцию службы ИБ организации входит выявление нелояльных сотрудников (сотрудников, которые работают на конкурента) и сотрудников, не удовлетворенных своим положением в коллективе и, поэтому потенциально готовых работать на конкурента.
3. Проведение оценки уязвимости и рисков для информации и ресурсов информационной системы. Для построения надежной защиты необходимо выявить возможные угрозы безопасности информации, оценить их последствия, определить необходимые меры и средства защиты и оценить их эффективность. Поскольку анализ всей информационной инфраструктуры (особенно для крупных объектов) далеко не всегда оправдан с экономической точки зрения, иногда бывает целесообразно сосредоточиться на наиболее важных объектах, отдавая себе отчет в приближенности итоговой оценки. С этих же позиций следует оценивать возможные угрозы и их последствия.
Разнообразие потенциальных угроз столь велико, что не позволяет предусмотреть каждую из них, поэтому анализируемые виды следует выбирать с позиций здравого смысла, одновременно выявляя не только угрозы, вероятность их осуществления, размер потенциального ущерба, но и их источники.
Оценка рисков производится с помощью различных инструментальных средств, а также методов моделирования процессов защиты информации. На основании результатов анализа выявляются наиболее высокие риски, переводящие потенциальную угрозу в разряд реально опасных и, следовательно, требующие принятия дополнительных защитных мер. Как правило, для каждой подобной угрозы существует несколько вариантов решения по ее нейтрализации.
4. Определение требований к системе ЗИ.
Строится функциональная схема системы ЗИ. СхФ + Политика безопасности + Ответственность персонала + Порядок ввода в действие средств защиты + План размещения средств защиты и их модернизации = План защиты.
5. Осуществление выбора средств ЗИ и их характеристик. Решение организационных вопросов предваряет этап работ, который должен ответить на вопрос: что необходимо сделать для реализации выбранной политики безопасности?
6. Внедрение и организация использования выбранных мер, способов и средств защиты.
Требуется организационно-техническая и организационно-правовая поддержка.
7. Осуществление контроля целостности и управление системой защиты.
Ежегодный пересмотр Плана защиты. Проверка, тестирование программно-технических средств.
Создание службы ИБ
Типовой перечень задач службы ИБ
Организационно-правовой статус службы
Структура службы ИБ