Теоретические основы обеспечения информационной безопасности

Информация — сведения о событиях, процессах, явлениях, являющихся предметом передачи, хранения, распространения, преобразования.

Информационная безопасность — это состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств. Закон РФ «Об участии в международном информационном обмене"(утратил силу в 2006 году в связи с вступлением в силу 149-фз) Режим информационной безопасности — это комплекс организационных и программно-технических мер, которые должны обеспечивать следующие параметры:

• *доступность и целостность информации;
• *конфиденциальность информации;
• *невозможность отказа от совершенных действий;
• *аутентичность электронных документов.

Цель информационной безопасности — обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, несущих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму.

Направление обеспечения информационной безопасности

Направления обеспечения информационной безопасности — это нормативно-правовые категории, ориентированные на обеспечение комплексной защиты информации от внутренних и внешних угроз. Ярочкин В. И. Безопасность информационных систем. — М.: Ось-89, 1996. -с.31.

Правовая защита Право — это совокупность общеобязательных правил и норм поведения, установленных или санкционированных государством в отношении определенных сфер жизни и деятельности государственных органов, предприятий и населения.

Правовая защита информации как ресурса признана на международном, государственном уровне и определяется межгосударственными договорами, конвенциями, декларациями и реализуется патентами, авторским правом и лицензиями на их защиту. На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими правилами (актами, нормами) являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах. Что касается ведомственных нормативных актов, то они определяются приказами, руководствами, положениями и инструкциями, издаваемыми ведомствами, организациями и предприятиями, действующими в рамках определенных структур. Основы информационной безопасности. Белов Е. Б, Лось В. П. и др. — М.: Горячая линия — Телеком, 2006. — 56 с.

Специальное законодательство в области безопасности информационной деятельности может быть представлено совокупностью законов. В их составе особое место принадлежит базовому Закону «Об информации, информатизации и защите информации», который закладывает основы правового определения всех важнейших компонентов информационной деятельности:

• · информации и информационных систем;
• · субъектов — участников информационных процессов;
• · правоотношений производителей — потребителей информационной продукции;
• · владельцев (обладателей, источников) информации — обработчиков и потребителей на основе отношений собственности при обеспечении гарантий интересов граждан и государства.

Этот закон определяет основы защиты информации в системах обработки и при ее использовании с учетом категорий доступа к открытой информации и к информации с ограниченным доступом. Этот закон содержит, кроме того, общие нормы по организации и ведению информационных систем, включая банки данных государственного назначения, порядка государственной регистрации, лицензирования, сертификации, экспертизы, а также общие принципы защиты и гарантий прав участников информационного процесса.

Вопросы правового режима информации с ограниченным доступом реализуются в двух самостоятельных законах о государственной и коммерческой (проект) тайнах. Кроме того, этот аспект раскрывается и в Гражданском кодексе РФ статьей 139 «Служебная и коммерческая тайна».

• 1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
• 2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим кодексом и другими законами.

Коммерческая тайна — не являющиеся государственными секретами сведения, связанные с производством, технологией, управлением, финансами и другой деятельностью, разглашение, утечка и несанкционированный доступ к которой может нанести ущерб их владельцам. Ярочкин В. И. Безопасность информационных систем. — М.: Ось-89, 1996. с. 45.

«Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору». Гражданский кодекс РФ (ГК РФ) от 30.11.1994 N 51-ФЗ ст. 139 (Утратила силу с 1 января 2008 года. — Федеральный закон от 18.12.2006 N 231-ФЗ) Статья 727 ГК РФ, используя положение статьи 139 ГК РФ, гласит: «Если сторона, благодаря исполнению своего обязательства по договору подряда получила от другой стороны информацию о новых решениях и технических знаниях, в том числе не защищаемых законом, а также сведения, которые могут рассматриваться как коммерческая тайна (статья 139), сторона, получившая такую информацию, не вправе сообщать ее третьим лицам без согласия другой стороны.

Порядок и условия пользования такой информацией определяются соглашением сторон.".

Одним из направлений правовой защиты является страховое обеспечение. Оно предназначено для защиты собственника информации и средств ее обработки как от традиционных угроз (кражи, стихийные бедствия), так и от угроз, возникающих в ходе работы с информацией. К ним относятся: разглашение, утечка и несанкционированный доступ к конфиденциальной информации. Целью страхования является обеспечение страховой защиты физических и юридических лиц от страховых рисков в виде полного или частичного возмещения ущерба и потерь, причиненных стихийными бедствиями, чрезвычайными происшествиями в различных областях деятельности, противоправными действиями со стороны конкурентов и злоумышленников путем выплат денежной компенсации или оказания сервисных услуг (ремонт, восстановление) при наступлении страхового события. В. П. Мельников, С. А. Клейменов, А. М. Петраков. Информационная безопасность и защита информации. — М.: Академия, 2008. с. 61.

Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретной организации, разрабатываются собственные нормативно-правовые документы, ориентированные на обеспечение информационной безопасности. К таким документам относятся:

• 1. Положение о сохранении конфиденциальной информации;
• 2. Перечень сведений, составляющих конфиденциальную информацию;
• 3. Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
• 4. Положение о делопроизводстве и документообороте;
• 5. Перечень сведений, разрешенных к опубликованию в открытой печати;
• 6. Положение о работе с иностранными фирмами и их представителями;
• 7. Обязательство сотрудника о сохранении конфиденциальной информации;
• 8. Памятка сотруднику о сохранении коммерческой тайны.

Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия. Черкасов В. Н. Бизнес и безопасность. Комплексный подход. — М.: Армада-пресс, 2001. — 121 с.

Организационная защита Организационная защита — это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией и проявление внутренних и внешних угроз. В. П. Мельников, С. А. Клейменов, А. М. Петраков. Информационная безопасность и защита информации. — М.: Академия, 2008. с. 64.

Организационная защита обеспечивает:

• 1. организацию охраны, режима, работу с кадрами, с документами;
• 2. использование технических средств безопасности и информационно-аналитическую деятельность по выявлению внутренних и внешних угроз предпринимательской деятельности.

Организационные мероприятия играют существенную роль в создании надежного механизма защиты информации, так как возможности несанкционированного использования конфиденциальных сведений в значительной мере обусловливаются не техническими аспектами, а злоумышленными действиями, нерадивостью, небрежностью и халатностью пользователей или персонала защиты. Влияния этих аспектов практически невозможно избежать с помощью технических средств. Для этого необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения опасности конфиденциальной информации. Драга А. А. Обеспечение безопасности предпринимательской деятельности. — М.: Издательство МГТУ им. Н. Э. Баумана. 2004. — 304 с К основным организационным мероприятиям можно отнести:

• 1. организацию режима и охраны. Их цель — исключение возможности тайного проникновения на территорию и в помещения посторонних лиц; обеспечение удобства контроля прохода и перемещения сотрудников и посетителей; создание отдельных производственных зон по типу конфиденциальных работ с самостоятельными системами доступа; контроль и соблюдение временного режима труда и пребывания на территории персонала фирмы; организация и поддержание надежного пропускного режима и контроля сотрудников и посетителей и др.;
• 2. организацию работы с сотрудниками, которая предусматривает подбор и расстановку персонала, включая ознакомление с сотрудниками, их изучение, обучение правилам работы с конфиденциальной информацией, ознакомление с мерами ответственности за нарушение правил защиты информации и др.;
• 3. организацию работы с документами и документированной информацией, включая организацию разработки и использования документов и носителей конфиденциальной информации, их учет, исполнение, возврат, хранение и уничтожение;
• 4. организацию использования технических средств сбора, обработки, накопления и хранения конфиденциальной информации;
• 5. организацию работы по анализу внутренних и внешних угроз конфиденциальной информации и выработке мер по обеспечению ее защиты;
• 6. организацию работы по проведению систематического контроля над работой персонала с конфиденциальной информацией, порядком учета, хранения и уничтожения документов и технических носителей.

В каждом конкретном случае организационные мероприятия носят специфическую для данной организации форму и содержание, направленные на обеспечение безопасности информации в конкретных условиях.

Специфической областью организационных мер является организация защиты ПК, информационных систем и сетей. Организация защиты ПК, информационных систем и сетей определяет порядок и схему функционирования основных ее подсистем, использование устройств и ресурсов, взаимоотношения пользователей между собой в соответствии с нормативно-правовыми требованиями и правилами. Защита информации на основе организационных мер играет большую роль в обеспечении надежности и эффективности, так как несанкционированный доступ и утечка информации чаще всего обусловлены злоумышленными действиями, небрежностью пользователей или персонала. Эти факторы практически невозможно исключить или локализовать с помощью аппаратных и программных средств, криптографии и физических средств защиты. Поэтому совокупность организационных, организационно-правовых и организационно-технических мероприятий, применяемых совместно с техническими методами, имеют цель исключить, уменьшить или полностью устранить потери при действии различных нарушающих факторов. Макаренко С. И. Информационная безопасность. Ставрополь: СФ МГГУ им. М. А. Шолохова, 2009. с. 65.

Организационные средства защиты ПК и информационных сетей применяются:

• · при проектировании, строительстве и оборудовании помещений, узлов сети и других объектов информационной системы, исключающих влияние стихийных бедствий, возможность недозволенного проникновения в помещения и др.;
• · при подборе и подготовке персонала. В этом случае предусматриваются проверка принимаемых на работу, создание условий, при которых персонал был бы заинтересован в сохранности данных, обучение правилам работы с закрытой информацией, ознакомление с мерами ответственности за нарушение правил защиты и др.;
• · при хранении и использовании документов и других носителей (маркировка, регистрация, определение правил выдачи и возвращения, ведение документации и др.);
• · при соблюдении надежного пропускного режима к техническим средствам, к ПК и информационным системам при сменной работе (выделение ответственных за защиту информации в сменах, контроль за работой персонала, ведение (возможно и автоматизированное) журналов работы, уничтожение в установленном порядке закрытых производственных документов);
• · при внесении изменений в программное обеспечение (строгое санкционирование, рассмотрение и утверждение проектов изменений, проверка их на удовлетворение требованиям защиты, документальное оформление изменений и др.);
• · при подготовке и контроле работы пользователей.

Одним из важнейших организационных мероприятий является создание специальных штатных служб защиты информации в закрытых информационных системах в виде администратора безопасности сети и администратора распределенных баз и банков данных, содержащих сведения конфиденциального характера. Галатенко В. А. Основы информационной безопасности. — ИНТУИТ. РУ «Интернет-университет Информационных Технологий», 2006. — 112 с.

Организационные меры являются решающим звеном формирования и реализации комплексной защиты информации и создания системы безопасности предприятия.

Инженерно-техническая защита информации Инженерно-техническая защита — это совокупность специальных органов, технических средств и мероприятий по их использованию в целях защиты конфиденциальной информации. По функциональному назначению средства инженерно-технической защиты делятся на следующие группы:

1. физические средства, включающие различные средства и сооружения, препятствующие физическому проникновению (или доступу) злоумышленников на объекты защиты и к материальным носителям конфиденциальной информации и осуществляющие защиту персонала, материальных средств, финансов и информации от противоправных воздействий;

2. аппаратные средства. К ним относятся приборы, устройства, приспособления и другие технические решения, используемые в интересах защиты информации. Основная задача аппаратных средств — обеспечение стойкой защиты информации от разглашения, утечки, а также несанкционированного доступа через технические средства обеспечения производственной деятельности; Защита информации. Конфидиент: Информационно-методический журнал. — М.: Конфидиент, 2002, № 43.

3. программные средства, охватывающие специальные программы, программные комплексы и системы защиты информации в информационных системах различного назначения и средствах обработки (сбора, накопления, хранения, обработки и пере дачи) данных;

4. криптографические средства — это специальные математические и алгоритмические средства защиты информации, передаваемой по системам и сетям связи, хранимой и обрабатываемой на ЭВМ с использованием разнообразных методов шифрования. Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А. Нестеров. — СПб.: Изд-во Политехн. ун-та, 2009. -с.35.

Физические средства защиты Физические средства защиты — это разнообразные устройства, приспособления, конструкции, аппараты, изделия, предназначенные для создания препятствий на пути движения злоумышленников. Галатенко В. А. Основы информационной безопасности. — ИНТУИТ. РУ «Интернет-университет Информационных Технологий», 2006. — с. 122 К физическим средствам относятся механические, электромеханические электронные, электронно-оптические, радиои радиотехнические и другие устройства для защиты от несанкционированного доступа (входа выхода), проноса (выноса) средств и материалов и других возможных видов преступных действий. Эти средства применяются для решения следующих задач:

• 1. охрана территории предприятия и наблюдение за ней;
• 2. охрана зданий, внутренних помещений и контроль за ними;
• 3. охрана оборудования, продукции, финансов и информации;
• 4. осуществление контролируемого доступа в здания и помещения.

Все физические средства защиты объектов можно разделить на три категории: средства предупреждения, средства обнаружения и системы ликвидации угроз. Охранные сигнализации и охранное телевидение, например, относятся к средствам обнаружения угроз; заборы вокруг объектов — это средства предупреждения несанкционированного проникновения на территорию, а усиленные двери, стены, потолки, решетки на окнах и другие меры служат защитой и от проникновения и от других преступных действий. Средства пожаротушения относятся к системам ликвидации угроз. А. А. Хорев «Способы и средства защиты информации» с. 25.

Аппаратные средства защиты К аппаратным средствам защиты информации относятся самые различные по принципу действия, устройству и возможностям технические конструкции, обеспечивающие пресечение разглашения, защиту от утечки информации и противодействие несанкционированному доступу к источникам конфиденциальной информации.

Аппаратные средства защиты информации применяются для решения следующих задач:

· проведение специальных исследований технических средств обеспечения производственной деятельности на наличие возможных каналов утечки информации;

· выявление каналов утечки информации на разных объектах и в помещениях;

• · локализация каналов утечки информации;
• · поиск и обнаружение средств промышленного шпионажа;
• · противодействие несанкционированному доступу к источникам

конфиденциальной информации и другим действиям.

Аппаратные средства защиты информации — это различные технические устройства, системы и сооружения, предназначенные для защиты информации от разглашения, утечки и несанкционированного доступа. Корнюшин П. Н., Костерин С. С. «Информационная безопасность» с. 26.

Программные средства защиты.

Системы защиты компьютера от чужого вторжения весьма разнообразны и классифицируются, как:

· средства собственной защиты, предусмотренные общим программным обеспечением;

• · средства защиты в составе вычислительной системы;
• · средства защиты с запросом информации;
• · средства активной защиты;
• · средства пассивной защиты и другие.

Можно выделить следующие направления использования программ для обеспечения безопасности конфиденциальной информации:

• · защита информации от несанкционированного доступа;
• · защита информации от копирования;
• · защита программ от копирования;
• · защита программ от вирусов;
• · защита информации от вирусов;
• · программная защита каналов связи.

Для защиты от чужого вторжения обязательно предусматриваются определенные меры безопасности. Основные функции, которые должны осуществляться программными средствами, это:

• · идентификация субъектов и объектов;
• · разграничение доступа к вычислительным ресурсам и информации;
• · контроль и регистрация действий с информацией и программами. Скиба В. Ю., Курбатов В. А. Руководство по защите от внутренних угроз информационной безопасности, СпБ, Питер, 2008. — 69 с.

Можно отметить следующие формы контроля и разграничения доступа, нашедшие широкое применение на практике:

• 1. Предотвращение доступа:
• 1) к жесткому диску;
• 2) к отдельным разделам;
• 3) к отдельным файлам;
• 4) к каталогам;
• 5) к гибким дискам;
• 6) к сменным носителям информации.
• 2. Установка привилегий доступа к группе файлов.
• 3. Защита от модификации:
• 1) файлов;
• 2) каталогов.
• 4. Защита от уничтожения:
• 1) файлов;
• 2) каталогов.
• 5. Предотвращение копирования:
• 1) файлов;
• 2) каталогов;
• 3) прикладных программ.
• 6. Затемнение экрана по истечении времени, установленного пользователем. Нестеров С. А. Информационная безопасность и защита информации: учеб. пособие/ С. А. Нестеров. — СПб.: Изд-во Политехн. ун-та, 2009. — с. 121