Формирование и обеспечение комплексной защищенности информационных ресурсов Тема 9
Содержание Проблема комплексной защищенности информационных ресурсов. Методы защиты информации в информационных системах. Правовая защищенность, технологическая и техническая защищенность
Проблема комплексной защищенности Вместе с повышением стратегического значения сферы обработки информации на самых разных предприятиях все большую роль играет требование комплексной защищенности ИС как таковой и созданных на ее основе информационных ресурсов. Это качество системы следует обеспечивать на всех этапах процесса обработки информации. Наиболее широко известная и понятная проблема обеспечения защищенности данных (против потери или порчи), а также требование правовой охраны данных (зашита чьих-то персональных данных от несанкционированного доступа) являются уже классическими требованиями к любой ИС. Информационные системы должны быть защищены и от технических отказов, и от технологических нарушений при эксплуатации.
Политика информационной безопасности в России В Российском законодательстве на национальном уровне политика информационной безопасности регулируется прежде всего Конституцией Российской Федерации и рядом федеральных законов, основные из которых следующие: «О безопасности» от 5 марта 1992 г., «Об авторском праве и смежных правах» от 9 июля 1993 г., «О государственной тайне» от 21 июля 1993 г. с изменениями и дополнениями от 6 октября 1997 г., «Об информации, информатизации и защите информации» от 25 января 1995 г. и др.
Управленческие решения в части политики информационной безопасности В общем виде в процессе формирования и документирования управленческих решений в части политики информационной безопасности в учреждении: задается целесообразный уровень необходимой информацион ной безопасности, исходя из ценности информационных ресурсов, которыми оперирует учреждение; формулируются желаемые цели, которые преследуются в об ласти информационной безопасности, определяются общие направления их реализации; рассчитывается стоимость мероприятий по реализации предполагаемых направлений обеспечения информационной безопасности (единовременных и регулярных затрат); формируется правовая база соблюдения законов и правил; формулируются управленческие решения по реализации разработанной программы, решения по защите информационных ресурсов учреждения.
Цели защиты информации Федеральный закон Российской Федерации «Об информации, информатизации и защите информации» (ст. 21) устанавливает, что защите подлежит любая документированная информация, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу. Целями защиты являются: предотвращение утечки, хищения, утраты, искажения, подделки информации; предотвращение угроз безопасности личности, общества, государства; и предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконно вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Система защиты информации Система защиты информации (СЗИ) представляет собой комплекс организационных, технических, технологических и иных средств, методов и мер, снижающих уязвимость информации и препятствующих несанкционированному (незаконному) доступу к информации, ее утечке или утрате. Собственники соответствующей информации, в том числе полномочные государственные органы, лично определяют необходимую степень ее защищенности и тип системы, способы и средства защиты, исходя из ценности информации, размера ущерба от ее утраты или утечки и стоимости защитного механизма.
В некрупных организациях с небольшим объемом информации, подлежащей защите, наиболее целесообразны и эффективны простейшие методы ее защиты. Например: выделение в отдельную группу и маркирование ценных бумажных, машиночитаемых и электронных документов, назначение и обучение служащего, работающего с этими документами, организация охраны здания, введение обязательств для сотрудников о неразглашении ценных сведений, контроль за посетителями, проведение простейших действий по защите ЭВМ, ведение аналитической и контрольной работы и другие методы. Как правило, применение простейших методов защиты дает значительный эффект.
В крупных организациях со сложной структурой, множеством информационных систем и значительными объемами информации, подлежащей защите, формируются комплексные системы защиты информации, характеризующиеся многоуровневым построением и иерархическим доступом к информации. Однако эти системы, как и простейшие методы защиты, не должны создавать сотрудникам серьезные неудобства в работе.
Комплексность системы защиты Комплексность системы защиты достигается наличием в ней ряда обязательных элементов правовых, организационных, инженерно-технических и программно-математических. Соотношение элементов и их содержание обеспечивают индивидуальность системы защиты информации учреждения и гарантируют ее неповторимость и трудность преодоления.
Правовая защита информации Элемент правовой защиты информации предполагает юридическое закрепление взаимоотношений учреждения и государства по поводу правомерности защитных мероприятий, а также учреждения и персонала по поводу обязанности персонала соблюдать порядок защиты ценной информации учреждения и ответственности за нарушение этого порядка.
Элемент правовой защиты информации включает: наличие в организационных документах учреждения, правилах внутреннего трудового распорядка, контрактах, заключаемых с сотрудникам и, и в должностных инструкциях положений и обязательств по защите ценной информации учреждения; разъяснение лицам, принимаемым на работу, связанную с защищаемой информацией фирмы, добровольности принимаемых ими на себя ограничений, обусловленных соблюдением, правил допуска, доступа к такой информации и ее использование формулирование и доведение до сведения всех сотрудников и учреждения (в том числе не связанных в своей работе с защищаемой информацией) положений о правовой ответственности за разглашение, уничтожение или фальсификацию информации.
Организационная защита информации Элемент организационной защиты информации содержит меры управленческого и ограничительного характера, устанавливающие технологию защиты и побуждающие персонал соблюдать вправила защиты ценной информации учреждения. Элемент организационной защиты является стержнем, который связывает в единую систему все другие элементы Организационные меры защиты отражаются в нормативно-методических документах службы безопасности учреждения. В этой связи часто используется единое название двух рассмотренных выше элементов системы защиты элемент организационно-правовой защиты информации.
Элемент организационной защиты информации включает в себя: формирование и регламентацию деятельности службы безопасности учреждения (или менеджера по безопасности), обеспечение этой службы нормативно-методическими документами по организации и технологии защиты информации; регламентацию и регулярное обновление состава (перечня, списка, матрицы) ценной информации учреждения, подлежащей защите, составление и ведение перечня (описи) бумажных, машиночитаемых и электронных ценных документов фирмы; регламентацию системы (иерархической схемы) разграничения доступа персонала к ценной информации; регламентацию методов отбора персонала для работы с за крытой информацией, методики обучения и инструктирования сотрудников; регламентацию технологии защиты и обработки бумажных, машиночитаемых и электронных документов учреждения (делопроизводственной, автоматизированной и смешанной технологий); регламентацию порядка защиты ценной информации учреждения от случайных или умышленных несанкционированных действий персонала; регламентацию порядка защиты информации при проведении совещаний, заседаний, проведении переговоров, приеме посетителей, работе с представителями средств массовой информации; регламентацию аналитической работы по выявлению угроз ценной информации и каналов разглашения, утечки информации;
оборудование и аттестацию помещений и рабочих зон, выделенных для работы с ценной информацией, лицензирование технических систем и средств защиты информации и охраны, сертификацию информационных систем, предназначенных для обработки закрытой информации; регламентацию пропускного режима на территории, в здании и помещениях учреждения, идентификацию персонала и посетителей; регламентацию системы охраны территории, здания, помещений, оборудования, транспорта и персонала учреждения; регламентацию организационных вопросов эксплуатации технических средств защиты информации и охраны; регламентацию организационных вопросов защиты персональных компьютеров, информационных систем, локальных сетей; регламентацию действий службы безопасности и персонала учреждения в экстремальных ситуациях; регламентацию работы по управлению системой защиты информации; регламентацию критериев и порядка проведения оценочных мероприятий по установлению степени эффективности системы защиты информации,
Инженерно-техническая защита информации Элемент инженерно-технической защиты информации предназначен для пассивного и активного противодействия средствам технической разведки и формирования рубежей охраны территорий, здания, помещений и оборудования с помощью комплексов технических средств. При защите информационных систем этот элемент имеет важное значение, хотя стоимость средств технической защиты и охраны велика.
Элемент инженерно-технической защиты информации включает в себя: сооружения физической защиты от проникновения посторонних лиц на территорию, в здания, помещения и т.п. (заборы, решетки, стальные двери, сейфы и др.); средства защиты технических каналов утечки информации, возникающих при работе ЭВМ, средств связи, копировальных аппаратов, принтеров, факсов и других приборов и офисного оборудования; средства защиты помещений от визуальных и акустических способов технической разведки; средства обеспечения охраны территорий, зданий и помещений (средства наблюдения, оповещения, сигнализации, информирования и идентификации); средства противопожарной охраны; средства обнаружения приборов и устройств технической разведки (подслушивающих и передающих устройств, тайно установленной звукозаписывающей и телевизионной аппаратуры и т.п.); технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.
Программно-математическая защита информации Элемент программно-математической защиты информации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, локальных сетях и различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.
Элемент программно-математической защиты информации Элемент включает в себя: регламентацию доступа к базам данных, файлам, электронным документам персональными паролями, идентифицирующими командами и другими методами; регламентацию специальных средств и продуктов программной защиты; регламентацию криптографических методов защиты информации в ЭВМ и сетях, криптографирования (шифрования) текста документов при передаче их по каналам обычной и факсимильной связи, при пересылке почтой
Информационные ресурсы ограниченного распространения и угрозы ресурсам Предметом информационной безопасности в единстве сформированной политики безопасности и обеспечивающей комплексной системы защиты информации рассматриваются информационные ресурсы учреждения. В соответствии с Федеральным законом «Об информации, информатизации и защите информации» информационные ресурсы включают в себя отдельные документы, и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, в банках данных, других информационных системах). Информационные ресурсы являются объектами отношений физических, юридических лиц, государства, составляют информационные ресурсы России и защищаются законом наряду с другими ресурсами. Правовой режим информационных ресурсов определяется нормами, устанавливающими: порядок документирования информации; право собственности на документы и массивы документов; категорию информации по уровню доступа к ней; порядок правовой защиты информации. Документирование информации (создание официального документа) является обязательным условием включения информации в информационные ресурсы. При этом тип используемой технологической системы создания, обработки и хранения документов (делопроизводственная, ручная или автоматизированная локальная, комплексная) не имеет никакого значения.
Уровень доступа к информации В соответствии с интересами обеспечения национальной безопасности и степенью ценности для государства, государственного учреждения, организации или предприятия информационные ресурсы (информация, документы) могут быть: открытыми, т.е. общедоступными (публикуемыми в средствах массовой информации, оглашаемыми на конференциях, в выступлениях, интервью и т.п.); ограниченного доступа, т.е. защищаемыми, охраняемыми.
Открытая информация К открытой можно отнести также информацию, составляющую интеллектуальную собственность ее владельца и защищенную нормами авторского, патентного или иного смежного права. Запрещается относить к информации с ограниченным доступом: информацию, запрещенную к ограничению по доступу к ней, законодательные и другие нормативные акты, устанавливающие правовой статус органов государственной власти, органов местного самоуправления, организаций, общественных объединений, а также права, свободы и обязанности граждан, порядок их реализации; документы, содержащие информацию о чрезвычайных ситуациях, экологическую, метеорологическую, демографическую, санитарно- эпидемиологическую и другую информацию, необходимую для обеспечения безопасного функционирования населенных пунктов, производственных объектов, безопасности граждан и населения в целом; документы, содержащие информацию о деятельности органов государственной власти и органов местного самоуправления, об использовании бюджетных средств и других государственных и местных ресурсов, о состоянии экономики и потребностях населения, за исключением сведений, относящихся к государственной тайне; документы, накапливаемые в открытых фондах библиотек и архивов, информационных системах органов государственной власти, органов местного самоуправления, общественных объединений, организаций, представляющие общественный интерес или необходимые для реализации прав, свобод и обязанностей граждан.
Информация ограниченного доступа Под документами, отнесенными законом к категории ограниченного доступа к ним персонала, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и т.п.) текстовая, изобразительная или электронная информация. Эта информация должна отражать приоритетные достижения в экономической, политической, военной, научной и иной сферах деятельности, разглашение которой может нанести ущерб интересам государства или собственника информации. Основным признаком информации ограниченного доступа, т.е. защищаемой информации, являются ограничения, вводимые собственником информации на ее распространение и использование. Интересно отметить, что в качестве носителя информации ограниченного доступа выступает и мозг человека, хранящий и перерабатывающий ценные сведения, поступающие от внешнего источника.
Следовательно, информационные ресурсы при любой технологической системе их документирования, обработки и хранения (традиционной или автоматизированной) объективно подразделяются на два самостоятельных (автономных) информационных банка: банк общедоступной информации и банк защищаемой информации регламентированного доступа. Однако оба из указанных банков постоянно подвергаются объективным и субъективным угрозам разрушения носителя или самой информации.
Концептуальное содержание защиты информации Защита информации в концептуальном понимании представляет собой жестко регламентированный и динамический технологический процесс, предупреждающий нарушение целостности, достоверности, доступности и конфиденциальности ценных информационных ресурсов учреждения и в конечном счете, обеспечивающий реальную информационную безопасность управленческой и производственной деятельности. Концепция находит практическое выражение в механизме (системе) защиты информации. Эта система всегда имеет в основе персональную ответственность руководителей различного уровня и сотрудников за использование информации в соответствии с действующим законодательством и функциональными обязанностями. Важно, что архитектура защиты Должна охватывать не только электронные информационные системы, а весь управленческий комплекс учреждения в единстве его реальных функциональных, структурных и традиционных документационных процессов. Отказаться от бумажных документов и, часто рутинной, сложившейся в учреждениях управленческой технологии не всегда представляется возможным.
Защита информационных ресурсов и особенно ресурсов ограниченного доступа, составляющих служебную тайну, включает в себя множество обязательных элементов и процедур, снижающих уязвимость ценной информации. Эти элементы и процедуры формируют реальную систему защиты, они базируются на аналитическом исследовании объективных и субъективных угроз, которым подвергается информация, а также каналов ее распространения, разглашения, утечки и утраты. При создании системы защиты информации можно выделить некоторые наиболее существенные проблемы, без разработки которых система не сможет решать возлагаемые на нее задачи, а скорее всего, просто не будет существовать.
Это, прежде всего, проблема определения состава служебной информации, подлежащей защите, и обозначения грифами (маркировкой) тех бумажных, машиночитаемых и электронных документов, в которые она включается. Только после этого можно говорить о введении автономной технологии обработки и хранения таких документов, организации обучения и инструктирования персонала и выполнении множества других действий. И второй, крайне важной, проблемой представляется формирование иерархической разрешительной системы разграничения доступа персонала к конфиденциальной служебной информации. Для компьютерных информационных технологий система разграничения доступа является краеугольным камнем защиты информационных ресурсов и достижения эффективности информационной безопасности в учреждении
Под доступом понимается практическая реализация сотрудником предоставленного ему права на ознакомление и работу с определенным составом секретной или конфиденциальной информации, документов, баз данных и работ. Доступ это санкционированное полномочным должностным лицом ознакомление конкретного лица со сведениями, составляющими тайну. Такой доступ называется санкционированным, разрешенным и законным. Каждый руководитель и исполнитель обладает определенным уровнем полномочий распоряжаться, знакомиться и использовать в работе конфиденциальные сведения. Уровень персональных полномочий и уровень конфиденциальности сведений являются единым целым в процедуре разграничения доступа..
Задача процедуры разграничения доступа состоит в регламентации минимальных потребностей персонала в конфиденциальных сведениях. Разграничение доступа основывается на однозначном расчленении информации по тематическим группам, уровням конфиденциальности этих групп и пользователям, которым эта информация предназначена для работы. Каждый сотрудник может пользоваться только своей тематической группой информации. Например, при составлении документа необходимо отражать в нем только одну тематическую группу вопросов, предназначенных определенному исполнителю или подразделению
Иерархическая последовательность доступа к информации реализуется по принципу: «чем выше уровень доступа, тем уже круг допущенных лиц» или «чем выше ценность конфиденциальных сведений, тем меньшее число сотрудников могут их знать». В соответствии с этой последовательностью определяется необходимая степень ужесточения защитных мер, структура рубежей (эшелонов) защиты информации.
Доступ к электронным базам данных для сотрудников учреждения всегда является многоступенчатым. Можно выделить следующие главные составные части доступа: доступ к персональному компьютеру, серверу или терминалу; доступ к машинным носителям информации, хранящимся вне ЭВМ; непосредственный доступ к базам данных и файлам. Каждая составная часть имеет свои принципы организации, правила, методы доступа и системы контроля. В научной литературе, как правило, подробно разрабатывается третья часть, касающаяся процедур и операций построения доступа непосредственно в машинных массивах. Первые части обычно или опускаются вообще или рассматриваются обзорно, хотя именно они представляются нам основными рубежами защиты информационных ресурсов, находящихся в информационной системе.
Проблема комплексной защищенности Непривычным пока является использование ИС в «динамике соперничества» : при разработке следует так строить информационную систему, чтобы у предприятия на возможно более долгое время возникало существенное опережение по отношению к тем конкурентам, которые могут стремиться повторить его систему, что всегда определит дефицит возможностей у «преследователя».
Проблема комплексной защищенности Защита предприятия от катастроф или аварий при эксплуатации ИС сегодня является необходимым условием защищенности. Это может быть собственная страховка (например, строительство запасного ВЦ) или использование специального плана за щитных мероприятий, которые при необходимости обеспечивают доступ к постороннему ВЦ.
Проблема комплексной защищенности Мероприятия по защите данных на многих предприятиях. конечно, уже детально разработаны и хорошо знакомы работникам, отвечающим за их выполнение. Однако еще не на всех предприятиях и не всем работникам хорошо понятны задачи обеспечения комплексной защищенности ИС и фирмы в целом. Кроме того, в составе задач оперативного информационного менеджмента этого профиля будет и текущий анализ состояния (например, опережения) конкурентов.
Проблема комплексной защищенности На основе таких данных и имеющегося опыта соответствующему персоналу следует постоянно упражняться в мероприятиях по опережению конкурента и в преодолении кризисных ситуаций, которые должны специально создаваться и моделироваться службой ИМ, чтобы в ответственный момент персонал мог оказаться на высоте. В заключение необходимо отметить, что защита системы не может быть идеальной и не должна строиться как абсолютная. Это потребовало бы существенного увеличения затрат как на ее создание, так и на ее эксплуатацию; защита должна строиться рационально, т.е. с оптимальными по некоторому критерию характеристиками, что в каждом случае составляет предмет самостоятельного исследования.