Информационная безопасность предприятия

Нарушение статуса любой информации заключается  в нарушении ее логической структуры  и содержания, физической сохранности  ее носителя, доступности для правомочных  пользователей. Нарушение статуса  конфиденциальной информации дополнительно  включает нарушение ее конфиденциальности или закрытости для посторонних  лиц.

Уязвимость  информации следует понимать, как  неспособность информации самостоятельно противостоять дестабилизирующим  воздействиям, т. е. таким воздействиям, которые нарушают ее установленный  статус. [10]

Уязвимость  информации проявляется в различных  формах. К таким формам, выражающим результаты дестабилизирующего воздействия  на информацию, относятся:

- хищение  носителя информации или отображенной  в нем информации (кража);

- потеря  носителя информации (утеря);

- несанкционированное  уничтожение носителя информации  или отображенной в нем информации (разрушение);

- искажение  информации (несанкционированное изменение,  подделка, фальсификация);

- блокирование  информации;

- разглашение  информации (распространение, раскрытие  ее содержания).

Та  или иная форма уязвимости информации может реализоваться в результате преднамеренного или случайного дестабилизирующего воздействия различными способами на носитель информации или  на саму информацию со стороны источников воздействия. Такими источниками могут  быть: люди, технические средства обработки  и передачи информации, средства связи, стихийные бедствия и др.

Способами дестабилизирующего воздействия на информацию являются ее копирование (фотографирование), записывание, передача, съем, заражение  программ обработки информации вирусом, нарушение технологии обработки  и хранения информации, вывод (или  выход) из строя и нарушение режима работы технических средств обработки  и передачи информации, физическое воздействие на информацию и др.

Реализация  форм проявления уязвимости информации приводит или может привести к  двум видам уязвимости - утрате или  утечке информации.

Утечка  информации в компьютерных системах может быть допущена как случайно, так и преднамеренно, с использованием технических средств съема информации.

Средства  противодействию случайной утечки информации, причиной которой может  быть программно-аппаратный сбой или  человеческий фактор, могут быть разделены  на следующие основные функциональные группы: дублирование информации, повышение  надёжности компьютерных систем, создание отказоустойчивых компьютерных систем, оптимизация взаимодействия человека и компьютерной системы, минимизация  ущерба от аварий и стихийных бедствий (в том числе, за счет создания распределённых компьютерных систем), блокировка ошибочных  операций пользователей.

К утрате информации приводят хищение и потеря носителей информации, несанкционированное  уничтожение носителей информации или только отображенной в них  информации, искажение и блокирование информации. Утрата может быть полной или частичной, безвозвратной или временной, но в любом случае она наносит ущерб собственнику информации.

Несанкционированный доступ — это противоправное преднамеренное овладение конфиденциальной информацией  лицом, не имеющим права доступа  к охраняемым сведениям.

Наиболее  распространенными путями несанкционированного доступа к информации являются:

• перехват электронных излучений;

• принудительное электромагнитное облучение (подсветка) линий связи с целью получения  паразитной модуляции несущей;

• применение подслушивающих устройств (закладок);

• дистанционное  фотографирование;

• перехват акустических излучений и восстановление текста принтера;

• копирование  носителей информации с преодолением мер защиты

• маскировка под зарегистрированного пользователя;

• маскировка под запросы системы;

• использование  программных ловушек;

• использование  недостатков языков программирования и операционных систем;

• незаконное подключение к аппаратуре и линиям связи специально разработанных  аппаратных средств, обеспечивающих доступ информации;

• злоумышленный  вывод из строя механизмов защиты;

• расшифровка  специальными программами зашифрованной: информации;

• информационные инфекции.

Перечисленные пути несанкционированного доступа  требуют достаточно больших технических  знаний и соответствующих аппаратных или программных разработок со стороны  взломщика. Например, используются технические  каналы утечки — это физические пути от источника конфиденциальной информации к злоумышленнику, посредством  которых возможно получение охраняемых сведений. Причиной возникновения каналов  утечки являются конструктивные и технологические  несовершенства схемных решений  либо эксплуатационный износ элементов. Все это позволяет взломщикам создавать действующие на определенных физических принципах преобразователи, образующие присущий этим принципам  канал передачи информации — канал  утечки.

Однако  есть и достаточно примитивные пути несанкционированного доступа:

хищение носителей информации и документальных отходов;

инициативное  сотрудничество;

склонение к сотрудничеству со стороны взломщика;

выпытывание;

подслушивание;

наблюдение  и другие пути.

Для обеспечения  эффективного применения системы защиты информации в телекоммуникационной сети предприятия при ее построении необходимо учитывать следующие  требования:[11]

- эшелонированность. Система защиты должна состоять из нескольких уровней. Нарушение защиты на каком-либо уровне не должно повлечь за собой ослабления других уровней или недееспособности системы защиты в целом; согласованность. Средства защиты, в том числе входящие в региональные составляющие телекоммуникационной сети предприятия, должны обеспечивать возможность их эксплуатации в рамках единой системы;

- интегрируемость.  Средства защиты информации должны  оптимальным образом встраиваться  в инфраструктуру телекоммуникационной  сети;

- контролируемость. События, связанные с функционированием  системы защиты, должны контролироваться  средствами мониторинга безопасности;

- сертифицируемость. Применяемые при построении системы защиты средства должны удовлетворять установленным стандартам и требованиям;

- масштабируемость. При построении системы защиты должна быть обеспечена возможность ее развития с учетом развития телекоммуникационных сетей предприятия. 

 

3.2. Методы защита информации  в телекоммуникационных сетях  предприятия

Отраслевой  стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение утечки информации, несанкционированных и  непреднамеренных воздействий на информацию. И если первое направление (предотвращение утечки) должно предупреждать разглашение  конфиденциальных сведений, несанкционированный  доступ к ним и/или их получение  разведками (например, коммерческой разведкой  фирм-конкурентов), то два других направления  защищают от одинаковых угроз (искажение  конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные  действия с носителем информации). Вся разница заключается в  наличии или отсутствии умысла в  действиях с информацией (рис. 3.1.).

Рис.3.1. Защита информации на предприятии

Источник: Дъяченко С.И. Правовые аспекты работы в ЛВС. –СПб.: «АСТ», 2002.С.34.

Больше  всего угроз по-прежнему создают  компьютерные вирусы (в число которых  помимо традиционных файловых, загрузочных, макровирусов и т. п. вредоносных  программ входят также «трояны», «вандалы», перехватчики паролей и т. д.) и атаки распространителей спама.

Многие  сети годами остаются открытыми для  пришельцев из Интернета, и неизвестно, что в этом случае опаснее сознательный взлом злоумышленником корпоративной  сети для съема конфиденциальной информации или же осуществляемая дезорганизация работы сети с помощью атак типа «отказ в обслуживании». Поскольку  для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как  перехватом этой информации, так и  нарушением ее целостности или подменой.

Внутри  локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к  монитору бумажки с записанным логином  и паролем.

Зачастую  не придается значения разграничению  доступа между легальными пользователями. Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату  начальства, а вот по отношению  к конфиденциальной информации действует, так сказать, принцип «каждому —  по интересам», и сведения, предназначенные  двум-трем топ-менеджерам, становятся известны чуть ли не половине фирмы.

В качестве еще одного канала вероятной утечки можно назвать, к примеру, сервис-центры, в которые поступают диски с не уничтоженной должным образом информацией. Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде, и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать вашим конкурентам больше, чем хитроумные атаки и попытки взлома.

Таким образом, можно сделать вывод: защита информации — одно из ключевых направлений  деятельности любой успешной фирмы. Перед специально отобранным для  этого сотрудником (или подразделением) стоят следующие задачи:

• анализ угроз конфиденциальной информации, а также уязвимых мест автоматизированной системы и их устранение;

• формирование системы защиты информации - закупка и установка необходимых средств, их профилактика и обслуживание;

• обучение пользователей работе со средствами защиты, контроль за соблюдением регламента их применения;

• разработка алгоритма действий в экстремальных  ситуациях и проведение регулярных "учений";

• разработка и реализация программы непрерывной  деятельности автоматизированной системы  и плана восстановительных мероприятий (в случае вирусной атаки, сбоя/ошибки/отказа технических средств и т. д.).

Итак, можно констатировать, что деятельность по защите информации протекает в  рамках четырехугольника «руководство компании — служба защиты информации — пользователи», и от доброй воли всех этих сторон зависит, будет ли их сотрудничество эффективным.

С какими же проблемами приходится сталкиваться при построении системы защиты информации[12]?

Метод заплаток. «Кусочное» обеспечение информационной безопасности лишь на отдельных направлениях. Следствие — невозможность отразить атаки на незащищенных участках и дискредитация идеи информационной безопасности в целом.

Синдром амебы. Фрагментарное реагирование на каждый новый раздражитель; часто  сочетается с применением «метода  заплаток». Следствие — запаздывание с отражением новых угроз, усталость  от бесконечной гонки по кругу.

Лекарство от всего. Попытки возложить на одно средство защиты информации все функции  обеспечения информационной безопасности (например, стремление отождествить аутентификацию и полный комплекс задач защиты от несанкционированного доступа).

Следствие — непрерывный переход, миграция от одного средства защиты к другому, «более комплексному», последующее  разочарование и паралич дальнейших действий.

Волшебная палочка. Вторая ипостась поисков «универсального  лекарства», искреннее непонимание  необходимости дополнения технических  мер защиты организационными. Следствие — предъявление завышенных требований к системе или средству защиты.

Стремление  к экономии. Желание построить  систему защиты на беззатратной основе. Следствие — применение непроверенных и/или нелицензионных средств защиты, отсутствие поддержки со стороны производителей, постоянные попытки разобраться во всем самостоятельно, неэффективные и разорительные, как и любая самодеятельность.

Таким образом, на предприятии должен быть создан следующий набор средств  и методов для защиты информации в сети (табл.3.1)

Таблица 3.1

Средства  и методы защиты информации в сети предприятия

Минимальный пакет	Оптимальный пакет (в дополнение к  минимуму)
Средства антивирусной защиты рабочих  станций, файловых и почтовых серверов	Антивирусные средства в программно-аппаратном исполнении; средства контроля содержимого (Content Inspector) и борьбы со спамом
Программный межсетевой экран (МЭ)	Программно-аппаратный МЭ, система обнаружения атак (Intrusion Detection System)
Программные средства формирования защищенных корпоративных сетей (VPN - Virtual Private Network)	То же в программно-аппаратном исполнении и интеграции с межсетевым экраном
Аппаратные средства аутентификации пользователей (токены, смарт-карты, биометрия и т. п.)	То же в интеграции со средствами защиты от несанкционированного доступа (НСД) и криптографическими средствами
Разграничение доступа пользователей  к конфиденциальной информации штатными механизмами защиты информации и  разграничение доступа операционных систем, прикладных программ, маршрутизаторов и т. п.	Программно-аппаратные средства защиты от НСД и разграничения доступа
Программные средства шифрования и  электронной цифровой подписи (ЭЦП) для обмена конфиденциальной информацией  по открытым каналам связи	Аппаратные шифраторы для выработки  качественных ключей шифрования и ЭЦП; интеграция со средствами защиты от НСД  и аутентификации
Средства "прозрачного" шифрования логических дисков пользователей, используемых для хранения конфиденциальной информации	Средства "прозрачного" шифрования конфиденциальной информации, хранимой и обрабатываемой на серверах
Средства уничтожения неиспользуемой конфиденциальной информации (например, с помощью соответствующих функций  шифраторов)	Аппаратные уничтожители носителей  информации
Средства резервного копирования, источники бесперебойного питания, уничтожители бумажных документов