Существуют четыре уровня защиты
Предотвращение – только авторизованный персонал имеет доступ к информации и технологии;
Обнаружение – обеспечивается раннее обнаружение преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
Ограничение – уменьшается размер потерь, если преступление все-таки произошло несмотря на меры по его предотвращению и обнаружению;
Восстановление – обеспечивается эффективное восстановление информации при наличии документированных и проверенных планов по восстановлению.
Раньше контроль за технологией работы был заботой технических администраторов.
Сегодня контроль за информацией стал обязанностью каждого нетехнического конечного пользователя.
Контроль за информацией требует новых знаний и навыков для группы нетехнических служащих. Хороший контроль за информацией требует понимания возможностей совершения компьютерных преступлений и злоупотреблений, чтобы можно было в дальнейшем предпринять контрмеры против них.
Когда компьютеры впервые появились, они были доступны только небольшому числу людей, которые умели их использовать. Обычно они помещались в специальных помещениях, удаленных территориально от помещений, где работали служащие. Сегодня все изменилось. Компьютерные терминалы и настольные компьютеры используются везде. Компьютерное оборудование стало дружественным к пользователю, поэтому много людей могут быстро и легко научиться тому, как его использовать.
Число служащих в организации, имеющих доступ к компьютерному оборудованию и информационной технологии, постоянно растет.
Доступ к информации больше не ограничивается только узким кругом лиц из верхнего руководства организации.
Этот процесс привел к тому, что произошла «демократизация преступления».
Чем больше людей получало доступ к информационной технологии и компьютерному оборудованию, тем больше возникало возможностей для совершения компьютерных преступлений.
Трудно обобщать, но теперь компьютерным преступником может быть конечный пользователь, не технический служащий и не хакер, а тот, кто не находится на руководящей должности и тот, у кого нет судимостей.
Умный, талантливый сотрудник тот, кто много работает тот, кто не разбирается в компьютерах тот, кого вы подозревали бы в последнюю очередь именно тот, кого вы взяли бы на работу.
3.3. Принципы комплексной системы
защиты информации
К основным принципам относятся:
Принцип системного подхода к построению системы;
Принцип оптимальности (рациональности);
Принцип комплексности;
Принцип прозрачности (система защиты не должна мешать, не должна быть заметна);
Принцип модульности;
Принцип адаптивности (система защиты должна подстраиваться под изменения в компьютере);
Угрозы безопасности современным информационно-телекоммуникационным системам и пути решения вопросов технической защиты информации в них.
Анализ ситуации в информационной сфере показывает, что государством в период глобализации информационных ресурсов, формирования единого информационного пространства решается задача по обеспечению информационной безопасности. На данный факт указывает множество действующих документов: Концепция национальной безопасности, Доктрина информационной безопасности Российской Федерации, федеральный закон «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года №149-ФЗ и др.
Понятие, структура, классификация ИТКС и возможные последствия негативных воздействий на них.
При их ближайшем изучении видно, что на сегодняшний день система обеспечения информационной безопасности в Российской Федерации продолжает развиваться и процесс ее формирования идет в соответствии с тенденциями постоянного повышения роли информации и информационной безопасности в современном мире.
Сфера информационной безопасности имеет свой понятийный аппарат: информационная технология, автоматизированная система, информационно-телекоммуникационная система, носитель информации и т. д. Одна часть этих терминов имеет строго прописанные определения, закрепленные в законах, ГОСТах, нормативно-методических документах и пр. В то же время, отдельные понятия, несмотря на их распространенность в различных документах, конкретно не определены.
Примером этому является понятие информационно-телекоммуникационной системы (ИТКС). Данный термин довольно часто встречается в документах. В частности, большое внимание вопросам обеспечения информационной безопасности информационно-телекоммуникационных систем уделяется в Доктрине информационной безопасности Российской Федерации.
В Концепции национальной безопасности, также указано на опасности нарушений нормального функционирования информационно-телекоммуникационных систем. Согласно положению о Федеральной службе по техническому и экспортному контролю и положению о Федеральной службе безопасности Российской Федерации на эти органы возложены функции обеспечения информационной безопасности информационно-телекоммуникационных систем.
Так что же представляет собой современная информационно-телекоммуникационная система? Из каких элементов она состоит? С этой целью обратимся к основным понятиям, используемым в области информационной безопасности.
Само по себе понятие «система» означает нечто целое, представляющее собой единство закономерно расположенных и находящихся во взаимной связи частей. Рассматривая информационно-телекоммуникационную систему, как совокупность взаимных упорядоченных связей между ее составными частями следует определиться, с чем связано функционирование ИТКС, а именно предназначение, цели, задачи и организация системы. Не вызывает сомнений тот факт, что ИТКС предназначена прежде всего для хранения, обработки и документирования информации. Ее передача между составными частями обеспечивается линиями связи. Обработка документов осуществляется посредством эксплуатации средств вычислительной техники при помощи обслуживающего персонала, который использует информационные технологии для обеспечения функционирования ИТКС. Всем эти понятиям, как уже было сказано, даны ясные определения в соответствующих документах.
Так, в ГОСТ Р 51275 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения» дано определение информации. Информация – сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Там же сказано, что информационная технология – приемы, способы и методы применения средств вычислительной техники при выполнении функций хранения, обработки, передачи и использования данных.
Согласно ГОСТ Р 51624 «Защита информации. Автоматизированные системы в защищенном положении. Общие требования», автоматизированная система – система, состоящая из персонала и комплекса средств автоматизации его деятельности, реализующая информационную технологию выполнения установленных функций.
В Федеральном законе «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ определено, что информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств. Информационно-телекоммуникационная сеть – технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники. Также в данном законе определено, что документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или, в установленных законодательством Российской Федерации случаях, ее материальный носитель.
В руководящем документе Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» под средствами вычислительной техники понимается совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.
Таким образом, хотя на сегодняшний день однозначно точного определения информационно-телекоммуникационной системы не выведено.
Можно обобщить имеющиеся понятия и сказать, что современная информационно-телекоммуникационная система представляет собой организационно упорядоченную совокупность зафиксированной на материальных носителях документированной информации, представленной в виде, пригодном для ее обработки с использованием информационных технологий, каналов ее передачи, персонала и комплекса средств автоматизации его деятельности по реализации информационных процессов.
В соответствии с выведенным определением можно утверждать, что основными составляющими структуры типовой ИТКС являются:
– информация, находящаяся в системе;
– информационные технологии;
– каналы передачи данных, реализованные посредством системы передачи данных (СПД);
– персонал, непосредственно занимающийся реализацией информационных процессов;
– средства ВТ, предназначенные для автоматизации деятельности персонала.
Хотя данная структура системы и является типовой, она применима практически к любой ИТКС, функционирующей в различных областях информационной сферы Российской Федерации.
Эффективность деятельности любого ведомства при имеющемся объеме информации, ее специфичности ввиду принадлежности определенной области, степени ограниченности распространения, напрямую зависит от оперативности процессов обработки, обмена между структурными подразделениями при обеспечении ее целостности и сохранности от несанкционированного доступа. Этими факторами, а также такими, как повышение качества управления происходящими в системе процессами, интегрированная обработка информации, взаимодействие с внешними пользователями, информационно-справочное обслуживание структурных подразделений и другими обусловлена необходимость создания ИТКС.
Сегодня существует множество таких систем, и их число будет постоянно увеличиваться. Для обеспечения системного подхода к их построению, доступности, надежности и безопасности функционирования необходимо провести классификацию ИТКС. При этом выполнение этой работы возможно по следующим признакам:
– принадлежность к определенному ведомству;
– разделение по виду собственности;
– специализация функций ИТКС;
– уровень ограниченности распространения информации.
Принадлежность к определенному ведомству характеризует степень ущерба, который может быть нанесен в результате утечки или искажения информации, причем нарушения целостности информационной сферы в ИТКС гражданских ведомств, как правило, ведут к экономическим потерям, в то время, как нарушение информационной безопасности в оборонных ИТКС приводит также к угрозе национальной безопасности государства.
Разделение по виду собственности определяет, какие интересы преобладают при защите информации в ИТКС: государственные или частные, а специализация функций ИТКС в значительной степени определяет специфику угроз в конкретной ИТКС.
Уровень ограниченности распространения информации соотносит ущерб с конкретным владельцем информации. Следует иметь в виду, что владелец информации, разрешая доступ к информации другим субъектам, определяет уровень необходимости защиты информации, что существенным образом сказывается на реализации системы разрешения доступа в ИТКС.
Анализ возможных последствий негативных воздействий на ИТКС показывает, что необходимость их использования в различных областях информационной инфраструктуры определяет обязательность принятия мер по защите информации, циркулирующей в них. Весь спектр проблем, связанных с защитой информации в этих системах требует детальной и серьезной проработки.
Первым делом, необходимо определить, каким образом возможно воздействие на информацию, в результате которого может снизиться эффективность функционирования системы. Подобное воздействие возможно путем реализации угроз безопасности информации, как совокупности условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации или несанкционированным воздействием на нее.