Информационная безопасность и политика безопасности.
Обеспечение безопасности КИС
Лекция 10
Аксенов А.И.
1. Информационная безопасность и политика безопасности
2. Классификация угроз информационной безопасности
3. Средства и методы защиты КИС
4. Правовое обеспечение безопасности КИС
Цель:Изучить меры по обеспечению информационной безопасности.
Информационная безопасность (ИБ)- состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Применительно к компьютерным информационным технологиям под информационной безопасностью подразумевается состояние защищенности информации, обрабатываемой в информационно-вычислительной системе, от случайных или преднамеренных воздействий внутреннего или внешнего характера, которые могут нанести ущерб владельцам информационных ресурсов или пользователям информации.
Информационную безопасность образуют три основные составляющие:
· конфиденциальность - защита критической информации от несанкционированного доступа;
· целостность - защита точности и полноты информации и программного обеспечения;
· доступность - обеспечение доступности информации и основных услуг для пользователя в нужное для него время, а также предотвращение несанкционированного отказа в получении информации.
Под критической информацией (сервисами) понимают данные (сервисы), которые требуют защиты из-за наличия вероятности нанесения ущерба (наличия риска) определенной величины в том случае, если произойдет их случайное или умышленное раскрытие, изменение или разрушение. Этот термин включает в себя данные, чье неправильное использование или раскрытие может отрицательно отразиться на способности организации решать свои задачи.
Применительно к информационной системе целью информационной безопасности является обеспечение названных составляющих путем защиты процессов создания данных, их ввода, обработки, хранения и вывода.
Информационную безопасность обеспечивают меры по защите информации от неавторизованного доступа, разрушения, модификации, раскрытия и задержек в доступе. Данные меры принимаются на различных уровнях:
· на государственном в виде выработки государственной политики ИБ, законодательных и нормативно-технических актов;
· на уровне юридических лиц в виде планирования и реализации мер физической и технической защиты;
· на уровне физических лиц в виде изучения проблем ИБ и внедрения индивидуальных средств защиты.
В Республике Беларусь в законодательном порядке информация, которая подлежит защите, может составлять: государственную тайну, служебную тайну, коммерческую тайну, профессиональную тайну, тайну личной жизни, объект интеллектуальной собственности и авторского права.
Государственные секреты подразделяются на две категории: государственная тайна и служебная тайна.
Государственная тайна - государственные секреты, разглашение или утрата которых могут повлечь тяжкие последствия для национальной безопасности Республики Беларусь, а также создать угрозу безопасности граждан либо их конституционным правам и свободам.
Служебная тайна - государственные секреты, разглашение или утрата которых могут причинить существенный вред национальной безопасности Республики Беларусь, а также конституционным правам и свободам граждан. Сведения, составляющие служебную тайну, имеют характер отдельных данных, входящих в состав сведений, составляющих государственную тайну и не раскрывающих ее в целом.
В зависимости от категории сведений, составляющих государственные секреты, характера и объема мер, необходимых для обеспечения их сохранности и защиты, устанавливаются три степени секретности сведений: особой важности, совершенно секретно, секретно.
Коммерческую тайну составляют преднамеренно скрываемые экономические интересы и информация о различных сторонах и сферах производственно-хозяйственной, управленческой, научно-технической, финансовой деятельности субъекта хозяйствования, охрана которых обусловлена интересами конкуренции и возможной угрозой экономической безопасности субъекта хозяйствования.
Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании, и обладатель информации принимает меры к охране ее конфиденциальности.
Под коммерческой тайной предприятия понимаются не являющиеся государственными секретами сведения, связанные с производством, технологической информацией, управлением, финансами и другой деятельностью предприятия, разглашение (передача, утечка) которых может нанести ущерб его интересам.
Информация, составляющая коммерческую тайну, является собственностью субъекта хозяйствования, либо находится в его владении, пользовании, распоряжении в пределах, установленных собственником и законодательными актами.
Информация, составляющая коммерческую тайну, должна соответствовать следующим требованиям:
- иметь действительную и потенциальную ценность для субъекта хозяйствования по коммерческим причинам;
- не являться общеизвестной или общедоступной согласно законодательству Республики Беларусь;
- обозначаться соответствующим образом с осуществлением субъектом хозяйствования надлежащих мер по сохранению ее конфиденциальности через систему классификации информации как коммерческой тайны, разработки внутренних правил засекречивания, введения соответствующей маркировки документов и иных носителей информации, организации секретного делопроизводства;
- не являться государственным секретом и не защищаться авторским и патентным правом;
- не касаться негативной деятельности субъекта хозяйствования, способной нанести ущерб интересам государства.
Коммерческую тайну субъекта хозяйствования не могут составлять:
· учредительные документы, а также документы, дающие право на занятие предпринимательской деятельностью и отдельными видами хозяйственной деятельности;
· сведения по установленным формам отчетности о финансово-хозяйственной деятельности и иные данные, необходимые для проверки правильности исчисления и уплаты налогов и других обязательных платежей;
· документы о платежеспособности;
· сведения о численности и составе работающих, их заработной плате и условиях труда, а также о наличии свободных рабочих мест.
Содержание и объем информации, составляющей коммерческую тайну, а также порядок ее защиты определяются руководителем субъекта хозяйствования, который доводит их до работников либо лиц, имеющих доступ к таким сведениям.
Работники субъекта хозяйствования и лица, заключившие гражданско-правовые договоры, имеющие доступ к коммерческой тайне субъекта хозяйствования, принимают обязательство сохранять коммерческую тайну и без разрешения, выданного в установленном порядке, не разглашать сведения, ее составляющие, при условии, что эта информация ранее не была известна работникам или иному лицу, получившему к ней доступ, либо не была получена от третьей стороны без обязательства соблюдать в отношении ее конфиденциальность.
Данное обязательство дается в письменной форме при приеме на работу, заключении гражданско-правового договора либо в процессе его исполнения.
Передача информации, составляющей коммерческую тайну субъекта хозяйствования, может осуществляться иным лицам по решению либо с согласия руководителя субъекта хозяйствования безвозмездно или за плату.
Руководитель субъекта хозяйствования несет персональную ответственность за создание необходимых условий для обеспечения сохранности коммерческой тайны.
Нарушение руководителем установленного порядка охраны коммерческой тайны субъекта хозяйствования может повлечь ответственность в соответствии с законодательством.
Государственные органы, наделенные контролирующими функциями, имеют право в пределах своей компетенции знакомиться с информацией, составляющей коммерческую тайну субъекта хозяйствования.
Должностные лица этих органов несут установленную законодательством ответственность за разглашение информации, составляющей коммерческую тайну субъекта хозяйствования.
Иные органы, организации, в том числе средства массовой информации, правом истребования у субъекта хозяйствования информации, составляющей коммерческую тайну, не обладают.
Защита коммерческой тайны субъекта хозяйствования осуществляется в судебном порядке.
Государство гарантирует право субъекта хозяйствования на коммерческую тайну и ее защиту.
Профессиональная тайна - обязанность не разглашать того, что стало известно лицу в силу его профессии. К данному виду принадлежат: банковская, адвокатская, врачебная, журналистская тайны, тайна нотариального действия, тайна усыновления ребенка, тайна телефонных и других сообщений, тайна исповеди, тайна корреспонденции, тайна совещаний присяжных заседателей и другие.
Банковская тайна. Сведения о счетах и вкладах, в том числе сведения о наличии счета в данном банке, его владельце, номере и других реквизитах счета, размере средств, находящихся на счетах и во вкладах, а равно сведения о конкретных сделках, об операциях по счетам и вкладам, а также имуществе, находящемся на хранении в банке, являются банковской тайной и не подлежат разглашению.
Национальный банк и банки гарантируют соблюдение банковской тайны своих клиентов и банков-корреспондентов. Служащие Национального банка и банков обязаны хранить банковскую тайну, а также тайну об иных сведениях, устанавливаемых Национальным банком и банками, если это не противоречит законодательству Республики Беларусь.
За противоправное получение и разглашение банковской тайны физические лица, должностные лица и работники государственных органов, банков, аудиторских и иных организаций несут ответственность в порядке, установленном законодательством Республики Беларусь.
Адвокатская тайна. Адвокат должен соблюдать профессиональную тайну и должен обеспечить клиенту возможность получения консультации наедине.
Адвокат не вправе:
· разглашать сведения, составляющие адвокатскую тайну (факт обращения клиента к адвокату, содержание бесед, изученных и составленных документов и иную информацию, касающуюся оказания юридической помощи, а также сведения о личной жизни клиента), в течение всего времени как во время оказания юридической помощи, так и после того как отношения с клиентом прекращены;
· давать свидетельские показания и объяснения по вопросам, составляющим адвокатскую тайну;
· совершать какие-либо действия, создающие угрозу доверительным отношениям с клиентом.
Адвокат может раскрыть доверенную клиентом информацию в объеме, который он считает обоснованно необходимым.
Врачебная тайна. Информация о факте обращения гражданина за медицинской помощью, состоянии его здоровья, диагнозе заболевания, результатах диагностических исследований и лечения, иные сведения, в том числе личного характера, полученные при его обследовании, лечении, а в случае смерти - о результатах патологоанатомического вскрытия составляют врачебную тайну.
Информация, содержащаяся в медицинской документации, составляет врачебную тайну и может предоставляться без согласия пациента только по основаниям, предусмотренным законодательными актами.
Использование сведений, составляющих врачебную тайну, в учебном процессе, научной литературе допускается только с согласия пациента.
За разглашение врачебной тайны медицинские и фармацевтические работники несут ответственность в соответствии с законодательством Республики Беларусь.
Журналистская тайна. Не допускается использование средств массовой информации для раскрытия сведений, составляющих государственную либо иную специально охраняемую законом тайну.
В связи с осуществлением профессиональной обязанности журналист имеет право получать доступ к документам и материалам, за исключением тех, которые содержат сведения, составляющие государственную, коммерческую либо иную специально охраняемую законом тайну.
Тайна нотариального действия. Нотариусы, уполномоченные должностные лица обязаны соблюдать тайну нотариального действия.
Тайна нотариального действия является служебной тайной.
Лицо, виновное в разглашении тайны нотариального действия, несет ответственность, предусмотренную законодательством.
Тайна усыновления ребенка.
Суд, вынесший решение об усыновлении ребенка, должностные лица, осуществившие государственную регистрацию усыновления, а также лица, иным образом осведомленные об усыновлении, обязаны сохранять тайну усыновления ребенка.
Лица, разгласившие тайну усыновления ребенка против воли его усыновителей, привлекаются к ответственности в порядке, установленном законодательством Республики Беларусь.
Усыновленный ребенок по достижении совершеннолетия вправе получить от органов, осуществляющих функции опеки и попечительства, а также от суда сведения, касающиеся его усыновления.
Тайна корреспонденции, телефонных и других сообщений. Работники предприятий связи обязаны сохранять тайну переписки лиц, пользующихся услугами связи, не нарушать тайну телефонных разговоров, телеграфных и других сообщений, если иное не предусмотрено законом.
Работники предприятий связи, должностные и иные лица, допустившие нарушения указанных положений, привлекаются к ответственности в соответствии с законодательством Республики Беларусь.
Тайна личной жизни.
К составу документов, хранящихся в архивных учреждениях республики, к тайне личной жизни граждан могут быть отнесены сведения, использование которых без согласия заинтересованных лиц может нанести ущерб моральным и имущественным интересам граждан.
Соблюдение установленного порядка доступа к документам, содержащим сведения о тайне личной жизни граждан, возлагается как на архивы, так и пользователей архивных документов.
Объект интеллектуальной собственности включает:
результаты интеллектуальной деятельности:
· произведения науки, литературы и искусства;
· исполнения, фонограммы и передачи организаций вещания;
· изобретения, полезные модели, промышленные образцы;
· селекционные достижения;
· топологии интегральных микросхем;
· нераскрытая информация, в том числе секреты производства (ноу-хау);
средства индивидуализации участников гражданского оборота, товаров, работ или услуг:
· фирменные наименования;
· товарные знаки (знаки обслуживания);
· наименования мест происхождения товаров;
другие результаты интеллектуальной деятельности и средства индивидуализации участников гражданского оборота, товаров, работ или услуг в случаях, предусмотренных законодательными актами.
Авторское право распространяется на произведения науки, литературы и искусства, как обнародованные, так и не обнародованные, выраженные в любой объективной форме, независимо от назначения и достоинства произведения.
Авторское право распространяется на произведения науки, литературы и искусства, находящиеся в какой-либо объективной форме:
· письменной (рукопись, машинопись, нотная запись);
· электронной (компьютерная программа, электронная БД);
· звуко- или видеозаписи (магнитной, оптической, электронной);
· изображения (картина, рисунок, кино-, теле-, видео-, фотокадр);
· объемно-пространственной (скульптура, макет, сооружение).
Компьютерная программа - упорядоченная совокупность команд и данных для получения определенного результата с помощью компьютера, записанная на материальном носителе, а также сопутствующая электронная документация.
Компьютерные программы охраняются, как литературные произведения, и такая охрана распространяется на все виды программ, в том числе на прикладные программы и операционные системы, которые могут быть выражены на любом языке и в любой форме, включая исходный текст и объектный код.
Базы данных или компиляции иных материалов в любой форме, представляющие собой по подбору и расположению материалов результат интеллектуального творчества, охраняются как таковые. Такая охрана не распространяется непосредственно на сами данные или материалы и действует без ущерба какому-либо авторскому праву, к сфере распространения которого относятся такие данные или материалы.
Степень важности, а соответственно и уровень секретности информации определяется:
в государстве: соответствующими органами государства, ведомства;
в корпорации: руководством корпорации или соответствующего отдела (службы).
Уровень защиты объекта интеллектуальной собственности определяется его владельцем.
Политика информационной безопасностипредставляет собой документ, на основе которого строится комплексная система обеспечения безопасности информации организации (корпорации). Политика безопасности строится в соответствии со спецификой корпорации и законодательной базой государства.
Формирование политики информационной безопасностивключает в себя этапы:анализ рисков,определение стратегии защиты, составление документов политики информационной безопасности, разработка программы реализации политики информационной безопасности.
Анализ рисков. Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. При анализе рисков выполняются следующие мероприятия: инвентаризация, классификация, выявление угроз, оценка рисков.
Инвентаризация проводится для определения объема необходимой защиты, контроля защищенности, а также для других областей: охрана труда, техника безопасности, страхование, финансы. Инвентаризации подлежат:
· ресурсы данных: накопители файлов, базы данных, документация: учебные пособия, инструкции и описания по работе с элементами ИС, документы служебного и производственного уровня и т.д.;
· программные ресурсы: системное и прикладное программное обеспечение, утилиты и т.д.;
· материально-техническая база, обеспечивающая информационные ресурсы: вычислительное и коммуникационное оборудование, носители данных (ленты и диски), другое техническое оборудование (блоки питания, кондиционеры), мебель, помещения и т. п.
· коммунальное и хозяйственное обеспечение: отопление, освещение, энергоснабжение, кондиционирование воздуха;
· человеческие ресурсы (наличие необходимых специалистов, уровень их профессионализма, психологические качества, связи в коммерческом мире и т.д.).
Классификация информационных ресурсов производится после инвентаризации. Ценность каждого ресурса обычно представляется как функция нескольких дискретных переменных.
В качестве основной переменной, например, можно выбирают степень конфиденциальности информации со следующими значениями:
· информация, содержащая государственную тайну - 3;
· информация, содержащую коммерческую тайну - 2;
· конфиденциальная информация (информация, не представляющая собой коммерческой или государственной тайны, хотя огласка ее нежелательна)-1;
· свободная (открытая) информация - 0.
Следующими переменными могут быть выбраны отношение того или иного ресурса к нарушениям основных трех аспектов информационной безопасности (конфиденциальности, целостности, доступности). При этом вводится n-бальная система оценки.
Выявление угроз. Определяются носители и потенциальные источники утечки информации, формулируются угрозы, частота (статистика) их появления, вычисляется вероятность их появления.
Вероятности реализации разных видов угроз различны и их определение требует анализа большого статистического материала. Так, например:
· уничтожение всей информации в результате пожара (стихийного бедствия) может быть 1 раз в 40 лет;
· несанкционированное чтение или копирование сотрудником закрытых сведений (активная угроза) может быть 1 раз в 4 года;
· искажение информации в файле памяти ЭВМ из-за сбоя в аппаратуре или системных программах (пассивная угроза) может быть 1 раз в 10 дней.
Следует заметить, что определение вероятностей появления различных угроз имеет очень большое значение для построения системы защиты информационных ресурсов корпорации.
Оценка рисков. Для каждого из информационных ресурсов определяется его интегральная ценность и возможные угрозы. Каждая из угроз оценивается с точки зрения её применимости к данному ресурсу, вероятности возникновения и возможного ущерба.
Определение стратегии защиты по следующим направлениям:
предотвращение (предупреждение) ущерба (например, авторизация персонала на доступ к информации и технологии);
обнаружение угроз - обеспечение раннего обнаружения преступлений и злоупотреблений, даже если механизмы защиты были обойдены;
минимизация размера потерь, если преступление все-таки произошло, несмотря на меры по его предотвращению и обнаружению;
восстановление - обеспечение эффективного восстановления информации в случае ее потери.
Составление документов политики информационной безопасности.
Стандарт рекомендует включать в состав документа, характеризующего политику безопасности организации, следующие разделы:
· введение, где определяется отношение высшего руководства к проблемам информационной безопасности корпорации;
· организационный раздел, содержащий описание подразделений, комиссий, групп и т.д., отвечающих за работы в области информационной безопасности, планы и график работы;
· классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты;
· штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т.п.);
· раздел физической защиты;
· раздел управления информацией, описывающий подход к управлению компьютерами и компьютерными сетями;
· раздел правил разграничения доступа к производственной информации;
· раздел, характеризующий порядок разработки и сопровождения систем;
· раздел, описывающий меры, направленные на обеспечение непрерывной работы организации;
· юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.
Разработка программы реализации политики информационной безопасности.
На этом этапе выделяются ресурсы, назначаются ответственные, формируется план действий, определяется порядок контроля выполнения программы и т.п.
Итак, политика информационной безопасности предприятия представляет собой документ, на основе которого строится система обеспечения безопасности информации. Это основной документ обеспечения информационной безопасности корпорации, который доводится до всех сотрудников.