Тема 2. Концептуальная модель информационной безопасности.
ИБ - это состояние защищенности информации среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государств (Закон РФ "Об участии в международном информационном обмене").
Можно выделить угрозы безопасности информации, источники этих угроз, способы их реализации и цели, иные условия и действия, нарушающие безопасность. Так же следует рассматривать и меры ЗИ от неправомерных действий, приводящих к нанесению ущерба.
Можно предложить следующие компоненты модели ИБ:
1) объекты угроз;
2) угрозы;
3) источники угроз;
4) цели угроз со стороны злоумышленников;
5) источники информации;
6) способы НСД к конфиденциальной информации;
7) направления ЗИ;
8) способы ЗИ;
9) средства ЗИ.
Объектом угроз ИБ выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).
Угроза – потенциально возможное событие, действие, процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам.
Угроза информационной безопасности – возможность реализации воздействия на информацию, приводящего к искажению, уничтожению, копированию, блокированию доступа к информации, а также возможность воздействия на компоненты информационной системы, приводящего к утрате, уничтожению или сбою функционирования носителя информации, средства взаимодействия с носителем или средства его управления. Таким образом, угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.
Источниками конфиденциальной информации являются люди, документы, публикации, технические носители информации, технические средства обеспечения производственной и трудовой деятельности, продукция и отходы производства. Основными направлениями ЗИ являются правовая, организационная и инженерно-техническая ЗИ.
Средствами ЗИ являются физические средства, аппаратные средства, программные средства и криптографические методы. Последние могут быть реализованы как аппаратно, программно, так и смешанно (программно-аппаратными средствами).
В качестве способов защиты выступают всевозможные меры, пути и действия, обеспечивающие упреждение противоправных действий и противодействие НСД.
Способы защиты информации — это совокупность приемов и средств, обеспечивающих конфиденциальность, целостность, полноту и доступность информации, и противодействие внутренним и внешним угрозам. Каждому виду угроз присущи свои специфические способы и средства.
Обеспечение информационной безопасности достигается системой мер, направленных:
· на предупреждение угроз. Предупреждение угроз — это превентивные меры по обеспечению информационной безопасности в интересах упреждения возможности их возникновения;
· на выявление угроз. Выявление угроз выражается в систематическом анализе и контроле возможности появления реальных или потенциальных угроз и своевременных мерах по их предупреждению;
· на обнаружение угроз. Обнаружение имеет целью определение реальных угроз и конкретных преступных действий;
· на локализацию преступных действий и принятие мер по ликвидации угрозы или конкретных преступных действий;
· на ликвидацию последствий угроз и преступных действий и восстановление статус-кво.
Предупреждение возможных угроз и противоправных действий может быть обеспечено самыми различными мерами и средствами, начиная от осознанного отношения сотрудников к проблеме безопасности до создания системы защиты физическими, аппаратными, программными и криптографическими средствами.
Предупреждение угроз возможно и путем получения информации о готовящихся противоправных актах, планируемых хищениях, подготовительных действиях и других элементах преступных деяний. Для этих целей необходима работа сотрудников службы безопасности с информаторами в интересах наблюдения и объективной оценки ситуации как внутри коллектива сотрудников, особенно главных участков ее фирмы, так и вне, среди конкурентов и преступных формирований.
Выявление имеет целью проведение мероприятий по сбору, накоплению и аналитической обработке сведений о возможной подготовке преступных действий со стороны криминальных структур или конкурентов на рынке производства и сбыта товаров и продукции. Особое внимание в этом виде деятельности должно отводиться изучению собственных сотрудников. Среди них могут быть и недовольные, и неопытные, и «внедренные».
Обнаружение угроз— это действия по определению конкретных угроз и их источников, приносящих тот или иной вид ущерба. К таким действиям можно отнести обнаружение фактов хищения или мошенничества, а также фактов разглашения конфиденциальной информации или случаев несанкционированного доступа к источникам коммерческих секретов. В числе мероприятий по обнаружению угроз значительную роль могут сыграть не только сотрудники службы безопастности, но и сотрудники линейных подразделений и служб фирмы, а также технические средства наблюдения и обнаружения правонарушений.
Пресечение или локализация угроз — это действия, направленные на устранение действующей угрозы и конкретных преступных действий. Например, пресечение подслушивания конфиденциальных переговоров за счет акустического канала утечки информации по вентиляционным системам.
Ликвидация последствийимеет целью восстановление состояния, предшествовавшего наступлению угрозы. Например, возврат долгов со стороны заемщиков. Это может быть и задержание преступника с украденным имуществом, и восстановление разрушенного здания от подрыва, и другое.
Все эти способы имеют целью защитить информационные ресурсы от противоправных посягательств и обеспечить:
· предотвращение разглашения и утечки конфиденциальной информации;
· воспрещение несанкционированного доступа к источникам конфиденциальной информации;
· сохранение целостности, полноты и доступности информации;
· соблюдение конфиденциальности информации;
· обеспечение авторских прав.
Огромное количество возможностей, способствующих неправомерному овладению конфиденциальной информацией, вызывает необходимость использования не менее многообразных способов и средств для обеспечения информационной безопасности.
Способы обеспечения информационной безопасности должны быть ориентированы на упреждающий характер действий, направляемых на заблаговременные меры предупреждения возможных угроз коммерческим секретам.
16.
Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности.
На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими нормами являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.Наиболее полный перечень законов и кодексов представлен в разделе«Законы».
Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
— наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
— формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
— разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
— установление на объекте режима конфиденциальности;
— разграничение доступа к информации;
— правовое обеспечение процесса защиты информации;
— четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
· Политика Информационной безопасности;
· Положение о коммерческой тайне;
· Положение о защите персональных данных;
· Перечень сведений, составляющих конфиденциальную информацию;
· Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
· Положение о специальном делопроизводстве и документообороте;
· Обязательство сотрудника о сохранении конфиденциальной информации;
· Памятка сотруднику о сохранении коммерческой тайны.
Указанные нормативные акты направлены на предупреждение случаев неправомерного оглашения (разглашения) секретов на правовой основе, и в случае их нарушения должны приниматься соответствующие меры воздействия.