Защита информации в системе безопасности предприятия

12
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Далее ⇒

ВведенИЕ

Бурное развитие в последние годы информационных технологий (ИТ) и их использование во всех сферах деятельности современного человека выдвинули целый ряд новых проблем, требующих незамедлительного решения. Одной из наиболее острых проблем стала тема информационной безопасности. Сегодня нет предприятий, фирм, организаций или отдельных пользователей ПЭВМ, которые бы не ставили перед собой задачу защиты информации или работоспособности технических средств. Можно говорить, что проблема информационной безопасности из разряда узкоспециальных и доступных только профессионалам становится жизненно важной для подавляющего круга населения страны.

Решение этой комплексной задачи предусматривает, наряду с правовым, программно-аппаратным, криптографическим и техническим обеспечением, проведение различных организационных мероприятий. Для этого необходима организация специальных служб по защите информации и подготовке для них специалистов-инженеров-математиков, инженеров-программистов, менеджеров (специалистов по защите информации).

В ряде вузов начата подготовка таких специалистов по направлению, в котором изучаются дисциплины «Организационное обеспечение защиты информации и «Организация и управление службой защиты информации».

Сложностью организации учебного процесса по этим дисциплинам является отсутствие учебников и учебных пособий. Особенно это касается второй дисциплины. Причиной этого является недостаточный опыт организации служб защиты информации на предприятиях, которые в настоящее время стали создаваться в составе служб безопасности (СБ). Что касается СБ, то в последние годы вышли монографии и учебные пособия В.В. Домарева, В.П. Мак-Мака и В.И. Ярочкина, в которых рассмотрен опыт организации и управления службами безопасности на современных предприятиях и фирмах.

В предлагаемом курсе лекций обобщается опыт в построении общих систем безопасности предприятия и показаны место и роль защиты информации в существующих подразделениях, а также описаны подходы к организации специализированных подразделений и методы их управления. Особое внимание уделено подбору и обучению сотрудников службы защиты информации.

 

Лекция 1. Концепция построения системы безопасности предприятия

1.1. Определение и основные понятия системы безопасности

1.2. Защита информации в системе безопасности предприятия

1.3. Концептуальные модели компонентов системы безопасности предприятия

1.4. Принципы построения системы безопасности предприятия

Определение и основные понятия системы безопасности

Под системой безопасностипредприятия в настоящее время понимается организованная совокупность специальных органов, служб, средств, методов и мероприятий, обеспечивающих защиту жизненно важных интересов личности, предприятия и государства от внутренних и внешних угроз. Удовлетворить современные требования по обеспечению безопасности предприятия и защиты его конфиденциальной информации может только система безопасности.

Опасности- это возможные или реальные явления, события и процессы, способные нанести моральный или материальный ущерб предприятию и предпринимательской деятельности.

Опасность способна приобретать различные формы. Она может быть в виде намерений, планирования действий и их реализация с целью уничтожения, ограбления, изменения, ослабления и т. д.

Понятие "угроза" родственно понятию "опасность". Угроза - это опасность на стадии перехода из возможности в действительность.

Угроза - потенциально возможное или реальное действие злоумышленников, способных нанести моральный, материальный или физический ущерб персоналу. Различают внутренние и внешние угрозы, которые могут быть направлены на персонал, материальные, финансовые и информационные ресурсы (рис. 1.1).

 

Рис. 1.1. Виды угроз безопасности предприятия

 

Как и любая система, система безопасности предприятия имеет свои цели, задачи, методы и средства деятельности, которые формируются в зависимости от конкретных условий.

Целями системы безопасности являются:

- защита прав предприятия, его структурных подразделений и сотрудников;

- сохранение и эффективное использование финансовых, материальных и информационных ресурсов;

- повышение имиджа и роста прибылей за счет обеспечения
качества услуг и безопасности клиентов.

В качестве основных задач системы безопасности рассматриваются:

- своевременное выявление и устранение угроз персоналу и ресурсам; причин и условий, способствующих нанесению финансового, материального и морального ущерба интересам предприятия, нарушению его нормального функционирования и развития;

- создание механизма и условий оперативного реагирования на угрозы безопасности и проявления негативных тенденций в функционировании предприятия;

- пресечение посягательств на ресурсы и угроз персоналу на основе комплексного подхода к безопасности;

- создание условий для максимально возможного возмещения и локализации наносимого ущерба неправомерными действиями физических и юридических лиц, для ослабления негативного влияния последствий нарушения безопасности на достижение стратегических целей.

Для достижения указанных целей и задач используются различные средства обеспечения безопасности предприятия, среди которых можно выделить следующие [6]:

§ Технические средства. К ним относятся охранно-пожарные системы, видео-радиоаппаратура, средства обнаружения взрывных устройств, бронежилеты, заграждения и т.д.

§ Организационные средства. Создание специализированных оргструктурных формирований, обеспечивающих безопасность предприятия.

§ Информационные средства. Прежде всего, это печатная и видеопродукция по вопросам сохранения конфиденциальной информации. Кроме этого, важнейшая информация для принятия решений по вопросам безопасности сохраняется в компьютерах.

§ Финансовые средства. Совершенно очевидно, что без достаточных финансовых средств невозможно функционирование системы безопасности, вопрос лишь в том, чтобы использовать их целенаправленно и с высокой отдачей.

§ Правовые средства. Здесь имеется в виду использование не только изданных вышестоящими органами власти законов и подзаконных актов, но также разработка собственных, так называемых локальных правовых актов по вопросам обеспечения безопасности.

§ Кадровые средства. Имеется в виду, прежде всего, достаточность кадров, занимающихся вопросами обеспечения безопасности. Одновременно с этим решают задачи повышения их профессионального мастерства в этой сфере деятельности.

§ Интеллектуальные средства. Привлечение к работе высококлассных специалистов, научных работников (иногда целесообразно привлекать их со стороны) позволяет внедрять новые системы безопасности.

Следует заметить, что применение каждого из указанных средств в отдельности не дает необходимого эффекта, он возможен только на комплексной основе, который может быть реализован в виде определенной последовательности следующих этапов:

I этап.Выделение финансовых средств.

II этап.Формирование кадровых и организационных средств.

III этап.Разработка системы правовых средств.

IV этап. Привлечение технических, информационных и интеллектуальных средств.

При реализации этих средств используются соответствующие им методы. Соответственно можно говорить о технических, организационных, информационных, финансовых, правовых, кадровых и интеллектуальных методах. Приведем краткий конкретный перечень этих методов: технические - наблюдение, контроль, идентификация и т.д.; организационные - создание зон безопасности, режим, расследование, посты, патрули и т.д.; информационные - сбор сведений о сотрудниках, аналитические материалы и учеты конфиденциального характера и т.д.; финансовые - материальное стимулирование сотрудников, имеющих достижения в обеспечении безопасности, денежное поощрение информаторов и т.д.; правовые - судебная защита законных прав и интересов, содействие правоохранительным органам и т.д.; кадровые - подбор, расстановка и обучение кадров, обеспечивающих безопасность предприятия, их воспитание и т.д.; интеллектуальные - патентование, ноу-хау и т.д..

Защита информации в системе безопасности предприятия

При создании систем безопасности на предприятии в последние годы особое внимание уделяется вопросам защиты информации, которая в современном производстве становится одним из главных объектов посягательств и угроз со стороны конкурентов и злоумышленников. Особенно это относится к конфиденциальной информации в наибольшей степени представляющей интерес, например, для конкурирующих фирм. Поэтому наряду с общим понятием безопасности предприятия (БП) рассматривается понятие информационной безопасности.

Информационная безопасность (ИБ)- это состояние защищенности информационной среды предприятия, обеспечивающее его функционирование и развитие в интересах его персонала.

При построении модели информационной безопасности предприятия учитывают целый ряд компонентов (источников, объектов, действий). Наиболее важными среди них являются следующие:

- объекты угроз;

- угрозы;

- источники угроз;

- цели угроз со стороны злоумышленников;

- источники информации;

- способы неправомерного овладения конфиденциальной информацией (способы доступа);

- направления защиты информации;

- способы защиты информации;

- средства защиты информации.

Объектом угрозинформационной безопасности выступают сведения о составе, состоянии и деятельности объекта защиты (персонала, материальных и финансовых ценностей, информационных ресурсов).

Угрозы информации выражаются в нарушении ее целостности, конфиденциальности, полноты и доступности.

Источниками угрозвыступают конкуренты, преступники, коррупционеры, административно-управленческие органы.

Источники угроз преследуют при этом следующие цели: ознакомление с охраняемыми сведениями, их модификация в корыстных целях и уничтожение для нанесения прямого материального ущерба.

Неправомерное овладение конфиденциальной информацией возможно путем ее разглашения источниками сведений, утечки информации через технические средства и несанкционированного доступа к охраняемым сведениям. Учитывая важность этих понятий для дальнейшего изложения материала, рассмотрим их более подробно.

1. Разглашение– это умышленные или неосторожные действия с конфиденциальными сведениями, приведшие к ознакомлению с ними лиц, не допущенных к ним.

Разглашение выражается в сообщении, передаче, предоставлении, пересылке, опубликовании, утере и в других формах обмена и действий с деловой и научной информацией. Реализуется разглашение по формальным и неформальным каналам распространения информации. К формальным коммуникациям относятся деловые встречи, совещания, переговоры и тому подобные формы общения: обмен официальными деловыми и научными документами при помощи средств передачи официальной информации (почта, телефон, телеграф и др.). Неформальные коммуникации включают личное общение {встречи, переписка и др.); выставки, семинары, конференции и другие массовые мероприятия, а также средства массовой информации (печать, газеты, интервью, радио, телевидение и др.). Как правило, причиной разглашения конфиденциальной информации является недостаточное знание сотрудниками правил защиты коммерческих секретов и непонимание (или недопонимание) необходимости их тщательного соблюдения. Тут важно отметить, что субъектом в этом процессе выступает источник (владелец) охраняемых секретов.

Следует отметить информационные особенности этого действия. Информация содержательная, осмысленная, упорядоченная, аргументированная, объемная и доводится зачастую в реальном масштабе времени. Часто имеется возможность диалога. Информация ориентирована в определенной тематической области и документирована. Для получения интересующей злоумышленника информации последний затрачивает практически минимальные усилия и использует простые легальные технические средства (диктофоны, видеомониторинг).

2. Утечка – это бесконтрольный выход конфиденциальной информации за пределы организации или круга лиц, которым она была доверена.

Утечка информации осуществляется по различимым техническим каналам. Известно, что информация вообще переносится или передается либо энергией, либо веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги (написанный текст) и др. С учетом этого можно утверждать, что по физической природе возможны следующие пути переноса информации: световые лучи, звуковые волны, электромагнитные волны, материалы и вещества. Соответственно этому классифицируются и каналы утечки информации на визуально-оптические, акустические, электромагнитные и материально-вещественные. Под каналом утечки информации принято понимать физический путь от источника конфиденциальной информации к злоумышленнику, посредством которого последний может получить доступ к охраняемым сведениям. Для образования канала утечки информации необходимы определенные пространственные, энергетические и временные условия, а также наличие на стороне злоумышленника соответствующей аппаратуры приема, обработки и фиксации информации.

3. Несанкционированный доступ– это противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к охраняемым секретам.

Несанкционированный доступ к источникам конфиденциальной информации реализуется различными способами: от инициативного сотрудничества, выражающегося в активном стремлении «продать» секреты, до использования различных средств проникновения к коммерческим секретам. Для реализации этих действии злоумышленнику приходится часто проникать на объект или создавать вблизи него специальные посты контроля и наблюдения - стационарные или в подвижном варианте, оборудованные самыми современными техническими средствами.

Если исходить из комплексного подхода к обеспечению информационной безопасности, то такое деление ориентирует на защиту информации, как от разглашения, так и от утечки по техническим каналам и от несанкционированного доступа к ней со стороны конкурентов и злоумышленников.

Каждая угроза влечет за собой определенный ущерб – моральный или материальный, а защита и противодействие угрозе призвана снизить его величину, в идеале – полностью, реально – значительно или хотя бы частично. Но и это удается далеко не всегда.

С учетом этого угрозы могут быть классифицированы по следующим признакам :

· по величине принесенного ущерба:

- предельный, после которого фирма может стать банкротом;

- значительный, но не приводящий к банкротству;

- незначительный, который фирма за какое-то время может компенсировать и др.;

· по вероятности возникновения:

- весьма вероятная угроза;

- вероятная угроза;

- маловероятная угроза;

· по причинам появления:

- стихийные бедствия;

- преднамеренные действия;

· по характеру нанесенного ущерба:

- материальный;

- моральный;

· по характеру воздействиям:

- активные;

- пассивные;

· по отношению к объекту:

- внутренние;

- внешние.

Степень опасности внутренних и внешних угроз может быть проиллюстрирована на примере анализа условий, способствующих неправомерному овладению конфиденциальной информацией :

- разглашение (излишняя болтливость сотрудников) - 32%;

- несанкционированный доступ путем подкупа и склонения к сотрудничеству со стороны конкурентов и преступных группировок - 24%;

- отсутствие в фирме надлежащего контроля и жестких условий обеспечения информационной безопасности - 14%;

- традиционный обмен производственным опытом - 12%; -'< бесконтрольное использование информационных систем -10%

- наличие предпосылок возникновения среди сотрудников конфликтных ситуаций, связанных с отсутствием высокой трудовой дисциплины, психологической несовместимостью, случайным подбором кадров, слабой работой кадров по сплочению коллектива - 8%.

Этот пример убедительно показывает, что одним из основных источников угроз для информационной безопасности является внутренний фактор, на который следует обращать первостепенное внимание при создании соответствующих служб защиты информации.

---

12
3
4
5
6
7
8
9
10
11
12
13
14
15
16
Далее ⇒