Способы защиты доступности информации в компьютерных системах
Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.
Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ
Базовые элементы информационной безопасности
Рассмотрим основные составляющие информационной безопасности:
- Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
- Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
- Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.
Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.
Инструменты инженерно-технической защиты
Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:
- Защита помещения компании от действий злоумышленников.
- Защита хранилищ информации от действий заинтересованных лиц.
- Защита от удаленного видеонаблюдения, прослушивания.
- Предотвращение перехвата сведений.
- Создание доступа сотрудников в помещение компании.
- Контроль над деятельностью сотрудников.
- Контроль над перемещением работников на территории компании.
- Защита от пожаров.
- Превентивные меры против последствий стихийных бедствий, катаклизмов.
Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.
Разновидности угроз информационной безопасности
Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.
Базовые угрозы конфиденциальности
Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:
- Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
- Использование одних и тех же паролей в различных системах.
- Размещение информации в среде, которая не обеспечивает конфиденциальность.
- Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
- Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
- Хранение сведений на резервных носителях.
- Распространение информации по множеству источников, что приводит к перехвату сведений.
- Оставление ноутбуков без присмотра.
- Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).
Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.
Инструменты организационно-правовой защиты
Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.
Угрозы целостности
Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:
- Ввод неправильных данных.
- Изменение сведений.
- Подделка заголовка.
- Подделка всего текста письма.
- Отказ от исполненных действий.
- Дублирование информации.
- Внесение дополнительных сведений.
Внимание! Угроза нарушения целостности касается и данных, и самих программ.
Средства защиты информации
Средства защиты информации принято делить на нормативные (неформальные) и технические (формальные).
Неформальные средства защиты информации
Неформальными средствами защиты информации – являются нормативные(законодательные), административные(организационные) и морально-этические средства, к которым можно отнести: документы, правила, мероприятия.
Правовую основу (законодательные средства) информационной безопасности обеспечивает государство. Защита информации регулируется международными конвенциями, Конституцией, федеральными законами «Об информации, информационных технологиях и о защите информации», законы Российской Федерации «О безопасности», «О связи», «О государственной тайне» и различными подзаконными актами.
Так же некоторые из перечисленных законов были приведены и рассмотрены нами выше, в качестве правовых основ информационной безопасности. Не соблюдение данных законов влечет за собой угрозы информационной безопасности, которые могут привести к значительным последствиям, что в свою очередь наказуемо в соответствии с этими законами в плоть до уголовной ответственности.
Государство также определят меру ответственности за нарушение положений законодательства в сфере информационной безопасности. Например, глава 28 «Преступления в сфере компьютерной информации» в Уголовном кодексе Российской Федерации, включает три статьи:
- Статья 272 «Неправомерный доступ к компьютерной информации»;
- Статья 273 «Создание, использование и распространение вредоносных компьютерных программ»;
- Статья 274 «Нарушение правил эксплуатации средств хранения, обработки или передачи компьютерной информации и информационно-телекоммуникационных сетей».
Для снижения влияния этих аспектов необходима совокупность организационно-правовых и организационно-технических мероприятий, которые исключали бы или сводили к минимуму возможность возникновения угроз конфиденциальной информации.
В данной административно-организационной деятельности по защите информационной для сотрудников служб безопасности открывается простор для творчества.
Это и архитектурно-планировочные решения, позволяющие защитить переговорные комнаты и кабинеты руководства от прослушивания, и установление различных уровней доступа к информации.
С точки зрения регламентации деятельности персонала важным станет оформление системы запросов на допуск к интернету, внешней электронной почте, другим ресурсам. Отдельным элементом станет получение электронной цифровой подписи для усиления безопасности финансовой и другой информации, которую передают государственным органам по каналам электронной почты.
К морально-этическим средствам можно отнести сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе. Эти нормы не являются обязательными, как законодательно утвержденные нормы, однако, их несоблюдение ведет к падению авторитета, престижа человека или организации.
Формальные средства защиты информации
Формальные средства защиты – это специальные технические средства и программное обеспечение, которые можно разделить на физические, аппаратные, программные и криптографические.
Физические средства защиты информации – это любые механические, электрические и электронные механизмы, которые функционируют независимо от информационных систем и создают препятствия для доступа к ним.
Замки, в том числе электронные, экраны, жалюзи призваны создавать препятствия для контакта дестабилизирующих факторов с системами. Группа дополняется средствами систем безопасности, например, видеокамерами, видеорегистраторами, датчиками, выявляющие движение или превышение степени электромагнитного излучения в зоне расположения технических средств для снятия информации.
Аппаратный средства защиты информации – это любые электрические, электронные, оптические, лазерные и другие устройства, которые встраиваются в информационные и телекоммуникационные системы: специальные компьютеры, системы контроля сотрудников, защиты серверов и корпоративных сетей. Они препятствуют доступу к информации, в том числе с помощью её маскировки.
К аппаратным средствам относятся: генераторы шума, сетевые фильтры, сканирующие радиоприемники и множество других устройств, «перекрывающих» потенциальные каналы утечки информации или позволяющих их обнаружить.
Программные средства защиты информации – это простые и комплексные программы, предназначенные для решения задач, связанных с обеспечением информационной безопасности.
Примером комплексных решений служат DLP-системы и SIEM-системы.
DLP-системы («Data Leak Prevention» дословно «предотвращение утечки данных») соответственно служат для предотвращения утечки, переформатирования информации и перенаправления информационных потоков.
SIEM-системы («Security Information and Event Management», что в переводе означает «Управление событиями и информационной безопасностью») обеспечивают анализ в реальном времени событий (тревог) безопасности, исходящих от сетевых устройств и приложений. SIEM представлено приложениями, приборами или услугами, и используется также для журналирования данных и генерации отчетов в целях совместимости с прочими бизнес-данными.
Программные средства требовательны к мощности аппаратных устройств, и при установке необходимо предусмотреть дополнительные резервы.
Математический (криптографический) – внедрение криптографических и стенографических методов защиты данных для безопасной передачи по корпоративной или глобальной сети.
Криптография считается одним из самых надежных способов защиты данных, ведь она охраняет саму информацию, а не доступ к ней. Криптографически преобразованная информация обладает повышенной степенью защиты.
Внедрение средств криптографической защиты информации предусматривает создание программно-аппаратного комплекса, архитектура и состав которого определяется, исходя из потребностей конкретного заказчика, требований законодательства, поставленных задач и необходимых методов, и алгоритмов шифрования.
Сюда могут входить программные компоненты шифрования (криптопровайдеры), средства организации VPN, средства удостоверения, средства формирования и проверки ключей и электронной цифровой подписи.
Средства шифрования могут поддерживать алгоритмы шифрования ГОСТ и обеспечивать необходимые классы криптозащиты в зависимости от необходимой степени защиты, нормативной базы и требований совместимости с иными, в том числе, внешними системами. При этом средства шифрования обеспечивают защиту всего множества информационных компонент в том числе файлов, каталогов с файлами, физических и виртуальных носителей информации, целиком серверов и систем хранения данных.
В заключение второй части рассмотрев вкратце основные способы и средства защиты информации, а так же классификацию информации, можно сказать следующее: О том что еще раз подтверждается давно известный тезис, что обеспечение информационной безопасности — это целый комплекс мер, который включает в себя все аспекты защиты информации, к созданию и обеспечению которого, необходимо подходить наиболее тщательно и серьезно.
Необходимо строго соблюдать и ни при каких обстоятельствах нельзя нарушать «Золотое правило» — это комплексный подход.
Для более наглядного представления средства защиты информации, именно как неделимый комплекс мер, представлены ниже на рисунке 2, каждый из кирпичиков которого, представляет собой защиту информации в определенном сегменте, уберите один из кирпичиков и возникнет угроза безопасности.
Рисунок 2. Классификация средства защиты информации.
Криптографические инструменты защиты
Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:
КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.
Методы защиты информации
Методы защиты, как правило, используются в совокупности.
Программно-аппаратные инструменты для защиты сведений
Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:
- Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
- Инструменты для шифрования данных.
- Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
- Инструменты для уничтожения сведений на носителях.
- Сигнализация, срабатывающая при попытках несанкционированных манипуляций.
В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.
В общем случае обеспечение защиты от угроз нарушения доступности информации реализуется путём создания той или иной избыточности. Это означает, что некоторые компоненты системы будут использоваться лишь в случае возникновения проблемных ситуаций.
Основными методами обеспечения доступности информации являются:
1) Резервное копирование информации. Используются следующие методы резервного копирования:
- Полное (full). В этом случае все без исключения данные, потенциально подвергаемые резервному копированию, переносятся на резервный носитель.
- Инкрементальное (incremental). Резервному копированию подвергаются только данные, изменённые с момента последнего инкрементального копирования.
- Дифференциальное (differential). Копируются данные, изменённые с момента полного резервного копирования. Количество копируемых данных в этом случае с каждым разом возрастает.
На практике резервное копирование обычно осуществляется следующим образом: периодически проводится полное резервное копирование, в промежутках - инкрементальное или дифференциальное. Выбор между дифференциальным и инкрементальным резервным копированием осуществляется с учётом требуемых характеристик подсистемы резервного копирования: инкрементальное копирование выполняется быстрее, однако в случае дифференциального копирования легче восстановить оригинал по резервной копии.
2) Использование RAID-массивов решает задачу оптимального (с точки зрения надёжности и производительности) распределения данных по нескольким дисковым накопителям. Особенности проектирования и исполь-зования RAID-массивов вы изучали в ходе освоения дисциплины «Архитек-тура компьютера».
3) Зеркалирование серверов в целом аналогично зеркалированию дисковых накопителей: идентичные данные в целях защиты от сбоев оборудования записываются на два независимых сервера. Речь в данном случае идёт исключительно о хранении данных.
4) Дублирование серверов, в свою очередь, позволяет обеспечить полноценную замену сервера в случае его сбоя за счёт передачи управления резервному серверу.
5) Создание высокопроизводительных кластерных систем, позволяющее разместить информационную систему одновременно на нескольких серверах одного кластера. При этом каждый из серверов может полноценно обслуживать поступающие запросы. В процессе балансировки нагрузки запрос передается на один из серверов, после выполнения которого данные синхронизируются. Современные кластерные системы позволяют обеспечить очень высокий уровень производительности при гарантированной доступности в случае выхода одного или нескольких серверов из строя.
Юридическая ответственность — это важная мера защиты интересов личности, общества и государства. Она наступает в результате нарушения предписаний правовых норм и проявляется в форме применения к правонарушителю мер государственного принуждения.
Ответственность в информационной сфере. Юридическая ответственность реализуется с учетом специфических методов информационного права при возникновении конфликтных противоправных ситуаций. Дисциплинарная ответственность наступает за противоправные действия, совершаемые субъектами информационного права в связи с исполнением своих прав и обязанностей (п. 6 ст. 9 Закона "О правовой охране топологий интегральных микросхем", ст. 46 Конституции РФ - ответственность служащих за представление недоброкачественной информации). Административная ответственность устанавливается в гл. 13 КоАП РФ - за использование несертифицированных услуг связи, нарушение правил защиты информации, разглашение информации с ограниченным доступом, злоупотребление свободой массовой информации. Гражданско-правовая ответственность предусматривается ч. 2 ст. 139 ГК РФ: за нарушение норм, регулирующих информационно-имущественные отношения (исключительные права в авторском праве), а также возмещение морального вреда и имущественного вреда в случае разглашения порочащих сведений. Уголовная ответственность устанавливается УК РФ: ст. 237 "Сокрытие, искажение информации, касающиеся здоровья, жизни населения"; ст. 283 и 284 - правонарушения, связанные с разглашением государственной тайны; глава о правонарушениях в компьютерной сфере (ст. 272, 273 и 274). Ответственность средств массовой информации предусмотрена за злоупотребления правами журналиста; нарушение неприкосновенности частной жизни; клевету и оскорбление; нарушение более 2 раз в год ст. 4 Закона "О средствах массовой информации" (о публикации различного рода запрещенной информации).
Информационное преступление -- общественно опасное, противоправное, влекущее за собой уголовную ответственность, виновное деяние (действие или бездействие) деликт способного лица, совершенное в информационной сфере и (или) с использованием информационных средств и технологий работы с информацией независимо от ее формы, либо в иной области человеческой деятельности в условиях информационной среды.
Информационные правонарушения совершаются преимущественно в особой области человеческой деятельности - в информационной сфере, т. е. в области поиска, создания, обработки, передачи, получения, хранения, защиты и использования всевозможных сведений об окружающем мире (информации). Нередко они совершаются с использованием информационных средств и технологий работы с информацией независимо от ее формы.
Информационные правонарушения могут совершаться в разных сферах человеческой деятельности. Важными обстоятельствами совершения информационных деяний являются условия среды их реализации, которые связанны с использованием информации, информационных средств и технологий работы с информацией независимо от ее формы. Совокупность таких условий принято называть информационной средой (И.Л. Бачило, П.У Кузнецов).
Информационные правонарушения обладают общими и специальными признаками, имеющими существенное значение для этого класса правонарушений.
К общим признакам относятся противоправность, общественная опасность, деликт способность и виновность. К специальным признакам - информационная сфера, информационная среда их совершения, использование информационных средств и технологий. Анализ специальных признаков основан не только на их легальных определениях, но и на знаниях в области смежных с юриспруденцией научных дисциплин.
Виды и формы правонарушений в информационной сфере.
Гражданские (договорные) Административное информационное
Административное информационное правонарушение – посягающее на установленный
порядок государственного управления общественно опасное, противоправное, виновное
деяние (действие или бездействие) деликтоспособного лица, совершенное в информационной сфере и (или) с использованием информационных средств и технологий работы с информацией независимо от ее формы, либо в
иной области человеческой деятельности в условиях информационной среды.Информационное преступление
Информационное преступление – общественно опасное, противоправное, влекущее за собой
уголовную ответственность, виновное деяние (действие или бездействие) деликтоспособного
лица, совершенное в информационной сфере и (или) с использованием информационных средств
и технологий работы с информацией независимо от ее формы, либо в иной области человеческой
деятельности в условиях информационной среды.Дисциплинарное информационное правонарушение
Дисциплинарное информационное правонарушение – посягающее на установленный
трудовой или служебный правопорядок общественно вредное, противоправное, виновное
деяние деликтоспособного лица, совершенное в информационной сфере и (или) с использованием
информационных средств и технологий работы с информацией независимо от ее формы, либо в
иной области человеческой деятельности в условиях информационной среды.Гражданское информационное
Гражданское информационное правонарушение – посягающее на имущественные и
неимущественные блага общественно вредное, противоправное, виновное деяние
деликтоспособного лица, совершенное в информационной сфере и (или) с использованием
информационных средств и технологий работы с информацией независимо от ее формы, либо в
иной области человеческой деятельности в условиях информационной среды.
Усиление значимости ответственности в информационной сфере.
Интернет как виртуальная среда.
с помощью Интернет активно формируется мировое информационное пространство, составляющее основу информационного общества. Внем действуют крупные информационные конгломераты, объединяющие системы создания информации (издательские дома, редакции газет и журналов, телесети, телестудии) и сети ее распространения (кабельные, телефонные, компьютерные, спутниковые). Функционируют глобальные международные информационно-телекоммуникационные сети, охватывающие территории большинства стран мира. В Интернет сегодня сосредоточена деловая, образовательная, развлекательная информация, электронные газеты и журналы, базы данных практически по всем областям жизнедеятельности общества, электронная почта, доступ к разнообразным информационным ресурсам библиотек, государственных и частных учреждений и компаний. Трансформируется деятельность СМИ, интегрируются СМИ и ТИТС, создается единая среда распространения массовой информации — мультимедиа;
. В Интернет отсутствуют географические и геополитические границы государств— участников ТИТС, происходит «столкновение» и «ломка» национальных законодательств стран в этих сетях. На этой основе возникает проблема формирования нового международного информационного законодательства.
Правовые аспекты Интернет.
Сегодня ведется много споров по поводу того, что такое Интернете правовой точки зрения. Можно выделить две группы специалистов, высказывающих мнения по этому поводу.
Одна группа специалистовсчитает, что Интернет — такая среда, в которой право принципиально не применимо.
Вторая группаполагает, что право в Интернет займет достойное место, нужно только учитывать особенности и юридические свойства объектов, по поводу которых субъекты этой среды вступают в отношения, ведущие к юридическим последствиям.
Однако ни первые, ни вторые пока не проводили подробного системного анализа этой виртуальной среды с тем, чтобы выявить всю совокупность общественных отношений, подлежащих правовому регулированию в Интернет, и, главное, установить особенности такого правового регулирования.
Для того, чтобы определить место и роль права в этой среде, надо понять, что она из себя представляет, какие в ней или по ее поводу возникают отношения, влекущие за собой юридические последствия.
Для ответа на поставленные вопросы рассмотрим, что такое Интернет с юридической точки зрения.
Сравнительный анализ информационных отношений, проявляющихся в реальной информационной среде и в виртуальной информационной среде, показывает, что они имеют определенные отличия. Это связано с тем, что в виртуальной среде меняются физические свойства информациии, как следствие, появляютсяновые юридические особенности и свойства информациикак объекта правоотношений.
Особенность регулирования информационных отношений в Интернет определяется именно особенностью физического представления информации в этой сети, в первую очередь представления ее в электронном виде.При передаче информации по каналам связи, отображении ее на экране компьютеранет твердого носителя,на котором она зафиксирована, а есть виртуальный, т.е. на ощупь не ощутимый. А это осложняет оформление и представление документированной информации в виртуальной среде и, в первую очередь, официальных документов. Вероятно, без применения новых для права механизмов закрепления правового режима электронного документа, обеспечивающего и подтверждающего его достоверность и оригинальность, не обойтись. Появление механизма электронной цифровой подписи позволяет преодолеть эту сложность. Мало того, это дает возможность создавать документы даже с большей гарантией их подлинности и достоверности, чем, например, традиционные на бумаге.
Особенности информационных правоотношений в Интернет.
Можно выделить три группы субъектов, которые действуют в Интернет.
Первая группа— те, которые создают программно-техническую часть информационной инфраструктуры Интернет, включая средства связи и телекоммуникаций, обеспечивают ее эксплуатацию, расширение и развитие.Основными субъектами первой группывыступают: разработчики трансграничных информационных сетей, в том числе их технических средств (компьютеров), средств связи и телекоммуникаций, программных средств разного уровня и назначения, другого оборудования, составляющего инфраструктуру Интернет.
Вторая группа— субъекты, производящие и распространяющие информацию в Интернет, предоставляющие услуги по подключению кИнтернет (как бы «генераторы» информации, информационных продуктов и услуг). В число субъектов второй группывходят специалисты, производящие исходную информацию, формирующие информационные ресурсы (наполняющие информацией базы данных, входящие в состав Интернет) и предоставляющие информацию из этих ресурсов потребителям или предоставляющие возможность потребителям подключиться к Интернет и пользоваться его возможностями самостоятельно.
Третья группа— потребители информации изИнтернет, т.е. все то множество субъектов, которые подключаются к Интернет для получения необходимой им информации и используют ее в собственной деятельности.
Основными объектами,по поводу которых возникают информационные отношения в Интернет, являются:
программно-технические комплексы, информационные системы, информационно-телекоммуникационные технологии как средство формирования информационной инфраструктуры, средства связи и телекоммуникаций, обеспечивающие осуществление информационных процессов;
информация, информационные ресурсы, информационные продукты, информационные услуги;
доменные имена;
информационные права и свободы;
интересы личности, общества, государства в информационной сфере;
информационная целостность и информационный суверенитет государства;
информационная безопасность.
нформационные объекты в Интернет обладают той отличительной чертой, что они, как правило, представляются в виртуальной форме. В этой связи правоотношения, возникающие по их поводу, существенно отличаются от действующих в отношении информационных объектов на материальных, жестких носителях. Наиболее типичным примером здесь может служить доменное имя, предоставляемое для именования сайта (области памяти в Интернет для размещения информации и информационных ресурсов) и обозначения адреса этого сайта в Интернет.
Область реализации права на поиск, получение и потребление информации в Интернет
Основными субъектами здесь выступают потребители информации и услуг, вступающие в информационные отношения с поставщиками информацииили предоставляющими услуги по хостингу (по размещениюинформационныхресурсов в памяти компьютера).
Они разделяются на следующие виды:
потребители информации,осуществляющие поиск и получение ин формации в Интернет;
потребители услуг по хостингу(по размещению информации в Интернет па серверах);
Папиллярные узоры пальцев рук - маркер спортивных способностей: дерматоглифические признаки формируются на 3-5 месяце беременности, не изменяются в течение жизни.
На протяжении всего своего существования человечество получало новые знания об окружающем мире. Именно новые данные, полученные в процессе познания или обучения, называется информацией.
Вопреки распространенному мнению обычные факты сами по себе не о чем не говорят – они приобретают значение в сравнении с другими фактами. Если некие сведения не несут для нас смысловой нагрузки или же они не новы для нас, то такой факт останется для нас всего лишь фактом.
Ежедневно мы узнаем тонны новой информации, нужной и не очень. Большую ее часть мы, естественно, узнаем из Интерната. Данные и сведения о неких объектах, находящиеся в свободном доступе, принадлежит всем без исключения. Кроме того, в Интернете люди часто передают друг другу огромное количество личной информации. Поэтому наше общество часто называют «информационным», ведь человечество в буквальном смысле стало зависеть от той информации, которой оно владеет.
В современном мире информация представляет собой определенную для человека ценность. Как и любую другую ценность, информацию стоит защищать от ее неправомерного искажения или несанкционированного доступа к ней. Многие пользователи остались бы недовольными, если бы информация личного характера, которой они обмениваются в различных социальных сетях, находилась в общем пользовании. Поэтому, защита данных от несанкционированного доступа является одной из приоритетных задач при проектировании любой информационной системы.
Но как правильно защитить информацию? И существует ли абсолютная защита информации? Именно на эти вопросы я постараюсь дать ответ в своей работе.
1 Защита информации
1.1 Основные понятия защиты информации
-
предотвращение утечки, хищения, утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества, государства; предотвращение несанкционированных действий по уничтожению, модификацию, искажению, копированию, блокирования информации, а также предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
2 Абсолютная защита информации
Несмотря на обилие данных про защиту информации в книжных изданиях и в Интернете, точного определения абсолютной защиты информации нигде нет. Поэтому, попробуем дать значение этому термину самостоятельно. Итак, абсолютная защита информации – это совокупность мер по защите информации, который обеспечивает ей стопроцентную безопасность в любой период времени. При этом информация не должна утратить свои ключевые свойства, то есть быть доступной, целостной и конфиденциальной.
В современных условиях технического прогресса обеспечить абсолютную защиту информации почти невозможно, задается лишь определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.
Полностью защищенной является та информация, которая находится на компьютере, которой отключен от всех сетей, даже от электрической, находящийся в полностью бронированном сейфе, который в свою очередь находятся в комнате, охраняемой не только с помощью охранников, но и разного рода сигнализации. Действительно, такая информация имеет стопроцентный уровень защиты. Но использовать ее нельзя, поэтому не выполняется требование доступности. А как уже было сказано ранее, нарушение хотя бы одного свойства информации приведем к нарушению системы в целом.
«Абсолютности» защиты мешает не только необходимость пользоваться защищаемыми данными, но и усложнение защищаемых систем. Использование постоянных, не развивающихся механизмов защиты опасно, ведь с развитием техники трудно определить, какое новое устройство сможет запросто обойти вашу защиту.
Многие компании, стремясь повысить уровень своего дохода, заявляют о создании «абсолютно защищенных» систем. Но все эти компании делают это только ради пиара, чтобы привлечь к себе внимание. На самом же деле, таких систем на данный момент времени не существует.
Немного порассуждаем о тех параметрах, от которых зависит вероятность взлома той или иной сети. Всего же этих параметров три:
надежность средств, защищающих сеть;
качество настройки и конфигурации системы защиты;
быстрота реагирования на атаки злоумышленников.
Можно заметить, что так или иначе каждый параметр зависит от человеческого фактора. Но если в двух последних критериях этот фактор можно свести к минимуму или даже к нулю, то первый параметр всегда будет оставаться уязвимым. Связано это с тем, что, людям, создающим эти довольно сложные системы, свойственно ошибаться и эти ошибки могут стоить очень дорого. Поэтому надежность даже суперзащищенной системы быть сведена "на нет" некачественной или неграмотной настройкой, то есть любая система требует квалифицированного персонала, не только знающего, но и умеющего грамотно настраивать средства защиты. Ведь если на вашей входной двери стоит суперсовременный замок, но вы его забыли закрыть, то о какой безопасности вообще может идти речь?
Поэтому, создание абсолютных систем защиты информации возможно только в том случае, если устранить из процесса ее создания человеческий фактор, являющийся главной причиной всех ошибок. Очевидно, что на современном этапе развития науки и информационных технологий это невозможно.
3 Относительная защита информации
3.1 Методы защиты информации
Как уже говорилось ранее, абсолютная защита информации почти не реализуема. Поэтому на всех предприятиях обычно приходится довольствоваться относительной защитой информации – гарантированно защищают ее на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. То есть, секретная информация должна быть недоступна до того момента, когда она станет либо очевидной и понятной, либо уже никому не нужной.
Но как защитить информацию хотя бы на такой короткий период времени? Конечно, в современной мировой обстановке существует огромное количество способов для предотвращения утечки информации или ее потери. Но в основном используются только шесть основных технологий защиты данных:
Под препятствием понимается способ физической защиты информационных систем, благодаря которому злоумышленники не имеют возможность попасть на охраняемую территорию (к аппаратуре, носителям информации и т.д.). Препятствия являются одними из самых простых и относительно надежных средств защиты информации. Так, на любом большом предприятии вся аппаратура, на которой содержится определенное количество секретной информации, находиться в строго охраняемом помещении. Причем такие помещения могут охраняться как и людьми (охранниками), так и специальными защищающими системами, для прохождения которых необходимо знать специальный код или пароль.
Управление – способы защиты информации, при которых осуществляется управление над всеми компонентами информационной системы. Управление доступом включает такие функции защиты, как:
идентификация пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);
опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;
разрешение и создание условий работы в пределах установленного регламента;
регистрация обращений к защищаемым ресурсам;
регистрация при попытках несанкционированных действий.
Регламентация – важнейший метод защиты информационных систем, предполагающий введение особых инструкций, согласно которым должны осуществляться все манипуляции с охраняемыми данными.
Принуждение – методы защиты информации, тесно связанные с регламентацией, предполагающие введение комплекса мер, при которых работники вынуждены выполнять установленные правила. Таким образом, риск доступа к секретной информации компании извне сводится к нулю. Однако работники таких компаний должны обладать высоким уровнем информационной культуры во избежание случайного рассекречивания защищенных данных.
Должностные лица компании, допущенные к работе с защищенной информацией, обязаны:
надежно предохранять имеющуюся у них информацию от хищений, утраты и несанкционированного доступа к ней;
учитывать, хранить, обрабатывать и передавать информацию в строгом соответствии с порядком, установленным в компании;
при обнаружении недостачи документов или электронных носителей, содержащих защищенную информацию, незамедлительно поставить в известность своего руководителя и предпринять срочные меры по их розыску.
Побуждение – метод защиты информации, который побуждает пользователя и персонал системы не нарушать установленный порядок за счет соблюдения сложившихся моральных и этических норм (как регламентированных, так и неписаных). Например, ни одна компания с мировым именем не будет опускаться до того, чтобы неправомерно раздобыть необходимую информацию о компании-конкуренте.
Все перечисленные методы нацелены на построение эффективной технологии защиты информации, при которой исключены потери по причине халатности и успешно отражаются разные виды угроз.
3.2 Средства защиты информационных систем
Методы защиты информации предполагают использование определенного набора средств. Для предотвращения потери и утечки секретных сведений используются следующие средства:
программные и аппаратные;
Физические средства защиты информации предотвращают доступ посторонних лиц в запретную зону. Основным и наиболее старым средством физического препятствия является установка прочных дверей, надежных замков, решеток на окна.
Эти средства используются в том случае, когда человеку необходимо преодолеть какое-либо препятствие в виде охранников (если речь идет об охраняемых территориях) или специальных систем. Физические средства используются для охраны данных как на бумажных, так и на электронных носителях.
Аппаратные средства представлены устройствами, которые встраиваются в аппаратуру для обработки информации. Программные средства — программы, отражающие хакерские атаки. Также к программным средствам можно отнести программные комплексы, выполняющие восстановление утраченных сведений.
Программные и аппаратные средства – незаменимый компонент для обеспечения безопасности современных информационных систем. Физические и аппаратные средства защиты в совокупности являются техническими средствами защиты информации.
Техническая защита информации – это защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации, подлежащей защите в соответствии с действующим законодательством, с применением программных, технических и программно-технических средств.
Организационные средства сопряжены с несколькими методами защиты: регламентацией, управлением, принуждением. К организационным средствам относится разработка должностных инструкций, беседы с работниками, комплекс мер наказания и поощрения. При эффективном использовании организационных средств работники предприятия хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполняют свои обязанности и несут ответственность за предоставление недостоверной информации, утечку или потерю данных.
Законодательные средства – комплекс нормативно-правовых актов, регулирующих деятельность людей, имеющих доступ к охраняемым сведениям и определяющих меру ответственности за утрату или кражу секретной информации.
Рис.2 – Связь между способами и средствами защиты информации
Психологические или морально-эстетические средства защиты – комплекс мер для создания личной заинтересованности работников в сохранности и подлинности информации. Для создания личной заинтересованности персонала руководители используют разные виды поощрений. К психологическим средствам относится и построение корпоративной культуры, при которой каждый работник чувствует себя важной частью системы и заинтересован в успехе предприятия.
Организационные, законодательные и морально-эстетические средства защиты можно отнести к неформальным средствам защиты информационных систем. Между определенными способами защиты информации и средствам защиты информационных систем существует некая связь. Одно средство защиты может быть сопряжено с одним или сразу с несколькими методами защиты информации (Рис. 2).
Заключение
В нынешнее время информация имеет очень важное значение для мировой общественности, ведь мы находимся в условиях так называемой «информационной войны». Поэтому информацию нужно уметь правильно и грамотно защищать, то есть ограничить к ней доступ
Основная цель защиты информации – это обеспечение информационной безопасности, которая оценивает уровень защищенности данных от незаконного доступа к ним.
Наиболее важными свойствами информации являются конфиденциальность, доступность и целостность, причем нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом.
Абсолютной защиты информации не существует. Это свидетельствует о том, что в любой системе защиты велика вероятность человеческой ошибки, которые никак нельзя устранить в процессе создания системы.
Поэтому информацию можно защитить только на тот период времени, пока несанкционированный доступ к ней влечет какие-либо последствия. Для этого применяется специальные методы защиты информации, каждому из которых соответствует один или несколько способов защиты информационных систем.
Список используемых источников
1. Башлы П. Н., Баранова Е. К., Бабаш А. В. Информационная безопасность: учебно-практическое пособие. – М., Евразийский открытый институт, 2011. – 375с.;
2. Воробьев Г. Г. Твоя информационная культура. – М., Молодая гвардия, 1988. – 303с.;
3. Скрипник Д. А. Общие вопросы технической защиты информации. – М., Национальный Открытый Университет «ИНТУИТ», 2016. – 425с.;
В первой части «Основ информационной безопасности» нами были рассмотрены основные виды угроз информационной безопасности. Для того чтобы мы могли приступить к выбору средств защиты информации, необходимо более детально рассмотреть, что же можно отнести к понятию информации.
Информация и ее классификация
Информацию можно классифицировать по нескольким видам и в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен – конфиденциальные данные и государственная тайна.
Информация в зависимости от порядка ее предоставления или распространения подразделяется на информацию:
- Свободно распространяемую
- Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях
- Которая в соответствии с федеральными законами подлежит предоставлению или распространению
- Распространение, которой в Российской Федерации ограничивается или запрещается
- Массовая — содержит тривиальные сведения и оперирует набором понятий, понятным большей части социума.
- Специальная — содержит специфический набор понятий, которые могут быть не понятны основной массе социума, но необходимы и понятны в рамках узкой социальной группы, где используется данная информация.
- Секретная — доступ, к которой предоставляется узкому кругу лиц и по закрытым (защищённым) каналам.
- Личная (приватная) — набор сведений о какой-либо личности, определяющий социальное положение и типы социальных взаимодействий.
Согласно закона РФ от 21.07.1993 N 5485-1 (ред. от 08.03.2015) «О государственной тайне» статья 5. «Перечень сведений составляющих государственную тайну» относится:
- Сведения в военной области.
- Сведения в области экономики, науки и техники.
- Сведения в области внешней политики и экономики.
- Сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, а также в области противодействия терроризму и в области обеспечения безопасности лиц, в отношении которых принято решение о применении мер государственной защиты.
Конфиденциальные данные – это информация, доступ к которой ограничен в соответствии с законами государства и нормами, которые компании устанавливаются самостоятельно. Можно выделит следующие виды конфиденциальных данных:
Персональные данные
Отдельно стоит уделить внимание и рассмотреть персональные данные. Согласно федерального закона от 27.07.2006 № 152-ФЗ (ред. от 29.07.2017) «О персональных данных», статья 4: Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператором персональных данных является — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Права на обработку персональных данных закреплено в положениях о государственных органах, федеральными законами, лицензиями на работу с персональными данными, которые выдает Роскомнадзор или ФСТЭК.
Компании, которые профессионально работают с персональными данными широкого круга лиц, например, хостинг компании виртуальных серверов или операторы связи, должны войти в реестр, его ведет Роскомнадзор.
Для примера наш хостинг виртуальных серверов VPS.HOUSE осуществляет свою деятельность в рамках законодательства РФ и в соответствии с лицензиями Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций №139322 от 25.12.2015 (Телематические услуги связи) и №139323 от 25.12.2015 (Услуги связи по передаче данных, за исключением услуг связи по передаче данных для целей передачи голосовой информации).
Исходя из этого любой сайт, на котором есть форма регистрации пользователей, в которой указывается и в последствии обрабатывается информация, относящаяся к персональным данным, является оператором персональных данных.
Учитывая статью 7, закона № 152-ФЗ «О персональных данных», операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Соответственно любой оператор персональных данных, обязан обеспечить необходимую безопасность и конфиденциальность данной информации.
Для того чтобы обеспечить безопасность и конфиденциальность информации необходимо определить какие бывают носители информации, доступ к которым бывает открытым и закрытым. Соответственно способы и средства защиты подбираются так же в зависимости и от типа носителя.
Основные носители информации:
- Печатные и электронные средства массовой информации, социальные сети, другие ресурсы в интернете;
- Сотрудники организации, у которых есть доступ к информации на основании своих дружеских, семейных, профессиональных связей;
- Средства связи, которые передают или сохраняют информацию: телефоны, АТС, другое телекоммуникационное оборудование;
- Документы всех типов: личные, служебные, государственные;
- Программное обеспечение как самостоятельный информационный объект, особенно если его версия дорабатывалась специально для конкретной компании;
- Электронные носители информации, которые обрабатывают данные в автоматическом порядке.
Классификация средств защиты информации
В соответствии с федеральным законом от 27 июля 2006 года № 149-ФЗ (ред. от 29.07.2017 года) «Об информации, информационных технологиях и о защите информации», статья 7, п. 1. и п. 4:
1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- Соблюдение конфиденциальности информации ограниченного доступа;
- Реализацию права на доступ к информации.
- Предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
- Своевременное обнаружение фактов несанкционированного доступа к информации;
- Предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
- Недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
- Возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
- Постоянный контроль за обеспечением уровня защищенности информации;
- Нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации (п. 7 введен Федеральным законом от 21.07.2014 № 242-ФЗ).
- Правовой уровень обеспечивает соответствие государственным стандартам в сфере защиты информации и включает авторское право, указы, патенты и должностные инструкции.
Грамотно выстроенная система защиты не нарушает права пользователей и нормы обработки данных. - Организационный уровень позволяет создать регламент работы пользователей с конфиденциальной информацией, подобрать кадры, организовать работу с документацией и носителями данных.
Регламент работы пользователей с конфиденциальной информацией называют правилами разграничения доступа. Правила устанавливаются руководством компании совместно со службой безопасности и поставщиком, который внедряет систему безопасности. Цель – создать условия доступа к информационным ресурсам для каждого пользователя, к примеру, право на чтение, редактирование, передачу конфиденциального документа.
Правила разграничения доступа разрабатываются на организационном уровне и внедряются на этапе работ с технической составляющей системы. - Технический уровень условно разделяют на физический, аппаратный, программный и математический (криптографический).
Угрозы доступности
Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.
Рассмотрим подробнее источники угроз доступности:
- Нежелание обучаться работе с информационными системами.
- Отсутствие у сотрудника необходимой подготовки.
- Отсутствие техподдержки, что приводит к сложностям с работой.
- Умышленное или неумышленное нарушение правил работы.
- Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
- Ошибки при переконфигурировании.
- Отказ ПО.
- Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).
Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.
Читайте также: