Информационная безопасность

   Новые уязвимые места и средства их использования  появляются постоянно; это значит, во-первых, что почти всегда существуют окна опасности и, во-вторых, что отслеживание таких окон должно производиться постоянно, а выпуск и наложение заплат - как можно более оперативно.

   Некоторые угрозы нельзя считать следствием каких-то ошибок или просчетов; они существуют в силу самой природы современных  ИС. Например, угроза отключения электричества или выхода его параметров за допустимые границы существует в силу зависимости аппаратного обеспечения ИС от качественного электропитания.

   Наиболее  распространенные угрозы, которым подвержены современные информационные системы. Иметь представление о возможных угрозах, а также об уязвимых местах, которые эти угрозы обычно эксплуатируют, необходимо для того, чтобы выбирать наиболее экономичные средства обеспечения безопасности. Слишком много мифов существует в сфере информационных технологий, поэтому незнание в данном случае ведет к перерасходу средств и, что еще хуже, к концентрации ресурсов там, где они не особенно нужны, за счет ослабления действительно уязвимых направлений.

   Само  понятие "угроза" в разных ситуациях  зачастую трактуется по-разному. Например, для подчеркнуто открытой организации угроз конфиденциальности может просто не существовать - вся информация считается общедоступной; однако в большинстве случаев нелегальный доступ представляется серьезной опасностью. Иными словами, угрозы, как и все в ИБ, зависят от интересов субъектов информационных отношений (и от того, какой ущерб является для них неприемлемым). Попытаемся взглянуть на предмет с точки зрения типичной организации. Впрочем, многие угрозы (например, пожар) опасны для всех.

   Угрозы  можно классифицировать по нескольким критериям:

1. по аспекту информационной безопасности (доступность, целостность, конфиденциальность), против которого угрозы направлены в первую очередь;
2. по компонентам информационных систем, на которые угрозы нацелены (данные, программы, аппаратура, поддерживающая инфраструктура);
3. по способу осуществления (случайные/преднамеренные действия природного/техногенного характера);
4. по расположению источника угроз (внутри/вне рассматриваемой ИС).

 
 

Наиболее  распространенные угрозы доступности. 
 

     Самыми  частыми и самыми опасными (с точки  зрения размера ущерба) являются непреднамеренные ошибки штатных пользователей, операторов, системных администраторов и  других лиц, обслуживающих информационные системы.

   Иногда  такие ошибки и являются собственно угрозами (неправильно введенные данные или ошибка в программе, вызвавшая крах системы), иногда они создают уязвимые места, которыми могут воспользоваться злоумышленники (таковы обычно ошибки администрирования). По некоторым данным, до 65% потерь - следствие непреднамеренных ошибок. Пожары и наводнения не приносят столько бед, сколько безграмотность и небрежность в работе. Очевидно, самый радикальный способ борьбы с непреднамеренными ошибками - максимальная автоматизация и строгий контроль. Другие угрозы доступности классифицируем по компонентам ИС, на которые нацелены угрозы:

1. отказ пользователей;
2. внутренний отказ информационной системы;
3. отказ поддерживающей инфраструктуры.

Обычно  применительно к пользователям  рассматриваются следующие угрозы:

1. нежелание работать с информационной системой (чаще всего проявляется при необходимости осваивать новые возможности и при расхождении между запросами пользователей и фактическими возможностями и техническими характеристиками);
2. невозможность работать с системой в силу отсутствия соответствующей подготовки (недостаток общей компьютерной грамотности, неумение интерпретировать диагностические сообщения, неумение работать с документацией и т.п.);
3. невозможность работать с системой в силу отсутствия технической поддержки (неполнота документации, недостаток справочной информации и т.п.).

Основными источниками внутренних отказов  являются:

1. отступление (случайное или умышленное) от установленных правил эксплуатации;
2. выход системы из штатного режима эксплуатации в силу случайных или преднамеренных действий пользователей или обслуживающего персонала (превышение расчетного числа запросов, чрезмерный объем обрабатываемой информации и т.п.);
3. ошибки при (пере) конфигурировании системы;
4. отказы программного и аппаратного обеспечения;
5. разрушение данных;
6. разрушение или повреждение аппаратуры.

   По  отношению к поддерживающей инфраструктуре рекомендуется рассматривать следующие  угрозы:

1. нарушение работы (случайное или умышленное) систем связи, электропитания, водо- и/или теплоснабжения, кондиционирования;
2. разрушение или повреждение помещений;
3. невозможность или нежелание обслуживающего персонала и/или пользователей выполнять свои обязанности (гражданские беспорядки, аварии на транспорте, террористический акт или его угроза, забастовка и т.п.).

   Весьма  опасны так называемые "обиженные" сотрудники - нынешние и бывшие. Как  правило, они стремятся нанести  вред организации - "обидчику", например:

1. испортить оборудование;
2. встроить логическую бомбу, которая со временем разрушит программы и/или данные;
3. удалить данные.

   Опасны стихийные бедствия и события, воспринимаемые как стихийные бедствия,- пожары, наводнения, землетрясения, ураганы. По статистике, на долю огня, воды и тому подобных "злоумышленников" (среди которых самый опасный - перебой электропитания) приходится 13% потерь, нанесенных информационным системам.  

Нормативные документы в области  информационной безопасности 

В Российской Федерации к нормативно-правовым актам в области информационной безопасности относятся[2]:

• Акты федерального законодательства:
• Международные договоры РФ;
• Конституция РФ;
• Законы федерального уровня (включая федеральные конституционные законы, кодексы);
• Указы Президента РФ;
• Постановления правительства РФ;
• Нормативные правовые акты федеральных министерств и ведомств;
• Нормативные правовые акты субъектов РФ, органов местного самоуправления и т. д.

 

К нормативно-методическим документам можно отнести:

• Методические документы государственных органов России:
• Доктрина информационной безопасности РФ;
• Руководящие документы ФСТЭК (Гостехкомиссии России);
• Приказы ФСБ;
• Стандарты информационной безопасности, из которых выделяют:
• Международные стандарты;
• Государственные (национальные) стандарты РФ;
• Рекомендации по стандартизации;
• Методические указания.

 
 

Органы (подразделения), обеспечивающие информационную безопасность 

     В зависимости от приложения деятельности в области защиты информации (в  рамках государственных органов  власти или коммерческих организаций), сама деятельность организуется специальными государственными органами (подразделениями), либо отделами (службами) предприятия.

   Государственные органы РФ, контролирующие деятельность в области защиты информации:

• Комитет Государственной думы по безопасности;
• Совет безопасности России;
• Федеральная служба по техническому и экспортному контролю (ФСТЭК);
• Федеральная служба безопасности Российской Федерации (ФСБ России);
• Министерство внутренних дел Российской Федерации (МВД России);
• Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор);
• Службы, организующие защиту информации на уровне предприятия;
• Служба экономической безопасности;
• Служба безопасности персонала (Режимный отдел);
• Отдел кадров;
• Служба информационной безопасности.

 
 

Программно-технические  способы и средства обеспечения информационной безопасности 

     В литературе предлагается следующая  классификация средств защиты информации.

     Средства  защиты от несанкционированного доступа (НСД):

Средства  авторизации;

Мандатное управление доступом;

Избирательное управление доступом;

Управление доступом на основе ролей;

Журналирование (так же называется Аудит).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

Системы обнаружения и предотвращения вторжений (IDS/IPS).

Системы предотвращения утечек конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные  средства.

Межсетевые  экраны.

Криптографические средства:

Шифрование;

Цифровая  подпись.

Системы резервного копирования.

Системы бесперебойного питания:

Источники бесперебойного питания;

Резервирование  нагрузки;

Генераторы  напряжения.

Системы аутентификации:

Пароль;

Сертификат;

Биометрия.

Средства  предотвращения взлома корпусов и краж оборудования.

Средства  контроля доступа в помещения.

Инструментальные  средства анализа систем защиты:

Мониторинговый  программный продукт. [7] 
 

Законодательные акты по защите компьютерной информации 
 

  Компьютерное право и защита интеллектуальной собственности в России. - Представленные материалы по защите интеллектуальной собственности в области информационных технологий, несомненно, заинтересуют многих разработчиков программного обеспечения. Подборка материалов включает в себя рубрики по информационным технологиям и праву, интеллектуальной собственности в России, преступлениям в сфере компьютерной информации, законы Российской Федерации, международные законодательные акты, источники правовой информации в Интернете и, в частности [7]:

- Международно-правовые  акты, регулирующие защиту авторских  прав

- Информационное  общество и государство 

- Информационные  технологии и право

- Интернет  и право

- Интернет и правовое регулирование

- Преступления  в сфере компьютерной информации - Преступления в области компьютерной информации впервые включены в УК РФ, вступивший в действие 1 января 1997 года. По этому на сервере определены основные понятия используемые в данном разделе.

- "Интеллектуальная  собственность" в России