Глава 1. Теоретические основы информационной безопасности
1.1 Информация подлежащая защите
Система федерального законодательства включает себя огромное количество актов, относительно различных видов тайн. В данной работе приведены основные тайны, которые необходимо защищать от несанкционированного доступа. Всю информацию на предприятии можно разделить на несколько типов тайн, которые должны быть подвергнуты защите. Однако основной информацией, которая нуждается в защите, является конфиденциальная информация. К конфиденциальной информации указом президента № 188 «Об утверждении Перечня сведений конфиденциального характера» относится:
1. «Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией и федеральными законами (врачебная, нотариальная, адвокатская тайны, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них».
«Коммерческая тайна - режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду». Стоит отметить, что защите подлежит любая информация, которая находится в документированном виде на предприятии. Неправомерное обращение стороннего лица с одной из тайн компании может привести к серьезному ущербу предприятия. На основе ГК РФ (ст. 139) к коммерческой тайне можно отнести следующие документы:
1. Документы о платежеспособности;
2. Учредительные документы;
3. Различные сведения об установленных формах отчетности о правильности уплаты налогов;
4. Сведения о численности, составе работающих, заработной плате и условиях труда;
5. Сведения об уплате налогов;
6. Сведения о лицах, которые работают на предприятии и занимаются предпринимательством.
Собственник данной информации имеет полное право в отказе подачи данной информации на законном основании. Стоит также отметить, что при нарушении прав пользователя коммерческой информации применяются следующие санкции, на основе статьи 183 УК – «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну»:
1. «Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового».
Патентная тайна является следующим типом конфиденциальной информации. Чумарин вводит следующее определение патентной тайны: «тайна сведений о сущности изобретения, полезной модели или официальной публикации о них». Защите данной тайны уделяется огромное количество времени организациями, которые ведут научные разработки. Патентная тайна – это различного рода сведения, которые могут содержаться для изобретений. На основе патентного закона Российской федерации патентная тайна может содержать следующее:
1. Формула какой-либо модели;
2. Реферат;
3. Чертежи, рисунки, фотографии, на которых изображено изобретаемое изделие.
Также патентная тайна может содержать в себе личные данные об изобретателе. Неразглашение о патентной тайне действует шесть месяцев. При нарушении правил о неразглашении патентной тайны грозят следующие наказания (на основе статьи 147 УК – «Нарушение изобретательских и патентных прав»):
1. «Незаконное использование изобретения, полезной модели или промышленного образца, разглашение без согласия автора или заявителя сущности изобретения, полезной модели или промышленного образца до официальной публикации сведений о них, присвоение авторства или принуждение к соавторству, если эти деяния причинили крупный ущерб, -наказываются штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.
2. Те же деяния, совершенные группой лиц по предварительному сговору или организованной группой, наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо принудительными работами на срок до пяти лет, либо арестом на срок до шести месяцев, либо лишением свободы на срок до пяти лет».
Каждый сотрудник, работающий на предприятии, обладает персональными данными. При подаче заполнении трудового договора и анкеты, работник предоставляет больше персональной информации, чем действующие минимальные данные о гражданине, тем самым подписывая договор, он возлагает ответственностью организацию, на которую он работает. Минимальные данные, которые гражданин обязан предоставить при просьбе уполномоченного лица, являются следующими:
1. Фамилия;
2. Имя;
3. Отчество;
4. Пол;
5. Дата рождения.
Любая организация обладает счетом в банке. Банковская тайна – это «тайна об операциях, о счетах и вкладах своих клиентов и корреспондентов». При заключении договора с банком (открытие счета), банк подписывает условия неразглашения следующей информации (статья 857 УК – «Банковская тайна»):
1. «Банк гарантирует тайну банковского счета и банковского вклада, операций по счету и сведений о клиенте;
2. Сведения, составляющие банковскую тайну, могут быть предоставлены только самим клиентам или их представителям. Государственным органам и их должностным лицам такие сведения могут быть предоставлены исключительно в случаях и в порядке, предусмотренных законом;
3. В случае разглашения банком сведений, составляющих банковскую тайну, клиент, права которого нарушены, вправе потребовать от банка возмещения причиненных убытков».
Стоит отметить тот факт, что обладателем банковской тайны является не только организации, то и все физические и юридические лица, которые имеют счета в банке.
При судебном процессе любой человек, а также организация облагается адвокатской тайной. Данная тайна относится к профессиональному типу. При судопроизводстве сведения, которые составляют адвокатскую тайну, являются:
1. Сведения, которые были сообщены юристу, при оказании компании юридической помощи;
2. Любые обстоятельства, которые стали известны адвокату, как защитника.
Стоит отметить тот факт, что если в рамках суда используется коммерческая тайна предприятия, то адвокат обязан все равно сохранять коммерческую тайну и не использовать в качестве аргументов защиты.
1.3 Понятие и задачи информационной безопасности
Перед описанием стандартов информационной безопасности следует сначала определить: что же такое информационная безопасность. Данное понятие можно рассматривать с нескольких сторон: как состояние и как деятельность.
• Состояние (качество) определённого объекта. В качестве объекта может выступать информация, данные, ресурсы автоматизированной системы, автоматизированная система, информационная система предприятия, общества, государства и т. п.;
• Деятельность, направленная на обеспечение защищённого состояния объекта (в этом значении чаще используется термин «защита информации»)
В данной работе информационная безопасность будет рассматриваться как деятельность. Принято считать, что информационная безопасность - это комплекс мероприятий, обеспечивающий следующие факторы:
• Конфиденциальность
• Целостность
• Доступность
Целостность подразумевает под собой возможность передачи информации и работы с ней без ее потери или видоизменения. Возможностью изменения информации должны обладать уполномоченные лица. «Конфиденциальность (от англ. confidence — доверие) — необходимость предотвращения утечки (разглашения) какой-либо информации». Чаще всего такой информацией может, является служебная тайна или «ноу-хау». Пользователю необходим доступ к своей информации в любой промежуток времени. Осуществляться он может с помощью авторизации лица. Фактор, отвечающий за этот процесс, называется доступностью. «Целостность информации (также целостность данных) — термин в информатике и теории телекоммуникаций, который означает, что данные полны, условие того, что данные не были изменены при выполнении любой операции над ними, будь то передача, хранение или представление». В данной работе были перечислены основные факторы, которые используются в любой литературе при описании информационной безопасности. Основной целью данного понятия является соблюдение и обеспечение всех факторов информационной безопасности. Для выполнения всего вышеперечисленного применяются механизмы.
«идентификация — определение (распознавание) каждого участника процесса информационного взаимодействия», перед тем как к нему будут применены понятия информационной безопасности;
«аутентификация — обеспечение уверенности в том, что участник процесса обмена информацией идентифицирован верно;
контроль доступа — создание и поддержание набора правил, определяющих каждому участнику процесса информационного обмена разрешение на доступ к ресурсам и уровень этого доступа».
«Авторизация (от англ. authorization — разрешение, уполномочивание) — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий;
«аудит и мониторинг — отслеживание событий, происходящих в процессе обмена информацией (аудит предполагает анализ событий постфактум, а мониторинг реализуется в режиме реального времени;
реагирование на инциденты — совокупность процедур или мероприятий, выполняемых при нарушении или подозрении на нарушение информационной безопасности;
управление конфигурацией — создание и поддержание функционирования среды информационного обмена в работоспособном состоянии и в соответствии с требованиями информационной безопасности;
управление пользователями — обеспечение условий работы пользователей в среде информационного обмена в соответствии с требованиями информационной безопасности.
управление рисками — обеспечение соответствия возможных потерь от нарушения информационной безопасности мощности защитных средств (то есть затратам на их построение);
обеспечение устойчивости — поддержание среды информационного обмена в минимально допустимом работоспособном состоянии и соответствии требованиям информационной безопасности в условиях деструктивных внешних или внутренних воздействий».
За счет данных механизмов происходит достижение целей информационной безопасности. Стоит отметить, что аутентификация сама по себе не может быть целью информационной безопасности. Данный механизм можно выделить как метод определения участника информационного обмена, который определяет политику в отношении конфиденциальности или доступности, которая должна быть применена к данному участнику.
Рассмотрим с помощью, каких инструментов происходит реализация перечисленных выше механизмов. Описание всех инструментов невозможно, так как их использование зависит от ситуации. Объём и количество применяемых инструментов может колоссально варьироваться. Часто бывает так, что некоторые механизмы переходят в средства и наоборот. Приведем пример. Персонал производит аудит, который обеспечивает учет. Из этого следует, что персонал – это средство, аудит – механизм, а учет – это цель. Другим примером может послужить хранение паролей в зашифрованном виде. Здесь ситуация обстоит иначе. Криптография является средством защиты паролей, пароли используются для механизма, который называется аутентификация, а аутентификация обеспечивает один из факторов информационной безопасности – целостность.
Перечислим основные инструменты:
1. Персонал;
2. Нормативное обеспечение;
3. Модели безопасности;
4. Криптография;
5. Антивирусное обеспечение;
6. Межсетевые экраны;
7. Сканеры безопасности;
8. Системы обнаружения атак;
9. Резервное копирование;
10. Резервирование;
11. Аварийный план;
12. Обучение пользователей.
Как мы можем видеть, информационная безопасность в качестве инструментов может использовать как человеческие ресурсы, так и программное обеспечение, и различные документы. Под персоналом подразумеваются люди, которые будут вести процесс внедрения информационной безопасности на предприятие. Более того, они также будут заниматься всем обеспечения информационной безопасности, а именно: разработка, внедрение, поддержка, контроль, доработка.
Нормативное обеспечение включает в себя различные документы, помогающие персоналу внедрять систему информационной безопасности. Эти документы могут состоять из следующих инструкций:
1. Межгосударственные стандарты;
2. Государственные стандарты России;
3. Своды правил;
4. Руководящие документы системы;
5. Общероссийские нормы технологического проектирования;
6. Отраслевые стандарты;
7. Инструкции, методические указания, пособия;
8. Рекомендации по проектированию
Документы могут меняться в зависимости от направления деятельности предприятия. Бумаги, предоставленные в данной работе, соответствуют типичной строительной компании. Модели безопасности – это различные схемы, которые заложены в определенной информационной системе. Криптография – это очень сложный алгоритм защиты информации. Другими словами – это методы и средства преобразования информации в вид, затрудняющий или делающий невозможным несанкционированные операции с нею (чтение и/или модификацию), вместе с методами и средствами создания, хранения и распространения ключей - специальных информационных объектов, реализующих эти санкции.
Под антивирусным обеспечением понимается программное средство, которое обеспечивает защиту различного рода информации от проникновения в нее нежелательного программного обеспечения, с целью редактирования или похищения информации. В ходе работы был проведен анализ самого лучшего антивируса в мире. Рейтинг антивирусного программного обеспечения был предоставлен независимой тестовой компанией Virus Bulletin. Испытания проводились на платформе Windows XP Professional SP3. TrustPort определил 95,24% вредоносных образцов и подтвердил лидирующую позицию среди самых мощных антивирусов в мире.
В приложении 1 изображена итоговая таблица, в которой можно наблюдать какое место в мире занимают антивирусы TrustPort (положение антивирусов в таблице определено результатами последних четырех тестирований).
Межсетевые экраны – это устройства, которые контролируют доступ из одной информационной сети в другую. «Межсетевой экран или сетевой экран — комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами.
Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации» , - повествует сайт википедии. Среди возможностей данного инструмента информационной безопасности, стоит выделить следующее:
1. фильтрация доступа к заведомо незащищенным службам;
2. препятствование получению закрытой информации из защищенной подсети, а также внедрению в защищенную подсеть ложных данных с помощью уязвимых служб;
3. контроль доступа к узлам сети;
4. может регистрировать все попытки доступа как извне, так и из внутренней сети, что позволяет вести учёт использования доступа в Интернет отдельными узлами сети;
5. регламентирование порядка доступа к сети;
6. уведомление о подозрительной деятельности, попытках зондирования или атаки на узлы сети или сам экран;
Сканеры безопасности (уязвимостей) – это программные или аппаратные средства, которые служат для мониторинга сетевых компьютеров. В приложении 1, можно видеть для каких целей может использоваться сканер безопасности.
Системы обнаружения атак - устройства мониторинга активности в информационной среде, иногда с возможностью принятия самостоятельного участия в указанной активной деятельности.
Резервное копирование и дублирование – это виды инструментов, предназначенные для обеспечения безопасности при утере или возможности утери информации. Резервное копирование подразумевает под собой сохранение избыточного количества информационных ресурсов при возможности утраты. Дублирование - это создание альтернативных устройств, которые необходимы для функционирования информационной среды, в случае выхода из строя одной или более средств поддержки.
Аварийный план - набор мероприятий, предназначенных для претворения в жизнь, в случае если события происходят или произошли не так, как было предопределено правилами информационной безопасности. Обучение пользователей - подготовка активных участников информационной среды для работы в условиях соответствия требованиям информационной безопасности.
Возможно, что часть понятий укрупнено, часть из них детализировано. Основной целью предоставления данного списка было показать типовой выбор инструментария для предприятия, развивающего информационную безопасность.
Рассмотрим основные направления информационной безопасности. Среди них стоит выделить:
1. Физическая безопасность;
2. Компьютерная безопасность.
Физическая безопасность — обеспечение сохранности самого оборудования, предназначенного для функционирования информационной среды, контроль доступа людей к этому оборудованию. Дополнительно сюда может быть включено понятие защиты самих пользователей информационной среды от физического воздействия злоумышленников, а также защиты информации не виртуального характера (твердых копий — распечаток, служебных телефонных справочников, домашних адресов сотрудников, испорченных внешних носителей и т. п.)
Компьютерная безопасность (сетевая безопасность, телекоммуникационная безопасность, безопасность данных) — обеспечение защиты информации в ее виртуальном виде. Стоит выделить этапы нахождения информации в среде, и по этим принципам разделять, например, компьютерную (на месте создания, сохранения или обработки информации) и сетевую (при пересылке) безопасность, но это, в принципе, нарушает комплексную картину безопасности.
