Rambler's Top100

 
         
 
             
Новости Публикации Литература НАСТ Законы Ссылки Каталог фирм
Paintball Фильмы Оружие Инфозащита Приколы Тесты О проекте
[Гостевая]
[Пишите нам]
[Главная]


Технологии безопасности

10 Московская международная выставка MIPS

1-ая Казахстанская Международная Выставка по Безопасности - Security Expo 2004


 


Понятие, сущность, цели и значение защиты информации

Понятие, сущность, цели и значение защиты информации

II. Цели и  значение ЗИ

II.-1.  Концепция информационной безопасности.  Цели  ЗИ.

      Концепция информационной безопасности, как система взглядов на цели, способы обеспечения безопасности информации и средства ее защиты, должна в общем виде отвечать на три простых вопроса:

·     Что защищать?

·     От чего защищать?

·     Как защищать?

    С вопросом «Что защищать?» связано понятие объекта защиты.

Под объектом защиты надо понимать не абстрактное понятие, а комплекс физических, аппаратных, программных и документальных средств, предназначенных для сбора, передачи, обработки и хранения информации. Ключевое свойство информации — ее ценность, то есть, для нашего случая стоимость ущерба от разрушения, потери или разглашения. Кроме того, спецификой информации является то, что она не исчезает при потреблении, не передается полностью при обмене (в отличие от денег она остается и у старого пользователя). С одной стороны, она является «неделимой», то есть имеет смысл только при достаточно полном объеме сведений, с другой стороны, качество ее повышается при добавлении новых достоверных данных, то есть можно проводить постепенное накапливание сведений и небольшими частями. Поэтому, прежде чем
ответить на первый вопрос, необходимо четко разобраться, какая информация может потребовать защиты. Это может быть, например, весь объем данных, накапливающийся и формирующийся в фирме, которые имеют коммерческую значимость. Сведения о количестве выпускаемой продукции и об объемах продаж. Сведения о поставщиках и производителях, о продавцах и дилерах, о договорах и клиентах. Планы фирмы, предельные цены, размеры премий дилерам и посредникам, имена и адреса сотрудников. Себестоимость продукции, маркетинговые и аналитические исследования.
     Финансовое состояние фирмы, размеры оплаты труда, денежный наличный
оборот, особенно каналы движения денежной массы. Это могут быть какие-нибудь деловые (или не очень деловые) встречи, детали (возможно пикантные) частной жизни и т.д. В каждом отдельном случае нужно тщательно проанализировать какая конкретная информация может оказаться совершенно нежелательной для огласки. Затем аккуратно привязать эту информацию к носителям. Допустим, если проводятся короткие устные переговоры, без оформления каких-либо документов, то в качестве объекта защиты выступает только ваш разговор. Если привлечены какие-нибудь технические средства связи, записи или составляются какие-либо документы, то количество объектов защиты существенно возрастает.

     Следующим шагом должно стать разделение этих объектов защиты по степени ценности содержащейся в них информации (ведь часто разговор и итоговый документ — это «две большие разницы») и определение потенциально опасных систем, позволяющих получить к ним доступ. Поэтому все описанные средства несанкционированного съема информации привязаны к конкретному носителю, для работы с которым они предназначены. На основании вышеизложенного можно практически ответить на первый вопрос. Если хоть в общих чертах знать  основные методы работы злоумышленников и возможности их аппаратуры, то это не займет много времени.

     В России, в условиях рыночной экономики, когда существует конкуренция между организациями и фирмами, у них возникает интерес к деятельности соперничающих фирм.
    Целью этого интереса является добывание информации, относящейся к
сфере коммерческой тайны, то есть о замыслах, финансовом состоянии,
клиентах, предельных ценах и т.д. Получение такой информации и ее использование конкурентами может причинить существенный ущерб фирме.
     Положение усугубляет : развал системы жесткого контроля за производством спецтехники и ввоз ее по официальным и неофициальным каналам; уход из бывшего КГБ, ГРУ, а также МВД, ФСБ и ФАПСИ профессионалов, что привело к образованию достаточно развитого рынка услуг по добыванию информации.  

     Мафиозные группировки в последнее время все больше внимания уделяют получению информации по техническим каналам. Для этого создаются спецгруппы, на обучение и экипировку которых они не скупятся.

     Многие службы безопасности крупных коммерческих структур успешно проводят операции по добыванию информации о потенциальных клиентах, партнерах или конкурентах. Они же жестко контролируют собственных сотрудников во избежании утечки своих секретов.

     Нельзя забывать, что интеграция России в международные организации,
участие в совместных фирмах и проектах делает отечественных предпринимателей объектом внимания частных и даже государственных служб разведки Запада и Востока.

     И наконец, собственные спецслужбы. Например, если верить «Совместному решению по эксплуатационно-техническим требованиям к средствам
и сетям электросвязи для обеспечения оперативно-розыскных мероприятий» (в газете «Час Пик» №8 1993 г.), в состав этих сетей вводятся аппаратные и программные средства контроля, позволяющие подключаться к любым абонентским линиям. Кроме стационарной аппаратуры в арсеналах спецслужб и правоохранительных органов большое количество систем, о которых не будем упоминать, потому, что еще не пришло время, и не хотелось бы создать трудности в работе правоохранительных органов по защите граждан от преступников и иностранных шпионов.

    Вопрос «От чего защищаться?» связан с понятием угрозы. Угроза — потенциальная возможность неправомерного преднамеренного или случайного воздействия , приводящее к потере или разглашению информации. Обычно выделяют внутренние и внешние источники угроз.

     К внутренней угрозе относятся как преднамеренные действия, так и непреднамеренные ошибки персонала.

     Внешние угрозы весьма разнообразны. В условиях рыночной экономики,
когда существует реальная конкуренция между организациями, у них возникает интерес к деятельности соперничающих фирм. Целью этого интереса является добывание информации, относящейся к сфере коммерческой тайны, то есть, о замыслах, финансовом состоянии, клиентах, ценах и т.д. Получение такой информации и ее использование конкурентами (да и некоторыми партнерами) может причинить существенный ущерб фирме. Как уже говорилось выше, имеется достаточно развитый рынок услуг по добыванию информации такого рода.  

    Например, в Санкт-Петербурге целый ряд частных детективных агентств, негласно конечно, специализируются именно на этом поприще. Есть они и в других крупных городах. Притом некоторые из них оснащены на достаточно высоком уровне и берутся за любую работу.

     В телевизионной программе «Совершенно Секретно» был показан умелец, сделавший своими руками автоматизированный комплекс для контроля каналов сотовой связи, и за весьма скромную плату предоставлявший заинтересованным лицам записи всех как «входящих», так и «исходящих» звонков. Для «заказа клиента» надо было только сообщить его номер. Все-таки очень богата наша страна истинными талантами, но увы, ФСБ, прикрывшая этот бизнес, не оценила самородка.

     Помимо конкурентов, серьезную угрозу некоторым фирмам или частным лицам могут представлять мафиозные группировки. «Братва» в последнее время все больше внимания уделяет получению информации по техническим каналам. Для этого создаются небольшие организации из доверенных людей, на обучение и экипировку которых они не скупятся.
     Например, прошедший в 1997 году в Санкт-Петербурге процесс над бандой одного из главных рэкетиров города по кличке «Пудель», отколовшегося от «Тамбовской группировки», показал, что в составе его группы было прекрасно оснащенное подразделение, занимающееся сбором коммерческой информации с помощью технических средств. Прежде чем «наехать» на фирму, рэкетир тщательно изучал ее деятельность и состояние финансов, а затем выставлял «научно-обоснованный счет». В популярной газете «Московский Комсомолец» за 12 февраля 1999 года написано, что пару месяцев назад в интернете на печально известном сайте «Коготь» появилась очень необычная информация. Не установленные лица сбросили через компьютерную сеть расшифровки подслушанных телефонных разговоров, перехваченных пейдженговых сообщений и даже оперативные справки на многих известных людей: Рушайло, Коха, Степашина, Скуратова.

     Многие крупные коммерческие структуры создали собственные мощные службы безопасности, одной из главных задач которых, в условиях нашего специфического рынка, является добывание информации о потенциальных клиентах, партнерах или конкурентах. При этом часто не считается зазорным внедрение к подопечным людей  или специальной техники.   

     Они же очень жестко вынуждены контролировать свой персонал с целью
недопущения утечки информации о собственных коммерческих секретах.
Техническому оснащению и квалификации сотрудников безопасности отдельных  фирм иногда могут позавидовать даже государственные спецслужбы.

     В апреле 1999 года сотрудники ФСБ Мордовии обезвредили секретную
лабораторию по изготовлению шпионской техники. Саранские умельцы умудрились в кустарных условиях делать шпионскую чудо-технику из всяческих подручных средств. Многие технические находки оказались просто уникальными и, по словам специалистов, представляют научно-технический интерес.

    Чего только стоят одни видеокамеры с вмонтированными в них портативными и сканирующими устройствами размером со спичечную коробку. С их помощью можно было вести наблюдение на расстоянии в несколько километров. Некоторые видеокамеры умельцы скрытно вмонтировали в радиоприемники, электронные часы и телефоны. Стоимость любого из производимых устройств была доступна любому коммерсанту, желающему получить информацию в стане конкурентов.

 Для кого предназначалась вся эта чудо-техника, выясняет следствие — органами ФСБ было возбуждено уголовное дело по статье 138 ч.3 УК РФ (незаконное производство, сбыт или приобретение с целью сбыта специальных технических средств, предназначенных для негласного получения информации).

     Нельзя забывать, что интеграция России в международные организации, участие в интернациональных проектах, колоссальный советский научный и технологический «задел» в целом ряде направлений делает отечественных предпринимателей объектом пристального внимания частных и даже государственных служб разведки Запада и Востока.

    Многие предприниматели, да и простые граждане, считают, что их переговоры, особенно с помощью телефона, постоянно записываются спецслужбами. Этому убеждению в немалой степени способствует абсолютно некомпетентная информация, часто появляющаяся на страницах нашей периодической печати вполне определенной направленности. Простые логические рассуждения показывают, что тотальный контроль хотя бы за телефонными переговорами не в состоянии организовать ни одно государство мира. С другой стороны, спецслужбы всех стран, конечно, ведут выборочное прослушивание отдельных лиц.
    Согласно «Совместному решению по эксплуатационно-техническим требованиям к средствам и сетям электросвязи для обеспечения оперативно-розыскных мероприятий», в состав этих сетей, независимо от формы собственности, вводятся аппаратные и программные средства контроля, позволяющие подключаться к любым абонентским линиям. Достаточно подробно с этим документом можно ознакомиться в газете «Час Пик» № 8 за 1993 год. Кроме такой стационарной аппаратуры в арсенале спецслужб и правоохранительных органов большое количество и других технических систем. Для иллюстрации этой простой мысли, можно привести небольшую выдержку из книги В. А. Стрелецкого «Мракобесие» (М.: Детектив-Пресс, 1998). Полковник Стрелецкий, бывший начальник отдела «П» (борьба с коррупцией) Службы безопасности президента и главный организатор задержания пресловутой коробки из-под «ксерокса», выносимой в 1996 году из «Белого дома». На странице 248 можно прочитать: «... 6 ноября 1996 года «Московский Комсомолец» опубликовал стенограмму переговоров Чубайса и Илюшина. Разразившийся вслед за публикацией скандал был опровергнут Чубайсом — мол переговоры не вел, все ложь и клевета. Тогда были представлены пленки записи. Закон об оперативно-розыскной деятельности давал нам право разрабатывать любого гражданина РФ. Его должность роли не играет. Из источников в его (Чубайса, прим. авт.) окружении я узнал, что 22 июня он должен приехать к первому помощнику президента В. Илюшину в Президент-Отель, чтобы обсудить ситуацию. Негласный помощник согласился нам помочь. Мы договорились, что он установит в кабинете Илюшина диктофон, а потом незаметно заберет технику обратно. Результаты превзошли все ожидания». Как видите, пожалуй, самая «крутая» российская спецслужба воспользовалась самым простым техническим устройством, но с максимальным эффектом.

     «Как защищать информацию?». В настоящее время существуют миниатюрные, сделанные по последнему слову науки и техники, устройства съема информации. Любой датчик, преобразующий акустические колебания в электрические, который обычно используется в вашей стереосистеме, радиоприемнике или телевизоре можно превратить в подслушивающее устройство.
     Обнаружение таких средств требует много времени и больших материальных затрат.

    На каждый метод получения информации существует метод противодействия, часто не один, который может свести угрозу к минимуму. При этом успех зависит от двух факторов — от  компетентности в вопросах защиты информации (либо от компетентности тех лиц, которым это дело поручено) и от наличия оборудования, необходимого для защитных мероприятий. Первый фактор важнее второго, так как самая совершенная аппаратура останется мертвым грузом в руках дилетанта.

     Меры защиты от технического проникновения необходимо осуществлять превентивно, не ожидая, пока «грянет гром». Роль побудительного мотива могут сыграть сведения об утечке информации, обсуждавшейся в конкретном помещении узкой группой лиц, или обрабатывавшейся на конкретных технических средствах. Толчком к действию могут стать следы, свидетельствующие о проникновении в помещения фирмы посторонних лиц, либо какие-то странные явления, связанные с используемой техникой (например, подозрительный шум в телефоне).

     С  вопросом «Как защитить информацию?» неотъемлемо связано понятие — система защиты, то есть комплекс мер и средств, а также деятельность на их основе, направленная на выявление, отражение и ликвидацию различных видов угроз безопасности объекта защиты.

     Принято различать следующие основные виды средств защиты:

·     Нормативно-правовые

·     Морально-этические

·     Организационные

·     Технические.

     Нормативно-правовые — включают в себя законы и другие правовые акты,
а также механизмы их реализации, регламентирующие информационные отношения в обществе.

     Морально-этические — правила и нормы поведения, направленные на
обеспечение безопасности информации, не закрепленные законодательно или административно, но поддерживаемые в коллективах через традиции и механизм общественного мнения.

     Организационные — правила, меры и мероприятия, регламентирующие вопросы доступа, хранения, применения и передачи информации, вводимые в действие административным путем. Без выполнения этих правил установка любых, даже самых дорогих, технических средств защиты обернется пустой тратой денег для организации, в которой не решены на должном уровне организационные вопросы. И это справедливо для любых каналов утечки.

     Технические средства — это комплексы специального технического и программного обеспечения, предназначенные для предотвращения утечки обрабатываемой или хранящейся  информации путем исключения несанкционированного доступа к ней с помощью технических средств съема.

 Реальная система защиты включает в себя все перечисленные виды средств и, как правило, создается путем их интеграции. Главной трудностью в ее создании является то, что она одновременно должна удовлетворять двум группам прямо противоположных требований:

·     Обеспечивать надежную защиту информации

·     Не создавать заметных неудобств.

     Обычно совместить эти требования удается только достаточно квалифицированному профессионалу. Кроме того, система защиты должна быть
адекватна возможным угрозам, с обязательной оценкой как вероятности
их появления, так и величины реального ущерба от потери или разглашения информации, циркулирующей в определенном носителе.

     Основными целями ЗИ являются:

·     предотвращение утечки, хищения, утраты, искажения, подделки информации;

·     предотвращение угроз безопасности личности, общества, государства;

·     предотвращение несанкционированных действий по уничтожению, модификации,  искажению, копированию, блокированию информации;

·     предотвращение других форм незаконного вмешательства в информационные  ресурсы и информационные системы;

·     обеспечение правового режима документированной информации как объекта собственности;

·     защита конституционных прав граждан на сохранение личной тайны и

    конфиденциальности персональных данных, имеющихся в информационных  системах;

·     сохранение государственной тайны документированной информации в соответствии с законодательством;

·     обеспечение прав субъектов в информационных процессах и при разработке,

    производстве и применении информационных систем, технологий и средств их обеспечения.


     В соответствии с этими целями процесс защиты информации должен обеспечить поддержание ее целостности и конфиденциальности. При этом под целостностью информации следует понимать ее неизменность (физическую целостность) и непротиворечивость (логическую целостность) в процессе хранения и обработки. Конфиденциальность информации предполагает ее доступность только для тех лиц, которые имеют на это соответствующие полномочия.  

     Целостность информации тесно связана с понятием надежности как технических, так и программных средств, реализующих процессы накопления, хранения и обработки информации.

     Из анализа угроз безопасности информации, целей и задач ее защиты следует, что достичь максимального (требуемого) уровня защищенности можно только за счет комплексного использования существующих методов и средств защиты. Комплексность является одним из принципов, которые должны быть положены в основу разработки как концепции защиты информации, так и конкретных систем защиты.

     Цели защиты информации на объектах защиты могут быть достигнуты при
проведении работ по следующим направлениям:

·     определению охраняемых сведений об объектах защиты;

·     выявлению и устранению (ослаблению) демаскирующих признаков, раскрывающих охраняемые сведения;

·      оценке возможностей и степени опасности технических средств разведки;

·      выявлению возможных технических каналов утечки информации;

·     анализу возможностей и опасности несанкционированного доступа к информационным объектам;

·     анализу опасности уничтожения или искажения информации с помощью программно-технических воздействий на объекты защиты;

·     разработке и реализации организационных, технических, программных и других средств и методов защиты информации от всех возможных угроз;

·      созданию комплексной системы защиты;

·      организации и проведению контроля состояния и эффективности системы защиты информации;

·     обеспечению устойчивого управления процессом функционирования системы защиты информации.

     Процесс комплексной защиты информации должен осуществляться непрерывно на всех этапах. Реализация непрерывного процесса защиты информации возможна только на основе системно-концептуального подхода и промышленного производства средств защиты, а создание механизмов защиты и обеспечение их надежного функционирования и высокой эффективности может быть осуществлено только специалистами высокой квалификации в области защиты информации.

     Необходимые для создания и поддержания эффективного функционирования системы защиты информации виды обеспечения включают законодательно-правовое, организационно-техническое и страховое обеспечение.

     Законодательно-правовое обеспечение включает систему законодательно-правовых актов, устанавливающих правовой статус субъектов правоотношений, субъектов и объектов защиты, формы и способы защиты.                           

     Система законодательно-правовых актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечить организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты.

     Организационно-техническое обеспечение представляет собой комплекс
взаимокоординируемых организационных мероприятий, технических, программных и других мер, реализующих все практические механизмы защиты.

     Страховое обеспечение предназначено для защиты собственника информации или средств информатизации как от традиционных угроз (краж, стихийных бедствий и т.д.), так и от угроз, возникающих в ходе информатизации общества (утечка, уничтожение, блокирование и т.п.).

      При оптимизации системы защиты ключевым исходным моментом является формирование всех функций защиты, так как надлежащим распределением ресурсов в осуществление каждой из функций можно оказывать воздействие на уровень защищенности информации, создавая таким образом объективные предпосылки для разработки оптимальной системы защиты.   

Продолжение следует


Столяров Николай Владимирович
nstolyarov@yandex.ru

 

 

Rambler's Top100  
Moldova Top 100
Sec.ru - Весь Российский рынок безопасности  
 

© Copyright 2000-2003 www.sec4all.net