CC BY
85
УДК 316.4 19
ББК 60.02
А.А. Марков
некоторые вопросы технико-технологической составляющей информационной безопасности
Анализируются актуальные проблемы состояния одной из частей информационной безопасности - технико-технологической, которые оказывают существенное воздействие на интересы социума в информационной сфере. Особое значение уделяется исследованию процессов глобальной информатизации и её влиянию на систему и способы защиты информационных ресурсов.
Ключевые слова:
информационная безопасность, интересы социума, информационная сфера, глобальная информатизация, информационные ресурсы.
Защита информации или обеспечение информационной безопасности подразумевает деятельность, направленную на предотвращение утечек защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию. Информационная безопасность актуальна как для бизнеса, так и для государственных структур. С целью эффективной и полноценной защиты информационных ресурсов сегодня создаются комплексные системы по защите данных любого субъекта. На отечественном рынке появились новые услуги, связанные с обеспечением информационной безопасности клиента.
Решения, направленные на обеспечение информационной безопасности, должны обеспечивать и включать: защиту периметра информационной системы; защищенный удаленный доступ к информационным ресурсам;. защищенный доступ в Интернет; защищенный информационный портал; автоматизированные системы в защищенном исполнении; защиту от действий инсайдера; защиту персональных данных; защиту от вредоносного мобильного кода; фильтрацию данных («контента«); высокопроизводительные системы защиты каналов; системы анализа защищенности информационных ресурсов; инфраструктуру управления открытыми ключами и удостоверяющие центры.
Организационно-технические методы обеспечения информационной безопасности Российской Федерации определены в Доктрине информационной безопасности страны, где основными из них названы: создание и совершенствование системы обеспечения информационной безопасности Российской Федерации; усиление правоприменительной деятельности федеральных органов исполнительной власти, органов исполнительной власти субъ-
ектов Российской Федерации, включая предупреждение и пресечение правонарушений в информационной сфере, а также выявление, изобличение и привлечение к ответственности лиц, совершивших преступления и другие правонарушения в этой сфере; разработка, использование и совершенствование средств защиты информации и методов контроля эффективности этих средств, развитие защищенных телекоммуникационных систем, повышение надежности специального программного обеспечения; создание систем и средств предотвращения несанкционированного доступа к обрабатываемой информации и специальных воздействий, вызывающих разрушение, уничтожение, искажение информации, а также изменение штатных режимов функционирования систем и средств информатизации и связи; выявление технических устройств и программ, представляющих опасность для нормального функционирования информационно-телекоммуникационных систем, предотвращение перехвата информации по техническим каналам, применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи, контроль за выполнением специальных требований по защите информации; сертификация средств защиты информации, лицензирование деятельности в области защиты государственной тайны, стандартизация способов и средств защиты информации; совершенствование системы сертификации телекоммуникационного оборудования и программного обеспечения автоматизированных систем обработки информации по требованиям информационной безопасности; контроль за действиями персонала в защищенных информационных системах, подготовка кадров в области обеспечения информацион-
Общество
Terra Humana
ной безопасности Российской Федерации; формирование системы мониторинга показателей и характеристик информационной безопасности Российской Федерации в наиболее важных сферах жизни и деятельности общества и государства [2].
Признавая важность перечисленных методов, следует говорить и о некотором смещении тенденций в технико-технологической части информационной безопасности. Традиционные технологии, предназначенные для защиты информационных интересов организации, сегодня уже не могут считаться эффективными. Это связано с активизацией так называемого человеческого фактора, когда он становится источником информационной угрозы, что наиболее заметно в деятельности производственных коллективов. Один из типичных примеров: в Ярославле сотрудники филиала банка «***» попросту забыли уничтожить согласно инструкции дубликаты персональных данных клиентов и вместо уничтожения они оказались на городской свалке, и персональные сведения о доходах, недвижимости, финансовых операциях, вкладах и т.д. многих людей из-за халатности сотрудников банка стали доступны любому желающему [5].
Рассматривая любой производственный коллектив как активную часть общества, занятую созидательными процессами, обеспечивающими жизнедеятельность индивидуумов и самого социума, очевидно, что именно персонал организации в процессе деятельности этой организации чаще всего выступает либо пострадавшей стороной в результате реализации такой угрозы, либо непосредственно является источником угрозы.
На это обстоятельство указывают практические специалисты, непосредственно связанные с обеспечением информационной безопасности на предприятиях. А. Доля считает, что одна из основных угроз сегодня - это утечка конфиденциальной информации. Именно поэтому любая защита от тех же инсайдеров начинается с организационных мер, а точнее - с классификации имеющейся информации. Без этого исчезает само понятие утечки, поскольку организация не знает, насколько важные данные покидают пределы корпоративной сети. В дальнейшем у каждой конкретной компании есть выбор: либо максимально ограничить выход информации во внешний мир, либо пытаться как-то этот выход контролировать [3]. Контроль за движением информации - «интеллектуальная» задача, которая требует гораздо
более серьезных инвестиций, нежели «силовая» блокировка локальных портов или банальная фильтрация интернет-страниц. Какой бы способ ни выбрала компания, обеспечить безупречную защиту от злонамеренных инсайдеров ей вряд ли удастся. Однако в реальной жизни это и не нужно. По данным компании Репте^х, более 90% утечек происходит случайным образом, в результате ошибок персонала, пробелов в политике безопасности или банальной кражи носителей. Как следствие, в первую очередь необходимо защищаться именно от таких, непредумышленных утечек. В этом смысле технологическая база для защиты уже заложена. Так, например, различные технологии шифрования данных позволяют свести к минимуму «случайные» утечки через мобильные носители. Другие технологии обеспечивают фильтрацию электронной почты и блокируют конфиденциальные документы, идущие по этим каналам. Не стоит приуменьшать значение административных мер - таких, как тренинги и обучение персонала.
Вместе с тем, реальное повышение эффективности защиты информации в организации от технико-технологических причин (от компьютерных сбоев и вирусов до различных видов утечек информации - шпионажа конкурентов, ротозейства персонала и т.д.) сегодня возможно уже не за счет совершенствования технических средств защиты, а за счет повышения профессионализма и ответственности самого коллектива. А. Булгаков - директор Департамента информационной безопасности ЗАО «МЕТРОБАНК» считает, что информационная безопасность должна быть неотъемлемой частью корпоративной культуры. Без организации соответствующих процессов по поддержанию атмосферы информационной безопасности, подкрепленных комплексом программнотехнических и организационных мер, невозможно в нужной степени минимизировать такого рода риски [7].
Существующие отраслевые стандарты, регулирующие обеспечение безопасности в различных вертикальных сегментах, подтверждают: парадигма корпоративной безопасности меняется буквально на наших глазах. Первое место занимают системы защиты от утечек - их хотят внедрить более трети респондентов. Эта доля может показаться небольшой по сравнению с распространением антивирусов, однако еще недавно такие системы эксплуатировали лишь 24% организаций. Элементарный расчет показывает, что сегмент защиты от
утечек и внутренних угроз растет примерно на 150% в год! Интерес к данной теме проявляют и производители программного обеспечения, которые рассматривают внутренние угрозы в качестве идеального сегмента для роста. За последние два года о покупках в этой сфере объявил целый ряд компаний: EMC (RSA Security), McAfee, WebSense, IBM, Cisco, Trend Micro. Symantec приобрела сразу два перспективных стартапа*. Все перечисленные компании успешно работают на российском рынке, так что новые решения будут доступны и у нас. В любом случае с ростом количества игроков конкуренция на рынке усилится, а качество предоставляемых услуг возрастет.
Не последнюю роль в улучшении качества обеспечения информационной безопасности будет играть общее повышение корпоративной культуры. Формирование, совершенствование, развитие корпоративной культуры организации основывается на использовании ряда социальных технологий, непосредственно «задействованных» на создание и продвижение корпоративных элементов в деятельности организации, например, корпоративный кодекс, фирменный стиль, корпоративная этика, корпоративный имидж и т.д.
Корпоративная культура - это философия, определяющая и смысл существования организации, и её отношение к сотрудникам и клиентам; моральный и социальный климат, проявляющийся во внутренней атмосфере организации, взаимодействии с внешней средой; преобладающие ориентиры, лежащие в основе формирования целей организации и путей их достижения; система взаимодействия персонала в организации. А.Н. Занковский определяет корпоративную культуру как приобретенные смысловые системы, передаваемые посредством естественного языка и других символических средств, которые выполняют репрезентативные, директивные и аффективные функции и способны создавать культуральное пространство и особое ощущение реальности [4].
Э. Шайн определяет организационную культуру как комплекс базовых предположений, изобретённый, обнаруженный или разработанный группой для того, чтобы научиться справляться с проблемами внешней адаптации и внутренней интеграции. Необходимо, чтобы этот ком-
плекс функционировал достаточно долго, подтвердил свою состоятельность, и потому он должен передаваться новым членам организации как правильный образ мышления и чувств в отношении упомянутых проблем [1].
Корпоративная культура ориентирована на внутреннюю среду и проявляется, прежде всего, и главным образом в организационном поведении сотрудников. Сюда следует отнести устойчивость, эффективность и надежность внутрисистемных организационных связей; дисциплину и культуру их исполнения; динамизм и адаптивность к нововведениям в организации; общепринятый (на всех уровнях) стиль управления, основанный на сотрудничестве; активные процессы позитивной самоорганизации и многое другое, что проявляется в корпоративном поведении работников в соответствии с принятыми нормами и признанными ценностями, объединяющими интересы отдельных людей, групп и организации в целом. Корпоративная культура призвана обеспечить адаптивное поведение организации во внешней среде. Она помогает предприятию выжить, победить в конкурентной борьбе, завоевать новые рынки и успешно развиваться. Но при этом ее основой является внутренняя консолидация, взаимодействие и взаимокоординация, основанные на четком разделении труда, ответственности и согласовании интересов. Корпоративную культуру определяет формула: общие ценности - взаимовыгодные отношения и сотрудничество - добросовестное организационное поведение. Следовательно, рассматривая корпоративную культуру как уникальную социальную технологию с ее множественными элементами, мы можем считать ее одной из современных тенденций эффективного обеспечения информационной безопасности, прежде всего, от внутренних угроз и, преимущественно, в активных структурах общества - таких, как организация, предприятие, корпорация.
Из анализа иных угроз (глобальных и внешних) и их источников представляется, что актуальными проблемами по-прежнему остаются обозначенные в Доктрине информационной безопасности: противодействие доступу Российской Федерации к новейшим информационным технологиям, взаимовыгодному и равноправному участию российских производителей
* Стартап или стартап-компания (от англ. start-up - запускать) - молодая компания, созданная для освоения перспективных рынков (прим. ред.).
Общество
Terra Humana
в мировом разделении труда в индустрии информационных услуг, средств информатизации, телекоммуникации и связи, информационных продуктов, а также создание условий для усиления технологической зависимости России в области современных информационных технологий; закупка органами государственной власти импортных средств информатизации, телекоммуникации и связи при наличии отечественных аналогов, не уступающих по своим характеристикам зарубежным образцам; вытеснение с отечественного рынка российских производителей средств информатизации, телекоммуникации и связи; увеличение оттока за рубеж специалистов и правообладателей интеллектуальной собственности [2].
Современные технологии решения научно-технических проблем обеспечения информационной безопасности Российской Федерации предполагают, прежде всего, определение тенденций и путей развития современных информационных технологий, роли и значения в этом развитии российских средств информатизации, информационно-коммуникационных технологий и средств связи, в том числе развития и совершенствования инфраструктуры единого информационного пространства Российской Федерации, что провозглашено в Доктрине, наконец, обеспечения реальной, а не декларируемой технологической независимости. Эти технологии должны включать разработку надлежащих способов защиты информационных ресурсов, ИКС и ИКТ, включая, прежде всего, создание и совершенствование защищенных информационно-коммуникационных технологий, способных эффективно противостоять различным видам и источникам информационных угроз, и при этом адекватно позиционировать себя в происходящих информационных противоборствах существующих информационно-телекоммуникационных систем. Существует потребность в технологиях, развивающих криптографические методы защиты информации, необходимы технологии производства вычислительных систем самой высокой производительности и методов обработки информации, нацеленных на решение криптографических проблем, на развитие подходов к защите сведений, составляющих охраняемые законом тайны.
Страна остро нуждается в разработке и использовании отечественных современных информационно-коммуникационных технологий, не уступающих зару-
бежным аналогам. Это вопрос не только экономического престижа и экономического выживания в эпоху глобальной информатизации цивилизации, но и социального благополучия.
Вместе с тем, создание таких технологий до сих пор остается актуальной проблемой государства. Этими вопросами занимается Российская государственная корпорация «Российская корпорация нанотехнологий» (РОСНАНО), которая учреждена федеральным законом №1 39-ФЗ от 19 июля 2007 г. для «реализации государственной политики в сфере нанотехнологий, развития инновационной инфраструктуры в сфере нанотехнологий, реализации проектов создания перспективных нанотехнологий и наноиндустрии» [10]. Корпорация решает эту задачу, выступая соинвестором в нанотехнологических проектах со значительным экономическим или социальным потенциалом. Финансовое участие корпорации на ранних стадиях проектов снижает риски ее партнеров - частных инвесторов. Корпорация участвует в создании объектов нанотехнологической инфраструктуры, например, центров коллективного пользования, бизнес-инкубаторов и фондов раннего инвестирования. РОСНАНО выбирает приоритетные направления инвестирования на основе долгосрочных прогнозов развития, к разработке которых привлекаются ведущие российские и мировые эксперты. Миссия, цели и задачи данной корпорации зафиксированы на ее официальном сайте: «Нанотехнологии и наноиндустрия являются в настоящее время одним из наиболее перспективных направлений науки, технологий и промышленности. Задача опережающего инновационного развития России, коммерциализации перспективных разработок, а также проблема рационального использования ресурсов диктуют необходимость освоения и использования новых инструментов государственной политики» [8].
Основы государственной политики в сфере наноиндустрии определены в президентской инициативе «Стратегия развития наноиндустрии» от 24 апреля 2007 года [9]. В соответствии с этой стратегией уже в ближайшие годы должны быть кардинально увеличены объемы производства выпускаемой и востребованной продукции нанотехнологий и достигнуто насыщение соответствующих рынков. Одновременно должна быть начата разработка новых видов продукции нанотехнологий, которые появятся на
рынке через несколько лет, и доведение этих видов продукции до промышленного производства. «К 2015 году в стране будет сформирована национальная нанотехнологическая сеть, представляющая условия для масштабного наращивания продукции наноиндустрии» [8]. С.Б. Иванов отмечает, что масштабность стоящих задач в этом плане и грандиозность планируемых к реализации проектов требует не просто эпизодического обсуждения тех или иных тем наноиндустрии, а плановой совместной работы. «Сейчас мы стоим на пороге настоящей нанореволюции, об этом уже много говорилось раньше, и это способно перевернуть все наши представления о жизни. И это не пустые слова и декларации... Сфера применения нанотехнологий значительно шире. Это поистине наддисциплинарное и межотраслевое направление. Материалы и устройства, изготовляемые с применением технологий, оперирующих веществом на атомарном или наноуровне, находят самое широкое применение при создании перспективных авиационно-космических систем, средств спутниковой и наземной связи, навигации, систем безопасности, в том числе ан-титеррористических» [6].
Естественно, нанотехнологии способны способствовать улучшению систем безопасности, включая информационную, создать качественно новые технологии информационной защиты, что потребу-
ет значительных материальных средств и квалифицированных усилий. На сегодняшний день Россия пока не вошла в число передовых производителей продукта на основе нанотехнологий, по-прежнему государство и общество заимствуют передовые компьютерные и иные технические программы, средства, компоненты и ИКТ в целом из-за рубежа, что не может не сказаться на качестве защиты от внешних и других информационных угроз. В настоящее время отечественные программы в области нанотехнологий, исходя из их анализа, преимущественно нацелены на разработки и развитие космических технологий (ГЛОНАСС), военных и связанных с добычей углеводородов. Программы, связанные с созданием российских конкурентоспособных производств в области информатизации, как нам кажется, носят неопределенный и декларативный характер. В условиях глобального финансово-экономического кризиса реализация многих программ осложнена. И вполне вероятно, что если часть разрабатываемых программ нанотехнологий будет заморожена или ограничена в реализации, то главным образом это скажется на неприоритетных программах - в частности, информатизационных, что приведет к информационно-коммуникационной стагнации в стране и негативно скажется на процессах обеспечения информационной безопасности России.
Список литературы:
[1] Schein E.H. Organizational Culture and Leadership. - Los-Angeles, 1998.
[2] Доктрина информационной безопасности Российской Федерации // Российская газета. - 2000, 25.11.2000, № 227 (2591). - Официальный сайт Совета Безопасности РФ. - Интернет-ресурс. Режим доступа: http://www.scrf.gov.ru/Documents/Decree/2000/09-09.html
[3] Доля А. Враг внутри // Санкт-Петербургский бизнес-журнал on-line. - Интернет-ресурс. Режим доступа: http//www.business-magazine.ru/spb
[4] Занковский А.Н. Организационная психология. - М.: МПСИ, 2002.
[5] Защита персональных данных и коммерческой информации / Эфир «Эхо Москвы». - 05.11.2009. -Интернет-ресурс. Режим доступа: http://www.echo.msk.ru/programs/dozor/631988-echo/
[6] Из выступления первого заместителя Председателя Правительства РФ С.Б. Иванова на заседании Правительственного совета по нанотехнологиям / М., Дом Правительства РФ. - 21.06.2007. - Интернет-ресурс. Режим доступа: http://www.realeconomy.ru/969/1090/1087/index.shtml?id=1225
[7] Особенности обеспечения информационной безопасности кредитно-финансовой сферы в Российской Федерации // Бизнес-форум. Агентство Анонсов России Forsmi.ru. - М., 30.09.2008. - Интернет-ресурс. Режим доступа: http://forsmi.ru/node/1867
[8] РосНАНО. - Интернет-ресурс. Режим доступа: http://www.rusnano.com/Section.aspx/Print/14583
[9] Федеральная целевая программа «Развитие наноиндустрии в РФ на 2008-2010 гг». - Интернет-ресурс. Режим доступа: http://nano.extech.ru/nanoindustry/strateg.php
[10] Федеральный закон № 139-ФЗ от 19 июля 2007 г. »О Российской корпорации нанотехнологий». -Интернет-ресурс. Режим доступа: http://www.medialaw.ru
Общество
