Научная статья на тему 'Методы защиты информации в современном менеджменте'

Методы защиты информации в современном менеджменте Текст научной статьи по специальности «Компьютерные и информационные науки»

CC BY
2494
282
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
БЕЗОПАСНОСТЬ ИНФОРМАЦИИ / ИНФОРМАЦИОННЫЙ РЕСУРС / ИНФОРМАЦИОННАЯ СИСТЕМА / INFORMATION SECURITY / INFORMATION RESOURSE / INFORMATION SYSTEM

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Родионов Михаил Александрович

В статье рассматриваются методологические аспекты защиты информации как составной части современных бизнес-процессов.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Родионов Михаил Александрович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

METHODS OF INFORMATION PROTECTION IN CONTEMPORARY MANAGEMENT

The article deals with the methodological aspects of information protection as an ingredient part of modern business processes.

Текст научной работы на тему «Методы защиты информации в современном менеджменте»

УДК 656.7:658

МЕТОДЫ ЗАЩИТЫ ИНФОРМАЦИИ В СОВРЕМЕННОМ МЕНЕДЖМЕНТЕ

М.А. РОДИОНОВ

В статье рассматриваются методологические аспекты защиты информации как составной части современных бизнес-процессов.

Ключевые слова: безопасность информации, информационный ресурс, информационная система.

Необходимым условием эффективности современного менеджмента является защита информации, необходимой для осуществления процессов управления на всех этапах развития организации. Угрозы безопасности информации (БИ) можно разделить на три основных группы, в результате реализации которых происходит нарушение (рис. 1):

- конфиденциальности информационных ресурсов (ИР) - угрозы хищения и утраты;

- доступности ИР (угрозы блокирования и уничтожения);

- целостности ИР (угрозы модификации, «отрицания подлинности» и «навязывания ложной информации»).

При анализе угроз БИ и оценке информационных рисков необходимо учитывать различные условия, внутренние и внешние, влияющие на степень риска. К внутренним условиям относятся уязвимости самих информационных систем (ИС). К внешним - методы, способы и приемы реализации, которые использует злоумышленник для реализации угрозы БИ. Источник угрозы, таким образом, может относиться как к внутренним, так и внешним условиям.

ОБЪЕКТ ЗАЩИТЫ

информационные ресурсы, содержащие сведения ограниченного доступа

ЦЕЛЬ БИ

исключение нанесения материального, морального и иного ущерба собственникам информации в результате нарушения:

конфиденциальности доступности целостности

_ _ —1 |=—1

Хищение

Блокирование

Утрата

I

|Угрозы безопасности информации

Уничтожение

Модификация

Отрицание подлинности

Навязывание ложной

Рис. 1. Цели и угрозы безопасности информации

В настоящее время автоматизированные системы (АС) становятся критически важными элементами в обеспечении требуемого уровня выполнения бизнес-процессов предприятий. В конкретных ситуациях алгоритмы действий по защите информации могут существенно различаться. Вместе с тем, в ранее проведенных исследованиях были выявлены и проанализированы основные мероприятия по анализу защищенности корпоративной сети: изучение исходных

данных по АС; оценка рисков безопасности ресурсов АС; анализ политики безопасности организации и организационно-распорядительной документации по обеспечению режима информационной безопасности, оценка их соответствия требованиям существующих нормативных документов; ручной анализ конфигурационных файлов маршрутизаторов и прокси-серверов, осуществляющих управление межсетевыми взаимодействиями, почтовых и DNS серверов, а также других критических элементов сетевой инфраструктуры; сканирование внешних сетевых адресов ЛВС из сети Интернет; сканирование ресурсов ЛВС изнутри; анализ конфигурации серверов и рабочих станций ЛВС при помощи специализированных программных средств.

Устранение (ослабление) отрицательного влияния деструктивных воздействий (ДВ) при реализации различных угроз безопасности информации, а следовательно, и уменьшение степени риска осуществляется за счет применения различных методов защиты: правовых; экономических; организационных; инженерно-технических; технических; программно-аппаратных и др.

Применение тех или иных методов и способов защиты должно быть оправдано как с экономической, так и с технической точек зрения. Состав методов защиты и их практическая направленность (точки приложения методов защиты: где и каким образом в ИС данные методы защиты будут реализованы) во многих случаях определяются мнением экспертов, исходя из перечня значимых ДВ для каждого частного случая.

Правовые методы направлены на создание защитного иммунитета, основанного на угрозе применения репрессивного инструмента в отношении нарушителя интересов проверяемой организации (источников угроз), и установление механизмов применения определенных санкций в отношении этих нарушителей. Эти методы ориентированы, прежде всего, на устранение угроз, реализуемых антропогенными источниками угроз, и являются основой для применения всех остальных методов защиты. Основными правовыми методами являются:

- признание права собственности на информацию;

- признание права судебной защиты интересов проверяемой организации;

- определение условий и порядка использования и защиты информации;

- введение санкций за противоправные деяния с защищаемой информацией;

- вменение в обязанность различных организаций необходимости сохранения конфиденциальности информации, ставшей им известной в силу служебных обязанностей.

Имеющаяся правовая база позволяет успешно применить для защиты интересов проверяемой организации всех способов защиты гражданских прав, предусмотренных законом.

Законодательством предусмотрена ответственность (в том числе материальная) федеральных органов государственной власти, органов власти субъектов РФ, муниципальных образований, других организаций за правонарушения при использовании защищаемой информации и несоблюдение режима ее защиты, установленного проверяемой организацией.

Должностные лица органов государственной власти и других организаций, виновные в нарушении режима защиты информации, несут ответственность в соответствии с уголовным, гражданским законодательством и законодательством об административных правонарушениях.

Факт совершения действия по установлению и завладению какими-либо данными, к которым отсутствует свободный доступ и установлен режим защиты (обеспечения конфиденциальности), похищение документов, подкуп персонала, угрозы или иное деяние, даже если не наступили какие-либо последствия, расценивается как преступление.

Лица, получившие незаконными методами защищаемую информацию, в том числе сотрудники проверяемой организации, разгласившие такую информацию вопреки трудовому договору (контракту), обязаны возместить причиненные убытки.

Незаконные действия по получению конфиденциальной информации связаны с использованием технических средств, квалифицируются как нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений. Нарушение тайны переписки имеет место также в случае, когда корреспонденция становится достоянием других лиц без согласия адресата.

Убытки, понесенные проверяемой организацией в результате незаконного разглашения или использования защищаемой информации, подлежат возмещению. Оценка убытков осуществляется по общим методикам определения размеров убытков.

Экономические методы воздействуют на антропогенные источники угроз и, в совокупности с правовыми методами, направлены на сокращение их числа, введение в действие механизмов ликвидации последствий угроз. Основными экономическими методами являются:

- введение системы коэффициентов и надбавок;

- страхование средств обработки информации;

- страхование информационных рисков, введение механизма возмещения убытков и компенсации ущерба.

Система коэффициентов и надбавок предполагает создание особых льгот сотрудникам проверяемой организации, работающим с информацией ограниченного распространения. Эта система увязывается со стажем работы в проверяемой организации.

Страхование средств обработки информации предполагает страхование ответственности производителей средств обработки информации, организаций, осуществляющих строительство объектов информатизации, монтаж оборудования, предоставление каналов связи (провайдеров), и направлено на компенсацию возможного ущерба проверяемой организации в результате их некомпетентных действий. Страхование информации (информационных рисков) направлено на компенсацию ущерба проверяемой организации в результате уничтожения (утраты) непосредственно его ИР. Страхование осуществляется на основе договора страхования, в котором отражаются страховые случаи и признаки наступления этих страховых случаев. При определении страховой суммы должна учитываться не только стоимость ИР, но и возможная упущенная выгода и общая стоимость восстановления ИР.

Возмещение ущерба, причиненного в результате неправомерных действий с защищаемой информацией, осуществляется в судебном порядке. При этом действия сотрудника проверяемой организации, виновной в разглашении информации, считаются действиями самой организации. При нанесении ущерба государственной организацией или органом государственной власти ответчиком признается непосредственно Российская Федерация в лице соответствующего финансового органа.

Организационные методы в основном ориентированы на работу с персоналом, выбор местоположения и размещения объектов информатизации, организацию систем физической, противопожарной защиты, контроля выполнения принятых мер, возложения персональной ответственности за выполнение мер защиты. Методы применяются для уменьшения числа внутренних антропогенных, техногенных и стихийных источников угроз, а также уменьшения влияния уязвимостей. Основными организационными методами являются:

- выбор местоположения и размещение;

- физическая защита и организация охраны;

- ограничение доступа персонала в помещения, в которых размещены технические средства обработки защищаемых информационных ресурсов;

- подбор и работа с персоналом;

- организация инструктажа персонала;

- организация учета оборудования и носителей;

- контроль выполнения требований по защите;

- противопожарная охрана;

- обеспечение надежного сервисного обслуживания;

- организация взаимодействия с компетентными органами.

Организационные методы направлены на исключение возможности тайного проникновения на территорию объектов организации посторонних лиц, обеспечение удобства контроля прохода и перемещения сотрудников, создание отдельных зон с самостоятельной системой доступа, ознакомление и изучение сотрудников, их обучение работе с защищаемой информацией, озна-

комление с мерой ответственности за разглашение, контроль за действиями персонала, проведение расследований нарушений установленных правил.

Инженерно-технические методы ориентированы на оптимальное построение зданий, сооружений, сетей инженерных и транспортных коммуникаций проверяемой организации с учетом требований обеспечения безопасности информации. Эти методы, как правило, реализуются на этапе строительства или реконструкции объектов проверяемой организации, способствуют повышению их общей живучести и устраняют источники угроз, обусловленные стихийными бедствиями, и техногенного характера, не устранимые другими методами. Они направлены на ослабление влияния большого количества объективных и случайных уязвимостей. К этим методам относятся:

- создание электрозащиты оборудования и зданий;

- экранирование помещений;

- защита помещений от разрушений;

- оптимальное размещение оборудования;

- оптимальное размещение инженерных коммуникаций;

- применение средств визуальной защиты;

- акустическая обработка помещений;

- применение систем кондиционирования.

Технические методы основаны на применении специальных технических средств защиты информации и контроля обстановки и ориентированы на устранение угроз, связанных с действиями внешних антропогенных источников угроз по добыванию информации незаконными техническими средствами. Некоторые из этих методов позволяют устранить воздействие техногенных источников угроз и ослабляют влияние объективных, субъективных и случайных уязвимостей. Техническими методами являются:

- резервирование технических средств обработки;

- резервирование каналов связи;

- использование выделенных каналов связи;

- создание резервной копии (дублирование) информационных ресурсов;

- создание системы пространственного зашумления;

- создание системы акустического зашумления;

- экранирование узлов и оборудования ИС проверяемой организации;

- использование в ИС проверяемой организации доработанного оборудования;

- использование источников гарантированного питания для ИС;

- контроль каналов связи для передачи информации в проверяемой организации;

- контроль отсутствия средств съема информации на объектах.

Программно-аппаратные методы нацелены на устранение проявления угроз, непосредственно связанных с процессом обработки и передачи информации в ИС. Без этих методов невозможно построение целостной комплексной системы обеспечения БИ. К этой группе относятся следующие методы:

- ограничение доступа к средствам обработки информации;

- ограничение доступа к объектам защиты информации;

- разграничение доступа субъектов (пользователей);

- управление внешними потоками информации;

- управление внутренними потоками информации;

- маскирование структуры и назначения ИС;

- подтверждение подлинности информации;

- преобразование (шифрование, кодирование) информации при ее передаче и хранении;

- блокирование неиспользуемых сервисов;

- мониторинг целостности программного обеспечения, конфигурации ИС;

- мониторинг ДВ на ИС;

- мониторинг действий субъектов информационных процессов.

Система обеспечения безопасности информации (СОБИ) представляет собой практическую реализацию на объекте защиты комплекса методов, способов и приемов противодействия возможным ДВ при реализации значимых угроз БИ. Высокая эффективность функционирования СОБИ будет обеспечена только при условии одновременного выполнения всех входящих в комплекс методов противодействия угрозам. Построение СОБИ может осуществляться в соответствии с положениями некоторых мировых стандартов в области БИ (в частности, стандарта ISO 15408).

Одними из главных принципов построения СОБИ являются системность и многоуровневость. Следуя данным принципам, предполагается, что наибольшая эффективность защиты информационных ресурсов КИС от осуществления ДВ будет достигнута, если СОБИ будет строиться как иерархическая, многоуровневая система. Комплексный подход, применяемый при построении СОБИ, предусматривает наличие нескольких уровней защиты, которые определяют требования по обеспечению безопасности информации на всех этапах ее использования в ИС (рис. 2):

Рис. 2. Связи между уровнями защиты и функциональными подсистемами

1. Технологический. Данный уровень предполагает использование средств защиты, которые обеспечивают использование доверенного программного обеспечения и технических средств, участвующих в обработке защищаемой информации. Другими словами, средства защиты, используемые на данном уровне, гарантируют целостность и надежность данных средств.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

2. Пользовательский. Средства защиты, используемые на данном уровне, обеспечивают выполнение функций по разграничению полномочий пользователей при работе с ИР ИС, функций по непосредственному контролю за соблюдением правил, определяющих эти полномочия, а также контроль за потоками информации между пользователями.

3. Сетевой. Этот уровень предусматривает построение защитной оболочки (защищенного периметра) как вокруг самой ИС, так и вокруг отдельных ее сегментов. Под защитной оболочкой понимается наличие мер и средств, обеспечивающих выполнение основных защитных функций, предусматривающих защиту от НСД к информации, контроль за межсетевыми и межсегментными потоками данных, а также разграничение доступа внешних пользователей к внутренним ресурсам ИС.

4. Канальный. Средства защиты на этом уровне обеспечивают создание доверенных каналов связи между структурными составляющими ИС (сетевые сегменты, рабочие станции, серверы), которые осуществляют передачу данных, обеспечивая ее целостность, конфиденциальность и доступность.

При построении по функциональным признакам СОБИ делится на подсистемы, предоставляющие собой отдельные службы безопасности, которые обеспечивают выполнение целевых задач по защите ИР:

1. Подсистема поддержки доверенной информационной среды предназначена для поддержания целостной программно-аппаратной среды ИС, обеспечения гарантий доверительности пользователей ИС к предоставляемой системой информации и сервисам. В общем случае подсистема включает в себя следующие средства: как антивирусная защита, контроль лицензионной политики, контроль отказоустойчивости аппаратных платформ и линий связи, контроль целостности системного ПО и др.

2. Подсистема аутентификации и идентификации предназначена для проведения процедур аутентификации/идентификации пользователей, сетевых приложений, СУБД и т.д. на всех этапах обработки и обращения информации в ИС. Подсистема реализуется механизмами аутентификации, встроенными в средства защиты. Подсистема тесно взаимодействует с подсистемой контроля доступа.

3. Подсистема контроля доступа предназначена для управления и контроля за доступом пользователей к рабочим станциям, серверам, прикладным системам, системным и сетевым сервисам и др., входящим в состав ИС, на базе многоуровневой политики безопасности. Подсистема реализуется механизмами разграничения полномочий, встроенными в системное ПО и средства защиты. Одной из задач подсистемы является реализация политики «единой контролируемой точки входа» в систему.

4. Подсистема защиты потоков предназначена для создания доверенных каналов связи между структурными составляющими ИС. Данная подсистема обеспечивает защиту данных, передаваемых как по открытым каналам, так и по конфиденциальным каналам внутри ИС. Для реализации функций, выполняемых данной подсистемой, используются средства криптографического преобразования данных и подтверждения их подлинности (целостности).

5. Подсистема аудита и регистрации осуществляет сбор и хранение информации об общем состоянии программных и технических компонентов, функционирующих отдельно или входящих в состав подсистем безопасности, и предназначена для предварительного анализа данной информации. Подсистема, в случае необходимости, выполняет оперативное оповещение службы безопасности о состоянии используемого оборудования и ПО, действующего в составе ИС, и изменениях, действиях администраторов и пользователей по конфигурированию оборудования и ПО, подозрительной активности пользователей, событиях безопасности и др.;

6. Подсистема управления - ключевая подсистема СОБИ, предназначенная для оперативного управления как отдельными составляющими СОБИ, так и системой в целом, в соответствии с политикой безопасности. Подсистема включает в себя такие механизмы, как анализ информации с консолей мониторинга средств защиты, алгоритмы поддержки принятия решения об оперативном усилении/ослаблении политики безопасности в отдельных элементах или узлах СОБИ и противодействия внешним и внутренним атакам, управление отдельными средствами и комплексами защиты информации и др.

Использование при построении СОБИ соответствующих уровней защиты и функциональных подсистем позволяет устранять такой серьезный недостаток, как избыточность СОБИ (средств защиты), которая может привести к нарушению работы СОБИ, ее сбоям и т.п., что, в свою очередь, может привести к значительному повышению рисков нарушения БИ.

В целом, изложенный подход к построению СОБИ может позволить обеспечивать построение рациональных (с точки зрения удобства, эффективности, стоимости) СОБИ на двух этапах: выбора рационального состава методов противодействия и построения СОБИ в соответствии с уровнями защиты и используемыми функциональными подсистемами.

ЛИТЕРАТУРА

1. Родионов М.А. Методологические аспекты информационного аудита в менеджменте предприятия // Научный Вестник МГТУ ГА. - 2009. - № 156. - С. 68-74.

2. Белов В.П., Родионов М.А. Информационная безопасность государственного управления. - М.: ВАГШ, 2004.

3. Вихорев С.В. Методические рекомендации по проведению комплексного обследования (аудита) защищенности информационной системы. - М.: ОАО «ЭЛВИС-ПЛЮС», 2003.

METHODS OF INFORMATION PROTECTION IN CONTEMPORARY MANAGEMENT

Rodionov MA.

The article deals with the methodological aspects of information protection as an ingredient part of modern business processes.

Key words: information security, information resourse, information system.

Сведения об авторе

Родионов Михаил Александрович, 1957 г.р., окончил ВА РВСН (1979), МГУ им. М.В. Ломоносова (1987), ВАГШ ВС РФ (1999), РАГС при Президенте РФ (2005), кандидат технических наук, доктор военных наук, профессор МГТУ ГА, автор более 160 научных работ, область научных интересов - антикризисный менеджмент, теория принятия решений, информационная безопасность.

i Надоели баннеры? Вы всегда можете отключить рекламу.