З приводу кібернетики Норберт Вінер вважав, що інформація має унікальні характеристики і її не можна віднести ні до енергії, ні до матерії. Особливий статус інформації як явища породив багато визначень.

У словнику стандарту ISO/IEC 2382:2015 «Інформаційні технології» наводиться таке трактування:

Інформація (в галузі обробки інформації)- будь-які дані, представлені в електронній формі, написані на папері, висловлені на нараді або що знаходяться на будь-якому іншому носії, що використовуються фінансовою установою для прийняття рішень, переміщення коштів, встановлення ставок, надання позик, обробки операцій тощо, включаючи компоненти програмне забезпечення системи обробки.

Для розробки концепції забезпечення інформаційної безпеки (ІБ) під інформацією розуміють відомості, які доступні для збору, зберігання, обробки (редагування, перетворення), використання та передачі у різний спосіб, у тому числі в комп'ютерних мережах та інших інформаційних системах.

Такі відомості мають високу цінність і можуть стати об'єктами зазіхань з боку третіх осіб. Прагнення захистити інформацію від загроз є основою створення систем інформаційної безпеки.

Правова основа

У грудні 2017 року в Росії прийнято Доктрини інформаційної безпеки. У документ ІБ визначено стан захищеності національних інтересів в інформаційній сфері. Під національними інтересами у разі розуміється сукупність інтересів суспільства, особистості та держави, кожна група інтересів необхідна стабільного функціонування соціуму.

Доктрина – концептуальний документ. Правовідносини, пов'язані із забезпеченням інформаційної безпеки, регулюються федеральними законами «Про державну таємницю», «Про інформацію», «Про захист персональних даних» та іншими. На основі основних нормативних актів розробляються постанови уряду та відомчі нормативні акти, присвячені приватним питанням захисту інформації.

Визначення інформаційної безпеки

Перш ніж розробляти стратегію інформаційної безпеки, необхідно прийняти базове визначення поняття, яке дозволить застосовувати певний набір способів і методів захисту.

Практики галузі пропонують розуміти під інформаційною безпекою стабільний стан захищеності інформації, її носіїв та інфраструктури, що забезпечує цілісність та стійкість процесів, пов'язаних з інформацією, до навмисних чи ненавмисних впливів природного та штучного характеру. Впливи класифікуються у вигляді загроз ІХ, які можуть завдати шкоди суб'єктам інформаційних відносин.

Таким чином, під захистом інформації розумітиметься комплекс правових, адміністративних, організаційних та технічних заходів, спрямованих на запобігання реальним або передбачуваним ІБ-загрозам, а також на усунення наслідків інцидентів. Безперервність процесу захисту інформації повинна гарантувати боротьбу з загрозами на всіх етапах інформаційного циклу: у процесі збирання, зберігання, обробки, використання та передачі інформації.

Інформаційна безпека у цьому розумінні стає однією з характеристик працездатності системи. У кожний момент часу система повинна мати вимірюваний рівень захищеності, і забезпечення безпеки системи має бути безперервним процесом, що здійснюється на всіх тимчасових відрізках в період життя системи.

В інфографіці використані дані власного"СерчІнформ".

У теорії інформаційної безпеки під суб'єктами ІБ розуміють власників та користувачів інформації, причому користувачів не тільки на постійній основі (співробітники), але й користувачів, які звертаються до баз даних у поодиноких випадках, наприклад, державні органи, які запитують інформацію. У ряді випадків, наприклад, у банківських ІБ-стандартах до власників інформації зараховують акціонерів – юридичних осіб, яким належать певні дані.

Підтримуюча інфраструктура, з погляду основ ІБ, включає комп'ютери, мережі, телекомунікаційне устаткування, приміщення, системи життєзабезпечення, персонал. При аналізі безпеки необхідно вивчити всі елементи систем, приділивши особливу увагу персоналу як носію більшості внутрішніх загроз.

Для управління інформаційною безпекою та оцінки шкоди використовують характеристику прийнятності, таким чином, шкода визначається як прийнятна або неприйнятна. Кожній компанії корисно затвердити власні критерії допустимості збитків у грошовій формі або, наприклад, як допустиму шкоду репутації. У державних установах можуть бути прийняті інші характеристики, наприклад вплив на процес управління або відображення ступеня шкоди для життя та здоров'я громадян. Критерії суттєвості, важливості та цінності інформації можуть змінюватися під час життєвого циклу інформаційного масиву, тому мають своєчасно переглядатись.

Інформаційною загрозою у вузькому сенсі визнається об'єктивна можливість впливати на об'єкт захисту, що може призвести до витоку, розкрадання, розголошення чи розповсюдження інформації. У ширшому розумінні до ІБ-загроз відноситимуться спрямовані впливу інформаційного характеру, мета яких - завдати шкоди державі, організації, особистості. До таких загроз відноситься, наприклад, дифамація, навмисне введення в оману, некоректна реклама.

Три основні питання ІБ-концепції для будь-якої організації

Що боронити?

Які види загроз переважають: зовнішні чи внутрішні?

Як захищати, якими методами та засобами?

Система ІБ

Система інформаційної безпеки компанії - юридичної особи включає три групи основних понять: цілісність, доступність і конфіденційність. Під кожним ховаються концепції з багатьма характеристиками.

Під цілісністюрозуміється стійкість баз даних, інших інформаційних масивів до випадкового чи навмисного руйнування, внесення несанкціонованих змін. Поняття цілісності можна розглядати як:

• статичне, що виражається в незмінності, автентичності інформаційних об'єктів тим об'єктам, які створювалися за конкретним технічним завданням та містять обсяги інформації, необхідні користувачам для основної діяльності, у потрібній комплектації та послідовності;
• динамічний, що передбачає коректне виконання складних дій або транзакцій, що не завдає шкоди безпеці інформації.

Для контролю динамічної цілісності використовують спеціальні технічні засоби, які аналізують потік інформації, наприклад фінансові, і виявляють випадки крадіжки, дублювання, перенаправлення, зміни порядку повідомлень. Цілісність як основна характеристика потрібна тоді, коли на основі інформації, що надходить або наявної, приймаються рішення про здійснення дій. Порушення порядку розташування команд або послідовності дій може завдати великої шкоди у разі опису технологічних процесів, програмних кодів та інших аналогічних ситуаціях.

Доступність- це властивість, яка дозволяє здійснювати доступ авторизованих суб'єктів до даних, які становлять їм інтерес, чи обмінюватися цими даними. Ключова вимога легітимації чи авторизації суб'єктів дає можливість створювати різні рівні доступу. Відмова системи надавати інформацію стає проблемою для будь-якої організації чи груп користувачів. Як приклад можна навести недоступність сайтів держпослуг у разі системного збою, що позбавляє безліч користувачів можливості отримати необхідні послуги чи інформацію.

Конфіденційністьозначає властивість інформації бути доступною тим користувачам: суб'єктам та процесам, яким допуск дозволено спочатку. Більшість компаній та організацій сприймають конфіденційність як ключовий елемент ІБ, проте на практиці реалізувати її повною мірою важко. Не всі дані про існуючі канали витоку відомостей доступні авторам концепцій ІБ, і багато технічних засобів захисту, зокрема криптографічні, не можна придбати вільно, часом оборот обмежений.

Рівні властивості ІБ мають різну цінність для користувачів, звідси дві крайні категорії при розробці концепцій захисту даних. Для компаній чи організацій, пов'язаних з державною таємницею, ключовим параметром стане конфіденційність, для публічних сервісів чи освітніх установ найважливіший параметр – доступність.

Дайджест інформаційної безпеки

Об'єкти захисту у концепціях ІБ

Відмінність у суб'єктах породжує розбіжності у об'єктах захисту. Основні групи об'єктів захисту:

• інформаційні ресурси всіх видів (під ресурсом розуміється матеріальний об'єкт: жорсткий диск, інший носій, документ із даними та реквізитами, які допомагають його ідентифікувати та віднести до певної групи суб'єктів);
• права громадян, організацій та держави на доступ до інформації, можливість отримати її в рамках закону; доступ може бути обмежений лише нормативно-правовими актами, неприпустима організація будь-яких бар'єрів, які порушують права людини;
• система створення, використання та розповсюдження даних (системи та технології, архіви, бібліотеки, нормативні документи);
• система формування суспільної свідомості (ЗМІ, Інтернет-ресурси, соціальні інститути, освітні установи).

Кожен об'єкт передбачає особливу систему заходів захисту від загроз ІБ та громадському порядку. Забезпечення інформаційної безпеки у кожному разі має базуватися на системному підході, що враховує специфіку об'єкта.

Категорії та носії інформації

Російська правова система, правозастосовна практика і сформовані суспільні відносини класифікують інформацію за критеріями доступності. Це дозволяє уточнити суттєві параметри, необхідні для забезпечення інформаційної безпеки:

• інформація, доступ до якої обмежений виходячи з вимог законів (державна таємниця, комерційна таємниця, персональні дані);
• відомості у відкритому доступі;
• загальнодоступна інформація, що надається на певних умовах: платна інформація або дані, для користування якими потрібно оформити допуск, наприклад, бібліотечний квиток;
• небезпечна, шкідлива, хибна та інші типи інформації, обіг та поширення якої обмежені або вимогами законів, або корпоративними стандартами.

Інформація з першої групи має два режими охорони. Державна таємниця, згідно із законом, це відомості, що захищаються державою, вільне поширення яких може завдати шкоди безпеці країни. Це дані у галузі військової, зовнішньополітичної, розвідувальної, контррозвідувальної та економічної діяльності держави. Власник цієї групи даних – безпосередньо держава. Органи, уповноважені вживати заходів щодо захисту державної таємниці, - Міністерство оборони, Федеральна служба безпеки (ФСБ), Служба зовнішньої розвідки, Федеральної служби з технічного та експортного контролю (ФСТЕК).

Конфіденційна інформація- Найбільш багатоплановий об'єкт регулювання. Перелік відомостей, які можуть становити конфіденційну інформацію, міститься в указі президента №188 "Про затвердження переліку відомостей конфіденційного характеру". Це персональні дані; таємниця слідства та судочинства; службова таємниця; професійна таємниця (лікарська, нотаріальна, адвокатська); комерційна таємниця; відомості про винаходи та корисні моделі; відомості, які у особових справах засуджених, і навіть відомості про примусове виконання судових актів.

Персональні дані існує у відкритому та конфіденційному режимі. Відкрита та доступна всім користувачам частина персональних даних включає ім'я, прізвище, по батькові. Відповідно до ФЗ-152 «Про персональні дані», суб'єкти персональних даних мають право:

• на інформаційне самовизначення;
• на доступ до особистих персональних даних та внесення до них змін;
• на блокування персональних даних та доступу до них;
• на оскарження неправомірних дій третіх осіб, скоєних щодо персональних даних;
• на відшкодування заподіяної шкоди.

Право на закріплено в положеннях про державні органи, федеральні закони, ліцензії на роботу з персональними даними, які видає Роскомнадзор або ФСТЕК. Компанії, які професійно працюють із персональними даними широкого кола осіб, наприклад, оператори зв'язку, мають увійти до реєстру, його веде Роскомнагляд.

Окремим об'єктом у теорії та практиці ІБ виступають носії інформації, доступ до яких буває відкритим та закритим. Під час розробки концепції ІБ методи захисту вибираються залежно від типу носія. Основні носії інформації:

• друковані та електронні засоби масової інформації, соціальні мережі, інші ресурси в Інтернеті;
• співробітники організації, які мають доступ до інформації на підставі своїх дружніх, сімейних, професійних зв'язків;
• засоби зв'язку, які передають чи зберігають інформацію: телефони, АТС, інше телекомунікаційне обладнання;
• документи всіх типів: індивідуальні, службові, державні;
• програмне забезпечення як самостійний інформаційний об'єкт, особливо якщо його версія допрацьовувалась спеціально для конкретної компанії;
• електронні носії інформації, які обробляють дані автоматично.

Для цілей розробки концепцій ІБ-захисту засоби захисту інформації прийнято поділяти на нормативні (неформальні) та технічні (формальні).

Неформальні засоби захисту – це документи, правила, заходи, формальні – це спеціальні технічні засоби та програмне забезпечення. Розмежування допомагає розподілити зони відповідальності під час створення ІБ-систем: за загального керівництва захистом адміністративний персонал реалізує нормативні методи, а IT-фахівці, відповідно, технічні.

Основи інформаційної безпеки передбачають розмежування повноважень у частині використання інформації, а й у роботи з її охороною. Подібне розмежування повноважень потребує кількох рівнів контролю.

Формальні засоби захисту

Широкий діапазон технічних засобів ІБ-захисту включає:

Фізичні засоби захисту.Це механічні, електричні, електронні механізми, що функціонують незалежно від інформаційних систем та створюють перешкоди для доступу до них. Замки, у тому числі електронні, екрани, жалюзі мають створювати перешкоди для контакту дестабілізуючих факторів із системами. Група доповнюється засобами систем безпеки, наприклад відеокамерами, відеореєстраторами, датчиками, що виявляють рух або перевищення ступеня електромагнітного випромінювання в зоні розташування технічних засобів зняття інформації, закладних пристроїв.

Апаратні засоби захисту.Це електричні, електронні, оптичні, лазерні та інші пристрої, що вбудовуються в інформаційні та телекомунікаційні системи. Перед використанням апаратних засобів у інформаційні системи необхідно переконатися у сумісності.

Програмні засоби- це прості та системні, комплексні програми, призначені для вирішення приватних та комплексних завдань, пов'язаних із забезпеченням ІБ. Прикладом комплексних рішень служать і перші служать для запобігання витоку, переформатування інформації та перенаправлення інформаційних потоків, другі - забезпечують захист від інцидентів у сфері інформаційної безпеки. Програмні засоби вимогливі до потужності апаратних пристроїв, і за умови встановлення необхідно передбачити додаткові резерви.

можна безкоштовно протестувати протягом 30 днів. Перед встановленням системи інженери "СерчІнформ" проведуть технічний аудит у компанії замовника.

До специфічним засобамінформаційної безпеки відносяться різні криптографічні алгоритми, що дозволяють шифрувати інформацію на диску і перенаправляти зовнішніми каналами зв'язку. Перетворення інформації може відбуватися за допомогою програмних та апаратних методів, що працюють у корпоративних інформаційних системах.

Усі засоби, що гарантують безпеку інформації, повинні використовуватися в сукупності після попередньої оцінки цінності інформації та порівняння її з вартістю ресурсів, витрачених на охорону. Тому пропозиції щодо використання коштів мають формулюватися вже на етапі розробки систем, а затвердження має проводитися на рівні управління, який відповідає за затвердження бюджетів.

З метою забезпечення безпеки необхідно проводити моніторинг усіх сучасних розробок, програмних та апаратних засобів захисту, загроз та своєчасно вносити зміни до власних систем захисту від несанкціонованого доступу. Тільки адекватність та оперативність реакції на загрози допоможе досягти високого рівня конфіденційності у роботі компанії.

У 2018 році вийшов перший реліз. Ця унікальна програма складає психологічні портрети співробітників та розподіляє їх за групами ризику. Такий підхід до забезпечення інформаційної безпеки дозволяє передбачити можливі інциденти та заздалегідь вжити заходів.

Неформальні засоби захисту

Неформальні засоби захисту групуються на нормативні, адміністративні та морально-етичні. На першому рівні захисту знаходяться нормативні засоби, що регламентують інформаційну безпеку як процес діяльності організації.

• Нормативні засоби

У світовій практиці розробки нормативних засобів орієнтуються на стандарти захисту ІБ, основний - ISO/IEC 27000. Стандарт створювали дві організації:

• ISO - Міжнародна комісія зі стандартизації, яка розробляє та затверджує більшість визнаних на міжнародному рівні методик сертифікації якості процесів виробництва та управління;
• IEC – Міжнародна енергетична комісія, яка внесла до стандарту своє розуміння систем ІБ, засобів та методів її забезпечення

Актуальна версія ISO/IEC 27000-2016 пропонують готові стандарти та випробувані методики, необхідні для впровадження ІБ. На думку авторів методик, основа інформаційної безпеки полягає у системності та послідовній реалізації всіх етапів від розробки до пост-контролю.

Для отримання сертифікату, який підтверджує відповідність стандартам щодо забезпечення інформаційної безпеки, необхідно впровадити всі рекомендовані методики в повному обсязі. Якщо немає необхідності отримувати сертифікат, в якості бази для розробки власних ІБ-систем допускається прийняти будь-яку з попередніх версій стандарту, починаючи з ISO/IEC 27000-2002, або російських ГОСТів, що мають рекомендаційний характер.

За підсумками вивчення стандарту розробляються два документи щодо безпеки інформації. Основний, але менш формальний - концепція ІБ підприємства, що визначає заходи та засоби впровадження ІБ-системи для інформаційних систем організації. Другий документ, які зобов'язані виконувати всі співробітники компанії, - положення про інформаційну безпеку, яке затверджується на рівні ради директорів чи виконавчого органу.

Крім положення на рівні компанії повинні бути розроблені переліки відомостей, що становлять комерційну таємницю, додатки до трудових договорів, що закріплює відповідальність за розголошення конфіденційних даних, інші стандарти та методики. Внутрішні норми та правила повинні містити механізми реалізації та заходи відповідальності. Найчастіше заходи носять дисциплінарний характер, і порушник має бути готовий до того, що за порушенням режиму комерційної таємниці будуть суттєві санкції аж до звільнення.

• Організаційні та адміністративні заходи

В рамках адміністративної діяльності із захисту ІБ для співробітників служб безпеки відкривається простір для творчості. Це і архітектурно-планувальні рішення, що дозволяють захистити переговорні кімнати та кабінети керівництва від прослуховування, та встановлення різних рівнів доступу до інформації. Важливими організаційними заходами стануть сертифікація діяльності компанії за стандартами ISO/IEC 27000, сертифікація окремих апаратно-програмних комплексів, атестація суб'єктів та об'єктів на відповідність необхідним вимогам безпеки, отримання ліцензій, необхідних для роботи із захищеними масивами інформації.

З погляду регламентації діяльності персоналу важливим стане оформлення системи запитів на допуск до Інтернету, зовнішньої електронної пошти, інших ресурсів. Окремим елементом стане отримання електронного цифрового підпису для посилення безпеки фінансової та іншої інформації, яку передають державним органам каналами електронної пошти.

• Морально-етичні заходи

Морально-етичні заходи визначають особисте ставлення людини до конфіденційної інформації чи інформації, обмеженої обороті. Підвищення рівня знань співробітників щодо впливу загроз на діяльність компанії впливає на ступінь свідомості та відповідальності працівників. Щоб боротися з порушеннями режиму інформації, включаючи, наприклад, передачу паролів, необережне поводження з носіями, поширення конфіденційних даних у приватних розмовах, потрібно наголошувати на особисту свідомість співробітника. Корисним буде встановити показники ефективності персоналу, які залежатимуть від ставлення до корпоративної системи ІБ.

Науково-технічний прогрес перетворив інформацію на продукт, який можна купити, продати, обміняти. Нерідко вартість даних у кілька разів перевищує ціну всієї технічної системи, яка зберігає та обробляє інформацію.

Якість комерційної інформації забезпечує необхідний економічний ефект для компанії, тому важливо оберігати критично важливі дані від неправомірних дій. Це дозволить компанії успішно конкурувати над ринком.

Визначення інформаційної безпеки

Інформаційна безпека (ІБ)- це стан інформаційної системи, за якого вона найменш сприйнятлива до втручання та заподіяння шкоди з боку третіх осіб. Безпека даних також передбачає управління ризиками, пов'язаними з розголошенням інформації або впливом на апаратні та програмні модулі захисту.

Безпека інформації, що обробляється в організації, - це комплекс дій, спрямованих на вирішення проблеми захисту інформаційного середовища у межах компанії. При цьому інформація не повинна бути обмежена у використанні та динамічному розвитку для уповноважених осіб.

Вимоги до системи захисту ІБ

Захист інформаційних ресурсів має бути:

1. Постійною.Зловмисник у будь-який момент може спробувати обійти модулі захисту даних, які його цікавлять.

2. Цільовий.Інформація повинна захищатися у межах певної мети, яку ставить організація чи власник даних.

3. Плановий.Усі методи захисту повинні відповідати державним стандартам, законам та підзаконним актам, що регулюють питання захисту конфіденційних даних.

4. активної.Заходи для підтримки роботи та вдосконалення системи захисту повинні проводитись регулярно.

5. Комплексний.Використання окремих модулів захисту або технічних засобів неприпустиме. Необхідно застосовувати всі види захисту повною мірою, інакше розроблена система буде позбавлена ​​сенсу та економічної підстави.

6. Універсальний.Засоби захисту повинні бути обрані відповідно до існуючих у компанії каналів витоку.

7. Надійний.Усі прийоми захисту повинні надійно перекривати можливі шляхи до інформації, що охороняється з боку зловмисника, незалежно від форми подання даних.

Переліченим вимогам має відповідати і DLP-система. І найкраще оцінювати її можливості практично, а чи не теоретично. Випробувати «СерчІнформ КІБ» можна безкоштовно протягом 30 днів.

Модель системи безпеки

Інформація вважається захищеною, якщо дотримуються три основні характеристики.

Перше - цілісність- передбачає забезпечення достовірності та коректного відображення даних, що охороняються, незалежно від того, які системи безпеки та прийоми захисту використовуються в компанії. Обробка даних не повинна порушуватися, а користувачі системи, які працюють з файлами, що захищаються, не повинні стикатися з несанкціонованою модифікацією або знищенням ресурсів, збоями в роботі ПЗ.

Друге - конфіденційність - означає, що доступ до перегляду та редагування даних надається виключно авторизованим користувачам системи захисту.

Третє - доступність - Має на увазі, що всі авторизовані користувачі повинні мати доступ до конфіденційної інформації.

Достатньо порушити одну із властивостей захищеної інформації, щоб використання системи стало безглуздим.

Етапи створення та забезпечення системи захисту інформації

Насправді створення системи захисту здійснюється в три етапи.

На першому етапірозробляється базова модель системи, яка функціонуватиме у компанії. Для цього необхідно проаналізувати всі види даних, які циркулюють у фірмі та які потрібно захистити від посягань з боку третіх осіб. Планом роботи на початковому етапі є чотири питання:

1. Які джерела інформації слід захистити?
2. Яка мета отримання доступу до інформації, що захищається?

Метою може бути ознайомлення, зміна, модифікація чи знищення даних. Кожна дія є протиправною, якщо її виконує зловмисник. Ознайомлення не призводить до руйнування структури даних, а модифікація та знищення призводять до часткової чи повної втрати інформації.

1. Що є джерелом конфіденційної інформації?

Джерела у разі це й інформаційні ресурси: документи, флеш-носители, публікації, продукція, комп'ютерні системи, засоби забезпечення праці.

1. Способи отримання доступу і як захиститися від несанкціонованих спроб впливу на систему?

Розрізняють такі способи отримання доступу:

• Несанкціонований доступ- Незаконне використання даних;
• Витік- Неконтрольоване розповсюдження інформації за межі корпоративної мережі. Витік виникає через недоліки, слабкі сторони технічного каналу системи безпеки;
• Розголошення- Наслідок впливу людського фактора. Санкціоновані користувачі можуть розголошувати інформацію, щоб передати конкурентам або з необережності.

Другий етапвключає розроблення системи захисту. Це означає реалізувати всі вибрані способи, засоби та напрями захисту даних.

Система будується відразу за декількома напрямами захисту, на кількох рівнях, які взаємодіють один з одним для забезпечення надійного контролю інформації.

Правовий рівеньзабезпечує відповідність державним стандартам у сфері захисту інформації та включає авторське право, укази, патенти та посадові інструкції. Грамотно побудована система захисту не порушує права користувачів та норми обробки даних.

Організаційний рівеньдозволяє створити регламент роботи користувачів з конфіденційною інформацією, підібрати кадри, організувати роботу з документацією та фізичними носіями даних.

Регламент роботи користувачів із конфіденційною інформацією називають правилами розмежування доступу. Правила встановлюються керівництвом компанії спільно зі службою безпеки та постачальником, який запроваджує систему безпеки. Мета - створити умови доступу до інформаційних ресурсів кожному за користувача, наприклад, декларація про читання, редагування, передачу конфіденційного документа. Правила розмежування доступу розробляються на організаційному рівні та впроваджуються на етапі робіт із технічної складової системи.

Технічний рівеньумовно поділяють на фізичний, апаратний, програмний та математичний підрівні.

• фізичний- створення перешкод навколо об'єкта, що захищається: охоронні системи, зашумлення, зміцнення архітектурних конструкцій;
• апаратний- встановлення технічних засобів: спеціальні комп'ютери, системи контролю працівників, захисту серверів та корпоративних мереж;
• програмний- встановлення програмної оболонки системи захисту, запровадження правила розмежування доступу та тестування роботи;
• математичний- впровадження криптографічних та стенографічних методів захисту даних для безпечної передачі по корпоративній чи глобальній мережі.

Третій, завершальний етап- це підтримка працездатності системи, регулярний контроль та управління ризиками. Важливо, щоб модуль захисту вирізнявся гнучкістю і дозволяв адміністратору безпеки швидко вдосконалювати систему при виявленні нових потенційних загроз.

Види конфіденційних даних

Конфіденційні дані- це інформація, доступ до якої обмежений відповідно до законів держави та норм, які компанії встановлюються самостійно.

• Особистіконфіденційні дані: персональні дані громадян, декларація про особисте життя, листування, приховування личности. Винятком є ​​лише інформація, яка поширюється у ЗМІ.
• Службовіконфіденційні дані: інформація, доступ до якої може обмежити лише держава (органи державної влади).
• Судовіконфіденційні дані: таємниця слідства та судочинства.
• Комерційніконфіденційні дані: всі види інформації, що пов'язана з комерцією (прибутком) та доступ до якої обмежується законом чи підприємством (секретні розробки, технології виробництва тощо).
• Професійніконфіденційні дані: дані, пов'язані з діяльністю громадян, наприклад, лікарська, нотаріальна або адвокатська таємниця, розголошення якої переслідується згідно із законом.

Загрози конфіденційності інформаційних ресурсів

Загроза- це можливі чи дійсні спроби заволодіти інформаційними ресурсами, що захищаються.

Джерелами загрозибезпеки конфіденційних даних є підприємства-конкуренти, зловмисники, органи управління. Мета будь-якої загрози полягає в тому, щоб вплинути на цілісність, повноту та доступність даних.

Загрози бувають внутрішні або зовнішні. Зовнішні погрозиявляють собою спроби отримати доступ до даних ззовні та супроводжуються зломом серверів, мереж, акаунтів працівників та зчитуванням інформації з технічних каналів витоку (акустичне зчитування за допомогою жучків, камер, наведення на апаратні засоби, отримання віброакустичної інформації з вікон та архітектурних конструкцій).

Внутрішні загрозимають на увазі неправомірні дії персоналу, робочого відділу чи управління фірми. В результаті, користувач системи, який працює з конфіденційною інформацією, може видати інформацію стороннім. Насправді така загроза зустрічається частіше за інших. Працівник може роками "зливати" конкурентам секретні дані. Це легко реалізується, адже дії авторизованого користувача адміністратор безпеки не кваліфікує як загрозу.

Оскільки внутрішні ІБ-загрози пов'язані з людським фактором, відстежувати їх та керувати ними складніше. Запобігати інцидентам можна за допомогою поділу співробітників на групи ризику. З цим завданням впорається – автоматизований модуль для складання психологічних профілів.

Спроба несанкціонованого доступу може відбуватися кількома шляхами:

• через співробітників, які можуть передавати конфіденційні дані стороннім, забирати фізичні носії або отримувати доступ до інформації, що охороняється, через друковані документи;
• за допомогою програмного забезпеченнязловмисники здійснюють атаки, спрямовані на крадіжку пар «логін-пароль», перехоплення криптографічних ключів для розшифрування даних, несанкціонованого копіювання інформації.
• за допомогою апаратних компонентівавтоматизованої системи, наприклад, впровадження пристроїв, що прослуховують, або застосування апаратних технологій зчитування інформації на відстані (поза контрольованою зоною).

Апаратна та програмна ІБ

Усі сучасні операційні системи оснащені вбудованими модулями захисту даних на програмному рівні. MAC OS, Windows, Linux, iOS чудово справляються із завданням шифрування даних на диску та в процесі передачі на інші пристрої. Однак, для створення ефективної роботи з конфіденційною інформацією важливо використовувати додаткові модулі захисту.

Користувальницькі ОС не захищають дані в момент передачі через мережу, а системи захисту дозволяють контролювати інформаційні потоки, що циркулюють по корпоративній мережі, та зберігання даних на півночі.

Апаратно-програмний модуль захисту прийнято розділяти на групи, кожна з яких виконує функцію захисту чутливої ​​інформації:

• Рівень ідентифікації- це комплексна система розпізнавання користувачів, яка може використовувати стандартну або багаторівневу аутентифікацію, біометрію (розпізнавання обличчя, сканування відбитка пальця, запис голосу та інші прийоми).
• Рівень шифруваннязабезпечує обмін ключами між відправником та одержувачем та шифрує/дешифрує всі дані системи.

Правовий захист інформації

Правову основу інформаційної безпеки забезпечує держава. Захист інформації регулюється міжнародними конвенціями, Конституцією, федеральними законами та підзаконними актами.

Держава також визначить міру відповідальності за порушення положень законодавства у сфері ІБ. Наприклад, глава 28 «Злочини у сфері комп'ютерної інформації» в Кримінальному кодексі Російської Федерації включає три статті:

• Стаття 272 "Неправомірний доступ до комп'ютерної інформації";
• Стаття 273 «Створення, використання та розповсюдження шкідливих комп'ютерних програм»;
• Стаття 274 "Порушення правил експлуатації засобів зберігання, обробки або передачі комп'ютерної інформації та інформаційно-телекомунікаційних мереж".

Комп'ютерні інформаційні технології, що швидко розвиваються, вносять помітні зміни в наше життя. Інформація стала товаром, який можна придбати, продати, обміняти. При цьому вартість інформації часто в сотні разів перевищує вартість комп'ютерної системи, де вона зберігається.

Від ступеня безпеки інформаційних технологій нині залежить добробут, а часом життя багатьох людей. Такою є плата за ускладнення та повсюдне поширення автоматизованих систем обробки інформації.

Під інформаційною безпекоюрозуміється захищеність інформаційної системи від випадкового чи навмисного втручання, що завдає шкоди власникам чи користувачам інформації.

На практиці найважливішими є три аспекти інформаційної безпеки:

• доступність(Можливість за розумний час отримати необхідну інформаційну послугу);
• цілісність(актуальність та несуперечність інформації, її захищеність від руйнування та несанкціонованої зміни);
• конфіденційність(Захист від несанкціонованого прочитання).

Порушення доступності, цілісності та конфіденційності інформації можуть бути спричинені різними небезпечними впливами на інформаційні комп'ютерні системи.

Основні загрози інформаційній безпеці

Сучасна інформаційна система є складною системою, що складається з великої кількості компонентів різного ступеня автономності, які пов'язані між собою та обмінюються даними. Практично кожен компонент може зазнати зовнішнього впливу або вийти з ладу. Компоненти автоматизованої інформаційної системи можна розбити на такі групи:

• апаратні засоби- комп'ютери та їх складові (процесори, монітори, термінали, периферійні пристрої - дисководи, принтери, контролери, кабелі, лінії зв'язку тощо);
• програмне забезпечення- набуті програми, вихідні, об'єктні, завантажувальні модулі; операційні системи та системні програми (компілятори, компонувальники та ін.), утиліти, діагностичні програми тощо;
• дані- зберігаються тимчасово та постійно, на магнітних носіях, друковані, архіви, системні журнали тощо;
• персонал- обслуговуючий персонал та користувачі.

Небезпечні на комп'ютерну інформаційну систему можна поділити на випадкові і навмисні. Аналіз досвіду проектування, виготовлення та експлуатації інформаційних систем показує, що інформація піддається різним випадковим впливам на всіх етапах циклу життя системи. Причинами випадкових впливівпри експлуатації можуть бути:

• аварійні ситуації через стихійні лиха та відключення електроживлення;
• відмови та збої апаратури;
• помилки у програмному забезпеченні;
• помилки у роботі персоналу;
• перешкоди лініях зв'язку через впливів довкілля.

Умисні впливи- Це цілеспрямовані дії порушника. Як порушника можуть виступати службовець, відвідувач, конкурент, найманець. Дії порушника можуть бути зумовлені різними мотивами:

• невдоволенням службовця своєю кар'єрою;
• хабарем;
• цікавістю;
• конкурентною боротьбою;
• прагненням самоствердитися за будь-яку ціну.

Можна скласти гіпотетичну модель потенційного порушника:

• кваліфікація порушника лише на рівні розробника цієї системи;
• порушником може бути як стороння особа, і законний користувач системи;
• порушнику відома інформація про принципи роботи системи;
• порушник вибирає найслабшу ланку у захисті.

Найбільш поширеним та різноманітним видом комп'ютерних порушень є несанкціонований доступ(НДС). НСД використовує будь-яку помилку в системі захисту та можливий при нераціональному виборі засобів захисту, їх некоректній установці та налаштуванні.

Проведемо класифікацію каналів НСД, якими можна здійснити розкрадання, зміну чи знищення інформації:

• Через людину:
  • розкрадання носіїв інформації;
  • читання інформації з екрану чи клавіатури;
  • читання інформації з друку.
• Через програму:
  • перехоплення паролів;
  • дешифрування зашифрованої інформації;
  • копіювання інформації з носія.
• Через апаратуру:
  • підключення спеціально розроблених апаратних засобів, що забезпечують доступ до інформації;
  • перехоплення побічних електромагнітних випромінювань від апаратури, ліній зв'язку, мереж електроживлення тощо.

Особливо слід зупинитись на загрозах, яким можуть наражатися комп'ютерні мережі. Основна особливість будь-якої комп'ютерної мережі у тому, що її компоненти розподілені у просторі. Зв'язок між вузлами мережі здійснюється фізично за допомогою мережних ліній та програмно за допомогою механізму повідомлень. При цьому керуючі повідомлення та дані, що пересилаються між вузлами мережі, передаються у вигляді пакетів обміну. Комп'ютерні мережі характерні тим, що проти них роблять так звані віддалені атаки. Порушник може знаходитися за тисячі кілометрів від об'єкта, що атакується, при цьому нападу може зазнавати не тільки конкретний комп'ютер, але й інформація, що передається по мережевих каналах зв'язку.

Забезпечення інформаційної безпеки

Формування режиму інформаційної безпеки – проблема комплексна. Заходи щодо її вирішення можна поділити на п'ять рівнів:

1. законодавчий (закони, нормативні акти, стандарти тощо);
2. морально-етичний (різні норми поведінки, недотримання яких веде до падіння престижу конкретної людини чи цілої організації);
3. адміністративний (дії загального характеру, що здійснюються керівництвом організації);
4. фізичний (механічні, електро- та електронно-механічні перешкоди на можливих шляхах проникнення потенційних порушників);
5. апаратно-програмний (електронні пристрої та спеціальні програми захисту інформації).

Єдина сукупність усіх цих заходів, спрямованих на протидію загрозам безпеці з метою мінімізації можливості шкоди, утворюють систему захисту.

Надійна система захисту має відповідати наступним принципам:

• Вартість засобів захисту має бути меншою, ніж розміри можливої ​​шкоди.
• Кожен користувач повинен мати мінімальний набір привілеїв, необхідний роботи.
• Захист тим ефективніший, чим простіше користувачеві з ним працювати.
• Можливість відключення в екстрених випадках.
• Фахівці, які мають відношення до системи захисту, повинні повністю уявляти принципи її функціонування і у разі виникнення скрутних ситуацій адекватно на них реагувати.
• Під захистом має бути вся система обробки інформації.
• Розробники системи захисту не повинні бути серед тих, кого ця система контролюватиме.
• Система захисту має надавати докази коректності своєї роботи.
• Особи, які займаються забезпеченням інформаційної безпеки, повинні нести особисту відповідальність.
• Об'єкти захисту доцільно розділяти на групи так, щоб порушення захисту в одній із груп не впливало на безпеку інших.
• Надійна система захисту має бути повністю протестована та узгоджена.
• Захист стає більш ефективним та гнучким, якщо він допускає зміну своїх параметрів з боку адміністратора.
• Система захисту повинна розроблятися, виходячи з припущення, що користувачі будуть робити серйозні помилки і взагалі мають найгірші наміри.
• Найбільш важливі та критичні рішення мають прийматися людиною.
• Існування механізмів захисту має бути приховано від користувачів, робота яких перебуває під контролем.

Незважаючи на те, що сучасні ОС для персональних комп'ютерів, такі як Windows 2000, Windows XP і Windows NT мають власні підсистеми захисту, актуальність створення додаткових засобів захисту зберігається. Справа в тому, що більшість систем не здатні захистити дані, що знаходяться за їх межами, наприклад, при мережному інформаційному обміні.

Апаратно-програмні засоби захисту можна розбити на п'ять груп:

1. Системи ідентифікації (розпізнавання) та аутентифікації (перевірки автентичності) користувачів.
2. Системи шифрування дискових даних
3. Системи шифрування даних, що передаються мережами.
4. Системи автентифікації електронних даних.
5. Засоби управління криптографічними ключами.

1. Системи ідентифікації та аутентифікації користувачів

Застосовуються для обмеження доступу випадкових та незаконних користувачів до ресурсів комп'ютерної системи. Загальний алгоритм роботи таких систем полягає в тому, щоб отримати від користувача інформацію, що засвідчує його особистість, перевірити її справжність і потім надати (або не надати) користувачеві можливість роботи з системою.

При побудові цих систем виникає проблема вибору інформації, на основі якої здійснюються процедури ідентифікації та автентифікації користувача. Можна виділити такі типи:

• секретна інформація, якою володіє користувач (пароль, секретний ключ, персональний ідентифікатор тощо); користувач повинен запам'ятати цю інформацію або для неї можуть бути застосовані спеціальні засоби зберігання;
• фізіологічні параметри людини (відбитки пальців, малюнок райдужної оболонки ока тощо) або особливості поведінки (особливості роботи на клавіатурі тощо).

Системи, що базуються на першому типі інформації, вважаються традиційними. Системи, які використовують другий тип інформації, називають біометричними. Слід зазначити тенденцію випереджаючого розвитку біометричних систем ідентифікації.

2. Системи шифрування дискових даних

Щоб зробити інформацію марною для противника, використовується сукупність методів перетворення даних, звана криптографією[від грец. kryptos- прихований і grapho- пишу].

Системи шифрування можуть здійснювати криптографічні перетворення даних лише на рівні файлів чи рівні дисків. До програм першого типу можна віднести архіватори типу ARJ та RAR, які дозволяють використовувати криптографічні методи для захисту архівних файлів. Прикладом систем другого типу може бути програма шифрування Diskreet, що входить до складу популярного програмного пакета Norton Utilities, Best Crypt.

Іншою класифікаційною ознакою систем шифрування дискових даних є спосіб їхнього функціонування. За способом функціонування системи шифрування дискових даних ділять на два класи:

• системи "прозорого" шифрування;
• системи, що спеціально викликаються для здійснення шифрування.

У системах прозорого шифрування (шифрування "на льоту") криптографічні перетворення здійснюються в режимі реального часу, непомітно для користувача. Наприклад, користувач записує підготовлений у текстовому редакторі документ на диск, що захищається, а система захисту в процесі запису виконує його шифрування.

Системи другого класу зазвичай є утиліти, які необхідно спеціально викликати для виконання шифрування. До них відносяться, наприклад, архіватори із вбудованими засобами парольного захисту.

Більшість систем, які пропонують встановити пароль на документ, не шифрують інформацію, а лише забезпечують запит пароля при доступі до документа. До таких систем належить MS Office, 1C та багато інших.

3. Системи шифрування даних, що передаються мережами

Розрізняють два основні способи шифрування: канальне шифрування та кінцеве (абонентське) шифрування.

В разі канального шифруваннязахищається вся інформація, що передається каналом зв'язку, включаючи службову. Цей спосіб шифрування має таку перевагу - вбудовування процедур шифрування на канальний рівень дозволяє використовувати апаратні засоби, що сприяє підвищенню продуктивності системи. Однак цей підхід має і суттєві недоліки:

• шифрування службових даних ускладнює механізм маршрутизації мережевих пакетів та вимагає розшифрування даних у пристроях проміжної комунікації (шлюзи, ретранслятори тощо);
• шифрування службової інформації може призвести до появи статистичних закономірностей у шифрованих даних, що впливає на надійність захисту та накладає обмеження на використання криптографічних алгоритмів.

Кінцеве (абонентське) шифруваннядозволяє забезпечити конфіденційність даних, що передаються між двома абонентами. І тут захищається лише зміст повідомлень, вся службова інформація залишається відкритою. Недоліком є ​​можливість аналізувати інформацію про структуру обміну повідомленнями, наприклад про відправника і одержувача, про час і умови передачі даних, а також про обсяг даних, що передаються.

4. Системи автентифікації електронних даних

При обміні даними мережами виникає проблема аутентифікації автора документа і самого документа, тобто. встановлення справжності автора та перевірка відсутності змін в отриманому документі. Для автентифікації даних застосовують код автентифікації повідомлення (імітівставку) або електронний підпис.

Імітівставкавиробляється з відкритих даних за допомогою спеціального перетворення шифрування з використанням секретного ключа і передається каналом зв'язку в кінці зашифрованих даних. Імітовставка перевіряється одержувачем, що володіє секретним ключем, шляхом повторення процедури, виконаної раніше відправником над отриманими відкритими даними.

Електронний цифровий підписє відносно невеликою кількістю додаткової аутентифікуючої інформації, що передається разом з текстом, що підписується. Відправник формує цифровий підпис, використовуючи секретний ключ відправника. Отримувач перевіряє підпис, використовуючи відкритий ключ відправника.

Таким чином, для реалізації імітівставки використовуються принципи симетричного шифрування, а для реалізації електронного підпису – асиметричного. Докладніше ці дві системи шифрування вивчатимемо пізніше.

5. Засоби управління криптографічними ключами

Безпека будь-якої криптосистеми визначається криптографічними ключами. У разі ненадійного керування ключами зловмисник може заволодіти ключовою інформацією та отримати повний доступ до всієї інформації у системі чи мережі.

Розрізняють такі види функцій управління ключами: генерація, зберігання та розподіл ключів.

Способи генерації ключівдля симетричних та асиметричних криптосистем різні. Для генерації ключів симетричних криптосистем використовуються апаратні та програмні засоби генерації випадкових чисел. Генерація ключів для асиметричних криптосистем більш складна, оскільки ключі повинні мати певні математичні властивості. Докладніше на цьому питанні зупинимося щодо симетричних і асиметричних криптосистем.

Функція зберіганняпередбачає організацію безпечного зберігання, обліку та видалення ключової інформації. Для забезпечення безпечного зберігання ключів застосовують їхнє шифрування за допомогою інших ключів. Такий підхід призводить до концепції ієрархії ключів. У ієрархію ключів зазвичай входить головний ключ (тобто майстер-ключ), ключ шифрування ключів та ключ шифрування даних. Слід зазначити, що генерація та зберігання майстер-ключа є критичним питанням криптозахисту.

Розподіл- Найвідповідальніший процес в управлінні ключами. Цей процес повинен гарантувати скритність ключів, що розподіляються, а також бути оперативним і точним. Між користувачами мережі ключі розподіляють двома способами:

• за допомогою прямого обміну сеансовими ключами;
• використовуючи один чи кілька центрів розподілу ключів.

Перелік документів

1. ПРО ДЕРЖАВНУ ТАЄМНИЦЮ. Закон Російської Федерації від 21 липня 1993 № 5485-1 (в ред. Федерального закону від 6 жовтня 1997 № 131-ФЗ).
2. ПРО ІНФОРМАЦІЮ, ІНФОРМАТИЗАЦІЮ І ЗАХИСТУ ІНФОРМАЦІЇ. Федеральний закон Російської Федерації від 20 лютого 1995 року № 24-ФЗ. Прийнято Державною Думою 25 січня 1995 року.
3. ПРО ПРАВОВУ ОХОРОНУ ПРОГРАМ ДЛЯ ЕЛЕКТРОННИХ ВИЧИСЛЮВАЛЬНИХ МАШИН І БАЗ ДАНИХ. Закон Російської Федерації від 23 лютого 1992 № 3524-1.
4. ПРО ЕЛЕКТРОННИЙ ЦИФРОВИЙ ПІДПИС. Федеральний закон Російської Федерації від 10 січня 2002 року № 1-ФЗ.
5. ПРО АВТОРСЬКЕ ПРАВО І СМІЖНИХ ПРАВАХ. Закон Російської Федерації від 9 липня 1993 року № 5351-1.
6. ПРО ФЕДЕРАЛЬНІ ОРГАНИ УРЯДОВОГО ЗВ'ЯЗКУ ТА ІНФОРМАЦІЇ. Закон Російської Федерації (в ред. Указу Президента РФ від 24.12.1993 № 2288; Федерального закону від 07.11.2000 № 135-ФЗ.
7. Положення про акредитацію випробувальних лабораторій та органів із сертифікації засобів захисту інформації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
8. Інструкція про порядок маркування сертифікатів відповідності, їх копій та сертифікаційних засобів захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
9. Положення з атестації об'єктів інформатизації з вимог безпеки інформації / Державна технічна комісія при Президентові Російської Федерації.
10. Положення про сертифікацію засобів захисту інформації з вимог безпеки інформації: з доповненнями відповідно до Постанови Уряду Російської Федерації від 26 червня 1995 року № 608 "Про сертифікацію засобів захисту інформації" / Державна технічна комісія при Президентові Російської Федерації.
11. Положення про державне ліцензування діяльності у сфері захисту інформації / Державна технічна комісія при Президентові Російської Федерації.
12. Автоматизовані системи. Захист від несанкціонованого доступу до інформації. Класифікація автоматизованих систем та вимоги щодо захисту інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
13. Концепція захисту засобів обчислювальної техніки та автоматизованих систем від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
14. Кошти обчислювальної техніки. Міжмережеві екрани. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
15. Кошти обчислювальної техніки. Захист від несанкціонованого доступу до інформації. Показники безпеки від несанкціонованого доступу до інформації: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.
16. Захист інформації. Спеціальні знаки захисту. Класифікація та загальні вимоги: Керівний документ/Державна технічна комісія при Президентові Російської Федерації.
17. Захист від несанкціонованого доступу до інформації. Терміни та визначення: Керівний документ / Державна технічна комісія при Президентові Російської Федерації.

Інформація грає особливу роль процесі розвитку цивілізації. Володіння інформаційними ресурсами та раціональне їх використання створюють умови оптимального управління суспільством. І навпаки, спотворення інформації, блокування її отримання, використання недостовірних даних ведуть до хибних рішень.

Одним з головних факторів, що забезпечують ефективність в управлінні різними сферами життя, є правильне використання інформації різного характеру. Темпи прогресу сьогоднішнього, а тим більше завтрашнього дня, значною мірою залежать від стану справ у галузі інформаційно-обчислювального обслуговування найважливіших сфер діяльності – науки, техніки, виробництва та управління.

Особливо актуальною є проблема використання економічної інформації у сфері управління матеріальним виробництвом, де зростання інформаційного потоку знаходиться у квадратичній залежності від промислового потенціалу країни. У свою чергу, швидкий розвиток процесів автоматизації, використання комп'ютерів у всіх сферах сучасного життя, окрім безперечних переваг, спричинили появу низки специфічних проблем. Одна з них – необхідність забезпечення ефективного захисту інформації. Виходячи з цього створення правових норм, що закріплюють права та обов'язки громадян, колективів та держави на інформацію, а також захист цієї інформації стають найважливішим аспектом інформаційної політики держави. Захист інформації, особливо в економічній сфері, – дуже специфічний та важливий вид діяльності. Досить сказати, що у світі середня величина збитків від одного банківського крадіжки із застосуванням електронних засобів оцінюється в 9 тис. дол. Щорічні втрати від комп'ютерних злочинів у США та Західній Європі досягають 140 млрд. дол. комп'ютерних мереж призведе до руйнування 20% середніх компаній протягом кількох годин, 40% середніх та 16% великих компаній зазнають краху через кілька днів, 33% банків луснуть за 2–5 годин, 50% банків – через 2–3 дні.

Цікаві відомості про проблеми захисту даних, що призвели до матеріальних втрат у компаніях США:

збої у роботі мережі (24%);

помилки програмного забезпечення (14%);

комп'ютерні віруси (12%);

несправності у комп'ютерах (11 %);

розкрадання даних (7%);

саботаж (5%);

несанкціоноване використання у мережі (4 %);

інші (23%).

Бурхливий розвиток та розповсюдження комп'ютерних систем та інформаційних мереж, що обслуговують банки та біржі, супроводжується зростанням правопорушень, пов'язаних з крадіжками та неправомірним доступом до даних, що зберігаються в пам'яті комп'ютерів та передаються по лініях зв'язку.

Комп'ютерні злочини відбуваються сьогодні у всіх країнах світу та поширені у багатьох сферах людської діяльності. Вони характеризуються високою скритністю, складністю збору доказів за встановленими фактами їх вчинення та складністю доказів у суді подібних справ. Правопорушення у сфері комп'ютерної інформації можуть відбуватися у формі:

махінацій шляхом комп'ютерного маніпулювання системою обробки даних з метою отримання фінансової вигоди;

комп'ютерного шпигунства та крадіжки програмного забезпечення;

комп'ютерних диверсій;

крадіжки послуг (часу), неправомірного використання систем обробки даних;

неправомірного доступу до систем обробки даних та «зламування» їх;

традиційних злочинів у сфері бізнесу (економіки), які вчиняються за допомогою систем обробки даних.

Вчиняють комп'ютерні злочини, як правило, висококваліфіковані системні та банківські програмісти, фахівці у галузі телекомунікаційних систем. Неабияку загрозу інформаційним ресурсам становлять хакериі крекери,що проникають у комп'ютерні системи та мережі шляхом злому програмного забезпечення захисту. Крім того, крекери можуть стерти або змінити дані в інформаційному банку відповідно до своїх інтересів. За останні десятиліття в країнах колишнього СРСР з'явилася потужна генерація високопідготовлених потенційних хакерів, які працювали в організаціях та відомствах, які займалися інформаційним піратством на державному рівні для використання отриманої із Заходу інформації у військових та економічних інтересах.

Що ж крадуть хакери? Потенційним об'єктом може бути будь-яка інформація, закладена в ЕОМ, що проходить по обчислювальних мережах або перебуває на носіях ЕОМ і здатна принести прибуток хакеру або його роботодавцю. До цієї інформації відносяться практично всі відомості, що становлять комерційну таємницю фірм, починаючи від розробок і ноу-хау і закінчуючи платіжними відомостями, якими легко «обчислити» оборот фірми, кількість співробітників тощо.

Особливо цінною є інформація щодо банківських угод та кредитів, що проводиться електронною поштою, а також угоди на біржі. Великий інтерес представляють для хакерів програмні продукти, що оцінюються на сучасному ринку в тисячі, а то й у мільйони доларів.

Крекери – «комп'ютерні терористи» – займаються псуванням програм чи інформації з допомогою вірусів – спеціальних програм, які забезпечують знищення інформації чи збої у роботі системи. Створення «вірусних» програм – справа дуже прибуткова, оскільки деякі фірми-виробники використовують віруси для захисту своїх програмних продуктів від несанкціонованого копіювання.

Для багатьох фірм отримання інформації за допомогою впровадження до конкурентів хакера-програміста – справа найпростіша та найприбутковіша. Впроваджувати суперникам спецтехніку, постійно контролювати їх офіс на випромінювання за допомогою спеціальної апаратури – справа дорога та небезпечна. До того ж фірма-конкурент при виявленні технічних засобів може у відповідь затіяти гру, даючи неправдиву інформацію. Тому свій хакер-програміст у стані ворога – найбільш надійний спосіб боротьби з конкурентами.

Таким чином, небезпека комп'ютерної злочинності, що наростає, насамперед у фінансово-кредитній сфері, визначає важливість забезпечення безпеки автоматизованих інформаційних систем.

Під безпекою автоматизованої інформаційної системи організації (установи) розуміється її захищеність від випадкового чи навмисного втручання у нормальний процес функціонування, і навіть від спроб розкрадання, модифікації чи руйнації її компонентів.Безпека системи досягається забезпеченням конфіденційності оброблюваної нею інформації, а також цілісності та доступності компонентів та ресурсів системи.

Конфіденційність комп'ютерної інформаціїце властивість інформації бути відомою лише допущеним і перевірку (авторизацію) суб'єктам системи (користувачам, програмам, процесам і т. д.).

Цілісністькомпонента (ресурсу) системи – властивість компонента (ресурсу) бути постійним (в семантичному сенсі) при функціонуванні системи.

Доступністькомпонента (ресурсу) системи – властивість компонента (ресурсу) бути доступним використання авторизованими суб'єктами системи у час.

Безпека системи забезпечується комплексом технологічних та адміністративних заходів, що застосовуються щодо апаратних засобів, програм, даних та служб з метою забезпечення доступності, цілісності та конфіденційності пов'язаних з комп'ютерами ресурсів; сюди ж належать і процедури перевірки виконання системою певних функцій у суворій відповідності до їх запланованого порядку роботи.

Систему безпеки системи можна розбити на наступні підсистеми:

комп'ютерну безпеку;

безпека даних;

безпечне програмне забезпечення;

безпека комунікацій.

Комп'ютерна безпеказабезпечується комплексом технологічних та адміністративних заходів, що застосовуються щодо апаратних засобів комп'ютера з метою забезпечення доступності, цілісності та конфіденційності пов'язаних з ним ресурсів.

Безпека данихдосягається захистом даних від неавторизованих, випадкових, навмисних або по халатності модифікацій, руйнувань або розголошення.

Безпечне програмне забезпеченняявляє собою загальноцільові та прикладні програми та засоби, що здійснюють безпечну обробку даних у системі та безпечно використовують ресурси системи.

Безпека комунікаційзабезпечується за допомогою аутентифікації телекомунікацій за рахунок вжиття заходів щодо запобігання наданню неавторизованим особам критичної інформації, яка може бути видана системою у відповідь на телекомунікаційний запит.

До об'єктам інформаційної безпекина підприємстві (фірмі) відносять:

інформаційні ресурси, що містять відомості, віднесені до комерційної таємниці, та конфіденційну інформацію, подану у вигляді документованих інформаційних масивів та баз даних;

засоби та системи інформатизації – засоби обчислювальної та організаційної техніки, мережі та системи, загальносистемне та прикладне програмне забезпечення, автоматизовані системи управління підприємствами (офісами), системи зв'язку та передачі даних, технічні засоби збору, реєстрації, передачі, обробки та відображення інформації, а також їх інформативні фізичні поля.

У сучасному світі інформаційні ресурси стали одним із потужних важелів економічного розвитку підприємств (фірм), які відіграють важливу роль у підприємницькій діяльності. Більше того, відсутність у сфері вітчизняного бізнесу ефективних комп'ютерних та сучасних інформаційних технологій, які є основою функціонування «швидких» економік, суттєво гальмує перехід на нові форми господарювання.

В інформаційних та автоматизованих системах управління підприємством (фірмою) на перший план виступає забезпечення ефективного вирішення завдань маркетингового управління, тобто завдань обліку та аналізу контрактів та контактів підприємства (фірми), пошуку бізнес-партнерів, організації рекламних кампаній просування товарів, надання посередницьких послуг, розроблення стратегії проникнення на ринки тощо.

Не володіючи підтримкою різних політичних, комерційних та офіційних силових структур, якісно провести якусь серйозну операцію зазвичай вдається, лише приховавши свою справжню діяльність («нелегали справи») та свою справжню особу («нелегали особистості»).

Це відноситься як до самодіяльного індивіда, так і до неофіційного угруповання, спеціально створеного для вирішення якихось делікатних, які не користуються загальним схваленням завдань.

Така сама проблема виникає і тоді, коли з якоїсь причини персони треба ховатися від різних служб комерційного, державного, кримінального, політичного.

Типовим нелегалом можна стати і навмисно, і вимушено. У будь-якому випадку необхідно знати хоча б мінімум стандартних тактик безпеки, щоб вдало проскочити цей період, не втративши по явній дурості фізичної або психічної свободи, а часом самого життя.

Рівень використовуваних заходів страховки залежить як від ступеня бажаної конспірації людини (чи групи), і від ситуації, середовища проживання і, зрозуміло, від можливостей самих страхующихся.

Окремі прийоми особистої безпеки мають стати природною звичкою та виконуватися незалежно від потреб сьогохвилинної ситуації.

Представлене тут не вичерпує можливих засобів буденної страховки, критерієм для застосування яких завжди є висока думка про противника і, звичайно, здоровий глузд самих страхуючих.

Типові такі види безпеки:

Зовнішня (під час спілкування із сторонніми);

Внутрішня (при контактуванні у своєму середовищі та групі);

Локальна (у різних ситуаціях та діях).

Розглянемо все це трохи докладніше.

Зовнішня безпека

Різні неприємності можуть виникнути при спілкуванні зі звичайними людьми та держструктурами, але багато тут можна передбачити і уникнути, використовуючи банальний принцип трьох «не»: не дратувати, не зв'язуватися, не виділятися.

Необхідно:

Чи не привертати до себе зайвої уваги (тактика «розчинення в середовищі»):

– не виділятися зовнішнім виглядом (звичайна стрижка, пристойний одяг, відсутність чогось «крикливого»; якщо, однак, ваше оточення екстравагантне, то – будьте як вони…);

- не вплутуватися в сварки та скандали (це, по-перше, привертає до вас непотрібну увагу, а по-друге, може бути просто провокацією, націленою на затримання чи покарання);

– акуратно вносити всі комунальні платежі та інші держмита; завжди оплачувати проїзд у транспорті;

– намагатися точно слідувати малюнку обраної соціальної ролі та не мати претензій щодо роботи (і не виділятися там на загальному колективному тлі…);

– не розпалювати нав'язливої ​​цікавості сусідів незвичайністю способу життя чи візитами різних людей;

– не виявляти надмірної поінформованості в чомусь, якщо, звичайно, цього не вимагає ваша роль (не забувайте древніх: «У пильного має бути закон про трьох немає: „не знаю“, „не чув“, „не розумію“») .

Не породжувати будь-якої неприязні в сусідах, товаришів по службі і знайомих, а викликати в них симпатію:

– не бути «білою вороною» (людей завжди сприяє собі той, хто розкривається зі зрозумілого їм боку…);

– виробити манеру поведінки, яка викликає у оточуючих можливої ​​настороженості (зайвою цікавістю, «розумом» чи нав'язливістю…) чи ворожості (нетактовністю, занудством, гординею, грубістю…);

– бути рівним і люб'язним з усіма оточуючими та, по можливості, надавати їм дрібні (але не лакейські!) послуги;

– не робити нічого, що може викликати невдоволення та цікавість сусідів (грюкання дверима вночі, надлишок відвідувачів, повернення додому на таксі, візити жінок, пізні виклики по телефону у спільній квартирі…).

Ретельно контролювати всі свої зв'язки та контакти (пам'ятати, що «найнебезпечніший той ворог, про якого не підозрюєш»):

– зберігати таємниці від своїх ближніх (дружини, друзів, родичів, коханки…);

– зі звичною настороженістю («навіщо і чому?») завжди сприймати спроби зблизитися з вами (випадкове знайомство, чиїсь рекомендації…);

– уважно ставитися до всіх працівників ремонтних служб, реклами та сервісу, переглядати їх документи та ввічливо, але обґрунтовано звіряти ідентичність по телефону, а потім – у товаришів по службі;

– бути обережним з усіма, хто пропонує хіба що «безкорисливі» послуги (дає гроші в борг, активно чимось допомагає, надає дешево щось потрібне…).

З'ясувати власні вразливості та знати, як можна тут підстрахуватися:

– проаналізувати все своє життя та виділити ті сумнівні моменти, які можуть використовуватись для шантажу чи дискредитації;

– реально оцінити можливі наслідки від оголошення таких фактів усім, кому вони можуть бути повідомлені;

- прикинути, хто і чому здатний знати компромат і як можна нейтралізувати подібну поінформованість;

- Визначити об'єкти своєї вразливості (жінка, діти, моральні підвалини ...), оскільки через них на вас можуть здійснювати тиск;

- Виявити свої слабкості (хобі, вино, секс, гроші, риси характеру ...) і пам'ятати, що їх завжди можуть використовувати проти вас.

– Не вплутуватися в сумнівні афери, не пов'язані із спільною справою. У ризиковані авантюри, які мають відношення до справи, встрявати лише за дозволу згори.

Контакти у середовищі не можна розглядати як гарантовано безпечні. Пам'ятайте, що «найбільша шкода зазвичай виходить від двох умов: від розголошення таємниці та довіри віроломним».

Збереження таємниці особистості:

- замість справжніх імен завжди використовуються псевдоніми (зазвичай іменні, але також цифрові, літерні або «прізвиська»); кожному напрямі «гравці» проходять під окремим псевдонімом, хоча можлива робота під кількома варіантами, і навіть дію під загальним псевдонімом кількох різних осіб;

- Члени команди, по можливості, знають один одного тільки під псевдонімами; про справжні прізвища, домашні адреси та телефони мають бути поінформовані лише довірені особи;

- при нависаючій можливості провалу і розшифровки всі застосовувані псевдоніми, як правило, змінюються;

– не слід давати будь-кому інтимних та інших відомостей про власну персону;

– намагатися створювати (використовуючи натяки чи чутки) вигадану, але зовні правдоподібну «легенду» про себе;

- ніхто в групі не повинен виявляти надмірного інтересу до занять, звичок та інтимного життя своїх товаришів;

– ніхто не повинен повідомляти іншим жодних даних про партнерів, якщо цього не потребує нагальна потреба;

- В окремих випадках має сенс візуально змінювати вигляд (зачіска, борода, грим, перуки, татуювання, колір шкіри, окуляри з простими або димчастим склом і різними оправами, вставки, що змінюють голос і ходу ...);

– необхідно здобути звичку не залишати по собі будь-яких матеріальних слідів, які свідчать, що ви тут були (недокурків, кинутих папірців, слідів взуття, контрастних запахів, помітних змін у обстановці…).

Збереження таємниці справи:

– активні робочі контакти підтримуються із суворо обмеженим набором осіб (система трійок чи п'ятірок залежно від розв'язуваних завдань…), у своїй товариші нічого не винні знати, чим конкретно займаються партнери;

– кожен спеціалізується лише у двох-трьох областях, після того як діяльністю в одній з них йому стало надто небезпечно займатися – можливий перепочинок, а також перехід на інший напрямок;

– необхідно суворо розрізняти оперативну та інформаційну роботи: нехай кожен займається лише своєю справою;

– найкраще маскують підготовку до конкретної акції заходу щодо втілення іншої;

– розповідати про свою діяльність іншим можна лише у тому випадку, якщо це необхідно їм для справи; пам'ятати, що таємниця зберігається максимум п'ятьма людьми;

– передавати отриману інформацію треба лише тим, кому вона свідомо необхідна (висловлювання надмірної поінформованості в чомусь здатне виявити джерело інформації, а це може призвести до його нейтралізації);

– бути обачним при залученні засобів зв'язку, що дають явні можливості для перехоплення інформації (поштові послання, радіо – та телефонні переговори…);

- ні в якому разі не писати відкритим текстом у листах реальних адрес, імен та установок, не згадувати їх у розмовах, що ведуть на вулиці або по телефону;

- Використовувати коди і псевдоніми навіть при внутрішньогруповому спілкуванні, час від часу змінюючи їх;

– група повинна мати 2–3 окремі шифри, відомі різним людям;

- Більше розраховувати на пам'ять, ніж на запис; у разі треба використовувати свій особистий код і шифр;

- намагатися не мати компрометуючих паперів, написаних власним почерком або надрукованих на власній оргтехніці;

– у спілкуванні з «засвіченими» персонами утримуватись від прямих контактів, використовуючи, якщо знадобиться, побічних осіб чи інші засоби зв'язку;

– завжди враховувати та пам'ятати, що є можливість витоку інформації чи зради, та бути готовим до відповідних контрдій.

Кращою гарантією успіху є зазвичай підстраховка, і тому будь-які дії бажано здійснювати з урахуванням усіх можливих неприємностей з боку противника або свідків, що випадково підвернулися.

Загальні правила прямого спілкування.

намагатися не вести інформативні бесіди відкритим текстом на людній вулиці чи громадському транспорті;

не слід згадувати у відкритій розмові справжніх прізвищ, імен, загальновідомих прізвиськ та адрес, а також не вживати терміново, що «стрево живе»;

використовуватиме позначення окремих дій кодові найменування;

найтаємніші аспекти розмови (справжні адреси, паролі, дати) пишуться на папері, який потім знищується;

необхідно орієнтуватися у технічних можливостях систем підслуховування та знати елементарні заходи протидії їм (див. розділ отримання інформації…);

якщо один із співрозмовників під час розмови помічає щось насторожуюче, партнер попереджається особливим словом («атас»…) або ж жестом (палець до губ…), і вся розмова перетворюється на нейтральне русло;

якщо ви знаєте, що вас підслуховують, інформативні переговори краще не вести чи використовувати їх для дезінформації;

коли вас імовірно «слухають», а поспілкуватися все ж таки треба, то користуються умовною мовою, де безневинні пропозиції мають зовсім інший зміст; використовуються також фрази, які слід враховувати (про них зазвичай повідомляється будь-яким обговореним жестом, наприклад, схрещуванням пальців…), а найчастіше й стандартні прийоми (покашлювання, вкладиші у роті…), утрудняють впізнання говорить;

коли необхідно забезпечити повну таємницю спілкування в людному місці, використовують методи умовного (невербального) зв'язку, такі, як мова жестикуляції, рухів тіла і жестів пальцями, а також коди, що спираються на атрибутику одягу (різні положення головного убору, краватки, носової хустки…) або на маніпулювання підручними предметами (годинником, цигарками, ключами…).

А. ЗАБЕЗПЕЧЕННЯ ОСОБИСТОЇ БЕЗПЕКИ:

– намагатися обговорювати час чужих та власних дзвінків та обмежувати частоту контактів;

- не зловживати бесідами по власному телефону (враховуючи, що його можуть прослуховувати) і не давати іншим без явної необхідності свій номер (знаючи, що по ньому неважко вийти на вашу адресу);

- враховувати, що слухати можуть як всю телефонну розмову (при підключенні на лінії…), так і лише те, про що ви говорите (закладений «жучок» або сусід за дверима…);

– корисно вбудувати в апарат найпростішу «контрольку» (що фіксує падіння напруги…) на підключення до лінії чужої апаратури;

– використовувати АОН (автоматичний визначник номера), а краще б «анти-анти-АОН», щоб не афішувати свій номер під час викликів інших;

- Не покладатися на надійність будь-яких радіотелефонів;

– міжміські та інші фіксовані контакти краще здійснювати з чужого «номера» за стільниковим «двійником» або радіоподовжувачем (див. розділ про шантаж…), а також через безпосереднє підключення до будь-якої пари контактів у розподільчому щиті;

- для більшої таємниці переговорів можна задіяти шифратори (хоча б простенькі імпровізовані інверсори та скремблери), хоча застосування їх здатне різко стимулювати увагу інших;

– не слід особливо довіряти захисту за допомогою «зашумлення» або «підйому напруги в лінії»;

– якщо ви не хочете «розшифровуватися» співрозмовнику, то можна спробувати змінити свій голос (за допомогою механічних та електронних штучок, або простим покашлюванням, витягуванням та розведенням губ, перетисканням носа…) та стилістичний малюнок розмови (використанням жаргону…);

- Не забувати, що іноді прослуховуються і телефони-автомати, розташування яких легко обчислюється, як і всіх інших телефонів;

– якщо чужий дзвінок вам потрібен, але немає бажання давати свої координати, використовується проміжний – з автовідповідачем або живим «диспетчером», який може знати або не знати (односторонній варіант…) ваш приватний номер – телефон;

– в окремих випадках можливе безсловесне використання телефону, коли один, а частіше кілька «порожніх» дзвінків у певному ритмі виявляють певний код;

- конкретним сигналом іноді може служити просто факт дзвінка певної особи при дрібній розмові, а також кодова згадка умовних імен при «помилці номером».

Б. ЗАБЕЗПЕЧЕННЯ СЛОВЕСНОЇ БЕЗПЕКИ:

- Не проводити ділові розмови відкритим текстом;

- Не називати справжніх дат, прізвищ, адрес;

- Використовувати кодові найменування окремих дій;

– користуватися умовною мовою, в якій невинні фрази мають зовсім інший зміст;

– дзвонити лише за необхідністю, хоча можливий також варіант частих розмов «не по ділу» з однією людиною (тактика «розчинення інформації»).

В. Бесіда при посторонніх:

- весь діалог веде партнер, а ви лише кажете «так» чи «ні», щоб ті, що стоять поруч, нічого не зрозуміли і не дізналися;

– про те, що поруч сторонні, повідомляється відкритим текстом чи словесним кодом; бесіду після цього повинен вести партнер, якому не належить ставити будь-які питання, що вимагають розгорнутих відповідей;

- коли є прямий контроль не дуже дружньої особи, партнер попереджається про це обговореною фразою-кодом (краще у привітанні ...), після чого вся розмова ведеться в порожньому або в дезінформаційному стилі;

- якщо один із співрозмовників вважає, що телефон його прослуховують, він відразу ж намагається попередити про це фрази, що телефонують йому за допомогою добре відомої всім їм фрази («зуби болять»…), і розмова потім згортається в нейтральне русло.

Г. КОРИСТУВАННЯ СПІЛЬНИМ ТЕЛЕФОНОМ (У КВАРТИРІ, НА РОБОТІ…):

- якнайменше використовувати подібний телефон (особливо - «на прийом»), якщо це не пов'язано з роллю, що розігрується (диспетчер, агент з реклами ...);

– дзвонити на цей телефон має та сама людина;

– намагатися не дзвонити надмірно пізно та зарано;

– при спробі сторонніх ідентифікувати голос того, хто дзвонить («Хто запитує?»…), відповісти ввічливо-нейтрально («співслуживець»…) і, якщо викликаного немає, відразу припинити подальшу бесіду;

- По суті, нескладно зробити і окремий телефон, використовуючи, наприклад, кодовий розгалужувач, так що при цьому специфічний набір загального номера надійно забезпечить виклик тільки вашого апарату, анітрохи не торкаючись сусіднього.

Рівень необхідних заходів безпеки залежить від бажаного ступеня конспіративності контакту, від ступеня легальності його учасників і можливого контролю його чужинцями.

А. ВИБІР МІСЦЯ ЗУСТРІЧІ:

- Доглядаючи підходящі місця для контактування, зазвичай спираються на принципи природності, обґрунтованості та випадковості;

– часті зустрічі найпростіше здійснювати дома фанової тусовки (вписуючись у її малюнок…), у залі спортивної секції, у робочому приміщенні…;

– особливо серйозні збори можна реалізувати у мисливських угіддях, спеціально знятих дачах, у лазнях, курортних санаторіях, на усіляких спортивних базах, на пляжах закордону;

– парні зустрічі призначаються у метро та скверах, у туалетах та в автомобілях, на маложвавих вулицях, у зоопарках, музеях та на виставках; перетину в подібних місцях малоймовірні, а тому менш небезпечні;

– слід утримуватись від конспіративних зустрічей у відомому ресторані, модному кафе та на вокзалі, враховуючи, що такі точки зазвичай контролюються;

– можливе проведення «випадкових» зустрічей у приватних квартирах третіх осіб з обґрунтованого приводу (похорон, ювілей, «обмивка» якоїсь події…);

– не слід здійснювати якихось зустрічей (крім звичайно звичних) у стереотипних комунальних квартирах;

– гранично обмежено використовуватиме контактування власні квартири;

– у деяких випадках має сенс зняти спеціальну конспіративну квартиру, по можливості у тому будинку, де є дублюючий вихід;

- оглядаючи місце зустрічі, переконайтеся, чи можна туди непомітно проникнути і як звідти можна безпечно вислизнути; пам'ятайте стару істину: «Не знаючи, як піти, – не пробуй входити!»

Б. ІНФОРМУВАННЯ ПРО ЗУСТРІЧ:

- місця можливої ​​зустрічі зазвичай обговорюють заздалегідь, і всім їм надається кодове - літерне, цифрове або "хибне" - найменування, причому кілька варіантів кожному;

- про намічений контакт іншим повідомляється по телефону, пейджеру, листом, а також через зв'язки;

- Змовляючись про зустріч по лініях «відкритого» зв'язку, застосовують кодове найменування місця, шифровану дату (наприклад, день перед зазначеним) і зрушений час (на постійне або ковзне число);

- до настання наміченого терміну необхідно видати підтвердження контакту або відкритим текстом, або сигнальним зв'язком;

– у разі, якщо під час зустрічі допустиме очікування (на зупинці міського транспорту, у черзі на автозаправці…), бажано вказати конкретний проміжок часу, після якого чекати вже не треба.

В. ПРОВЕДЕННЯ ЗУСТРІЧІ:

- На багатолюдні збори слід прибувати не скопом, а розосередившись і не залишаючи в одному місці всі особисті автомобілі;

– намагатися уникати присутності на зборах будь-яких сторонніх та зайвих осіб;

- розуміючи, що про багатолюдні таємні зустрічі, швидше за все, знатимуть і ті, кому не треба, не слід брати з собою явно компрометуючих речей (зброї, підроблених документів...) і пам'ятати, що їх можуть інколи підсунути;

- дуже бажаний контроль місця спілкування спеціальними людьми до, під час і після зустрічі, з тим, щоб за необхідності вони могли попередити про небезпеку, що виникає, використовуючи будь-які обговорені (враховуючи своє захоплення) сигнали;

– при всілякому контакті треба прикидати, яким чином вас можуть підглядати чи підслухати, вперто задаючи собі короткі запитання: «Де? Як? Хто?»;

– особливо таємні розмови треба здійснювати у локальних ізольованих точках, перевірених та підстрахованих на всі можливості підслуховування, підглядання та підриву;

– бажано мати хоча б прості індикатори, що повідомляють про випромінювання радіомікрофонів або про наявність у співрозмовника записуючого диктофона;

– корисне застосування навіть «незграбних» іскрових глушників, а також генераторів стирання магнітного запису;

– класичні нелегальні парні зустрічі завжди розраховуються до хвилини та проводяться як «випадкові»;

– щоб у точно призначений час прийти на точку зустрічі, необхідно заздалегідь провести хронометраж руху та дати деякий запас часу на всілякі несподіванки (перекриття маршрутної траси, прив'язування стороннього, транспортна аварія…);

- якщо зустріч запланована на вулиці, то не заважає прогулятися там за годину до зустрічі, уважно придивляючись до кожного перехожого і всіх автомобілів, що паркуються; якщо вас щось насторожує, то контакт необхідно відкласти, повідомивши про це свого партнера прийомами закамуфльованого сигнального зв'язку;

– при зустрічах з незнайомими персонами останніх дізнаються за описом їхнього зовнішнього вигляду, конкретної пози чи жесту, згадкою про речі, що утримуються в руках, а найкраще – за фотографією, з подальшим підтвердженням ідентичності словесним (та іншим) паролем;

– розташовуватися в стаціонарі необхідно так, щоб постійно контролювати явні місця виникнення загрози (скажімо, в кафе – обличчям до входу, спостерігаючи при цьому, що відбувається за вікном і розміщуючись неподалік від відкритого службового ходу…);

– пам'ятати та виконувати всі раніше вказані правила словесного спілкування.

Р. Організація проведення закритих нарад (переговорів).

Організація проведення будь-якого заходу, у тому числі нарад та переговорів, пов'язана з його підготовкою. Немає єдиних безпомилкових правил у цьому напрямі. Однак рекомендується наступний варіант схеми такої підготовки: планування, збирання матеріалу та його обробка, аналіз зібраного матеріалу та його редагування.

На початковому етапі планування визначається тема чи питання, які бажано обговорити, та можливі учасники ділової розмови. Крім того, вибирається найбільш вдалий момент, і лише потім домовляються про місце, час зустрічі та організацію охорони підприємства (як правило, такі розмови ведуться тет-а-тет, конфіденційно, без участі сторонніх осіб).

Коли нарада вже призначена, складається план її проведення. Спочатку слід визначити цілі, що стоять перед підприємцем, а потім розробляти стратегію їх досягнення і тактику ведення бесіди.

Такий план – це чітка програма дій щодо підготовки та проведення конкретної бесіди. Планування дозволяє пом'якшити, нейтралізувати вплив нових фактів, що несподівано з'явилися, або непередбачених обставин на хід бесіди.

До плану включаються відповідальні за виконання кожного пункту плану та наступні заходи щодо організації безпеки наради (переговорів):

1. Зустріч разом із клієнтом гостей, які прибувають на зустріч.

2. Погодження дій основної охорони та охоронців запрошених осіб.

3. Охорона одягу, речей гостей та їх машин на прилеглій території.

4. Запобігання інцидентам між гостями на зустрічі.

5. Контроль стану напоїв, закусок та інших частування (для цих цілей використовують тренованих собак).

6. Виявлення підозрілих осіб, які перебувають на заході або у суміжних приміщеннях.

7. Зачищення приміщень (зали переговорів та суміжних кімнат) перед проведенням переговорів на предмет вилучення підслуховувальних та вибухових пристроїв.

8. Встановлення постів щодо фіксації та спостереження за особами:

а) тими, хто приходить на діловий прийом або зустріч зі згортками, з портфелями тощо;

б) тими, хто приносить на захід аудіо- або відеоапаратуру;

в) які приходять на діловий прийом або на зустріч на нетривалий час або несподівано йдуть із заходу.

9. Недопущення прослуховування розмов організаторів заходу та гостей у приміщеннях та по телефону.

10. Розробка запасних варіантів проведення переговорів (на приватній квартирі, у готелі, в автомобілі, на катері, у лазні (сауні) тощо).

Цей перелік заходів не є вичерпним. Він може бути суттєво розширений та конкретизований залежно від умов об'єкта охорони, характеру заходу та інших умов, обумовлених із клієнтом.

До загальних завдань, що вирішуються під час проведення наради (переговорів) чи інших масових заходів, относятся:

1) приміщення для переговорів вибираються таким чином, щоб вони знаходилися на першому або останньому поверхах та розміщувалися між тими приміщеннями, що контролюються службою охорони;

2) ознайомлення з об'єктом охорони, встановлення стану криміногенної обстановки навколо нього;

3) встановлення взаємодії з міліцією у період проведення заходів;

4) встановлення пропускного режиму з метою попередження проносу на об'єкт зброї, вибухових, горючих і отруйних речовин, наркотиків, важких предметів і каміння;

5) попередження проходу на територію, що охороняється, або в приміщення осіб з собаками, що охороняється;

6) контроль та підтримання порядку на прилеглій території та у суміжних приміщеннях;

7) розподіл ролей серед охоронців групи посилення (підтримки);

8) визначення екіпірування охоронців, у т. ч. їх озброєння та зв'язку;

9) встановлення відкритих та «зашифрованих» постів контролю та спостереження;

10) підготовка транспорту на випадок екстремальних обставин та евакуації учасників заходу;

11) перевірка стійкості зв'язку біля об'єкта з виявлення так званих «мертвих зон»;

12) перевірка можливості застосування газової зброї та балончиків зі сльозогінним газом з метою виявлення напрямку руху повітря, протягів та завихрень, щоб самі охоронці не постраждали внаслідок використання спеціальних засобів;

13) перевірка злагодженості охоронців шляхом відпрацювання різних вступних завдань.

У ході робочого етапу охорони працівники служби безпеки (охоронного підприємства) повинні виконувати свої обов'язки, обумовлені на стадії підготовки.

При цьому особлива увага звертається на такі питання:

1) прибуття учасників заходу, що запізнилися, які розраховують на слабкий пропускний режим після початку наради (переговорів);

2) обов'язковий огляд вмісту портфелів та об'ємних сумок або використання ручних металодетекторів, детекторів пар вибухових речовин, що застосовуються для виявлення мін, гранат, толових шашок та інших вибухових речовин;

3) особливому огляду, хоча б візуальному, повинні піддаватися автомашини, що в'їжджають і виїжджають з території, що охороняється. Це особливо важливо з метою попередження проникнення сторонніх на об'єкт, що охороняється, і виключення мінування автотранспорту учасників наради (переговорів);

4) контроль салонів і багажників автомашин, що виїжджають, може попередити викрадення осіб, які прибули на захід, з метою вимагання у організаторів наради (переговорів);

5) охорона верхнього одягу та особистих речей учасників заходу з метою виключення його розкрадання та встановлення радіозакладок;

6) незважаючи на бажання керівників заходу мати гарний вигляд із вікна, необхідно враховувати, що місцевість має бути зручною для контролю службою безпеки (охоронного підприємства);

7) під вікнами переговорів не повинні паркуватися автомобілі, в яких може знаходитися апаратура знімання інформації з радіозакладок;

8) створення зон безпеки приміщення, призначеного для переговорів, та обладнання його спеціальною технікою, екранами, генераторами шумів тощо;

9) при веденні переговорів з метою збереження комерційної таємниці вся «секретна» інформація подається письмово, і її обговорення йде езоповою мовою.

На заключному етапі проведення заходу потрібне збереження пильності співробітниками служби безпеки (охоронного підприємства), незважаючи на зовні незначність подій, що відбуваються на об'єкті, які можуть бути дуже оманливі.

Перевірка об'єкта після завершення заходу може бути пов'язана з не меншим ризиком для життя, ніж робота на попередніх етапах. У цей час проводиться остаточна зачистка об'єкта за тією самою методикою, як і під час підготовчих заходів. При цьому обов'язково здійснюється пошук осіб, які можуть сховатися на об'єкті, або постраждалих від злочинців, яким потрібна медична допомога. Пильну увагу звертається на забуті предмети та речі.

Піддаються контрольному огляду сувеніри та подарунки, вручені керівнику організації (фірми), іншим учасникам заходу.

Все, виявлене охороною на об'єкті, що не належить співробітникам організації (фірми), підлягає передачі клієнту або адміністрації приміщення, що охороняється, разом з одним екземпляром опису. Другий екземпляр опису з підписом особи, яка прийняла речі на зберігання, знаходиться у службі безпеки (охоронному підприємстві).

Квартира, машина, вулиця, ресторан не можуть бути надійними захисниками комерційних таємниць. Тому варто прислухатися до порад професіоналів.

Під час проведення ділових зустрічей необхідно обов'язково закривати вікна та двері. Бажано, щоб кімнатою для переговорів було ізольоване приміщення, наприклад хол.

Конкуренти, якщо захочуть, можуть легко прослухати розмови, розташувавшись у сусідніх приміщеннях, наприклад у квартирі поверхом вище або нижче. Часи, коли розвідники всіх країн і народів свердлили дірки в стелях і стінах, давно минули – особливо чутливі мікрофони дозволяють отримувати необхідну інформацію майже безперешкодно.

Для переговорів необхідно вибирати приміщення із ізольованими стінами, познайомитися з сусідами, які мешкають поверхом вище та нижче; з'ясувати, чи здають вони свою квартиру (кімнату) стороннім людям. Варто перетворити сусідів на союзників, але при цьому врахувати, що вони можуть вести подвійну гру або непомітно перетворитися з доброзичливців на шантажистів.

Активність конкурентів залежить насамперед від серйозності їхніх намірів. При необхідності підслуховувальні пристрої («жучки») можуть бути встановлені безпосередньо в квартирі підприємця – і вже не допоможуть ні залізні двері, ні імпортні замки, ні вишколена охорона.

Ділова людина має попросити своїх родичів запрошувати додому лише добре знайомих людей, по можливості контролювати їхню поведінку. Під час прийому гостей повинні бути зачинені двері домашнього офісу на ключ, а щоб не спокушати дітей, відеомагнітофон та комп'ютер мають бути у доступному для них місці. Комп'ютер, природно, має бути без робочих програм та конфіденційної інформації.

У разі підозри, що ваш автомобіль обладнаний, перед переговорами в ньому необхідно провести операцію чистий автомобіль.

Напередодні ділової зустрічі один із співробітників фірми або друг підприємця, якому він повністю довіряє, повинен залишити автомобіль в обумовленому місці. Через кілька хвилин після цього ділова людина пересідає зі своєї машини в залишену і, ніде не зупиняючись, їде на переговори. При цьому слід не забути взяти довіреність на право керування чужим автомобілем!

Під час переговорів автомобіль обов'язково має бути в русі, а вікна його щільно закриті. На зупинках (наприклад, біля світлофора) конфіденційні питання краще не обговорювати.

Проаналізуємо, де ще ділова людина може провести важливу ділову зустріч?

На вулиці.Для прослуховування розмов можуть бути використані два типи мікрофонів – гостронаправлені та вбудовані. Перші дозволяють знімати інформацію на відстані до кілометра в межах прямої видимості. Вбудовані мікрофони діють так само, як і радіозакладки.

Для ефективної боротьби з гостроспрямованими мікрофонами постійно необхідно переміщатися, різко змінюючи напрямок руху, використовуючи у своїй громадський транспорт, організуючи контрспостереження – з допомогою служби безпеки чи найнятих агентів приватних детективних фірм.

В ресторані.Статичне становище дозволяє контролювати розмови у загальних ресторанних залах. Тому для проведення подібних ділових зустрічей потрібний надійний метрдотель. У зручний для підприємця час і несподівано для конкурентів резервується столик або окремий кабінет, який, у свою чергу, має бути під надійним контролем служби безпеки фірми. Спроби заглушити розмову звуками ресторанного оркестру, як, до речі, шумом води, малоефективні.

У готельному номері.Бронювання готельного номера для переговорів необхідно проводити потай. Після початку ділової зустрічі співробітники служби безпеки повинні тримати під контролем не лише сусідів, а й усіх людей, які мешкають поверхом вище та нижче.

Всі вищевикладені методи та контрзаходи ефективні за умови гарної організації дезінформації оточуючих про час та характер планованих нарад (переговорів). Коли коло співробітників, присвячених у повний перелік запланованих заходів максимально вузьке і кожен з них знає рівно стільки, скільки це необхідно по колу його обов'язків, тоді можна розраховувати на успіх у будь-якій справі.

Загальна класифікація загроз автоматизованій інформаційній системі об'єкта виглядає так:

Загрози конфіденційності даних та програм.Реалізуються за несанкціонованого доступу до даних (наприклад, до відомостей про стан рахунків клієнтів банку), програм або каналів зв'язку.

Інформація, що обробляється на комп'ютерах або передана локальними мережами передачі даних, може бути знята через технічні канали витоку. При цьому використовується апаратура, що здійснює аналіз електромагнітних випромінювань, що виникають під час роботи комп'ютера.

Такий знімання інформації є складним технічним завданням і вимагає залучення кваліфікованих фахівців. За допомогою приймального пристрою, виконаного на базі стандартного телевізора, можна перехоплювати інформацію, що виводиться на екрани дисплеїв комп'ютерів з тисячі і більше метрів. Певні відомості про роботу комп'ютерної системи отримують навіть у тому випадку, коли ведеться спостереження за процесом обміну повідомленнями без доступу до їх змісту.

Загрози цілісності даних, програм, апаратури.Цілісність даних та програм порушується при несанкціонованому знищенні, додаванні зайвих елементів та модифікації записів про стан рахунків, зміні порядку розташування даних, формуванні фальсифікованих платіжних документів у відповідь на законні запити, при активній ретрансляції повідомлень із їх затримкою.

Несанкціонована модифікація інформації про безпеку системи може призвести до несанкціонованих дій (невірної маршрутизації або втрати переданих даних) або спотворення змісту повідомлень, що передаються. Цілісність апаратури порушується при її пошкодженні, викраденні чи незаконній зміні алгоритмів роботи.

Загрози доступності даних.Виникають у тому випадку, коли об'єкт (користувач або процес) не отримує доступу до законно виділених йому служб чи ресурсів. Ця загроза реалізується захопленням всіх ресурсів, блокуванням ліній зв'язку несанкціонованим об'єктом у результаті передачі з них своєї інформації чи винятком необхідної системної інформації.

Ця загроза може призвести до ненадійності або поганої якості обслуговування в системі і, отже, потенційно впливатиме на достовірність та своєчасність доставки платіжних документів.

– Загрози відмовитися від виконання трансакцій.Виникають у тому випадку, коли легальний користувач передає або приймає платіжні документи, а потім заперечує це, щоб зняти з себе відповідальність.

Оцінка вразливості автоматизованої інформаційної системи та побудова моделі впливів передбачають вивчення всіх варіантів реалізації перелічених вище загроз та виявлення наслідків, до яких вони призводять.

Загрози можуть бути обумовлені:

– природними чинниками (стихійні лиха – пожежа, повінь, ураган, блискавка та інші причини);

– людськими факторами, які у свою чергу поділяються на:

пасивні загрози(Загрози, викликані діяльністю, що носить випадковий, ненавмисний характер). Це загрози, пов'язані з помилками процесу підготовки, обробки та передачі (науково-технічна, комерційна, валютно-фінансова документація); з нецілеспрямованим «відпливом розумів», знань, інформації (наприклад, у зв'язку з міграцією населення, виїздом до інших країн для возз'єднання з сім'єю тощо);

активні загрози(Загрози, зумовлені навмисними, навмисними діями людей). Це загрози, пов'язані з передачею, спотворенням та знищенням наукових відкриттів, винаходів, секретів виробництва, нових технологій за корисливими та іншими антигромадськими мотивами (документація, креслення, описи відкриттів та винаходів та інші матеріали); переглядом та передачею різної документації, переглядом «сміття»; підслуховуванням та передачею службових та інших науково-технічних та комерційних розмов; з цілеспрямованим «відпливом розумів», знань, інформації (наприклад, у зв'язку з отриманням іншого громадянства за корисливими мотивами);

- людино-машинними та машинними факторами, поділяються на:

пасивні небезпеки.Це загрози, пов'язані з помилками процесу проектування, розробки та виготовлення систем та їх компонентів (будівлі, споруди, приміщення, комп'ютери, засоби зв'язку, операційні системи, прикладні програми та ін.); з помилками у роботі апаратури через неякісне її виготовлення; з помилками процесу підготовки та обробки інформації (помилки програмістів та користувачів через недостатню кваліфікацію та неякісне обслуговування, помилки операторів під час підготовки, введення та виведення даних, коригування та оброблення інформації);

активні небезпеки.Це загрози, пов'язані з несанкціонованим доступом до ресурсів автоматизованої інформаційної системи (внесення технічних змін до засобів обчислювальної техніки та зв'язку, підключення до засобів обчислювальної техніки та каналів зв'язку, розкрадання різних видів носіїв інформації: дискет, описів, роздруківок та інших матеріалів, перегляд введених даних, роздруківок, перегляд «сміття»); загрози, що реалізуються безконтактним способом (збір електромагнітних випромінювань, перехоплення сигналів, що наводяться в ланцюгах (токопровідні комунікації), візуально-оптичні способи видобутку інформації, підслуховування службових та науково-технічних розмов тощо).

Основними типовими шляхами витоку інформації та несанкціонованого доступу до автоматизованих інформаційних систем, у тому числі через канали телекомунікації, є:

перехоплення електронних випромінювань;

застосування підслуховуючих пристроїв (закладок);

дистанційне фотографування;

перехоплення акустичних випромінювань та відновлення тексту принтера;

розкрадання носіїв інформації та виробничих відходів;

зчитування даних у масивах інших користувачів;

читання залишкової інформації у пам'яті системи після виконання санкціонованих запитів;

копіювання носіїв інформації з подолання заходів захисту;

маскування під зареєстрованого користувача;

містифікація (маскування під запити системи);

незаконне підключення до апаратури та ліній зв'язку;

зловмисне виведення з ладу механізмів захисту;

використання "програмних пасток".

Можливими каналами навмисного несанкціонованого доступу до інформації за відсутності захисту в автоматизованій інформаційній системі можуть бути:

штатні канали доступу до інформації (термінали користувачів, засоби відображення та документування інформації, носії інформації, засоби завантаження програмного забезпечення, зовнішні канали зв'язку) при їх незаконному використанні;

технологічні пульти та органи управління;

внутрішній монтаж апаратури;

лінії зв'язку між апаратними засобами;

побічний електромагнітний випромінювання, що несе інформацію;

побічні наведення на ланцюгах електроживлення, заземлення апаратури, допоміжні та сторонні комунікації, розміщені поблизу комп'ютерної системи.

Способи впливу загроз на об'єкти інформаційної безпеки поділяються на інформаційні, програмно-математичні, фізичні, радіоелектронні та організаційно-правові.

До інформаційних способів належать:

порушення адресності та своєчасності інформаційного обміну, протизаконний збір та використання інформації;

несанкціонований доступ до інформаційних ресурсів;

маніпулювання інформацією (дезінформація, приховування чи спотворення інформації);

незаконне копіювання даних у інформаційних системах;

порушення технології обробки інформації.

Програмно-математичні методи включають:

використання комп'ютерних вірусів;

встановлення програмних та апаратних заставних пристроїв;

знищення чи модифікацію даних у автоматизованих інформаційних системах.

Фізичні способи включають:

знищення чи руйнування засобів обробки інформації та зв'язку;

знищення, руйнування чи розкрадання машинних чи інших оригінальних носіїв інформації;

розкрадання програмних чи апаратних ключів та засобів криптографічного захисту інформації;

вплив на персонал;

постачання «заражених» компонентів автоматизованих інформаційних систем.

Радіоелектронними способами є:

перехоплення інформації в технічних каналах її можливого витоку;

впровадження електронних пристроїв перехоплення інформації в технічні засоби та приміщення;

перехоплення, дешифрування та нав'язування неправдивої інформації в мережах передачі даних та лініях зв'язку;

вплив на парольно-ключові системи;

радіоелектронне придушення ліній зв'язку та систем управління.

Організаційно-правові способи включають:

невиконання вимог законодавства та затримки у прийнятті необхідних нормативно-правових положень в інформаційній сфері;

неправомірне обмеження доступу до документів, що містять важливу для громадян та організацій інформацію.

Загрози безпеки програмного забезпечення. Забезпечення безпеки автоматизованих інформаційних систем залежить від безпеки програмного забезпечення, що використовується в них, і, зокрема, таких видів програм:

звичайних програм користувачів;

спеціальних програм, розрахованих порушення безпеки системи;

різноманітних системних утиліт та комерційних прикладних програм, які відрізняються високим професійним рівнем розробки та можуть містити окремі недоробки, що дозволяють загарбникам атакувати системи.

Програми можуть породжувати проблеми двох типів: по-перше, можуть перехоплювати та модифікувати дані в результаті дій користувача, який до цих даних не має доступу, і, по-друге, використовуючи недогляди у захисті комп'ютерних систем, можуть або забезпечувати доступ до системи користувачів, які не мають на це права, або блокувати доступ до системи законних користувачів.

Чим вище рівень підготовки програміста, тим більш неявними (навіть для нього) стають помилки, що допускаються, і тим більш ретельно і надійно він здатний приховати навмисні механізми, розроблені для порушення безпеки системи.

Метою атаки можуть бути самі програми з наступних причин:

У світі програми можуть бути товаром, що приносить чималий прибуток, особливо тому, хто першим почне тиражувати програму в комерційних цілях і оформить авторські права на неї.

Програми можуть ставати також об'єктом атаки, яка має на меті модифікувати ці програми певним чином, що дозволило б у майбутньому провести атаку на інші об'єкти системи. Особливо часто об'єктом таких атак стають програми, що реалізують функції захисту системи.

Розглянемо кілька типів програм та прийоми, які найчастіше використовуються для атак програм та даних. Ці прийоми позначаються єдиним терміном – програмні пастки. До них відносяться "програмні люки", "троянські коні", "логічні бомби", атаки "салямі", приховані канали, відмови в обслуговуванні та комп'ютерні віруси.

Люки у програмах.Використання люків для проникнення в програму – один із найпростіших і найчастіше використовуваних способів порушення безпеки автоматизованих інформаційних систем.

Люком називається не описана у документації на програмний продукт можливість роботи з цим програмним продуктом. Сутність використання люків полягає в тому, що при виконанні користувачем деяких не описаних у документації дій він отримує доступ до можливостей та даних, які у звичайних умовах для нього закриті (зокрема вихід у привілейований режим).

Люки найчастіше є результатом забудькуватості розробників. Як люк може бути використаний тимчасовий механізм прямого доступу до частин продукту, створений для полегшення процесу налагодження і не віддалений після закінчення. Люки можуть утворюватися також в результаті технології розробки програмних продуктів «згори вниз», що часто практикується: у їх ролі виступатимуть залишені з яких-небудь причин у готовому продукті «заглушки» – групи команд, що імітують або просто позначають місце приєднання майбутніх підпрограм.

Нарешті, ще одним поширеним джерелом люків є так зване «невизначене введення» – введення «безглуздої» інформації, абракадабри у відповідь на запити системи. Реакція недостатньо добре написаної програми на невизначене введення може бути, у кращому разі, непередбачуваною (коли при повторному введенні тієї ж неправильної команди програма реагує щоразу по-різному); набагато гірше, якщо програма в результаті однакового «невизначеного» введення виконує деякі дії, що повторюються, – це дає можливість потенційному загарбнику планувати свої дії з порушення безпеки.

Невизначене введення – приватна реалізація переривання. Тобто у загальному випадку загарбник може навмисне піти на створення в системі деякої нестандартної ситуації, яка б дозволила йому виконати необхідні дії. Наприклад, він може штучно викликати аварійне завершення програми, що працює в привілейованому режимі, щоб перехопити управління, залишившись у цьому привілейованому режимі.

Боротьба з можливістю переривання, зрештою, виливається у необхідність передбачити розробки програм комплексу механізмів, які утворюють так званий «захист від дурня». Сенс цього захисту полягає в тому, щоб гарантовано відсікати будь-яку ймовірність обробки невизначеного введення та різного роду нестандартних ситуацій (зокрема помилок) і тим самим не допускати порушення безпеки комп'ютерної системи навіть у разі некоректної роботи з програмою.

Таким чином, люк (або люки) може бути присутнім у програмі через те, що програміст:

забув видалити його;

навмисне залишив його в програмі для забезпечення тестування або виконання частини налагодження, що залишилася;

навмисне залишив його в програмі на користь полегшення остаточного складання кінцевого програмного продукту;

навмисне залишив його в програмі для того, щоб мати прихований засіб доступу до програми вже після того, як вона увійшла до складу кінцевого продукту.

Люк – перший крок до атаки системи, можливість проникнути в комп'ютерну систему в обхід механізмів захисту.

"Троянські коні".

Існують програми, що реалізують, крім функцій, описаних у документації, та деякі інші функції, документації не описані. Такі програми називаються "троянськими кіньми".

Імовірність виявлення «троянського коня» тим вища, чим очевиднішими результати його дій (наприклад, видалення файлів або зміна їх захисту). Складніші «троянські коні» можуть маскувати сліди своєї діяльності (наприклад, повертати захист файлів у вихідний стан).

"Логічні бомби".

"Логічною бомбою" зазвичай називають програму або навіть ділянку коду в програмі, що реалізує деяку функцію при виконанні певної умови. Цією умовою може бути, наприклад, наступ певної дати або виявлення файлу з певним ім'ям.

"Вибухаючи", "логічна бомба" реалізує функцію, несподівану і, як правило, небажану для користувача (наприклад, видаляє деякі дані або руйнує деякі системні структури). «Логічна бомба» є одним із улюблених способів помсти програмістів компаніям, які їх звільнили або чимось образили.

Атака салямі.

Атака «салямі» перетворилася на справжній бич банківських комп'ютерних систем. У банківських системах щодня здійснюються тисячі операцій, пов'язаних з безготівковими розрахунками, переказами сум, відрахуваннями тощо.

При обробці рахунків використовують цілі одиниці (рублі, центи), а під час обчислення відсотків нерідко виходять дробові суми. Зазвичай величини, що перевищують половину рубля (цента), округляються до рубля (цента), а величини менше половини рубля (цента) просто відкидаються. При атаці салямі ці несуттєві величини не видаляються, а поступово накопичуються на певному спеціальному рахунку.

Як свідчить практика, сума, складена буквально з нічого, за кілька років експлуатації «хитрої» програми в середньому за розміром банку може обчислюватися тисячами доларів. Атаки салямі досить важко розпізнаються, якщо зловмисник не починає накопичувати на одному рахунку великі суми.

Приховані канали.

Під прихованими каналами маються на увазі програми, що передають інформацію особам, які у звичайних умовах цю інформацію отримувати не повинні.

У тих системах, де ведеться обробка критичної інформації, програміст не повинен мати доступу до даних, що обробляється, після початку експлуатації цієї програми.

З факту володіння деякою службовою інформацією можна отримати неабияку вигоду, хоча б елементарно продавши цю інформацію (наприклад, список клієнтів) конкуруючій фірмі. Досить кваліфікований програміст завжди може знайти спосіб прихованої передачі; при цьому програма, призначена для створення найнешкідливіших звітів, може бути трохи складнішою, ніж вимагає завдання.

Для прихованої передачі інформації можна з успіхом використовувати різні елементи формату «нешкідливих» звітів, наприклад різну довжину рядків, пропуски між рядками, наявність або відсутність службових заголовків, керований висновок незначних цифр у величинах, кількість прогалин або інших символів у певних місцях звіту і т.д. .

Якщо загарбник має можливість доступу до комп'ютера під час роботи програми, що цікавить його, прихованим каналом може стати пересилання критичної інформації в спеціально створений в оперативній пам'яті комп'ютера масив даних.

Приховані канали найбільш застосовні у ситуаціях, коли загарбника цікавить навіть зміст інформації, а, припустимо, факт її наявності (наприклад, наявність у банку розрахункового рахунки з певним номером).

Відмова у обслуговуванні.

Більшість методів порушення безпеки спрямовані на те, щоб отримати доступ до даних, які не допускаються системою в нормальних умовах. Однак не менш цікавим для загарбників є доступ до управління самою комп'ютерною системою або зміна її якісних характеристик, наприклад, отримати деякий ресурс (процесор, пристрій введення-виведення) монопольне використання або спровокувати ситуацію клінчу для декількох процесів.

Це може бути потрібним для того, щоб явно використовувати комп'ютерну систему у своїх цілях (хоча б для безкоштовного вирішення своїх завдань) або просто заблокувати систему, зробивши її недоступною іншим користувачам. Такий вид порушення безпеки системи називається "відмовою в обслуговуванні" або "відмовою від користі". «Відмова в обслуговуванні» надзвичайно небезпечна для систем реального часу – систем, що керують деякими технологічними процесами, що здійснюють різного роду синхронізацію тощо.

Комп'ютерні віруси

Комп'ютерні віруси є квінтесенцією різноманітних методів порушення безпеки. Одним із найчастіших і найулюбленіших способів поширення вірусів є метод «троянського коня». Від «логічної бомби» віруси відрізняються лише можливістю розмножуватися і забезпечувати свій запуск, тому багато вірусів можна вважати особливою формою «логічних бомб».

Для атаки системи віруси активно використовують різні «люки». Віруси можуть реалізовувати найрізноманітніші капості, у тому числі й атаку салямі. Крім того, успіх атаки одного виду часто сприяє зниженню «імунітету» системи, створює сприятливе середовище для успіху атак інших видів. Загарбники це знають і активно використовують цю обставину.

Зрозуміло, у чистому вигляді описані вище прийоми трапляються досить рідко. Набагато частіше під час атаки використовуються окремі елементи різних прийомів.

Загрози інформації у комп'ютерних мережах. Мережі комп'ютерів мають багато переваг перед сукупністю комп'ютерів, що окремо працюють, серед них можна відзначити: поділ ресурсів системи, підвищення надійності функціонування системи, розподіл завантаження серед вузлів мережі та розширюваність за рахунок додавання нових вузлів.

Разом з тим, при використанні комп'ютерних мереж виникають серйозні проблеми забезпечення інформаційної безпеки. Можна відзначити такі.

Поділ ресурсів, що спільно використовуються.

Через спільне використання великої кількості ресурсів різними користувачами мережі, можливо, що знаходяться на великій відстані один від одного, сильно підвищується ризик несанкціонованого доступу, оскільки в мережі його можна здійснити простіше і непомітніше.

Розширення зони контролю.

Адміністратор або оператор окремої системи або підмережі повинен контролювати діяльність користувачів, які перебувають поза її досяжністю.

Комбінація різноманітних програмно-апаратних засобів.

З'єднання кількох систем у мережу збільшує вразливість усієї системи загалом, оскільки кожна інформаційна система налаштована виконання своїх специфічних вимог безпеки, які можуть виявитися несумісними з вимогами інших системах.

Невідомий параметр.

Легка розширюваність мереж веде до того, що визначити межі мережі часом буває складно, оскільки той самий вузол може бути доступний для користувачів різних мереж. Більше того, для багатьох з них не завжди можна точно визначити, скільки користувачів мають доступ до певного сайту мережі і хто вони.

Безліч точок атаки.

У мережах той самий набір даних або повідомлення може передаватися через кілька проміжних вузлів, кожен із яких є потенційним джерелом загрози. Крім того, до багатьох сучасних мереж можна отримати доступ за допомогою комутованих ліній зв'язку та модему, що у багато разів збільшує кількість можливих точок атаки.

Складність управління та контролю доступу до системи.

Багато атак на мережу можуть здійснюватись без отримання фізичного доступу до певного вузла – за допомогою мережі з віддалених точок.

У цьому випадку ідентифікація порушника може бути дуже складною. Крім того, час атаки може виявитися занадто малим для вжиття адекватних заходів.

З одного боку, мережа – це єдина система з єдиними правилами обробки інформації, з другого – сукупність відокремлених систем, кожна з яких має власні правила обробки інформації. Тому, з урахуванням двоїстості характеру мережі, атака на мережу може здійснюватися з двох рівнів: верхнього та нижнього (можлива їх комбінація).

При верхньому рівні атаки на мережу зловмисник використовує властивості мережі для проникнення на інший вузол та виконання певних несанкціонованих дій. При нижньому рівні атаки на мережу зловмисник використовує властивості мережевих протоколів для порушення конфіденційності чи цілісності окремих повідомлень чи потоку загалом.

Порушення потоку повідомлень може призвести до витоку інформації та навіть втрати контролю над мережею.

Розрізняють пасивні та активні загрози нижнього рівня, специфічні для мереж.

Пасивні погрози

(порушення конфіденційності даних, що циркулюють у мережі) – це перегляд та/або запис даних, що передаються лініями зв'язку. До них відносяться:

перегляд повідомлення;

аналіз графіка – зловмисник може переглядати заголовки пакетів, що циркулюють у мережі, і на основі службової інформації, що міститься в них, робити висновки про відправників і одержувачів пакета та умови передачі (час відправлення, клас повідомлення, категорія безпеки, довжина повідомлення, обсяг трафіку тощо) .).

Активні погрози

(порушення цілісності або доступності ресурсів та компонентів мережі) – несанкціоноване використання пристроїв, які мають доступ до мережі для зміни окремих повідомлень або потоку повідомлень. До них відносяться:

відмова служб надсилання повідомлень – зловмисник може знищувати або затримувати окремі повідомлення або весь потік повідомлень;

«маскарад» – зловмисник може надати своєму вузлу чи ретранслятору чужий ідентифікатор і отримувати чи надсилати повідомлення від чужого імені;

використання мережевих вірусів – передача через мережу тіла вірусу з його подальшою активізацією користувачем віддаленого чи локального вузла;

модифікація потоку повідомлень – зловмисник може вибірково знищувати, модифікувати, затримувати, переупорядковувати та дублювати повідомлення, а також вставляти підроблені повідомлення.

Загрози комерційної інформації.

У разі інформатизації особливу небезпеку становлять також такі способи несанкціонованого доступу до конфіденційної інформації, як копіювання, підробка, знищення.

Копіювання.

При несанкціонованому доступі до конфіденційної інформації копіюють: документи, що містять інформацію, що цікавить зловмисника; технічні носії; інформацію, що обробляється в автоматизованих інформаційних системах. Використовуються такі способи копіювання: світлокопіювання, фотокопіювання, термокопіювання, ксерокопіювання та електронне копіювання.

Підробка.

В умовах конкуренції підробка, модифікація та імітація набувають великих масштабів. Зловмисники підробляють довірчі документи, що дозволяють отримати певну інформацію, листи, рахунки, бухгалтерську та фінансову документацію; підробляють ключі, пропуски, паролі, шифри і т.п. -відправник маскується під іншого абонента з метою отримання ним даних, що охороняються).

Знищення.

Особливу небезпеку становить знищення інформації в автоматизованих базах даних та базах знань. Знищується інформація на магнітних носіях за допомогою компактних магнітів та програмним шляхом («логічні бомби»). Значне місце у злочинах проти автоматизованих інформаційних систем займають саботаж, вибухи, руйнування, виведення з ладу з'єднувальних кабелів, систем кондиціювання.

Методами забезпечення захисту є такі: перешкода, управління доступом, маскування, регламентація, примус та спонукання.

Перешкода –метод фізичного перегородження шляху зловмиснику до інформації, що захищається (до апаратури, носіїв інформації тощо).

Управління доступом– метод захисту інформації регулюванням використання всіх ресурсів автоматизованої інформаційної системи організації (фірми). Управління доступом включає такі функції захисту:

ідентифікацію користувачів, персоналу та ресурсів інформаційної системи (присвоєння кожному об'єкту персонального ідентифікатора);

автентифікацію (встановлення справжності) об'єкта чи суб'єкта за пред'явленим ним ідентифікатором;

перевірку повноважень (перевірка відповідності дня тижня, часу доби, запитуваних ресурсів та процедур встановленого регламенту);

дозвіл та створення умов роботи в межах встановленого регламенту;

реєстрацію (протоколювання) звернень до ресурсів, що захищаються;

реагування (сигналізація, відключення, затримка робіт, відмова у запиті) при спробах несанкціонованих дій.

Маскування –метод захисту в автоматизованій інформаційній системі шляхом її криптографічного закриття.

Регламентація– метод захисту інформації, що створює такі умови автоматизованої обробки, зберігання та передачі інформації, за яких можливість несанкціонованого доступу до неї зводилася б до мінімуму.

Примус –такий метод захисту інформації, при якому користувачі та персонал системи змушені дотримуватися правил обробки, передачі та використання інформації, що захищається під загрозою матеріальної, адміністративної або кримінальної відповідальності.

Примушення –такий метод захисту інформації, який спонукає користувачів і персонал системи не порушувати встановлені правила за рахунок дотримання моральних та етичних норм, що склалися.

Зазначені вище методи забезпечення інформаційної безпеки організації (фірми) реалізуються практично застосуванням різних механізмів захисту, до створення яких використовуються такі основні засоби: фізичні, апаратні, програмні, апаратно-програмні, криптографічні, організаційні, законодавчі і морально-етичні.

Фізичні засоби захиступризначені для зовнішньої охорони території об'єктів, захисту компонентів автоматизованої інформаційної системи підприємства та реалізуються у вигляді автономних пристроїв та систем.

Поряд із традиційними механічними системами за домінуючої участі людини розробляються та впроваджуються універсальні автоматизовані електронні системи фізичного захисту, призначені для охорони територій, охорони приміщень, організації пропускного режиму, організації спостереження; системи пожежної сигналізації; системи запобігання розкраданню носіїв.

Елементну базу таких систем становлять різні датчики, сигнали яких обробляються мікропроцесорами, електронні інтелектуальні ключі, пристрої визначення біометричних характеристик людини тощо.

Для організації охорони обладнання, що входить до складу автоматизованої інформаційної системи підприємства, та носіїв інформації (дискети, магнітні стрічки, роздруківки), що переміщуються, використовуються:

різні замки (механічні, з кодовим набором, з керуванням від мікропроцесора, радіокеровані), які встановлюють на вхідні двері, віконниці, сейфи, шафи, пристрої та блоки системи;

мікровимикачі, що фіксують відчинення або зачинення дверей та вікон;

інерційні датчики, для підключення яких можна використовувати освітлювальну мережу, телефонні проводи та проведення телевізійних антен;

спеціальні наклейки з фольги, які наклеюються на всі документи, прилади, вузли та блоки системи для запобігання їх виносу з приміщення. За будь-якої спроби винести за межі приміщення предмет із наклейкою спеціальна установка (аналог детектора металевих об'єктів), розміщена біля виходу, подає сигнал тривоги;

спеціальні сейфи та металеві шафи для встановлення в них окремих елементів автоматизованої інформаційної системи (файл-сервер, принтер тощо) та носіїв інформації, що переміщуються.

Для нейтралізації витоку інформації по електромагнітних каналах використовують екрануючі та поглинаючі матеріали та вироби. При цьому:

екранування робочих приміщень, де встановлені компоненти автоматизованої інформаційної системи, здійснюється шляхом покриття стін, підлоги та стелі металізованими шпалерами, струмопровідною емаллю та штукатуркою, дротяними сітками або фольгою, встановленням загородок з струмопровідної цегли, багатошарових сталевих, алюмінієвих або зі спеціальної пластмаси;

для захисту вікон застосовують металізовані штори та скла з струмопровідним шаром;

всі отвори закривають металевою сіткою, що з'єднується з шиною заземлення або настінним екрануванням;

на вентиляційних каналах монтують граничні магнітні пастки, що перешкоджають поширенню радіохвиль.

Для захисту від наведень на електричні ланцюги вузлів та блоків автоматизованої інформаційної системи використовують:

екранований кабель для внутрішньостійкового, внутрішньоблочного, міжблочного та зовнішнього монтажу;

екрановані еластичні з'єднувачі (роз'єми), мережеві фільтри придушення електромагнітних випромінювань;

дроти, наконечники, дроселі, конденсатори та інші завадодавні радіо- та електровироби;

на водопровідних, опалювальних, газових та інших металевих трубах поміщають розділові діелектричні вставки, які здійснюють розрив електромагнітного ланцюга.

Для контролю електроживлення використовуються електронні відстежувачі – пристрої, які встановлюються у місцях введення мережі змінної напруги. Якщо шнур живлення перерізаний, обірваний або перегорів, кодоване послання включає сигнал тривоги або активує телевізійну камеру для подальшого запису подій.

Для виявлення впроваджених «жучків» найефективнішим вважається рентгенівське обстеження. Проте реалізація цього пов'язані з великими організаційними і технічними труднощами.

Застосування спеціальних генераторів шумів для захисту від розкрадання інформації з комп'ютерів шляхом знімання її випромінювань з екранів дисплеїв робить несприятливий вплив на організм людини, що призводить до швидкого облисіння, зниження апетиту, головного болю, нудоти. Саме тому вони досить рідко застосовуються практично.

Апаратні засоби захисту –це різні електронні, електромеханічні та інші пристрої, які безпосередньо вбудовані в блоки автоматизованої інформаційної системи або оформлені у вигляді самостійних пристроїв і сполучаються з цими блоками.

Вони призначені для внутрішнього захисту структурних елементів засобів та систем обчислювальної техніки: терміналів, процесорів, периферійного обладнання, ліній зв'язку тощо.

Основні функції апаратних засобів захисту:

заборона несанкціонованого внутрішнього доступу до окремих файлів або баз даних інформаційної системи, можливого внаслідок випадкових чи навмисних дій обслуговуючого персоналу;

захист активних та пасивних (архівних) файлів та баз даних, пов'язаний з необслуговуванням або відключенням автоматизованої інформаційної системи;

захист цілісності програмного забезпечення.

Ці завдання реалізуються апаратними засобами захисту з використанням методу управління доступом (ідентифікація, аутентифікація та перевірка повноважень суб'єктів системи, реєстрація та реагування).

p align="justify"> Для роботи з особливо цінною інформацією організації (фірми) виробники комп'ютерів можуть виготовляти індивідуальні диски з унікальними фізичними характеристиками, що не дозволяють зчитувати інформацію. При цьому вартість комп'ютера може зрости у кілька разів.

Програмні засоби захиступризначені для виконання логічних та інтелектуальних функцій захисту та включаються або до складу програмного забезпечення автоматизованої інформаційної системи, або до складу засобів, комплексів та систем апаратури контролю.

Програмні засоби захисту є найбільш поширеним видом захисту, володіючи такими позитивними властивостями: універсальністю, гнучкістю, простотою реалізації, можливістю зміни та розвитку. Ця обставина робить їх одночасно і найуразливішими елементами захисту інформаційної системи підприємства.

В даний час створено велику кількість операційних систем, систем управління базами даних, мережевих пакетів та пакетів прикладних програм, що включають різноманітні засоби захисту інформації.

За допомогою програмних засобів захисту вирішуються такі завдання інформаційної безпеки:

контроль завантаження та входу в систему за допомогою персональних ідентифікаторів (ім'я, код, пароль тощо);

розмежування та контроль доступу суб'єктів до ресурсів та компонентів системи, зовнішніх ресурсів;

ізоляція програм процесу, що виконується на користь конкретного суб'єкта, від інших суб'єктів (забезпечення роботи кожного користувача в індивідуальному середовищі);

керування потоками конфіденційної інформації з метою запобігання запису на носії даних невідповідного рівня (грифу) секретності;

захист інформації від комп'ютерних вірусів;

стирання залишкової конфіденційної інформації розблокованих після виконання запитів полях оперативної пам'яті комп'ютера;

стирання залишкової конфіденційної інформації на магнітних дисках; видача протоколів про результати стирання;

забезпечення цілісності інформації шляхом запровадження надмірності даних;

автоматичний контроль над роботою користувачів системи на базі результатів протоколювання та підготовка звітів за даними записів у системному реєстраційному журналі.

Нині ряд операційних систем спочатку містить вбудовані засоби блокування «повторного використання». Для інших типів операційних систем існує досить багато комерційних програм, а про спеціальні пакети безпеки, що реалізують аналогічні функції.

Застосування надлишкових даних спрямоване на запобігання появі даних випадкових помилок і виявлення неавторизованих модифікацій. Це може бути застосування контрольних сум, контроль даних на пар-непар, перешкодостійке кодування і т.д.

Часто практикується зберігання у певному захищеному місці системи сигнатур важливих об'єктів системи. Наприклад, для файлу як сигнатура може бути використане поєднання байта захисту файлу з його ім'ям, довжиною та датою останньої модифікації. При кожному зверненні до файлу або у разі виникнення підозр поточні параметри файлу порівнюються з стандартом.

Властивість ревізування системи контролю доступу означає можливість реконструкції подій чи процедур. Засоби забезпечення ревізованості повинні з'ясувати, що фактично сталося. Тут йдеться про документування виконуваних процедур, ведення журналів реєстрації, а також застосування чітких і недвозначних методів ідентифікації та перевірки.

Слід зазначити, що завдання контролю доступу за одночасного забезпечення цілісності ресурсів надійно вирішує лише шифрування інформації.

Сутність поняття «інформаційна безпека»

В той час як інформаційна безпека- це станзахищеності інформаційного середовища, захист інформаціїявляє собою діяльністьщодо запобігання витоку інформації, що захищається, несанкціонованих і ненавмисних впливів на інформацію, що захищається, тобто процес, спрямований досягнення цього стану.

Інформаційна безпека організації- цілеспрямована діяльність її органів прокуратури та посадових осіб із застосуванням дозволених зусиль і коштів у досягненню стану захищеності інформаційного середовища організації, що забезпечує її нормальне функціонування і динамічний розвиток.

Кортеж захисту інформації- це послідовність дій задля досягнення певної мети.

Інформаційна безпека держави- Стан збереження інформаційних ресурсів держави та захищеності законних прав особистості та суспільства в інформаційній сфері.

Стандартизовані визначення

Стан захищеності інформації (даних), у якому забезпечені її (їх) конфіденційність, доступність і цілісність.

Інформаційна безпека- захист конфіденційності, цілісності та доступності інформації.

1. Конфіденційність: властивість інформаційних ресурсів, у тому числі інформації, пов'язана з тим, що вони не стануть доступними та не будуть розкриті для неуповноважених осіб.
2. Цілісність: незмінність інформації у процесі її передачі чи зберігання.
3. Доступність: властивість інформаційних ресурсів, у тому числі інформації, що визначає можливість їх отримання та використання на вимогу уповноважених осіб.

Інформаційна безпека(англ. information security) - всі аспекти, пов'язані з визначенням, досягненням та підтримкою конфіденційності, цілісності, доступності, невідмовності, підзвітності, автентичності та достовірності інформації чи засобів її обробки.

Безпека інформації (даних)(англ. information (data) security) - стан захищеності інформації (даних), у якому забезпечуються її (їх) конфіденційність, доступність і цілісність.

Безпека інформації (даних) визначається відсутністю неприпустимого ризику, пов'язаного з витоком інформації по технічних каналах, несанкціонованими та ненавмисними впливами на дані та (або) інші ресурси автоматизованої інформаційної системи, що використовуються в автоматизованій системі.

Безпека інформації (при застосуванні інформаційних технологій)(англ. IT security) - стан захищеності інформації (даних), що забезпечує безпеку інформації, для обробки якої вона застосовується, та інформаційну безпеку автоматизованої інформаційної системи, в якій вона реалізована.

Безпека автоматизованої інформаційної системи- Стан захищеності автоматизованої системи, при якому забезпечуються конфіденційність, доступність, цілісність, підзвітність та справжність її ресурсів.

Інформаційна безпека - захищеність інформації та підтримуючої інфраструктури від випадкових чи навмисних впливів природного чи штучного характеру, які можуть завдати неприйнятної шкоди суб'єктам інформаційних відносин.

Підтримуюча інфраструктура - системи електро-, тепло-, водо-, газопостачання, системи кондиціювання тощо, і навіть обслуговуючий персонал. Неприйнятна шкода - шкода, яку не можна знехтувати.

Істотні ознаки поняття

Як стандартна модель безпеки часто наводять модель з трьох категорій:

Виділяють й інші не завжди обов'язкові категорії моделі безпеки:

У Державному стандарті РФ наводиться така рекомендація використання термінів «безпека» та «безпечний»:

Слова «безпека» та «безпечний» слід застосовувати лише для вираження впевненості та гарантій ризику.

• Не слід вживати слова «безпека» і «безпечний» як описовий прикметник, оскільки вони не передають жодної корисної інформації. Рекомендується усюди, де можливо, ці слова замінювати ознаками предмета, наприклад:
• "захисний шолом" замість "безпечний шолом";

Для терміну «інформаційна безпека» слід дотримуватися тих самих рекомендацій. Бажано використовувати точніші характеристики об'єктів, поділяються як ознаки поняття «інформаційна безпека». Наприклад, точніше використовуватиме аргумент «для запобігання загрозам доступності об'єкта» (або «для збереження цілісності даних») замість аргументу «виходячи з вимог інформаційної безпеки».

Обсяг (реалізація) поняття «інформаційна безпека»

Системний підхід до опису інформаційної безпеки пропонує виділити такі складові інформаційної безпеки:

1. Законодавча, нормативно-правова та наукова база.
2. Структура та завдання органів (підрозділів), що забезпечують безпеку ІТ.
3. Організаційно-технічні та режимні заходи та методи (Політика інформаційної безпеки).
4. Програмно-технічні способи та засоби забезпечення інформаційної безпеки.

Нижче в цьому розділі докладно буде розглянуто кожну із складових інформаційної безпеки.

Метою реалізації інформаційної безпеки будь-якого об'єкта є побудова Системи забезпечення інформаційної безпеки даного об'єкта (СОІБ). Для побудови та ефективної експлуатації СОІБ необхідно:

• виявити вимоги захисту інформації, специфічні для цього об'єкта захисту;
• врахувати вимоги національного та міжнародного Законодавства;
• використовувати напрацьовані практики (стандарти, методології) побудови подібних СОІБ;
• визначити підрозділи, відповідальні за реалізацію та підтримку СОІБ;
• розподілити між підрозділами відповідальності у здійсненні вимог СОІБ;
• на базі управління ризиками інформаційної безпеки визначити загальні положення, технічні та організаційні вимоги, що становлять Політику інформаційної безпеки об'єкта захисту;
• реалізувати вимоги Політики інформаційної безпеки, запровадивши відповідні програмно-технічні способи та засоби захисту інформації;
• реалізувати Систему менеджменту (управління) інформаційної безпеки (ЗМІБ);
• використовуючи ЗМІБ організувати регулярний контроль ефективності СОІБ та за необхідності перегляд та коригування СОІБ та ЗМІБ.

Як очевидно з останнього етапу робіт, процес реалізації СОИБ безперервний і циклічно (після кожного перегляду) повертається до першого етапу, повторюючи послідовно й інші. Так СОІБ коригується для ефективного виконання своїх завдань захисту інформації та відповідності новим вимогам інформаційної системи, що постійно оновлюється.

Нормативні документи в галузі інформаційної безпеки

У Російській Федерації до нормативно-правових актів у галузі інформаційної безпеки відносяться:

Акти федерального законодавства:

• Міжнародні договори РФ;
  • Конституція РФ;
  • Закони федерального рівня (включаючи федеральні конституційні закони, кодекси);
  • укази Президента РФ;
  • Постанови уряду РФ;
  • Нормативні правові акти федеральних міністерств та;
  • Нормативні правові акти суб'єктів РФ, органів місцевого самоврядування тощо.

Детальніше списки та зміст зазначених нормативних документів у галузі інформаційної безпеки обговорюються у розділі Інформаційне право.

До нормативно-методичних документів можна віднести

• Методичні документи державних органів Росії:
  • Доктрина інформаційної безпеки РФ;
  • Керівні документи ФСТЕК (Держтехкомісії Росії);
  • накази ФСБ;

• Стандарти інформаційної безпеки, з яких виділяють:
  • Міжнародні стандарти;
  • Державні (національні) стандарти РФ;
  • Рекомендації щодо стандартизації;
  • Методичні вказівки.

Органи (підрозділи), які забезпечують інформаційну безпеку

Залежно від застосування діяльності у сфері захисту інформації (у межах державних органів влади чи комерційних організацій), сама діяльність організується спеціальними державними органами (підрозділами), чи відділами (службами) підприємства.

Державні органи РФ, що контролюють діяльність у галузі захисту інформації:

• Федеральна служба з технічного та експортного контролю (ФСТЕК Росії);
• Федеральна служба безпеки Російської Федерації (ФСБ Росії);
• Федеральна служба охорони Російської Федерації (ФСТ Росії);
• Служба зовнішньої розвідки Російської Федерації (СЗР Росії);
• Міністерство оборони Російської Федерації (Міноборони Росії);
• Міністерство внутрішніх справ Російської Федерації (МВС Росії);
• Федеральна служба з нагляду у сфері зв'язку, інформаційних технологій та масових комунікацій (Роскомнагляд).

Служби, що організовують захист інформації на рівні підприємства

• Служба безпеки персоналу (Режимний відділ);
• Відділ кадрів;

Організаційно-технічні та режимні заходи та методи

Для опису технології захисту інформації конкретної інформаційної системи зазвичай будується так звана Політика інформаційної безпекиабо Політика безпеки інформаційної системи .

Політика безпеки(Інформації в організації) (англ. Organizational security policy ) - сукупність документованих правил, процедур, практичних прийомів чи керівних принципів у сфері безпеки інформації, якими керується організація своєї діяльності.

Політика безпеки інформаційно-телекомунікаційних технологій(англ. ІСТ security policy) - правила, директиви, що склалася практика, які визначають, як у межах організації та її інформаційно-телекомунікаційних технологій управляти, захищати та розподіляти активи, у тому числі критичну інформацію.

Для побудови Політики інформаційної безпеки рекомендується окремо розглядати такі напрями захисту інформаційної системи:

• Захист об'єктів інформаційної системи;
• Захист процесів, процедур та програм обробки інформації;
• Захист каналів зв'язку (акустичні, інфрачервоні, провідні, радіоканали та ін);
• Пригнічення побічних електромагнітних випромінювань;
• Управління системою захисту.

При цьому в кожному з перерахованих вище напрямків Політика інформаційної безпеки має описувати такі етапи створення засобів захисту інформації:

1. Визначення інформаційних та технічних ресурсів, що підлягають захисту;
2. Виявлення повної множини потенційно можливих загроз та каналів витоку інформації;
3. Проведення оцінки вразливості та ризиків інформації за наявної множини загроз та каналів витоку;
4. визначення вимог до системи захисту;
5. Здійснення вибору засобів захисту інформації та їх характеристик;
6. Впровадження та організація використання обраних заходів, способів та засобів захисту;
7. Здійснення контролю цілісності та управління системою захисту.

Політика інформаційної безпеки оформляється як документованих вимог на інформаційну систему . Документи зазвичай поділяють за рівнями опису (деталізації) процесу захисту.

Документи верхнього рівняПолітики інформаційної безпеки відображають позицію організації до діяльності в галузі захисту інформації, її прагнення відповідати державним, міжнародним вимогам та стандартам у цій галузі. Подібні документи можуть називатися «Концепція ІБ», «Регламент управління ІБ», «Політика ІБ», «Технічний стандарт ІБ» тощо. зовнішнього та внутрішнього використання.

Відповідно до ГОСТ Р ИСО/МЭК 17799-2005 , верхньому рівні Політики інформаційної безпеки мають бути оформлені такі документи: «Концепція забезпечення ІБ», «Правила допустимого використання ресурсів інформаційної системи», «План забезпечення безперервності бізнесу».

До середнього рівнявідносять документи щодо окремих аспектів інформаційної безпеки. Це вимоги на створення та експлуатацію засобів захисту інформації, організацію інформаційних та бізнес-процесів організації за конкретним напрямом захисту інформації. Наприклад: Безпека даних, Безпека комунікацій, Використання засобів криптографічного захисту, Контентна фільтрація тощо. Подібні документи зазвичай видаються у вигляді внутрішніх технічних та організаційних політик (стандартів) організації. Усі документи середнього рівня політики інформаційної безпеки є конфіденційними.

У політику інформаційної безпеки нижнього рівнявходять регламенти робіт, посібники з адміністрування, інструкції з експлуатації окремих послуг інформаційної безпеки.

Програмно-технічні способи та засоби забезпечення інформаційної безпеки

У літературі пропонується така класифікація засобів захисту.

Організаційний захист об'єктів інформатизації

Організаційний захист- це регламентація виробничої діяльності та взаємовідносин виконавців на нормативно-правовій основі, що виключає або суттєво ускладнює неправомірне оволодіння конфіденційною інформацією та прояв внутрішніх та зовнішніх загроз. Організаційний захист забезпечує:

• організацію охорони, режиму, роботу з кадрами, документами;
• використання технічних засобів безпеки та інформаційно-аналітичну діяльність з виявлення внутрішніх та зовнішніх загроз підприємницької діяльності.

До основних організаційних заходів можна віднести:

• організацію режиму та охорони. Їх мета - виключення можливості таємного проникнення на територію та у приміщення сторонніх осіб;
• організацію роботи зі співробітниками, яка передбачає добір та розстановку персоналу, включаючи ознайомлення зі співробітниками, їх вивчення, навчання правил роботи з конфіденційною інформацією, ознайомлення із заходами відповідальності за порушення правил захисту інформації та ін.;
• організацію роботи з документами та документованою інформацією, включаючи організацію розробки та використання документів та носіїв конфіденційної інформації, їх облік, виконання, повернення, зберігання та знищення;
• організацію використання технічних засобів збору, обробки, накопичення та зберігання конфіденційної інформації;
• організацію роботи з аналізу внутрішніх та зовнішніх загроз конфіденційної інформації та вироблення заходів щодо забезпечення її захисту;
• організацію роботи з проведення систематичного контролю за роботою персоналу з конфіденційною інформацією, порядком обліку, зберігання та знищення документів та технічних носіїв.

У кожному даному випадку організаційні заходи носять специфічну для цієї організації форму і зміст, створені задля забезпечення безпеки інформації у конкретних умовах.

Історичні аспекти виникнення та розвитку інформаційної безпеки

Об'єктивно категорія «інформаційна безпека» виникла з появою між людьми, а також з усвідомленням людиною наявності у людей та їх співтовариств інтересів, яким може бути завдано шкоди шляхом впливу на засоби інформаційних комунікацій, наявність та розвиток яких забезпечує інформаційний обмін між усіма елементами соціуму.

Враховуючи вплив на трансформацію ідей інформаційної безпеки, у розвитку засобів інформаційних комунікацій можна виділити кілька етапів:

• I етап – до 1816 року – характеризується використанням природно виникаючих засобів інформаційних комунікацій. У цей період основне завдання інформаційної безпеки полягало у захисті відомостей про події, факти, майно, місцезнаходження та інших даних, що мають для людини особисто чи спільноти, до якої вона належала, життєве значення.

• II етап - починаючи з 1816 - пов'язаний з початком використання штучно створюваних технічних засобів електро-і радіозв'язку. Для забезпечення скритності та перешкоднозахищеності радіозв'язку необхідно було використати досвід першого періоду інформаційної безпеки на більш високому технологічному рівні, а саме застосування завадостійкого кодування повідомлення (сигналу) з подальшим декодуванням прийнятого повідомлення (сигналу).

• III етап - починаючи з 1935 року - пов'язаний з появою радіолокаційних та гідроакустичних засобів. Основним способом забезпечення інформаційної безпеки в цей період було поєднання організаційних та технічних заходів, спрямованих на підвищення захищеності радіолокаційних засобів від впливу на їх приймальні пристрої активними маскувальними та пасивними радіоелектронними перешкодами, що імітують.

• IV етап - починаючи з 1946 року - пов'язаний з винаходом та впровадженням у практичну діяльність електронно-обчислювальних машин (комп'ютерів). Завдання інформаційної безпеки вирішувалися, переважно, методами та способами обмеження фізичного доступу до обладнання засобів добування, переробки та передачі.

• V етап - починаючи з 1965 року - обумовлений створенням та розвитком локальних. Завдання інформаційної безпеки також вирішувалися, в основному, методами та способами фізичного захисту засобів добування, переробки та передачі інформації, об'єднаних у локальну мережу шляхом адміністрування та управління доступом до мережевих ресурсів.

• VI етап - починаючи з 1973 - пов'язаний з використанням надмобільних комунікаційних пристроїв з широким спектром завдань. Загрози інформаційної безпеки стали набагато серйознішими. Для забезпечення інформаційної безпеки в комп'ютерних системах з бездротовими мережами передачі даних була потрібна розробка нових критеріїв безпеки. Утворилися спільноти людей - хакерів, які ставлять за мету завдання шкоди інформаційній безпеці окремих користувачів, організацій та цілих країн. Інформаційний ресурс став найважливішим ресурсом держави, а забезпечення її безпеки – найважливішої та обов'язкової складової національної безпеки. Формується інформаційне право – нова галузь міжнародної правової системи.

• VII етап – починаючи з 1985 року – пов'язаний із створенням та розвитком глобальних інформаційно-комунікаційних мереж з використанням космічних засобів забезпечення. Можна припустити, що черговий етап розвитку інформаційної безпеки, очевидно, буде пов'язаний із широким використанням надмобільних комунікаційних пристроїв з широким спектром завдань та глобальним охопленням у просторі та часі, що забезпечується космічними інформаційно-комунікаційними системами. Для вирішення завдань інформаційної безпеки на цьому етапі необхідно створити макросистему інформаційної безпеки людства під егідою провідних міжнародних форумів.

Див. також

• Анотація моделі захисту інформації
• Державна інформаційна політика Росії
• Критерії визначення безпеки комп'ютерних систем
• Недекларовані можливості
• Стандарт Банку Росії із забезпечення інформаційної безпеки організацій банківської системи Російської Федерації (СТО БР ІХБС)
• Правопорушення у сфері технічної захищеності систем
• Захист інформації від витоку матеріально-речовими каналами

Примітки

1. Національний стандарт РФ «Захист інформації. Основні терміни та визначення» (ГОСТ Р 50922-2006).
2. Національний стандарт РФ «Інформаційна розробка. Практичні правила управління інформаційною безпекою» (ГОСТ Р ІСО/МЕК 17799-2005).
3. Безпека: теорія, парадигма, концепція, культура. Словник-довідник / Автор-упоряд. професор В. Ф. Пилипенка. 2-ге вид., дод. та перероб. - М: ПЕР СЕ-Прес, 2005.
4. Інформаційна безпека (2-а книга соціально-політичного проекту "Актуальні проблеми безпеки соціуму"). М.: «Зброя та технології», 2009.
5. Національний стандарт РФ «Методи та засоби забезпечення безпеки. Частина 1. Концепція та моделі менеджменту безпеки інформаційних та телекомунікаційних технологій» (ГОСТ Р ИСО/МЭК 13335-1 - 2006) .
6. Рекомендації щодо стандартизації «Інформаційні технології. Основні терміни та визначення у галузі технічного захисту інформації» (Р 50.1.053-2005) .
7. Пошук. Глосарій.ru
8. Рекомендації щодо стандартизації «Технічний захист інформації. Основні терміни та визначення» (Р 50.1.056-2005).
9. Державний стандарт РФ «Аспекти безпеки. Правила включення до стандартів» (ГОСТ Р 51898-2002).
10. Домарєв В. В. Безпека інформаційних технологій. Системний підхід – К.: ТОВ ТІД Діа Софт, 2004. – 992 с.
11. Лапіна М. А., Ревін А. Г., Лапін Ст І. Інформаційне право. М: ЮНІТІ-ДАНА, Закон і право, 2004.
12. Інформаційна безпека у сучасних системах управління базами даних

Література

• Бармен Скотт. Розробка правил інформаційної безпеки. М.: Вільямс, 2002. – 208 с. - ISBN 5-8459-0323-8, ISBN 1-57870-264-X.
• Галатенко В. А.Стандарти інформаційної безпеки. – М.: Інтернет-університет інформаційних технологій, 2006. – 264 с. - ISBN 5-9556-0053-1.
• Галицький О. В., Рябко С.Д., Шаньгін В.Ф.Захист інформації у мережі - аналіз технологій та синтез рішень. М.: ДМК Прес, 2004. – 616 с. - ISBN 5-94074-244-0.
• Запечніков С. Ст, Милославська Н. Р., Толстой А. І., Ушаков Д. Ст.Інформаційна безпека відкритих систем. У 2-х тт.
  • Том 1. Загрози, уразливості, атаки та підходи до захисту. М.: Гаряча Лінія – Телеком, 2006. – 536 с. - ISBN 5-93517-291-1, ISBN 5-93517-319-0.
  • Том 2. Засоби захисту у мережах. М.: Гаряча Лінія – Телеком, 2008. – 560 с. - ISBN 978-5-9912-0034-9.
• Лепехін А. Н.Розслідування злочинів проти інформаційної безпеки. Теоретико-правові та прикладні аспекти. М.: Тесей, 2008. – 176 с. - ISBN 978-985-463-258-2.
• Лопатін В. Н.Інформаційна безпека Росії: Людина, суспільство, держава Серія: Безпека людини та суспільства. М.: 2000. – 428 с. - ISBN 5-93598-030-4.
• Родич Ю.Інформаційна безпека Нормативно-правові аспекти. СПб.: Пітер, 2008. – 272 с. - ISBN 978-5-388-00069-9.
• Петренко С. А., Курбатов В. А.Політики інформаційної безпеки. - М: Компанія