Объектов информатизации

Правовые нормы обеспечения безопасности и защиты информации на конкретном предприятии (фирме, организации) отражаются в совокупности учредительных, организационных и функциональных документов.
Требования обеспечения безопасности и защиты информации отражаются в Уставе (учредительном договоре) в виде следующих положений:
– предприятие имеет право определять состав, объем, сроки и порядок защиты сведений конфиденциального характера, требовать от своих сотрудни- ков обеспечения их сохранности и защиты от внутренних и внешних угроз;
– предприятие обязано обеспечить сохранность конфиденциальной ин- формации.
Опираясь на государственные правовые акты и учитывая ведомственные интересы на уровне конкретного предприятия (фирмы, организации), разраба- тываются собственные нормативно-правовые документы, ориентированные на обеспечение ИБ. К таким документам относятся:
–
Положение о сохранении конфиденциальной информации;
–
Перечень сведений, составляющих конфиденциальную информацию;
–
Инструкция о порядке допуска сотрудников к сведениям, составляю- щим конфиденциальную информацию;
–
Обязательство сотрудника о сохранении конфиденциальной информации;
–
Положение о специальном делопроизводстве и документообороте;
–
Перечень сведений, разрешенных к опубликованию в открытой печати;
–
Положение о работе с иностранными фирмами и их представителями;
–
Памятка сотруднику о сохранении коммерческой тайны.
Обязательства конкретного сотрудника, рабочего или служащего в части защиты информации обязательно должны быть оговорены в трудовом договоре
(контракте). Трудовой договор – это правовая основа к тому, чтобы пресечь не- верные или противоправные действия работника
Кроме того, на каждом предприятии постепенно накапливается коммер- чески ценная информация, которая позволяет предприятию успешно работать и противостоять конкурентам. Условно эту информацию разделяют на:
– производственные секреты (научно-технические, технологические, ор- ганизационные);
– деловые секреты (ноу-хау): знаю, какой товар надо делать, знаю, как его делать, знаю, как продвигать на рынке и продавать этот товар, и т.п.
Сведения, составляющие коммерческую тайну предприятия, должны:
– являться собственностью предприятия;
31

– иметь действительную или потенциальную коммерческую ценность; и не должны:
– являться общеизвестными и общедоступными;
– являться открытыми, защищаемыми на законных основаниях;
– относиться к составляющим государственную тайну;
– иметь ограничений на отнесение сведений на законном основании к коммерческой тайне (КТ);
– использовать открыто сведения, разглашение которых может нанести предприятию ущерб.
Кроме того, при принятии решения о включении сведений в перечень рекомендуется учитывать следующие факторы:
– величину ущерба о разглашения информации;
– преимущества открытого использования информации;
– величину затрат на защиту информации.
Для формирования перечня сведений, составляющих коммерческую тай- ну, необходимо:
1
Разработать приказ (план) по организации работы по формированию перечня.
2.
Сформировать и утвердить список лиц (рабочую группу), наделяе- мых полномочиями по отнесению сведений к коммерческой тайне.
3.
Создать и утвердить состав экспертной комиссии для анализа предва- рительного и формирования окончательного перечня, периодического его обновления и экспертизы документов, подготавливаемых к открытой печати, на предмет выявления и изъятия сведений, составляющих КТ.
4.
Разработать положение о порядке формирования перечня – методиче- ское руководство для руководителей структурных подразделений, членов рабочей группы и экспертной комиссии.
5. Разослать положение руководителям структурных подразделений и членам экспертной комиссии для ознакомления и подготовки замечаний.
6. Согласовать и утвердить положение.
7. Разослать положение исполнителям и провести инструктаж членов ра- бочей группы и экспертной комиссии.
8.
Внести в предварительный перечень предложения членов рабочей группы.
9.
Членам экспертной комиссии рассмотреть предварительный перечень в соответствии с положением и сформировать проект окончательного варианта.
32

10. Согласовать перечень с руководителями структурных подразделе- ний и утвердить руководителем предприятия.
12.
Издать приказ о введении перечня в действие.
12
. Определение объектов защиты
Объект защиты – это информация, носитель информации или информа- ционный процесс, в отношении которых необходимо обеспечивать защиту от нежелательного несанкционированного вмешательства, а также от попыток хищения, незаконной модификации и/или разрушения.
В соответствии с семирубежной моделью ЗИ при организации КСЗИ на предприятии в качестве объектов защиты рассматриваются:
1) прилегающая к предприятию территория;
2) здания предприятия;
3) рабочие помещения и помещения, предназначенные для обработки ин- формации с ограниченным доступом; помещения, предназначенные для веде- ния переговоров, в ходе которых оглашаются сведения ограниченного доступа; хранилища носителей информации;
4) физические поля (электромагнитные, оптические, ультрафиолетовые, инфракрасные, рентгеновские и др.); системы, линии и средства связи и пере- дачи данных, осуществляющие прием, обработку, хранение и передачу инфор- мации с ограниченным доступом;
5) аппаратные средства (серверы, рабочие станции, периферийное обору- дование), средства и системы информатизации и другие технические средства защиты информации;
6) программные средства (операционные системы, специальное ПО,
СУБД, интерфейсное и сетевое ПО);
7) информационные ресурсы, содержащие конфиденциальную информа- цию (в частности персональные данные); сведения, отнесенные любому виду тайн; носители информации и средства их транспортировки;
Кроме того, объектами защиты должны быть:
– средства отображения, обработки, воспроизведения и передачи конфи- денциальной информации, в том числе: ЭВМ, средства видео-, звукозаписыва- ющей и воспроизводящей техники;
– системы обеспечения функционирования предприятия (электро-, водо- снабжение, кондиционирование и др.);
33

– выпускаемая продукция (конкретные изделия, предметы, технические решения)
и технологические процессы ее изготовления и используемые при этом средства производства;
– сотрудники организации.
13.
Анализ и оценка угроз безопасности информации
Под угрозой безопасности понимаются потенциально возможные воздей- ствия, события, процессы или явления, которые прямо или косвенно могут нанести ущерб интересам субъектов информационных отношений.
Ущерб безопасности подразумевает нарушение состояния защищенно- сти информации, содержащейся и обрабатывающейся в компьютерной системе
(КС). С понятием угрозы безопасности тесно связано понятие уязвимости КС.
Уязвимость КС - это некоторое наиболее ранимое свойство системы, ко- торое делает возможным возникновение и реализацию угрозы.
Атака на компьютерную систему - это действие, предпринимаемое зло- умышленником, которое заключается в поиске и использовании той или иной уязвимости системы. Таким образом, атака - это реализация угрозы безопасности.
Основная цель защиты КС - противодействие угрозам безопасности.
По цели воздействия различают следующие основные типы угроз без-
опасности:
• нарушение конфиденциальности (раскрытие) информации;
• нарушение целостности информации (ее полное или частичное уничто- жение, искажение, фальсификация, дезинформация);
• нарушение (частичное или полное) работоспособности системы. Вывод из строя или неправомерное изменение режимов работы компонентов си- стемы обработки информации, их модификация или подмена могут при- водить к получению неверных результатов расчетов, отказам системы от потока информации (непризнанию одной из взаимодействующих сторон факта передачи или приема сообщений) и/или отказам в обслуживании конечных пользователей;
• несанкционированное тиражирование открытой информации (не являю- щейся конфиденциальной), например, программ, баз данных, разного ро- да документации, литературных произведений и т.д. в нарушение прав собственников информации, авторских прав и т.п. Информация, обладая
34

свойствами материальных объектов, имеет такую особенность, как неис- черпаемость ресурса, что существенно затрудняет контроль за ее тиражи- рованием.
Источники угроз безопасности
Основными источниками угроз безопасности КС и информации (угроз интересам субъектов информационных отношений) являются:
• стихийные бедствия и аварии (наводнение, ураган, землетрясение, пожар и т. п.);
• сбои и отказы оборудования (технических средств) КС;
• последствия ошибок проектирования и разработки компонентов КС (ап- паратных средств, технологии обработки информации, программ, струк- тур данных и т.п.);
• ошибки эксплуатации (пользователей, операторов и другого персонала);
• преднамеренные действия нарушителей и злоумышленников (обиженных лиц из числа персонала, преступников, шпионов, диверсантов и т.п.).
Естественные угрозы - это угрозы, вызванные воздействиями на КС и ее элементы объективных физических процессов или стихийных природных явле- ний, независящих от человека.
Искусственные угрозы - это угрозы КС, вызванные деятельностью челове- ка. Среди искусственных угроз, исходя из мотивации действий, можно выделить:
•
непреднамеренные (неумышленные, случайные) угрозы, вызванные ошибками в проектировании КС и ее элементов, ошибками в программ- ном обеспечении, ошибками в действиях персонала и т.п.;
•
преднамеренные (умышленные) угрозы, связанные с корыстными устремлениями людей (злоумышленников).
Источники угроз по отношению к КС могут быть внешними или внутрен- ними (компоненты самой КС - ее аппаратура, программы, персонал).
13
.1. Основные непреднамеренные искусственные угрозы
Основные непреднамеренные искусственные угрозы КС (действия, со- вершаемые людьми случайно, по незнанию, невнимательности или халатности, из любопытства, но без злого умысла) [3]:
1) неумышленные действия, приводящие к частичному или полному отка- зу системы или разрушению аппаратных, программных, информационных ре-
35

сурсов системы (неумышленная порча оборудования, удаление, искажение файлов с важной информацией или программ, в том числе системных и т.п.);
2) неправомерное отключение оборудования или изменение режимов ра- боты устройств и программ;
3) неумышленная порча носителей информации;
4) запуск технологических программ, способных при некомпетентном ис- пользовании вызывать потерю работоспособности системы или осуществляю- щих необратимые изменения в системе (форматирование или реструктуриза- цию носителей информации, удаление данных и т.п.);
5) нелегальное внедрение и использование неучтенных программ (игро- вых, обучающих, технологических и др., не являющихся необходимыми для выполнения нарушителем своих служебных обязанностей) с последующим не- обоснованным расходованием ресурсов (загрузка процессора, захват оператив- ной памяти и памяти на внешних носителях);
6) заражение компьютера вирусами;
7) неосторожные действия, приводящие к разглашению конфиденциальной информации, или делающие ее общедоступной;
8) разглашение, передача или утрата атрибутов разграничения доступа (па- ролей, ключей шифрования, идентификационных карточек, пропусков и т.п.);
9) проектирование архитектуры системы, технологии обработки данных, разработка прикладных программ, с возможностями, представляющими опас- ность для работоспособности системы и безопасности информации;
10) игнорирование организационных ограничений (установленных правил) при работе в системе;
11) вход в систему в обход средств защиты (загрузка посторонней опера- ционной системы со сменных магнитных носителей и т.п.);
12) некомпетентное использование, настройка или неправомерное отклю- чение средств защиты персоналом службы безопасности;
13) пересылка данных по ошибочному адресу абонента (устройства);
14) ввод ошибочных данных;
15) неумышленное повреждение каналов связи.
13
.2. Основные преднамеренные искусственные угрозы
Основные возможные пути умышленной дезорганизации работы, вывода системы из строя, проникновения в систему и несанкционированного доступа к информации:
36

1) физическое разрушение системы (путем взрыва, поджога и т.п.) или вы- вод из строя всех или отдельных наиболее важных компонентов компьютерной системы (устройств, носителей важной системной информации, лиц из числа персонала и т.п.);
2) отключение или вывод из строя подсистем обеспечения функциониро- вания вычислительных систем (электропитания, охлаждения и вентиляции, ли- ний связи и т.п.);
3) действия по дезорганизации функционирования системы (изменение ре- жимов работы устройств или программ, забастовка, саботаж персонала, постанов- ка мощных активных радиопомех на частотах работы устройств системы и т.п.);
4) внедрение агентов в число персонала системы (в том числе, возможно, и в административную группу, отвечающую за безопасность);
5) вербовка (путем подкупа, шантажа и т.п.) персонала или отдельных пользователей, имеющих определенные полномочия;
6) применение подслушивающих устройств, дистанционная фото- и видео- съемка и т.п.;
7) перехват побочных электромагнитных, акустических и других излуче- ний устройств и линий связи, а также наводок активных излучений на вспомо- гательные технические средства, непосредственно не участвующие в обработке информации (телефонные линии, сети питания, отопления и т.п.);
8) перехват данных, передаваемых по каналам связи, и их анализ с целью выяснения протоколов обмена, правил вхождения в связь и авторизации поль- зователя и последующих попыток их имитации для проникновения в систему;
9) хищение носителей информации (магнитных дисков, лент, микросхем памяти, запоминающих устройств и целых ПЭВМ);
10) несанкционированное копирование носителей информации;
11) хищение производственных отходов (распечаток, записей, списанных носителей информации и т.п.);
12) чтение остаточной информации из оперативной памяти и с внешних запоминающих устройств;
13) чтение информации из областей оперативной памяти, используемых операционной системой (в том числе подсистемой защиты) или другими поль- зователями, в асинхронном режиме используя недостатки мультизадачных опе- рационных систем и систем программирования;
14) незаконное получение паролей и других реквизитов разграничения до- ступа (агентурным путем, используя халатность пользователей, путем подбора,
37

путем имитации интерфейса системы и т.д.) с последующей маскировкой под зарегистрированного пользователя ("маскарад");
15) несанкционированное использование терминалов пользователей, име- ющих уникальные физические характеристики, такие как номер рабочей стан- ции в сети, физический адрес, адрес в системе связи, аппаратный блок кодиро- вания и т.п.;
16) вскрытие шифров криптозащиты информации;
17) внедрение аппаратных спецвложений, программных "закладок" и "ви- русов" ("троянских коней" и "жучков"), то есть таких участков программ, кото- рые не нужны для осуществления заявленных функций, но позволяющих пре- одолевать систему защиты, скрытно и незаконно осуществлять доступ к си- стемным ресурсам с целью регистрации и передачи критической информации или дезорганизации функционирования системы;
18) незаконное подключение к линиям связи с целью работы "между строк", с использованием пауз в действиях законного пользователя от его име- ни с последующим вводом ложных сообщений или модификацией передавае- мых сообщений;
19) незаконное подключение к линиям связи с целью прямой подмены за- конного пользователя путем его физического отключения после входа в систе- му и успешной аутентификации с последующим вводом дезинформации и навязыванием ложных сообщений.
Чаще всего для достижения поставленной цели злоумышленник использу- ет не один, а некоторую совокупность из перечисленных выше путей.