ВР.pdf. Выпускная квалификационная работа специалиста
Скачать 1.05 Mb.
|
2 Родичев Ю. А. Нормативная база и стандарты в области информационной безопасности [Текст] : учебное пособие для студентов, обучающихся по программам высшего образования укрупненной группы специальностей и направлений подготовки 10.00.00 «Информационной безопасность» / Ю. А. Родичев. - Санкт-Петербург [и др.] : Питер, 2017. - 254 с. 7 технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»; 9. Приказ Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»; 10. Приказ Федерального агентства правительственной связи и информации при Президенте Российской Федерации от 13 июня 2001 г. № 152 «Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»; 11. Приказ Федеральной службы безопасности от 10 июля 2014 г. № 378 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»; 12. Методический документ, утвержденный руководством ФСТЭК России от 11 февраля 2014 г. «Методический документ. Меры защиты информации в государственных информационных системах». Таким образом, сфера информационной безопасности имеет довольно обширную законодательную базу, которая несомненно развивается. Для этого учитываются все основные аспекты защиты информации, которые тоже, в свою очередь, не перестают совершенствоваться. Необходимо брать во внимание основополагающие категории информационной безопасности, известные еще с конца прошлого века и дорабатывать их, выискивая новые, менее затратные и более эффективные способы решения проблем. Майкл Ш рёдер и Джерри Зальцер в 1975 году в статье «Защита информации в компьютерных системах» стали первыми в мире, кто классифицировали сбои в получении, хранении и передаче информации, разделив их условно на 3 категории: неавторизованный отказ в доступе к информации, неавторизованное раскрытие информации и неавторизованное изменение информации. После этого данную классификацию усовершенствовали и стандартизировали вида, которым пользуются и по сей день в качестве основной: 8 1. Confidentiality с англ. — «конфиденциальность» — способность информации быть недосягаемой для третьих лиц или процессов, другими словами, быть доступной только для авторизированных и допущенных к системе лиц. Данный компонент является основным и первостепенным в информационной среде. Однако, перед фактическим использованием разработанных мер по ее реализации в Российской Федерации встает большое количество преград и проблем. Например, сведения о технических путях утраты информации являются закрытыми для посторонних, из-за чего множество легальных пользователей не имеют возможности оценить возможные риски. Также, существует целый ряд юридических и технических проблем, которые препятствуют самостоятельной криптографии в качестве основного инструмента для защиты персональных данных. 2. Integrity с англ. — «целостность» — способность информации сохранять правильность и целостность активов, то есть свойство информации, которая характеризует его устойчивость к случайному или преднамеренному уничтожению или нелегитимному преобразованию. Данный критерий условно делится на статическую и динамическую целостность (неизменность информационных объектов и связанную с правильным выполнением транзакций соответственно). Целостность информационной безопасности становится самым главным аспектом в случае, когда при помощи различной информации и на ее основе пользователи принимают решения о дальнейших действиях. 3. Availability с англ. — «доступность» — способность информации быть доступной и готовой к использованию по запросу пользователя, имеющего к ней доступ. Другими словами, это свойство информационной системы и всех ее данных и процессов предоставить доступ или произвести обмен информацией между зарегистрированными в общей сети пользователями. Основная цель информационной среды относительно ее пользователей - это предоставление любых легитимных информационных услуг, таких как передача, хранение, обработка запрашиваемой информации и так далее. Однако, если по какой-то причине предоставление запрашиваемых услуг невозможно, то это наносит ущерб лицам, запросившим информацию. Главная роль описываемого критерия особенно очевидна в таких типах систем управления как производственная, транспортная и т. д. В совокупности эти три ключевых критерия информационной безопасности именуются триадой CIA. В 1998 году член Ассоциации вычислительной техники, исследователь и консультант по информационной безопасности Донн Паркер дополнил триаду CIA еще тремя пунктами: подлинность, владение и контроль, польза. Усовершенствованную модель назвали Паркеровской гексадой (от hexad с англ. — «группа из шести предметов»), продемонстрированную в соответствии с таблицей 1. 9 Таблица 1 - Модель Паркеровской гексады3 Атрибут Комментарий Подлинность (аутентичность) Под атрибутом «подлинность» понимается заявление об авторстве и точность его происхождения. К примеру, для того, чтобы удостовериться в подлинность подписи на бумажном или электронном носителе необходимо произвести либо сверку с теми документами, где она уже была проверена, либо произвести сверку обычного рукописного текста и оставленной подписью. В случае проверки электронной информации на авторство используются криптографические программы с открытым ключом. Владение и контроль Это такое состояние системы, при котором выстраивается связь между лицами, имеющими доступ к владению и использованию информации и устройством или физическим носителем информации. То есть, определение на санкционированность доступа к определенной информации. Польза Под атрибутом «польза» понимается состояние системы, которое обеспечивает удобство для пользователей и сотрудников в использовании системы. Так возникает меньшее желание действовать в обход системы. Информационные технологии, которые используются отдельными пользователями в информационном пространстве, обязаны соответствовать требованиям и критериям внешней безопасности использования и внутренней безопасности их строения. Исходя из этого, по всему миру проводится множество исследований компьютерных устройств и 3 Моделирование угроз информационной безопасности: различные подходы // Национальный открытый университет. - М., 2021. - С. 21-23. 10 операционных систем, а также на их основе дополняются и изменяются уже имеющиеся международные акты в сфере информационной безопасности. Федеральные критерии информационной безопасности были разработаны как один из компонентов Американского Федерального стандарта по обработке информации (Federal Information Processing Standard), так как США является одной из передовых стран в сфере изучения, защиты и совершенствования информационных процессов. Главной целью их формирования было определение универсального и открытого для дальнейшего развития набора основных требований безопасности для современных информационных технологий. Стандарт определяет обоснованный и структурированный подход к разработке требований безопасности для продуктов информационных технологий с учетом областей их применения. Стандарт представляет собой обобщение основных принципов безопасности информационных технологий 1980х годов и обеспечивает преемственность по отношению к ним, чтобы поддерживать успех в области информационной безопасности. Основополагающим понятием концепции информационной безопасности Федеральных критериев является понятия «профиль защиты». Профиль защиты - это нормативный документ, регламентирующий все объекты безопасности IT-продукта в виде требований к его конструкции, технологии разработки и квалификационного анализа. Один профиль безопасности обычно описывает несколько IT-продуктов, имеющих схожую структуру и назначение. Основное внимание в профиле защиты уделяется требованиям к составу средств защиты и качеству их реализации, а также их соразмерность ожидаемым угрозам безопасности4. В качестве примера используемых критериев информационной безопасности рассмотрим специальные критерии органа предварительного расследования5: 1) характеристика объекта диагностики; 1.1) наименование органа; 1.2) вид деятельности; 2) характеристика используемых информационных технологий; 2.1) вид и класс информационных технологий; 2.2) степень и уровень защиты, наличие обновлений; 3) характеристика средств информационной защиты (программные, аппаратные); 4 Международные стандарты по оценке безопасности информационных технологий. Федеральные критерии безопасности информационных технологий // Справочник по информационной безопасности. - М., 2020. - 14 с. 5 Яблоков Н. П. Криминалистическая методика расследования: история, современное состояние и проблемы: монография. М.: Норма, 2016. - 191 с. 11 4) характеристика сетевых соединений (наличие доступа к сети Интернет, вид сетевого соединения, степень информационной защищенности); 5) характеристика субъектов информационного обмена (надежность и уровень информационной защиты); 6) характеристика вида информации и режима доступа. Исходя из данного классификатора, самая высокая возможная оценка по вышеперечисленным критериям равна 11, то есть это будет значить, что информация органа предварительного расследования находится в состоянии полной безопасности от несанкционированного доступа третьих лиц или вирусов. Государственные органы вправе сами устанавливать количество критериев и их обширность для того, чтобы в конечном итоге получить наиболее точную оценку. Для получения независимого и беспристрастного результата могут быть приглашены сторонние эксперты и аудиторы. По результатам данного исследования можем наблюдать, что уровень безопасности находится на уровне 45%. В дополнение, на рисунке 1 можно увидеть уровень соответствия информационной безопасности органа предварительного расследования по специальным компонентам классификатора безопасности информационных систем для полной характеристики исследуемого объекта, субъектов передачи информации, всех используемых средств блокирования несанкционированного доступа и соединений сети. 12 15% 10 % - 5% _ 0 % Характеристика диагностируемого объекта ■ Характеристика информационных технологий Характеристика средств защиты ■ Характеристика сетевых соединений В Характеристика субъектов информационного обмена Характеристика информации и режима доступа Рисунок 1 - Соответствие уровня защиты информационных технологий органа предварительного расследования специальным критериям его информационной безопасности6 Основываясь на полученных данных и оценке компонентов классификатора можно сделать вывод о том, что особые критерии информационной безопасности органов предварительного расследования в Российской Федерации - это одни из основных составляющих всей системы информационной безопасности и защиты технологий в структура правоохранительных органов. Учитывая, что особенные критерии рассматриваются в совокупности с общепринятыми анализ уровня безопасности, получается наиболее точным, так как общие критерии выходят на первый план и являются 7 основополагающими при подсчете и изучении конкретного правоохранительного органа . 6 Савченко О. А. Специальные критерии информационной безопасности органа предварительного расследования/ / Вопросы кибербезопасности. 2016. №2 (15). С. 4-6. 7 Еськов А. В. Защита информационных систем с содержанием персональных данных, эксплуатируемых в ОВД / А. В. Еськов, И. И. Кирюшин // Проблемы правоохранительной деятельности. 2015. № 2 . С. 76-79. * 13 Организация экономического сотрудничества и развития в 1992 году создали модель информационной безопасности, в которую включили следующие принципы: 1) принцип ответственности; 2) принцип этики; 3) принцип демократии; 4) принцип осведомленности; 5) принцип противодействия; 6) принцип оценки рисков; 7) принцип пересмотра; 8) принцип разработки и внедрения информации; 9) принцип управления безопасности. Однако, уже через четыре года после опубликования вышеназванных принципов Национальный институт стандартов и технологий (NIST), штаб-квартира которого базируется в городе Гейтерсберг, США, сформулировал принципы, которые гласят, что информационная безопасность является неотъемлемой составляющей рационального менеджмента, ограничивается социальными факторами, должна быть экономически эффективной, поддерживает миссию организации, должна периодически подвергаться пересмотру, требует всеобъемлющего и комплексного подхода, обязанности и ответственность за информационную безопасность должны быть четко сформулированы, а владельцы систем несут ответственность за безопасность не только внутри, но и за пределами своей организации . В свою очередь, на основе этой модели NIST в 2004 году составил и утвердил 33 принципа инженерного проектирования систем информационной безопасности, которые неустанно развиваются, дополняются и поддерживаются в актуальном состоянии, включая практические руководства и рекомендации. Несмотря на все доработки и совершенствования, отмеченные во всех вышеуказанных принципах и моделей информационной безопасности, первый вариант классической триады CIA 1975 года все равно остается основной и самой распространенной в международном профессиональном сообществе. Безопасность информационных технологий и систем - одна из важнейших составляющих проблемы обеспечения экономической безопасности организации. Переход к новым формам управления в России в условиях дефицита и противоречивой правовой базы привел к ряду проблем с точки зрения защиты данных, информации, знаний и самих 8 National Institute o f Standards and Technology [Электронный ресурс] - URL: https://www.nist.gov/ (Дата обращения 10.05.2021). 14 ИКТ. Это своеобразие формирования рыночных отношений, отсутствие обоснованных концепций реформ и отставания в области применения современных информационных технологий в управлении и производстве. Обострение этих проблем высветило вопросы национальной, социальной и корпоративной безопасности, в том числе в информационной сфере. Безопасность хозяйствующего субъекта может быть определена как «защита жизненно важных интересов государства или коммерческого предприятия от внутренних и внешних угроз, защита человеческого и интеллектуального потенциала, технологий, данных и информации, капитала и прибыли, обеспечиваемая системой правового, экономического, организационного, информационного, инженерного и социального 9 характера» Для обеспечения целей экономической безопасности в секторе бизнеса и хозяйствующих субъектов необходимо обратить внимание на проблемные направления, такие как: 1) организация защиты финансовой, материальной и интеллектуальной собственности; 2) эффективное управления персоналом и ресурсами; 3) защиту информационных ресурсов организации. В современных условиях успех бизнеса любой компании зависит в значительной степени от эффективности и мобильности компании, от своевременности и скорости принятия эффективных управленческих решений. А это невозможно без надежного и качественного информационного взаимодействия различных участников бизнес- процессов. Сегодня компании все чаще используют открытые каналы связи общедоступных сетей (Internet) и внутреннего информационного пространства компании (Intranet) в качестве среды для обмена информацией. Открытые Internet/Intranet каналы намного дешевле, чем выделенные линии. Тем не менее, общественные сети имеют существенный недостаток - открытость и доступность информационной среды. Компании не могут полностью контролировать передачу и прием данных по открытым каналам и в то же время гарантировать их целостность и конфиденциальность10. Глобализация мировых отношений сопровождается созданием эффективных средств и механизмов для информационного и экономического воздействия на 9 Грунин О. А. Основы теории и практики экономической безопасности: Учеб. пособие / О. А. Грунин, С. О. Грунин; М-во образования Рос. Федерации. С.-Петерб. - СПб.: СПбГИЭУ, 2002, 90с. 10 Безопасность информационных систем. Понятия экономической и информационной безопасности // Национальный открытый университет. - М., 2021. - С. 1-2. 15 конкурентов и партнеров в местном, региональном и глобальном уровнях. Целью таких воздействий, в основном, является изменение распределения произведенных реальных благ в пользу тех, кто разрабатывает, имеет и применяет соответствующие технологии. Сложившаяся ситуация требует повышенного внимания к защите государственных интересов от реальных и возможных угроз, обеспечения информационной и экономической безопасности. Таким образом, роль информационной безопасности в наше время очень велика, так как в век компьютеризации большая часть информации хранится и передается при помощи информационных систем, а значит необходимо постоянно совершенствовать различные механизмы для поддержания безопасности информации на высоком уровне. Для того, чтобы понимать как действовать и какие меры предпринимать, специалисты в сфере компьютерной безопасности придерживаются общепризнанных критериев и принципов информационной безопасности. 1.2 Основные виды угроз. Методы обеспечения информационной безопасности Российская компания InfoWatch, специализирующаяся на информационной безопасности в корпоративном секторе, то есть по защите организаций от утечек информации и атак извне, ежегодно публикует результаты исследований. В отчете 2020 года можно увидеть, что за первые 9 месяцев 2020 года в базу Экспертно-аналитического центра InfoWatch внесено 1773 случая утечки информации ограниченного доступа из коммерческих компаний, государственных организаций и органов власти во всем мире. В результате «утекло» 9,93 млрд записей персональных и платежных данных. По сравнению с аналогичным периодом 2019 г. в целом в мире число утечек снизилось на 7,4%, а число скомпрометированных записей - на 1,4%. За тот же период в России зафиксировано 302 утечки, что на 5,6% больше, чем за 9 месяцев 2019 г. Но количество «утекших» записей персональной и платёжной информации уменьшилось на 29,2% по сравнению с аналогичным периодом 2019 года (69,5 млн. записей)11. Снижение числа зарегистрированных утечек в мире главным образом можно объяснить влиянием пандемии СОУШ -19 на бизнес и государственный сектор: в результате ускоренной перестройки процессов и перевода значительной доли сотрудников |