ВР.pdf. Выпускная квалификационная работа специалиста

на удаленную работу контроль над информационными активами во многих компаниях был ослаблен, а значительная часть инцидентов перестала фиксироваться.
На основании отчетов InfoWatch, можно выделить основные виды угроз:
1. Халатность и невнимательность сотрудников. В данном пункте речь идет о сотрудниках, которые не подозревая об этом, могут занести вирусы на сервер организации. Такая ситуация может произойти из-за открытого фишингового письма на почте, зараженного вирусом, с помощью которого злоумышленники получают доступ к любой информации, хранящейся на сервере компании.
2. Использование нелицензионного программного обеспечения.
Обладатель пиратского программного обеспечения не получает технической защиты, а также актуальных обновлений программы от разработчика. Именно по этой причине важно понимать, что в таком случае у пользователя нет должной защиты от мошенников, которые намерены получить данные с сервера с помощью занесенных вирусов. По данным исследований Microsoft, около 7% проверенных нелицензионных программ имели вирусы, с помощью которых злоумышленники могли получить доступ ко всем паролям и засекреченным файлам пользователя, которыми могут быть как бухгалтерские документы, так и документы, являющимися секретными.
3. Вирусы. Одной из самых опасных и распространенных видов атак являются компьютерные вирусы. Из-за их атак организации могут понесли многомиллионный ущерб. Пути их проникновения очень разнообразны, но самым часто встречающимся до сих пор является почта (как личная, так и корпоративная). Причем, в отличие от халатности сотрудников, открывающие фишинговые письма, с вирусом это может произойти даже если пользователь не открыл письмо. Также, помимо почтовых ящиков вирусы могут проникнуть и через мобильные устройства, коммутаторы, маршрутизаторы, межсетевые экраны и так далее. За последнее время появилось много различных троянов- вымогателей (англ. ransomware), которые делятся на шифровальщиков и блокировщиков.
Вирусы-шифровальщики действуют на конкретные файлы компьютера, не давая возможность их открыть, а блокировщики в целом закрывают доступ ко всему компьютеру. По данным Intel распространенным вирусом-шифровалыциком WannaCry заразились около 530 тысяч компьютеров, а суммарный объем финансовых потерь компаний составил более 1 миллиарда долларов.
4. DDoS-атаки (Distributed-Denial-of-Service) или «распределенный отказ от обслуживания». Это хакерская атака на ресурс путем создания ложных потоков до того состояния, пока выбранный хост не выйдет из строя. В основном применяется для борьбы с конкурентами или для отвлечения внимания системных администраторов от другого
17

вида атак. Чаще всего DDoS-атакам подвергаются банковские системы (в 49% случаях), так как «распределенный отказ от обслуживания» отвлекает внимание персонала на себя, в то время как злоумышленники крадут данные или денежные средства со счетов.
5.
Инсайдерские утечки информации. Это утечки информации из-за совладельцев компании. Именно легальные пользователи - основная причина потери контроля над данными в России. Инсайдеров делят на группы, такие как:
5.1. «Кроты» - сотрудники компании, тайно работающие на компанию- конкурента. Крадут важные данные для конкурента за денежное вознаграждение.
5.2. «Уволенные» - сотрудники компании, которые забирают с собой информацию, к которой сами имели доступ для того, чтобы пользоваться ею же на новом месте работы, которой могли быть засекреченные данные организации, в том числе связанные с финансовыми активами.
5.3. «Нарушители» - топ-менеджеры и среднее звено компании. Этот вид относят к непредумышленным утечкам, так как сотрудники обычно по своей невнимательности или халатности пользуются личной почтой или, например, совершают онлайн-покупки с рабочего компьютера. Именно такими путями вирусам или атакам проще и быстрее всего попасть на ресурс.
5.4. «Преступники» - в основном это топ-менеджеры или сотрудники, имеющие доступ к важной информации, которые целенаправленно отправляют и пересылают секретную информацию заинтересованным в ней третьим лицам с целью получения экономической и финансовой выгоды.
5.5. «Законодательные перипетии» - государственные или судебные органы
Российской Федерации имеют полномочия изъять или конфисковать электронные носители организации в ходе проверки или судебного следствия. Так как большая часть информации хранится в электронном формате, организация не может полноценно существовать и работать. Простои в данном случае не компенсируются, а в случае продление экспертизы организация может понести большие финансовые потери и в конечном счете прекратить свою деятельность.
Существует, также и иная, более общая классификация всех возможных угроз информационной безопасности12:
1) по характеру возникновения;
12 Угрозы информационной безопасности. Построение систем защиты от угрозы нарушения
конфиденциальности информации. Защита информации от утечки по техническим каналам // Портал
электронных систем обучения. - Екатеринбург., 2021. - С. 47-50.
18

1.1) объективные процессы, чрезвычайные ситуации, явления стихийных бедствий, то есть все, что не зависит от действий человека;
1.2) угрозы, происходящие непосредственно по вине человека (конкуренты, поставщики, сотрудники организации);
2) по направлению преследуемого умысла;
2.1) непреднамеренные опасности и угрозы, которые могут быть вызваны как ошибкой в процессе работы, так и небрежным отношением персонала к угрозе (не полная осведомленность о протекающих информационных процессах, установка или удаление важных инструментов обеспечения информационной безопасности, случайное повреждение каналов связи);
2.2) преднамеренные опасности и угрозы (целенаправленные действия хакеров или мошенников в информационной среде, направленные на изъятие, изменение или незаконную передачу информации);
3) по территориальному местоположению источника опасности и угроз;
3.1) опасность или угроза находится вне помещения с автоматизированной системой. К ним относятся дистанционная несанкционированная передача файлов;
3.2) опасность или угроза находится в помещении с автоматизированной системой. К ним относятся кража или несанкционированная передача файлов с записями, копиями или оригиналами документов и так далее;
3.3) опасность или угроза, источник которых находится непосредственно в автоматизированной системе. К ним относится неправильное использование инструмента;
4) по возможности проникновения к ресурсам автоматизированной системы;
4.1) угроза, которая направлена на непосредственное использования доступа к ресурсам. К ним относят несанкционированное получение ключа-пароля как при помощи кражи, так и подбором комбинаций;
4.2) угроза, которая направлена на скрытое использование пути доступа. К ним относят, нелегальный доступ к системе путем обхода встроенных средств защиты (то есть загрузка на компьютер другой пиратской операционной системы);
5) по уровню взаимосвязи угрозы и автоматизированной системы;
5.1) опасности и угрозы, которые выражаются вне зависимости от активности автоматизированной системы. К ним относят кражу физических носителей информации или вскрытие ключей криптозащиты;
5.2) опасности и угрозы, которые выражаются только в процессе обработки автоматизированных данных. К ним относят угрозы исполнения и распространения программных вирусов;
19

6) по актуальному территориальному расположению информации;
6.1) опасность или угроза доступа через внешние запоминающие носители информации. К ним относят несанкционированное копирование с жесткого диска или флэш-карты;
6.2) опасность или угроза доступа через внутренние средства как, например, доступ к информации на мониторе, терминале или факсе;
Вне зависимости от конкретных видов угроз или их классификации АС удовлетворяет потребности использующих ее лиц, если обеспечиваются три основных критерия информационной безопасности, а именно конфиденциальность, целостность и доступность информации.
Основные методы обеспечения информационной безопасности для устойчивой защиты данных физических лиц, организаций или государства разделяются на:
1. Базовые средства защиты электронной информации. В процессе обеспечения информационной безопасности они являются неотъемлемой частью хозяйственной деятельности любой организации или компании. К ним относят программы антивирусной защиты, системы защиты электронной почты сотрудников, которые автоматически удаляют нежелательные и подозрительные письма из почтовых ящиков. Также, нужно обеспечить работу ограниченного списка лиц, которые имеют право систематически изменять пароли и шифры.
2.
Физические средства защиты информации. В данном случае речь идет о территориальной защите всей организации и отдельных особо охраняемых зон внутри помещения. К ним относят контрольно-пропускные пункты на въезд, идентификационные разрешения на вход в особо охраняемые и секретные помещения. То есть, при такой системе есть определенный перечень лиц, которым разрешено войти в помещение и посторонние лица легально войти внутрь не смогут. Часто для такого контроля используют карты HID
3.
Резервное копирование данных. В конкретном методе главный смысл в том, что для того, чтобы в случае утечки информации не потерять ее полностью и иметь возможность организации функционировать необходимо хранить информацию не только непосредственно на компьютере, но и на внешних носителях или на сервере. В случае конфискации документации или других важных информатизированных данных организация сможет не приостанавливать работу и иметь доступ ко всем своим документом. Наиболее удобным является хранение информации в «облаке». С ее помощью у пользователя есть возможность в любое время и в любом месте
20

воспользоваться своими данными без фактического нахождения в помещении с автоматизированной системой.
4. Анти-DDoS. Здесь необходимо понимать, что самую полную защита от DDoS- атак могут обеспечить только разработчики программного обеспечения путем вшивания этой услуги непосредственно в ПО. Эта услуга самостоятельно распознает и блокирует все опасные операции, которые приходят извне. Самостоятельная защита от такого вида атак невозможна, так как пользователь понимает, что DDoS-атаки совершаются только после получения неблагоприятного события. Главное преимущество такой защиты в том, что все процессы в организации проходят беспрепятственно и без сбоев. Данная услуга будет работать вплоть до того момента пока пользователь не сменить программное обеспечение.
5. Шифрование данных электронной информации.
В данном случае для засекречивания передаваемой информации пользователям необходимо пользоваться программами-шифровалыцикаци, которые, в свою очередь, позволяет подтвердить личность и подлинность информации при передаче или хранении, которая передается по каналам связи от нелегального доступа и краже.
6. Аварийное восстановления данных. Необходимо всегда иметь план действий на случай потери данных или доступа к ним для того, чтобы избежать простоя производства или деятельности организации. Данный метод может обеспечить организации сокращение времени ожидания восстановления доступа к информации.
В соответствии с рисунком 2 наглядно прослеживается структура методов и принципов информационной безопасности.
/
/ Управление
Управление
/ зависимостями
угрозами
\
-И дентификация/
аутентификация
-Разграничение
доступ а
-К р и п т о гр а ф и ч еск а я \
защита
-Антивирусная защита
ИНФРАСТРУКТУРА БЕЗОПАСНОСТИ
Рисунок 2 - Инфраструктура информационной безопасности13
13 Понятия экономической и информационной безопасности // Открытая библиотека учебной
информации. - М., 2021. - С. 13-15.
21

Таким образом, защита информации должна работать бесперебойно, постоянно подстраиваясь под изменения систем, а также в комплексе и взаимосвязано друг с другом, чтобы захватить все направления возможных угроз. Для того, чтобы специалисту сделать максимально устойчивое и безопасное состояние организации на рынке, необходимо использовать все вышеперечисленные методы.
Специалист по компьютерной или информационной безопасности - это профессионал в области
IT-технологий, который обеспечивает целостность и конфиденциальность информации путем тестирования системы на предмет наличия уязвимостей, а также детально прорабатывая все выявленные проблемы с помощью защитных программ.
Для обеспечения информационной безопасности компаний и государства внутри организационной структуры создаются отдельные департаменты или комитеты по защите информации, где работают специалисты. Они, также, делятся на более узкие специальности, такие как14:
1. Пентестеры. Их еще называют «этичными» хакерами. Они на законных основаниях взламывают систему заказчика и таким образом ищут уязвимости, которые впоследствии устраняют совместно с разработчиками.
2. Специалисты по разработке. Они участвуют в процессе создания программ и приложений. Специалисты работают только с готовыми кодами и ищут в них ошибки и возможные каналы утечки информации.
3. Специалисты по сетям. Они занимаются поиском возможных и известных уязвимостей в оборудовании и сетевых системах. Проще говоря, они знают, как преступник может попасть на ваш компьютер с помощью Windows, Linux или других систем и установить необходимое программное обеспечение. Они могут как найти возможность взлома, так и создать систему, в которую будет сложно проникнуть.
1.3
Специфика организации информационной безопасности в органах
государственного управления
Сегодня важно отметить еще одну тенденцию как за рубежом, так и в России - разработку и внедрение концепций электронного правительства, основанных на
14 Mueller J. P. Security for Web Developers: Using javascript, HTML, and CSS / J. P. Mueller - O'Reilly
Media, 2015 - 3 8 4 p.
22

использовании информационных технологий при создании государственных источников информации и доступе к информации для граждан и пользователей о деятельности государства.
В Российской Федерации существует три основные базовые модели электронного правительства, которые делятся на:
1. Государство для граждан - это отношения, которые возникают между государственными и муниципальными образованиями и непосредственно гражданами.
2. Государство для бизнеса - это отношения, которые возникают между государственными и муниципальными образованиями и участниками ведения бизнеса в стране.
3. Государство для государства - это отношения, возникающие внутри государственного аппарата между различными ведомствами.
Г оворя о модели
«государство для граждан» основными действиями, направленными на гражданское общество, является оказание государственных услуг в электронном виде. Это может быть выдача какого-либо документа, получения справок, выплата гарантий и так далее. Основным порталом, предоставляющим такого вида услуги, является «Госуслуги», функционирующий на территории страны с 2009 года. По данным портала на 31 декабря 2019 года, количество зарегистрировавшихся на нем людей превысило 100 миллионов человек. Несомненно, использование интернет-портала по оказанию базовых государственных услуг в любое время и в любой точке земного шара очень удобно (чем и вызван спрос), однако, учитывая проблемы цифрового неравенства граждан, а также не соблюдение элементарных правил по соблюдению информационной безопасности, множество людей отказать использовать цифровизованную модель правительства.
В модели «государство для бизнеса» основной идеей является проведение закупок, получение доступа к открытым данным и участие в обсуждении проектов нормативно­
правовых актов. Закупки проводятся через специально для этого предназначенном официальном государственном сайте. Самым важным аспектом в данной модели является возможность получения доступа к открытым данным, так как таким способом граждане и бизнес могут не только убедиться в прозрачности деятельности власти, но и использовать их в своих законных целях и интересах. Таким образом, данная описываемая модель имеет полноценную инфраструктуру и развивается в правильном направлении.
Модель «государство для государства» включает в себя прежде всего внутренний ведомственный документооборот. Главная цель данной модели состоит в том, что при использовании специального программного обеспечения есть возможность
23

централизовано хранить информацию и передавать ее в другие ведомства посредством информационных технологий. Для решения возникающих проблем с перегрузкой каналов или периодическими кибер-атаками была создана Единая сеть передачи данных.
На сегодняшний день международные концепции электронного правительства так же разделены на 4 основные модели их построения: русская, азиатская, европейская и англо-американская модели.
Азиатская модель электронного правительства получила распространение в
Сингапуре и Ю жной Корее. Основной целью ее введения законодательство стран считает удовлетворение потребностей граждан в информационном виде в сферах культуры и образования. Также, она была создана для упрощения процедуру обучения и переквалификации. Данная система была признана Организацией Объединенный Наций самой удобной и эффективной по всему миру. Основная задача - это обеспечение государственными услугами через режим единого окна, с помощью которого максимально снижается потребность в прямом контакте между гражданином и государством, и все услуги можно получить в одном месте. Это было создано исключительно для удобства граждан, и данная разновидность электронного правительства успешно применяется. В Сингапуре был создан интернет-портал под названием «Электронный гражданин», по аналогии с которым впоследствии в России был создан портал «Госуслуги». В свою очередь, Ю жная Корея стала первой страной, которая ввела полный документооборот внутри страны, благодаря чему у них получается экономить более 1 миллиарда долларов ежегодно. Однако, самые ценные данные хранятся еще и в бумажном виде. Также, положительным решением для максимального удобства граждан стала установка терминалов по оказанию государственных услуг по городам в места наибольшего скопления людей (площади, остановки общественного транспорта и так далее).
Таким образом, азиатская модель успешно и на достойном уровне обеспечивает всю необходимую информацию при помощи внедрения системы электронного правительства в культурную сферу, сферу образования и здравоохранения. Также, данную систему интегрируют не только для компьютерного программного обеспечения, но и для мобильных устройств для наиболее простого контакта с субъектами, осуществляющих необходимые для гражданина услуги.
Европейскую модель электронного правительства применяется в подавляющем большинстве стран Центральной, Западной и Восточной Европы. Основная цель - это обеспечение граждан возможностью исполнять свой гражданский долг, голосуя в режиме онлайн, оказание помощи правительством в процессе уплаты налоговых отчислений и
24

оплаты штрафных санкций, а также предоставление информации о деятельности правительства в режиме онлайн. Отличительной особенностью модели является полный контроль и регулирование на законодательном уровне всех информационных потоков, происходящих на территории стран.
Также, особенность именно этого метода заключается в объединении всех стран и наций, входящий в их состав путем введение единой валюты и осуществления единой государственной политики для обеспечения равноправия. Однако, процесс получения услуг в странах Европы не такой простой как в азиатской модели, что и является главной проблемой, особенно среди молодежи. В начале
XXI века была введена система под названием «Электронная Европа».
Например, в Германии система «Электронная Европа» является катализатором деятельности по обеспечению модернизации государственного аппарата и протеканию всех процессов «государство для граждан». Это стало принципиально новой моделью обеспечения государственной власти, благодаря чему деятельность аппарата стала намного прозрачнее, а также система позвонила гражданам стать стратегическими партнерами государства и дала им возможность участвовать в процессах высказывания предложений при подготовке государственных решений.
Таким образом, европейская модель электронного правительства в большинстве своем связана на построении единства народов Европы. Она позволяет гражданам лично видеть и принимать участие в публичных дебатах, а также слушаниях по вопросам государственного устройства. Модель довольно успешно развивается, даже учитывая контроль государства за всеми потоками информации среди стран Европейского Союза.
Англо-американская модель электронного правительства применяется в таких странах как Канада, Великобритания и США. Основная цель модели - это открытость и прозрачность государства перед гражданами, а также внедрение упрощенной системы коммуникации между участниками бизнес-процессов и гражданами относительно государственного аппарата. Отличительными чертами англо-американской модели являются полная реструктуризация и реформа всей существующей модели государственного управления, использование направление деятельность на внешнюю политику и общение сотрудников государственных организаций с гражданами непосредственно через созданные порталы и системы, а не лично. Однако, в США все еще сохраняется довольно низкий уровень развития электронного правительства в сравнении с
Канадой и Великобританией. Для решения этой проблемы был создан документ под названием «Стратегия электронного правительства», в котором заложен мотив предоставления гражданам США наиболее понятных и эффективных процедур получения государственных услуг.
25

В 1994 году Канада стала одной из первых стран мира, которая предприняла меры по созданию открытого доступа к информации со стороны государственных органов, в результате чего был создан сайт правительства, а также различные программные обеспечения, выполняющие полный документооборот внутри страны.
Таким образом, англо-американская модель имеет свои недостатки в виде низкого уровня развития электронного правительство в США. Однако, благодаря созданной системе странам удалось значительно снизить расходы на обеспечения государственного управления на местах.
Российская же модель электронного правительства применяется и действует только на территории Российской Федерации. Основная преследуемая цель создания была в совершенствовании исходного процесса обеспечения коммуникации между государственными органами и населением, а также повешения уровня качества предоставляемых услуг и доступности для населения. Переход к системе электронного правительства начался еще в 2002 году после принятия программы «Электронная Россия».
С ее помощью был создан начальный нормативно-методический вариант для создания и внедрения системы электронного правительства. После этого была создана программа
«Информационное общество», которая была прописана до 2020 года и должна была усовершенствовать имеющуюся нормативную базу. В Международном индексе развития электронного правительства, разработанного Организацией Объединенных Наций за 2020 года Россия заняла 36 место, однако в предыдущем периоде была на 4 позиции выше. На снижения уровня повлияла недостаточная финансовая поддержка мероприятий, которые были направлены на совершенствование информационно-технического обеспечения системы электронного правительства.
Опыт внедрения моделей электронного правительства в развитых странах показывает, что гражданам предоставляется реальная возможность вести диалог с властями, влиять на важные правительственные решения, представлять собственные инициативы, получать подробную информацию о работе государственных органов и осуществлять контроль над их деятельностью.
Создание электронного правительства с разными моделями подразумевает решение общих проблем, возникающих в обществе:
1) организация электронного документооборота в правительстве;
2) максимальный перевод отношений между государством и гражданским обществом в электронный вид;
3) использование Интернета для организации интерактивного общения власти и населения.
26

Практическая реализация поставленных государством задач позволит не только сразу получить информацию о мнении населения о наиболее важных решениях правительства, но и эффективно реализовать идею непосредственного участия и активизации граждан, гражданская позиция в решении важнейших проблем современного мира.
Таким образом, большинство зарубежных стран начали переход к информатизированным системам электронного правительства еще в 20 веке и на данный момент добились значительных успехов в качестве и доступности предоставляемой информации как резидентам, так и нерезидентам страны. Россия, учитывая успешный зарубежный опыт применение системы, также находится на стадии совершенствования имеющихся порталов и ресурсов для улучшения и ускорения предоставляемой информации.
27