10.2. Организация системы защиты информации в ит предприятий

10.2. Организация системы защиты информации в ит предприятий

В основе организации системы защиты информации в ИТ лежит, прежде всего, нормативно-правовое законодательство, которое позволяет выполнять правовое регулирование в области информационной безопасности.

Вопрос о правовом обеспечении информатизации и защите информации в нашей стране был впервые поставлен в 70-х гг. ХХ в. в связи с разработкой и применением АСУ различных уровней. Однако нормативная основа в ту пору не вышла за рамки ведомственных актов республиканского уровня. По существу, к началу 90-х гг. законодательное регулирование процессов информатизации нельзя было считать удовлетворительным. Только 1991 г. можно отметить как начало активной деятельности в этом направлении. В 1992 г. была утверждена «Программа подготовки законодательного и нормативного обеспечения работ в области информатизации».

В настоящее время нормативно-правовая база России в области информатизации и защиты информации включает в себя:

• конституционное законодательство, составные элементы которого содержат нормы, касающиеся вопросов информатизации;

• общие основные законы РФ (о собственности, правах граждан и др.), которые также включают нормы по вопросам информатизации;

• законы по организации управления, касающиеся отдельных структур хозяйства, экономики, системы государственных органов и устанавливающие нормы по вопросам информационного обеспечения их деятельности;

• специальное законодательство, непосредственно и полностью относящееся к конкретным областям информационных отношений и являющееся основой правового обеспечения информатизации и защиты информации;

• подзаконные нормативные акты в области информатизации;

• правоохранительное законодательство РФ, содержащее нормы ответственности за правонарушения в области информатизации.

Из приведенного перечня правовых средств важную роль играет специальное законодательство в области защиты информации, которое формируется в нашей стране с 1991 г. К основным документам, регламентирующим информатизацию и информационную безопасность РФ можно отнести: Государственный стандарт РФ «Аспекты безопасности. Правила включения в стандарты» (ГОСТ Р 51898-2002), а также Национальный стандарт РФ «Информационная технология. Практические правила управления информационной безопасностью» (ГОСТ Р ИСО/МЭК 17799–2005), Национальный стандарт РФ «Защита информации. Основные термины и определения» (ГОСТ Р 50922-2006), Национальный стандарт РФ «Методы и средства обеспечения безопасности. Часть 1. Концепция и модели менеджмента безопасности информационных и телекоммуникационных технологий» (ГОСТ Р ИСО/МЭК 13335-1 – 2006), Рекомендации по стандартизации «Информационные технологии. Основные термины и определения в области технической защиты информации» (Р 50.1.053-2005), а также Федеральный закон РФ от 20 февраля 1995 г. № 24-ФЗ (с изменениями от 10 января 2003 г.) «Об информации, информатизации и защите информации» и Федеральный закон РФ от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и др.

Разработанные и принятые законы и стандарты, также положены в основу руководящих документов Федеральной службы по техническому и экспортному контролю (ФСТЭК России) и Службы специальной связи и информации при Федеральной службе охраны РФ (Спецсвязь России), организованной в 2003 г. на базе ФАПСИ (Федерального агентства правительственной связи и информации при Президенте РФ).

Таким образом, за основу организации системы защиты в ИТ берутся основные положения действующих нормативно-правовых документов, использование которых позволяет разработать корпоративные правила и политику безопасности в информационных технологиях.

Система зашиты информации в ИТ – совокупность мер и способов защиты циркулирующей в ИТ информации и поддерживающих ее подсистем от случайных или преднамеренных воздействий естественного или искусственного характера, влекущих за собой нанесение ущерба владельцам или пользователям информации и поддерживающих подсистем.

Основная цель организации защиты информации в ИТ – предотвращение ущерба предприятию, наносимого в результате хищения, разглашения, утечки, утраты или искажения информации, циркулирующей в структурных

подразделениях.

К другим целям системы защиты информации относятся:

• обеспечение сохранности сведений, составляющих государственную тайну и сведений конфиденциального характера;

• эффективное управление, обеспечение сохранности и защита информационных ресурсов предприятия;

• обеспечение правового режима использования документов, информационных массивов, БД, ППП, обеспечение полноты, целостности, достоверности информации в системах обработки.

К основным задачам системы защиты информации ИТ относятся:

• оптимальное с экономической точки зрения отнесение определенной категории информации, циркулирующей в ИТ, к категории ограниченного доступа;

• создание необходимых условий для надежного и безопасного функционирования предприятия, а также разработка механизмов оперативного реагирования на угрозы объектам обеспечения ИБ;

• внедрение защищенных систем обработки, хранения и передачи информации, а также безопасных ИТ для обеспечения деятельности структурных подразделений предприятия;

• предотвращение утечки информации по техническим каналам;

• предотвращение несанкционированного уничтожения, искажения, копирования, блокирования информации в ИТ;

• разработка и принятие в пределах компетенции организационно распорядительных документов по ИБ предприятия.

В целом разработка политики безопасности ориентирована на построение модели сохранения информационного ресурса предприятия путем естественного и управляющего воздействий на существующие риски угроз для их минимизации (см. рис. 10.4).

Рисунок 10.4 – Модель информационной безопасности ИТ

Представленная на рис. 10.4 модель, включает в себя совокупность объективных внешних и внутренних факторов и их влияние на состояние информационной безопасности в ИТ и на сохранность информационных ресурсов.

Разнообразная природа угроз информационной безопасности, архитектуры и механизмов функционирования ИТ определяют ряд общих принципов обеспечения информационной безопасности, к которым следует отнести: разумной достаточности, целенаправленности, системности, комплексности, непрерывности, управляемости, сочетания унификации и оригинальности, непрерывности.

Принцип разумной достаточности. Внедрение в архитектуру, в алгоритмы и технологии функционирования ИТ защитных механизмов, функций и процедур объективно вызывает дополнительные затраты при создании и эксплуатации, снижает функциональные возможности ИТ и параметры ее эффективности, вызывает неудобства в работе пользователям, налагает на них дополнительные нагрузки и требования – поэтому защита должна быть разумно достаточной – на минимально необходимом уровне.

Принцип целенаправленности заключается в том, что применяемые меры по устранению, нейтрализации ( либо обеспечению снижения потенциального ущерба) должны быть направлены против перечня угроз (опасностей), характерных для конкретной ИТ в конкретных условиях ее создания и эксплуатации.

Принцип системности. Выбор и реализация защитных механизмов должны производиться с учетом организационно-технологических факторов, состоящих из взаимосвязанных, составляющих единое целое функциональных и обеспечивающих подсистем.

Принцип комплексности. При разработке системы безопасности необходимо использовать различные защитные механизмы, наиболее целесообразные в конкретных условиях, и на всех стадиях жизненного цикла ИТ.

Принцип непрерывности. Защитные механизмы должны функционировать в любых ситуациях в т.ч. и внештатных, обеспечивая как конфиденциальность, целостность, так и сохранность (правомерную доступность) ИТ.

Принцип управляемости. Информационная безопасности должна строиться как система управления, включающая объект управления (угрозы безопасности и процедуры функционирования ИТ); субъект управления (средства и механизмы защиты); среда функционирования; обратная связь (контроль эффективности (результативности) функционирования); прямая связь (снижение риска от угроз безопасности до требуемого (приемлемого) уровня), (см. рис. 10.5).

Рисунок 10.5 – Управляемость информационной безопасности (усечен)

Принцип сочетания унификации и оригинальности. С одной стороны с учетом опыта создания и применения ИТ, опыта обеспечения информационной безопасности должны применяться максимально проверенные, стандартизированные и унифицированные архитектурные, программно-алгоритмические, организационно-технологические решения. С другой стороны, с учетом динамики развития ИТ, расширения средств угроз безопасности, должны разрабатываться и внедряться новые решения, обеспечивающие безопасность ИТ в новых условиях угроз, с минимизацией затрат и издержек, повышением эффективности и параметров функционирования ИТ, снижением требований к пользователям.

Принцип непрерывности. Система зашиты информации должна действовать непрерывно, обеспечивая безопасность защищаемых сведений, циркулирующих в ИТ предприятия, независимо от методов и средств, используемых при их обработке, хранении или передаче. Комплекс защитных мер должен быть направлен как на предупреждение угроз безопасности информации, так и на обеспечение возможности выявления и пресечения противоправных устремлений в отношении охраняемых сведений.

Достижение поставленных целей и решение задач обеспечения комплексной защиты информации на всех участках функционирования ИТ на крупных предприятиях должно осуществляться специально созданной организационной структурой, функции которой на первых этапах развития информационных технологий, как правило, возлагались на специалистов ИТ-подразделений. По мере развития предприятия и роста стоимости ее информационных активов организуется и совершенствуется служба информационной безопасности, структура и состав которой зависит от финансового состояния предприятия, т.к. содержание подобных служб требует немалых финансовых затрат.

Возглавлять данную службу должен начальник службы информационной безопасности – CISO (Chief Information Security Officer), который отвечает, главным образом, за разработку и реализацию политики безопасности компании, адекватной бизнес-процессам предприятия.

Для более мелких предприятий – помощник или заместитель начальника службы безопасности фирмы по информационной безопасности.

Руководитель службы информационной безопасности должен быть профессионально подготовленным лицом, непосредственно ответственным за защиту информации и подчиняющимся руководству предприятия.

В службе безопасности должны быть должностные лица, отвечающие первоначально за отдельные направления защиты – BISO (Business Information Security Officer) – менеджеры службы информационной безопасности, которые занимаются практической реализацией политики ИБ на уровне подразделения, или по направлениям реализации ИБ. Например:

• главный специалист (менеджер, BISO) по обеспечению информационной безопасности (ОИБ) в выделенных помещениях предприятия;

• главный специалист (менеджер, BISO) по обеспечению информационной безопасности на объектах вычислительной техники предприятия;

• главный специалист (менеджер, BISO) по обеспечению безопасности связи.

Кроме того, в каждом выделенном помещении должны быть назначены ответственные по обеспечению безопасности информации. Такие же ответственные назначаются на каждый объект средств вычислительной техники и за обеспечение безопасности каждого вида связи (телефонной, телеграфной, факсимильной при передаче данных). Таким образом, у начальника службы информационной безопасности появляется структура, которую можно обучить и организовать ее эффективное функционирование по обеспечению безопасности информации в целом на предприятии (см. рис. 10.6).

Рисунок 10.6 – Структура службы информационной безопасности

Построение системы обеспечения информационной безопасности в ИТ и ее функционирование должны осуществляться в соответствии со следующими основными принципами – 1) законность; 2) системность; 3) комплексность; 4) непрерывность; 5) преемственность и развитие; 6) экономическая целесообразность; 7) персональная ответственность; 8) разделение и минимизация полномочий; 9) «прозрачность» механизмов защиты; 10) обязательность контроля.

1. Законность предполагает осуществление защитных мероприятий и разработку системы безопасности информации в соответствии с действующим законодательством в области информации, информатизации и защиты информации и других нормативных актов по безопасности информации. Пользователи и обслуживающий персонал ИТ должны знать об ответственности за правонарушения в области информационных технологий.

2. Системность означает, что при создании системы защиты должны учитываться все слабые и наиболее уязвимые места ИТ, а также характер, возможные объекты и направления атак на информационную технологию со стороны нарушителей, пути проникновения в распределенные системы и несанкционированный доступ к информации, а также возможности появления принципиально новых путей реализации угроз безопасности.

3. Комплексность предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все существенные (значимые) каналы реализации угроз и не содержащей слабых мест на стыках отдельных ее компонентов.

4. Непрерывность означает принятие соответствующих мер на всех этапах жизненного цикла ИТ, начиная со стадии проектирования и на всех стадиях эксплуатации. При этом перерывы в работе средств защиты могут быть использованы злоумышленниками для анализа применяемых методов и средств защиты, для внедрения специальных программных и аппаратных «закладок» и других средств преодоления системы защиты после восстановления ее функционирования.

5. Преемственность и развитие предполагают постоянное совершенствование мер и средств защиты информации на основе преемственности организационных и технических решений, кадрового состава, анализа функционирования ИТ и ее системы защиты с учетом изменений в методах и средствах перехвата информации, нормативных требований по защите, достигнутого отечественного и зарубежного опыта в этой области.

6. Экономическая целесообразность означает, что уровень затрат на обеспечение безопасности информации и ценности информационных ресурсов должен соответствовать величине возможного ущерба от их разглашения, утраты, утечки, уничтожения и искажения (за исключением информации, содержащей сведения, составляющие государственную тайну).

7. Персональная ответственность предполагает возложение ответственности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий. В соответствии с этим принципом распределение прав и обязанностей сотрудников строится таким образом, чтобы в случае любого нарушения круг виновников был четко известен или сведен к минимуму.

8. Разделение и минимизация полномочий означает предоставление пользователям минимальных прав доступа в соответствии с производственной необходимостью. Доступ к информации должен предоставляться только в том случае и объеме, в каком это необходимо сотруднику для выполнения его должностных обязанностей.

9. «Прозрачность» механизмов защиты означает, что защита не должна обеспечиваться только за счет секретности структурной организации и алгоритмов функционирования ее подсистем. Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Однако, это не означает, что информация о конкретной системе защиты может быть общедоступна.

10. Обязательность контроля предполагает обязательность и своевременность выявления и пресечения попыток нарушения установленных правил обеспечения информационной безопасности на основе используемых систем и средств защиты информации при совершенствовании критериев и методов оценки эффективности этих систем и средств. Контроль должен осуществляться на основе применения средств оперативного контроля и регистрации и должен охватывать как несанкционированные, так и санкционированные действия пользователей.

Для достижения основной цели защиты информации и системы ее обработки система безопасности ИТ должна обеспечивать решение следующих задач, представленных в табл. 10.6.

Таблица 10.6 – Задачи обеспечения защиты информации в ИТ

При решении задач информационной безопасности на предприятии учитывается, что ИТ обладает следующими основными признаками:

• Наличие информации различной степени конфиденциальности.

• Необходимость криптографической защиты информации различной степени конфиденциальности при передаче данных между различными подразделениями или уровнями управления.

• Иерархичность полномочий субъектов доступа и программ к АРМ специалистов, каналам связи, информационным ресурсам, необходимость оперативного изменения этих полномочий.

• Организация обработки финансовой информации в интерактивном (диалоговом) режиме, в режиме реального времени и разделения времени между пользователями, при котором процессорное время предоставляется различным задачам последовательно.

• Обязательное управление потоками информации как в ЛВС, так и при передаче данных на большие расстояния.

• Необходимость регистрации и учета попыток несанкционированного доступа, событий в системе и документов, выводимых на печать.

• Обязательное обеспечение целостности программного обеспечения и информации в ИТ.

• Наличие средств восстановления системы защиты информации.

• Обязательный учет машинных носителей информации;

• Учет возможности проникновения на охраняемый объект представителей информаторов, связанных с преступными группировками.

• Наличие физической охраны средств вычислительной техники и машинных носителей информации.

Организация и внедрение системы информационной безопасности в ИТ включает следующие основные организационные комплексные мероприятия:

10

1. Создание организационно-правовой базы безопасности информации (нормативные документы, работа с персоналом, делопроизводство). Организационно-правовые мероприятия предусматривают создание и поддержание правовой базы безопасности информации и разработку (введение в действие) нормативных и организационно-распорядительных документов, к которым относятся соответствующие положения, приказы и распоряжения, инструкции и функциональные обязанности сотрудников предприятия.

Деятельность службы информационной безопасности начинается с приказа о создании службы и назначении руководителя. Приказами назначаются и должностные лица (с учетом конкретных особенностей предприятия), для которых разрабатываются должностные инструкции. Сотрудники службы безопасности разрабатывают положение о службе и все необходимые нормативные документы, утверждаемые в установленном порядке. Руководством службы, с привлечением других должностных лиц предприятия, определяется перечень сведений, относящихся к коммерческой тайне предприятия, и утверждается приказом руководителя. Утвержденный перечень, с указанием юридической ответственности за неправомерные действия с конфиденциальной информацией, доводится до сотрудников предприятия, с которыми заключаются договорные отношения о неразглашении коммерческой тайны.

2. Спецобследование и аттестация объектов предприятия, где обрабатывается конфиденциальная информация. Разрабатывается и утверждается перечень объектов и выполняется спецобследование и аттестация выделенных помещений и объектов вычислительной техники. Объекты, прошедшие спецобследование и аттестацию, должны иметь соответственно акты спецобследования и аттестаты соответствия. При этом необходимо учесть, что ПК на объектах должны пройти специсследование и спецпроверку и иметь соответственно акты специсследования и протоколы спецпроверки. Также следует иметь в виду, что спецобследование объектов можно проводить собственными силами предприятия (т.е. созданной приказом руководителя комиссией по проведению спецобследования, при наличии подготовленных специалистов), а специсследование и спецпроверку ПК и аттестацию объектов проводят только фирмы (организации), имеющие лицензии на право деятельности в этой области. Спецобследование и аттестация объектов проводится периодически.

2. Выполнение организационно-технических мероприятий по защите информации ограниченного распространения от утечки по техническим каналам предусматривает:

• пассивную защиту – комплекс мер и соответствующих технических средств, ослабляющих утечку речевой и сигнальной информации;

• противодействие (активную защиту) – комплекс мер и соответствующих технических средств, создающих помехи при съеме информации;

• поиск (обнаружение) – комплекс мер и соответствующих технических средств, позволяющих выявлять каналы утечки информации.

3. Физическая охрана объектов информатизации (компонентов информационных технологий) включает:

• организацию системы охранно-пропускного режима и системы контроля допуска на территорию предприятия;

• введение дополнительных ограничений по доступу в помещения, предназначенные для хранения закрытой информации (кодовые, электронные замки и электронные ключи, электронные карты допуска и т.д.);

• визуальный и технический контроль контролируемой зоны объекта защиты; • применение систем охранной и пожарной сигнализации и т.д.

4. Организация мероприятий по контролю функционирования средств и систем защиты информации ограниченного доступа после случайных или преднамеренных несанкционированных воздействий предусматривает:

• разграничение допуска к информации ограниченного распространения;

• разграничение допуска к программно-аппаратным средствам ИТ;

• ведение учета ознакомления сотрудников с информационными ресурсами ограниченного распространения;

• включение в функциональные обязанности сотрудников обязательства о неразглашении и сохранности сведений ограниченного распространения;

• организация уничтожения информационных отходов (бумажных, машинных носителей информации и т.д.);

• оборудование служебных помещений сейфами, шкафами для хранения бумажных и машинных носителей информации и т.д.

5. Организация мероприятий технического контроля включает:

• контроль за проведением технического обслуживания и ремонта вычислительной техники;

• проверки поступающего оборудования, предназначенного для обработки закрытой информации, на наличие специально внедренных закладных устройств;

• инструментальный контроль технических средств на наличие побочных электромагнитные излучения и наводок;

• оборудование систем информатизации устройствами защиты от сбоев электропитания и помех в линиях связи;

• защита выделенных помещений при проведении закрытых (секретных) работ (переговоров), создание помех для затруднения съема информации;

• постоянное обновление технических и программных средств защиты от несанкционированного доступа к информационным ресурсам.

6. Организационные мероприятия по работе с персоналом включают три основных этапа работы с сотрудниками, допущенными к конфиденциальной информации: предварительный (в период предшествующий приему на работу); текущий (в период работы сотрудника); заключительный (во время увольнения сотрудника).

Предварительный этап. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, необходимо соблюсти следующую технологию приема.

На основании должностной инструкции и особенностей деятельности разрабатываются требования к кандидату на должность. Они включают не только формальные требования – пол, возраст, образование, опыт работы, но и ряд морально-психологических качеств, которыми должен обладать кандидат. Это позволяет уточнить – какой работник необходим фирме, а самому кандидату – сопоставить собственные качества с требующимися.

Затем производится подбор кандидатов на вакантную должность. Методы подбора кандидатом могут быть разнообразными. Предпочтение следует отдавать тем методам, которые минимизируют возможность проникновения недобросовестных людей, либо представляющих интересы конкурентов или криминальных структур. Для более полного ознакомления с личностью кандидата можно воспользоваться услугами органов внутренних дел, которые предоставляют сведения о наличии (отсутствии) судимости кандидата и о лицах, находящихся в розыске

После ознакомления с документами кандидата, с ним производится собеседование работника кадровой службы предприятия. Кандидат заполняет анкету, отвечает на вопросы, в том числе вопросы профессиональных и психологических тестов. Психологический отбор позволяет не только выяснить морально-этические качества кандидата, его слабости, устойчивость психики, но и его возможные преступные наклонности, умение хранить секреты.

В случае успешного прохождения кандидатом проверки и признания его соответствующим должности, осуществляется заключение (подписание) двух документов:

• трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;

• договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы на предприятии, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство). Непосредственная деятельность вновь принятого работника, в целях проверки его соответствия занимаемой должности и соблюдения правил работы с конфиденциальной информацией, должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.

Текущий этап. В процессе постоянной работы необходимо определение порядка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрен их должностными обязанностями и требуется для работы. В связи с этим каждая должность должна предусматривать право получения определенного объема конфиденциальной информации, выход за который будет считаться нарушением обязанностей, и представлять определенную угрозу безопасности фирмы. Размер этого перечня определяется руководителем фирмы, либо специальной комиссией. В соответствии с ним каждый работник получает допуск к конфиденциальной информации определенного уровня.

Заключительный этап – увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности предприятия. Уволившийся работник, не имея обязанностей перед предприятием, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.

Таким образом, организация создания системы защиты информации на предприятии включает в себя две взаимодополняющих направления:

1. Синтез – разработка системы защиты информации.

2. Анализ – оценка разработанной системы защиты информации путем анализа ее технических характеристик с целью установления, удовлетворяет ли система защиты информации комплексу требований к таким системам.

Второе направление в настоящее время решается практически исключительно экспертным путем с помощью сертификации средств защиты информации и аттестации системы защиты информации в процессе ее внедрения.

В настоящее время многие крупные компании при приеме сотрудников на работу используют детектор лжи, или, так называемый, «полиграф» – прибор для объективной регистрации психофизиологических реакций, сопровождающих изменения в нервной системе, которые возникают во время любого психического акта или состояния. Как утверждают полиграфологи, при помощи полиграфа можно выяснить практически любые вопросы в зависимости от поставленных целей и биографии опрашиваемого. Это объясняется тем, что во время протекания психического процесса, происходит множество явлений, которые можно зарегистрировать с помощью специальных датчиков и приборов, прикрепленных к телу человека.

Первым детектором лжи был плетизмограф – прибор для измерения кровенаполнения сосудов и изменений пульса. Впервые его использовал в своих экспериментах в 1877 году итальянский физиолог А. Моссо. Позже, в 1895 году, плетизмограф был использован итальянским криминалистом Ч. Ломброзо при расследовании преступлений. В 20-х гг. ХХ в. офицер калифорнийской полиции Дж. Ларсен разработал первый портативный полиграф. Аппарат одновременно регистрировал кровяное давление, пульс и дыхание. С его помощью проводились проверки лиц, подозревавшихся в уголовных преступлениях, разыскивались тела жертв и т.д. Решающую роль в развитии метода детекции лжи сыграл ученик Ларсена Леонард Килер. Он сконструировал первый полиграф – детектор лжи, специально предназначенный для выявления у человека скрываемой информации. Килер основал первую фирму по серийному изготовлению полиграфов и школу по подготовки полиграфологов. Ему также принадлежит приоритет внедрения полиграфа в систему отбора кадров и профилактику правонарушений в сфере бизнеса. Именно с 20-30-х годов прошлого века начинается активное применение полиграфов в криминалистике, главным образом в США.

В практической деятельности на предприятиях организация системы защиты информации включает следующие технические направления:

1. Защита информации от несанкционированного доступа и модификации.

2. Защита информации в каналах связи.

3. Защита юридической значимости электронных документов.

4. Защита конфиденциальной информации от утечки по каналам побочных электромагнитных излучений и наводок.

5. Защита от несанкционированного копирования и распространения программ и конфиденциальной информации.

6. Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ и файлов.

Для каждого направления определены основные цели и задачи:

1. Защита конфиденциальной информации от несанкционированного доступа и модификации призвана обеспечить решение одной из наиболее важных задач – защиту хранимой и обрабатываемой в вычислительной технике информации предприятия от всевозможных злоумышленных покушений, которые могут нанести существенный экономический и другой материальный и нематериальный ущерб. Основной целью этого вида защиты является обеспечение конфиденциальности, целостности и доступности информации.

С точки зрения защиты информации, несанкционированный доступ может иметь следующие последствия: утечка конфиденциальной обрабатываемой информации, а также ее искажение или разрушение в результате умышленного нарушения работоспособности ИТ.

В части технической реализации защита от несанкционированного доступа на предприятии сводится к задаче разграничения функциональных полномочий и доступа к данным с целью не только использования информационных ресурсов, но и их модификации.

2. Защита информации в каналах связи направлена на предотвращение возможности несанкционированного доступа к конфиденциальной информации, циркулирующей по каналам связи различных видов между различными уровнями управления предприятия или внешними организациями. Данный вид защиты преследует достижение тех же целей: обеспечение конфиденциальности и целостности информации. Наиболее эффективным средством защиты информации в неконтролируемых каналах связи является применение криптографии.

Криптография (от греч. κρυπτός – скрытый и γράφω – пишу) – наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним) и аутентичности (целостности и подлинности авторства, а также невозможности отказа от авторства) информации.

В основе криптографии лежат различные методы шифрования передаваемых сообщений. На практике в условиях функционирования ИТ не существует единого шифра, подходящего для всех случаев передачи конфиденциальной информации. Выбор способа и метода шифрования зависит от особенностей информации, ее ценности и возможностей владельцев по защите своих данных.

3. Защита юридической значимости электронных документов оказывается необходимой при использовании систем и сетей для обработки, хранения и передачи информационных объектов, содержащих в себе приказы, платежные поручения и другие распорядительные, договорные, финансовые документы. Их общая особенность заключается в том, что в случае возникновения споров (в том числе и судебных), должна быть обеспечена возможность доказательства истинности факта того, что автор действительно фиксировал акт своего волеизъявления в отчуждаемом электронном документе. Для решения данной проблемы используются современные криптографические методы проверки подлинности информационных объектов, связанные с применением электронно-цифровых подписей. На практике вопросы защиты значимости электронных документов решаются совместно с вопросами защиты ИТ.

4. Защита информации от утечки по каналам побочных электромагнитных излучений и наводок является важным аспектом защиты конфиденциальной и секретной информации в вычислительной технике от несанкционированного доступа со стороны посторонних лиц. Данный вид защиты направлен на предотвращение возможности утечки информативных электромагнитных сигналов за пределы охраняемой территории предприятия. При этом предполагается, что внутри охраняемой территории применяются эффективные режимные меры, исключающие возможность бесконтрольного использования специальной аппаратуры перехвата, регистрации и отображения электромагнитных сигналов. Для защиты от побочных электромагнитных излучений и наводок широко применяется экранирование помещений, предназначенных для размещения средств вычислительной техники, а также технические меры, позволяющие снизить интенсивность информативных излучений самого оборудования ПК и каналов связи.

В некоторых ответственных случаях может быть необходима дополнительная проверка вычислительной техники на предмет возможного выявления специальных закладных устройств экономического шпионажа, которые могут быть внедрены туда с целью регистрации или записи информативных излучений ПК, а также речевых и других несущих уязвимую информацию сигналов.

5. Защита от несанкционированного копирования и распространения программ и ценной компьютерной информации является самостоятельным видом защиты прав, ориентированных на проблему охраны интеллектуальной собственности, воплощенной в виде программ и ценных баз данных. Данная защита обычно осуществляется с помощью специальных программных средств, подвергающих защищаемые программы и БД предварительной обработке (вставка парольной защиты, проверок по обращениям к устройствам хранения ключа и ключевым дискетам, блокировка отладочных прерываний, проверка рабочего ПК по его уникальным характеристикам и т.д.), которая приводит исполнимый код защищаемой программы и базы данных в состояние, препятствующее его выполнению на «чужих» ПК.

Общим свойством средств защиты программ и баз данных на предприятиях от несанкционированного копирования является ограниченная стойкость такой защиты, т.к. в конечном случае исполнимый код программы поступает на выполнение в центральный процессор в открытом виде и может быть прослежен с помощью аппаратных отладчиков. Однако, это обстоятельство не снижает потребительских свойств средств защиты до минимума, т.к. основной целью их применения являются в максимальной степени затруднить, хотя бы временно, возможность несанкционированного копирования конфиденциальной информации.

6. Защита информации от компьютерных вирусов и других опасных воздействий по каналам распространения программ и файлов. ИТ включает в себя сотни рабочих станций, десятки серверов, активное и пассивное телекоммуникационное оборудование и имеет сложную структуру. Стоимость обслуживания ИТ будет постоянно расти с увеличением количества подключенных рабочих станций. С ростом количества элементов сети ИТ растет и вероятность возможности ее заражения компьютерными вирусами. Поэтому, если не предпринимать адекватных мер по организации антивирусной защиты, стоимость ликвидации последствий вирусных воздействий в таких сетях может быть очень велика (См. «Защита информационных технологий от компьютерных вирусов»).

Подсистема антивирусной защиты должна обеспечивать выполнение следующих функций:

• централизованное управление сканированием, удалением вирусов и протоколированием вирусной активности на АРМ;

• возможность управления несколькими серверами с одной консоли управления (под консолью здесь понимается компонент ОС, который позволяет системным администраторам с помощью гибкого интерфейса конфигурировать и отслеживать работу системы);

• централизованную автоматическую инсталляцию клиентского программного обеспечения на АРМ пользователей;

• централизованное автоматическое обновление вирусных сигнатур на АРМ пользователей;

• возможность обнаружения и удаления вирусов в режиме реального времени при работе с информационными ресурсами серверов;

• возможность выявления вирусной активности в режиме реального времени при осуществлении связи с сетями общего пользования;

• ведение журналов вирусной активности в ИТ;

• автоматическое уведомление администратора по электронной почте о вирусной активности в ИТ;

• возможность объединения зарегистрированных пользователей в антивирусные группы с возможностью управления группами АРМ как одним доменом;

• взаимодействие с межсетевыми экранами и т.д.