Комплексная безопасность объектов связи, роль и место информационной безопасности в ее обеспечении
3.1
Комплексная безопасность объектов связи, роль и место информационной безопасности в ее обеспечении
Содержание
Введение ........................................................................................................................... |
3.3 |
1.Основные понятия и определения из области информационной безопасности 3.4
2. |
Типичные проблемы обеспечения информационной безопасности ................... |
3.5 |
3. |
Основные направления обеспечения информационной безопасности .............. |
3.6 |
Заключение ...................................................................................................................... |
3.8 |
|
3.2
Комплексная безопасность объектов связи, роль и место информационной безопасности в ее обеспечении
Введение
Концентрация больших объемов обобщенной и систематизированной информации в автоматизированных системах обработки информации (АСОИ) предприятий привели к увеличению вероятности утечки секретных
иконфиденциальных сведений, а значит и к необходимости принятия мер по обеспечению безопасности ин формации.
Анализ состояния дел в области информационной безопасности показывает, что к настоящему времени в ведущих странах мира сложилась достаточно четко очерченная система концептуальных взглядов на обеспе чение информационной безопасности государства в целом и его организаций и предприятий в отдельности. Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не умень шаются, но имеют достаточно устойчивую тенденцию к росту. Парадоксально? Пожалуй, нет. Дело в том, что информационные технологии, которые внедряются на предприятиях, бурно развиваются, доставляя их облада телям новые заботы ввиду появления новых точек вероятных атак. Одновременно совершенствуются средства
испособы несанкционированного доступа к информации, ее искажения, уничтожения или внедрения ложной. В связи с этим появляется необходимость в постоянном совершенствовании способов и средств защиты инфор мации. Причем эта задача должна решаться в темпе, опережающем развитие средств нападения.
Надо сказать, что подобная терминология (атака, защита, нападение) связана с понятием “информационная война”. Этот термин впервые появился в 1992 году в тексте Директивы МО США TS 3600.1 “Информационная война”. Программа создания системы планирования информационной войны включена в перечень приори тетных программ НИОКР Пентагона. По данным Федеральной Комиссии по вопросам оборонных научных ис следований США более 25 государств проводят разработку средств и методов ведения информационной вой ны. В общем случае концепции “информационной войны” предусматривают получение доступа к нацио нальным информационным ресурсам, а также нарушение нормального функционирования информационных систем других государств. Основные положения концепции “информационной войны” МО США проверило в ходе боевых действий на среднем востоке.
Однако и в гражданской жизни информация становится исключительно ценным товаром. В связи с этим пред приятиям приходится разрабатывать стратегию и тактику оборонительных информационных действий. В про тивном случае у них останется мало шансов выжить. Так, по оценкам специалистов в области информацион ной безопасности следует, что если фирма (организация) допускает утечку 20 и более процентов важной информации, то такая фирма (организация) в 60 случаях из 100 банкротится.
Поэтому экономически развитые страны в настоящее время тратят большие деньги на обеспечение безопасно сти, в том числе и информационной. Так, например, на содержание службы безопасности эти страны сегодня тратят в среднем до 25% годовой прибыли в год.
Основными догматами оборонительных информационных боевых действий являются защита, обнаружение
иреагирование, а способность противостоять нападению подразумевает интеграцию всех средств защиты, обнаружения и реагирования.
Мы не будем вдаваться в подробное рассмотрение основных составляющих понятия “информационная вой на” – это дело военных специалистов. Однако необходимо отметить, что на уровне отдельного предприятия в значительной мере реализуются основные положения концепции ведения информационного противоборства. И в этом смысле читателя не должно удивлять использование и соответствующая интерпретация таких тер минов, как разведка и контрразведка, специальные операции и сбор информации о системе и ряд других.
Сегодня, когда Россия встала на путь цивилизованного решения проблем безопасности государства, большин ство руководителей предприятий и организаций принимают меры по «охране и обороне» важной для них ин формации. Однако практика показывает, что эти действия не всегда носят системный характер, направлены на ликвидацию только отдельных угроз, оставляя бреши в обороне.
Каковы причины такого положения дел?
На этот вопрос помогают ответить статистические данные компаний, занимающихся аналитическими оцен ками использования средств защиты (например, Ernst&Young LLP, Data group и др.).
Статистика вещь полезная и “упрямая”. Поэтому, прежде, чем приступать к решению проблем информацион ной безопасности, представляется целесообразным познакомиться со статистическими данными компаний, которые проводят аналитические оценки использования средств и систем защиты информации. Цель такого ознакомления в выявлении тенденций развития рынка услуг в области информационной безопасности, в ана лизе причин “неудач” при решении проблем защиты информации. Этой информацией нельзя пренебрегать в своей работе, хотя совершенно понятно, что каждая организация имеет свою специфику, которую необходи мо учесть в рамках общих тенденций развития рассматриваемой области деятельности.
Так, более половины опрошенных заявили, что в течение ряда лет были случаи, когда они несли убытки, свя занные с пренебрежением защитой информации и восстановлением от сбоев. Если к двум вышеупомянутым причинам потерь добавить еще и компьютерные вирусы, то число пострадавших составит 3/4 опрошенных, причем те же три четверти из них не смогли оценить объема своих потерь.
Только эти данные уже свидетельствуют о непонимании руководителей предприятий остроты проблем обес печения информационной безопасности, а также отсутствии знаний в области создания и управления систе мой информационной безопасности.
Анализ других данных позволяет обосновать не только необходимость, но и разработать некоторые доста точно общие рекомендации по защите информации. Так, статистика свидетельствует о большом проценте убытков из за ошибок, сделанных по небрежности (~ 65%); из за вирусных заражений (~ 60%) и нерабо тоспособности системы по различным причинам (~ 50%). Большой процент неприятностей связан со зло умышленными действиями со стороны служащих компании (по разным данным от 30 до 75%). Злоумыш
3.3
Комплексная безопасность объектов связи, роль и место информационной безопасности в ее обеспечении
ленные действия людей, не работающих в компании, составляют около 20%. Стихийные бедствия приво дят к нарушению информационной безопасности в 25% (большинство предприятий не имеет плана исполь зования средств информационной безопасности в чрезвычайных ситуациях, в том числе и при стихийных бедствиях). Промышленный шпионаж зафиксирован в 6% случаев.
На базе анализа статистической информации фирмы, занимающиеся аналитическими исследованиями про блем информационной безопасности, предлагают совокупность рекомендаций по защите информации, ко торые в целом можно свести к следующим:
•все сотрудники подписывают обязательство о неразглашении сведений в качестве условия приема на работу;
•сотрудникам не разрешается приносить программные средства, а также выносить компьютерные диски и другие магнитные носители с предприятия;
•существует и действует исходный план информационной безопасности, обеспеченный соответствующим персоналом и ресурсами;
•обучение всех работников мерам безопасности проводится как минимум раз в полгода;
•организация проводит квалифицированный анализ факторов риска и имеет план экстренного реа гирования и план ликвидации последствий;
•все пользователи компьютерных систем имеют пароли, составленные методом случайной генерации, ко торые периодически меняются;
•все случаи нарушения безопасности тщательно расследуются и докладываются высшему руководству;
•проводится проверка предыдущей деятельности всех сотрудников;
•на каждом объекте существует программа контроля действий посетителей;
•существуют специальные методики при приеме граждан на работу;
•безопасность каждого объекта проверяется каждые двенадцать месяцев.
Эти советы далеко не бесполезны и могут быть расширены и уточнены относительно особенностей каждого конкретного предприятия.
Материалы данного курса направлены на оказание помощи руководителям предприятий и представителям соответствующих служб в организации систем информационной безопасности и включают ряд основопола гающих положений, без которых сложно рассчитывать на успех в решении проблем информационной безо пасности. Это, прежде всего, терминологический аппарат данной предметной области, основные принципы и требования к системе информационной безопасности, последовательность и содержание действий на каж дом из этапов построения системы информационной безопасности, а также некоторые современные взгляды на разрешение сложных проблем информационной безопасности. При этом основное внимание уделено од ному из главных аспектов общей проблемы информационной безопасности – управлению информационной безопасностью предприятия.
Таким образом, проблема обеспечения информационной безопасности принадлежит к числу проблем, без ре шения которых невозможен полномасштабный и эффективный переход к рыночной экономике, открытому информационному обществу.
1. Основные понятия и определения из области информационной безопасности
Для того, чтобы освоить методологические основы обеспечения информационной безопасности, прежде всего необходимо владеть понятийным аппаратом данной предметной области. Основные термины и определения даны в соответствующем Руководящем документе Гостехкомиссии России “Защита от несанкционированного доступа к информации. Термины и определения”. – М.: Воениздат, 1992 и в ГОСТ Р 50922 96 “Защита инфор мации. Основные термины и определения”. – М.: Госстандарт России, 1996.
Раскрытие некоторых ключевых терминов и придание им несколько своеобразной интерпретации не самоцель, а попытка выразить современное видение ключевых понятий из области информационной безопасности, на этой основе сформировать начальные достаточно абстрактные представления о целях и задачах защиты информа ции, а также обратить внимание на те аспекты, которые зачастую остаются невостребованными руководством предприятий.
Под безопасностью информации понимается такое ее состояние, при котором исключается возможность ознакомления с этой информацией, ее изменения или уничтожения лицами, не имеющими на это права, пре" кращения или затруднения доступа законных пользователей к информации, а также утечки за счет излуче ний и наводок при использовании специальных устройств съема информации.
Под защитой информации понимается комплекс мероприятий, направленных на обеспечение конфиденциаль" ности и целостности обрабатываемой информации, а также доступности информации для пользователей.
К сожалению, практика показывает, что большинство руководителей наибольшее внимание уделяют конфиден циальности, меньшее целостности и еще меньшее доступности, хотя известно, что одной из проблем ряда ком паний является блокирование доступа к информационным ресурсам. Возможно, это связано с недопонимани ем сущности перечисленных составляющих защиты информации? В таком случае попытаемся дать доходчивые определения.
Конфиденциальность – свойство, характеризующее содержание критичной информации, доступ к которой ограничен узким кругом пользователей (отдельных лиц или организаций), в секрете.
3.4