Часть 2

Тема 6. Защита экономической информации.

Широкое внедрение в сферу обработки экономической информации современных информационных технологий потребовало разработки систем защиты информации.

Система защита информации - это комплекс специальных мер законодательного и административного характера, организационных мероприятий, физических и технических средств, обеспечивающих с требуемой вероятностью защиту информации от утечки, хищения, утраты, несанкционированного уничтожения, искажения, модификации, репродуцирования (подделки), копирования, блокирования и т.п. (обеспечение безопасности информации).

Безопасность информации - это состояние устойчивости информации к случайным или преднамеренным внешним воздействиям, исключающее недопустимый риск ее уничтожения, искажения и раскрытия, которые приводят к материальному ущербу владельца или пользователя информации.

Защита информации - комплекс мероприятий, проводимых с целью предотвращения нарушения безопасности информации.

Необходимость защиты информации определяется следующими факторами:

- отношением к информации, как к товару;

- вовлечением в процесс информационного взаимодействия большого числа людей и организаций;

- концентрацией больших объемов информации различного назначения и принадлежности на магнитных носителях в автоматизированных информационных системах;

- наличие интенсивного информационного обмена между участниками информационного процесса;

- повышение уровня доверия к автоматизированным информационным системам;

- количественным и качественным совершенствованием способов доступа пользователей к информационным ресурсам;

- обострением противоречий между потребностями общества в информации и чрезмерными или недостаточными ограничениями на ее распространение или использование;

- многообразием видов угроз и возможных каналов несанкционированного доступа к информации;

- ростом числа квалифицированных пользователей вычислительной техники;

- развитием рыночных отношений в области разработки и обслуживания вычислительной техники и программных средств.

В соответствии с архитектурой, технологией и условиями функционирования современных информационных систем дестабилизирующими факторами являются: количественная и качественная недостаточность элементов технологической системы; отказы, сбои, ошибки этих элементов; стихийные бедствия; злоумышленные действия; побочные явления.

Причин нарушения защищенности информации

Источники дестабилизирующих факторов:

1 Люди.

2 Технические устройства.

3- Модели, алгоритмы, программы.

4 Технология функционирования.

5 Внешняя среда.

Типы дестабилизирующих факторов:

1 Количественная недостаточность.

2 Качественная недостаточность.

3 Отказы.

4 Сбои.

5 Ошибки.

6 Стихийные бедствия.

7 Злоумышленные действия.

8 Побочные явления.

Последствия действия дестабилизирующих факторов:

1 Нарушения физической целостности.

2 Несанкционированная модификация.

3 Несанкционированное получение.

4 Несанкционированное размножение.

Понятие коммерческой и производственной тайны и основные нормативные акты, ее защищающие

Представители Министерства внутренних дел во многих странах, совместно с сотрудниками частных промышленных и коммерческих служб безопасности, руководители и служащие отдельных фирм и банков постоянно стремятся к обновлению юридических норм, которые препятствовали бы утечки сведений, составляющих тайну, как в процессе производственной деятельности фирм, так и при взаимодействии с государственными, и в первую очередь, с иностранными учреждениями.

Что понимают под коммерческой и производственной тайной? Сюда относятся секреты, связанные с коммерческими и техническими вопросами. Коммерческие защиты, коммерческо-политические цели фирмы, предмет и результат совещаний и заседаний органов управления фирм, размеры и условия банковских кредитов, расчеты цен, балансы и бухгалтерские книги, негласные компаньоны товариществ, компьютерные программы, списки представителей или посредников, картотеки клиентов и прочее - все это по закону относится или может относится к сфере, подпадающей под понятие коммерческой и производственной тайны, и защищается законами от разглашения.

Во многих странах законы устанавливают обязанности для конкретных лиц, являющихся членами органов управления фирм и компаний (это члены правления, наблюдательный совет, управляющие, ревизоры). Например, в Германии за это предусматривают лишение свободы на срок до одного года или уплату денежного штрафа для указанных лиц, если они не имея на это права, разгласили коммерческую или производственную тайну, которая стала им известна в силу их служебного положения. Возбуждение уголовного дела производится по ходатайству фирмы, чьи интересы были нарушены.

В соответствии с действующим законодательством РФ далеко не каждая фирма имеет на сегодня право на защиту своей информации. Декларация прав человека и граждан РФ (ст.13, п.2) и конституция РФ (ст.19, п.4) предоставили каждому человеку право свободно искать и получать информацию. Ограничение этого права допустимо лишь на законных основаниях в целях охраны информации, например, государственной или коммерческой тайны.

Следовательно, для осуществления действий по защите информации и, главное, по ограничению доступа к ней, фирма должна иметь законные основания, имеющие отражение в правоустанавливающих документах фирмы. Такими документами, в первую очередь, являются устав и учредительный договор. В соответствии с Гражданским кодексом РФ (ст.49, п.1) юридическое лицо имеет специальную правоспособность, то есть имеет право осуществлять лишь те виды деятельности, которые прямо оговорены в его учредительных документах. Внеуставная деятельность является незаконной. На этом основании руководителям фирм следует, прежде всего, обратить внимание на устав и учредительный договор.

В феврале 1995 года принят закон “Об информации, информатизации и защите информации”. Несмотря на прямую принадлежность к вопросу защиты информации этот закон не внес ясности в решение этого вопроса. Закон рассматривает лишь ту часть права, которая не запрещена нормами ни авторского, ни патентного права, он основан на нормах материального права, которым информация, как объект не материальный, а идеальный, не подчиняется.

В соответствии с законом об информации, защите подлежит не вся информация, а лишь документированная ее часть, то есть зафиксированная на материальном носителе с реквизиторами, позволяющими ее идентифицировать. При этом информация в электронной версии, то есть находящаяся в памяти ЭВМ, или записанная на дискету, подлежит защите лишь в том случае, если она удостоверена электронной цифровой подписью, либо распечатана и заверена подписью руководителя и печатью фирмы (ст.5).

При этом под защитой понимается прежде всего право собственника документа истребовать этот документ из чужого незаконного владения. Закон предусматривает право собственника документа определять порядок доступа к нему третьих лиц, а также запрещать третьим лицам ознакомление с зафиксированной в документе информацией, копирование документа и ряд других действий.

Право запрещать другим осуществлять имущественные права по отношению к результатам интеллектуальной деятельности (а информация и является таким результатом) являются составной частью исключительного права на результаты интеллектуальной деятельности, т.е. интеллектуальной собственностью. Законным путем это право может быть реализовано собственником документа лишь путем отнесения документированной информации к категории конфиденциальной, т.е. путем установления режима служебной и коммерческой тайны, соответствующего условиям ст.139 ГК РФ.

В мире общеприняты три формы защиты информации: авторское и патентное право, режим тайн. С целью защиты информации путем отнесения ее к конфиденциальной, ее обладатель должен принимать меры по охране ее конфиденциальности. Перечень этих мер не поименован ни в ГК, ни в одном нормативно-правовом акте.

При решении этого вопроса о необходимости и достаточности применения той или иной форм защиты информации следует руководствоваться тем общепринятым постулатом, что основным каналом утечки информации являются ее работники.

Правоотношения работодателя с работником реализуются нормами правового законодательства. Такие отношения оформляются трудовым контрактом, в условиях которого есть пункт, касающийся обязанности не разглашать коммерческую тайну, в том числе и после прекращения трудовых отношений с работодателем фирмы. При увольнении сотрудников, которые по своему служебному положению имели доступ к секретной информации, то в этом случае оформляется официальная подпись о неразглашении данных, если же увольнение по инициативе фирмы, то сначала его надо перевести на участок или подразделение, где отсутствует подобная информация. Сотрудника стремятся оставить в структуре фирмы до тех пор, пока не будут приняты меры к снижению возможного ущерба от разглашения им сведений, либо найдены средства защиты этих данных (технические, административные, патентные, юридические, финансовые и т.д.). Всех вышеперечисленных мер (подписание сотрудником документов о неразглашении коммерческой тайны) явно недостаточно для защиты информации комплексно. Следует также помнить, что исключительным правом на информацию в режиме коммерческой тайны владелец обладает до тех пор, пока он принимает меры по защите ее секретности, или пока она не стала известной на общих основаниях.

Защита информации от компьютерных вирусов

Компьютерный вирус - это специально написанная, небольшая по размерам программа, которая может приписывать себя к другим программам (т.е. заражая их), выполнять различные нежелательные действия на компьютере. Программы, где находится вирус, называются зараженными. Вирус выполняет нежелательные действия: портит файлы, некоторые программы начинают работать неправильно, или не работать вообще, выводит на экран посторонние волны и сообщения. Некоторые авторы создают их из озорства, или из стремления “насолить” кому-то (например, уволившей их фирме). Таким образом, если не предпринимать мер по защите от вируса, то последствия могут быть очень серьезными.

Для защит от вирусов можно использовать:

- общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, ошибочных действий пользователя;

- профилактические меры, которые уменьшают вероятность заражения вирусом;

- специализированные программы для защиты от вирусов.

Общее средство защиты информации включает два раздела:

1 Копирование информации.

2 Разграничение доступа (позволяет предотвращать несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователя.

Этих средств недостаточно, поэтому необходимо применение специализированных программ по защите от вируса. Есть несколько видов программ:

1 Программы-детекторы, позволяют обнаруживать файлы, зараженные 1 или 2 известными вирусами.

2 Программы-доктора лечат зараженные программы или диски, выкусывая из программы тело вируса и восстанавливая программу.

3 Программы-ревизоры сначала запоминают сведения от состояний программ и сравнивают их состояние с исходными, и сообщают о несоответствии.

4 Доктора-ревизоры - это гибриды ревизоров и докторов, обнаруживают изменения и автоматически возвращают в исходное положение.

5 Программы-фильтры располагаются в оперативной памяти компьютера и перехватывают обращения, которые используются вирусами для нанесения вреда, сообщают об этом пользователю.

6 Программы-вакцины или иммунизаторы, модифицируют программы так, что это не отражается на их работе, но вирус, от которого производится вакцинация, считают эту программу зараженной.

Ни один тип антивирусных программ не дает полной защиты от вируса. Их надо использовать одновременно.

К профилактическим мерам от вирусов можно отнести:

- копирование информации;

- разграничение доступа;

- проверка, поступающих извне данных;

- периодическая проверка на наличие вируса.

Не следует также переписывать программное обеспечение с других компьютеров, особенно, где доступ к ним имеет безответственное лицо. Не следует также допускать к работе на компьютере без присмотра посторонних лиц, особенно если они имеют свою дискету.

Меры борьбы с компьютерной преступностью

В связи с ростом количества персональных компьютеров, используемых как в государственных фирмах, так и в частных компаниях, возросла опасность несанкционированного доступа к базам данных, содержащихся в их памяти.

Частные службы безопасности приступили к анализу степени риска, угрозе которого подвергаются ПК, и предлагают некоторые меры по защите информации. Так, автоматизация рабочих мест сотрудников и создание локальных вычислительных сетей позволили выявить уязвимые места, где имеется опасность незаконного проникновения в массив данных ЭВМ государственных и частных фирм. В отличие от больших комплексов ПК не располагает, как правило, достаточными аппаратами и программными средствами по защите данных от несанкционированного доступа. Сами пользователи часто не осознают реальную опасность подобных махинаций, поэтому необходима разработка универсальной системы защиты данных ПК.

В информационных центрах по обработке данных содержится информация, требующая дополнительной обработки и анализа. В то же время на рабочие места сотрудников, обслуживающих ПК, поступают уже готовые к использованию сведения секретного характера, которыми могут воспользоваться также посторонние лица. ПК выдает по требованию пользователя в диалоговом режиме всю необходимую информацию, в том числе и в напечатанном виде. ПК также может обеспечить связь любым рабочим местом других сотрудников.

При организации деятельных служб безопасности по борьбе с несанкционированным доступом в базы данных ПК необходимо уделять внимание следующим аспектам:

- выявлению лиц, имеющих возможность такого доступа;

- объектам их воздействия;

- используемым им методом;

- способам противодействия.

Для фирм, производящих ПК, рекомендации служб безопасности состоят в следующем:

- должны постоянно разрабатываться технологии создания новых аппаратных и программных средств защиты баз данных;

- важно проведения мероприятий по совершенствованию имеющихся средств аппаратной и программной защиты, это прежде всего относится к разработчикам математического обеспечения для ПК.

Например, по данным французских индустриальных служб безопасности, правонарушители располагают большим набором технических средств и способов их использования, с помощью которых они могут подключаться к информационным сетям и иметь доступ к базе данных:

- процессор ПК и вся периферийная аппаратура могут быть подвержены как непосредственному, так и опосредованному несанкционированному доступу;

- В программы, используемые в ПК, могут быть внесены определенные изменения с целью незаконного получения необходимых данных;

- с помощью доступных средств, используемых при подключении к каналам связи в информационно-вычислительных сетях, в систему могут проникать посторонние лица, например “хакеры”;

- правонарушения совершаются в основном внутренним техническим персоналом фирм, который обслуживает ЭВМ;

- посторонние лица, которые подключаясь к линиям связи, используют в корыстных целях информацию, содержащуюся в банках данных центральной ЭВМ;

- Выявлены следующие процедуры несанкционированного доступа к информации:

- при копировании выходных данных, содержащихся в ПК;

- с помощью ввода специальной подпрограммы (способ “троянского коня”);

- путем использования личного пароля оператора;

- посредством ознакомления с данными, содержащимися в ПК и выведенными на печать;

- путем знакомства с документацией, оставшейся без присмотра.

Службы промышленной безопасности предлагают следующую методику организационной структуры фирмы в работе с ПК:

- Она должна быть построена таким образом, чтобы служащие, имеющие отношение к работе с ПК, располагались отдельно друг от друга;

- следует обеспечить ограниченный доступ пользователя к секретной информации;

- должно фиксироваться всякое обращение в ПК (какие данные, в какое время и кому предоставлялись), после чего эти сведения должны быть проанализированы.

На всех этапах работы сотрудников фирмы с ПК необходимо тесное взаимодействие с персоналом служб информации. Необходимо также улучшать, совершенствовать уголовное законодательство по компьютерной преступности.

Помимо защиты информации при работе с персональным компьютером многие специалисты предлагают сейчас более широкую, комплексную, корпоративную программу компьютерной безопасности, которая должна обеспечить сохранность электронных данных во всех файлах фирмы или банка. Разработка такой программы напрямую связана с увеличением компьютерных махинаций и преступлений.

Предлагаемая программа является одной из новейших и комплексных по сути систем организационно-технических мероприятий компьютерной защиты от несанкционированного проникновения.

Она имеет следующие основные этапы реализации:

- учет специфики организации, в которой используется данный компьютер;

- охрана рабочих помещений, в первую очередь аппаратного зала;

- выработка пароля для программы;

- защита информации, касающейся устройства набора номера;

- регулярная замена пароля;

- применение паролей, содержащих по крайней мере 7 знаков;

- замена заводских идентификационных номеров;

- смена паролей после увольнения служащих фирмы или банка, имеющих доступ к компьютеру;

- ограничение доступа рядового персонала к терминалам, имеющим выход на особо важные массивы информации;

- эффективный управленческий контроль за персоналом, поскольку большинство компьютерных преступлений совершаются самими сотрудниками;

- периодическая проверка деловых операций и личных счетов сотрудников фирмы или банка.

Рекомендуется также страховать информацию ценную для предприятий, фирмы. Страховые компании выплачивают страховые суммы, потерпевшим убытки в результате похищения информации конфиденциальной для данной фирмы.

Контрольные вопросы

1 Сформулируйте основные источники дестабилизирующих факторов.

2 Перечислите типы дестабилизирующих факторов.

3 Дайте определение коммерческой и производственной тайне.

4 Перечислите способы защиты экономической информации от компьютерных вирусов.