Учебный курс «Защита информации»
Раздел 3. Построение и организация функционирования комплексных
Систем защиты информации в компьютерных системах.
Тема 7.
Угрозы информационной безопасности
И способы их устранения.
Содержание:
1. Что такое информационная безопасность?
2. Классификация возможных угроз безопасности.
3. Существующие способы устранения угроз.
3.1. Совершенствование системы аутентификации пользователей ЭИС.
3.2. Защита информации внутри ЭИС при хранении.
3.3. Разработка эффективной системы защиты от внутренних угроз.
3.4. Концепция управления экономической безопасностью предприятия для ИС.
3.4.1. Назначение и область применения.
3.4.2. Содержание задач управления экономической безопасностью.
1. Что такое информационная безопасность?
Обеспечение информационной безопасности – обязательное условие функционирования любой информационной системы масштаба предприятия, ведь любое нарушение ее защиты может повлечь за собой потерю времени и финансов, повреждение или разрушение данных, утрату доверия клиентов и пр.
Под информационной безопасностью (в широком смысле) понимается такое свойство процесса информатизации и всей жизнедеятельности общества, которое гарантирует устранение всех негативных последствий информатизации, либо сводит их до такого минимума, который обеспечивает выживание и дальнейшее развитие человечества, его превращение в развитую, гуманную информационную цивилизацию [1, 2].
Проблема информационной безопасности в своем системно-обобщенном плане в настоящее время только начинает разрабатываться в рамках нового научного направления, именуемого социальной информатикой и претендующего на изучение закономерностей взаимодействия общества и информатики, прежде всего, процесса информатизации общества и становления информационной цивилизации.
Информационная безопасность (в узком смысле) (Information security) – это совокупность свойств информации, связанная с обеспечением запрещения неавторизованного доступа (получения, ознакомления с содержанием, передачи, хранения и обработки), модификации или уничтожения, а также любых других несанкционированных действий с личной, конфиденциальной или секретной информацией, представленной в любом физическом виде [2].
По своему содержанию информационная безопасность включает:
- компьютерную безопасность;
- безопасность информационных систем и процессов в обществе (в том числе и еще не охваченных процессом информатизации);
- создание необходимой социальной среды для гуманистической ориентации информационных процессов.
Таким образом, информационная безопасность не сводится только к компьютерной безопасности, так же как информатизация не тождественна компьютеризации общества. Поэтому понятие информационной безопасности, включая в себя компьютерную безопасность в качестве неотъемлемой составной части, должно распространяться на все информационные процессы в обществе и другие социальные процессы, в той или иной степени влияющие на информацию и средства информатики.
Компьютерная безопасность (Computer security) – раздел информационной безопасности, связанный с ее обеспечением при создании и эксплуатации различных систем электронной обработки данных и автоматизированных сетей связи, в первую очередь, вычислительных (компьютерных) систем [3].
Она определяется степенью защищенности (охраны) информации, технических и программных средств вычислительной техники от нанесения им ущерба в результате сознательных либо случайных противоправных действий или стихийных бедствий.
Безопасность вычислительных (информационных, компьютерных) систем (Security of Information (Computer) Systems) – совокупность свойств, связанная с достижением компьютерной безопасности при эксплуатации вычислительных (информационных, компьютерных) систем.
Безопасность данных (Data security) – совокупность свойств данных, связанная с достижением информационной безопасности и определяемая защищенностью данных от случайного или преднамеренного доступа к ним лиц, не имеющих на это право, от неавторизованной модификации данных или от их уничтожения.
Защита (Protection; Lock out) информации при эксплуатации вычислительных (компьютерных) систем – система мер, направленных на ограничение доступа ко всей или части информации, а также недопущения ее несанкционированного использования при эксплуатации вычислительных (компьютерных) систем.
Источник: Основные термины и определения из руководящих документов Гостехкомиссии России.
По мере стремительного развития и усложнения ИТ-инфраструктуры проблема защиты информации приобретает все большее значение. Дело в том, что для повышения эффективности бизнес-процессов предприятия расширяют сферы взаимодействия, что автоматически приводит к росту числа потенциальных угроз и рисков. Следовательно, возрастает и потребность в формировании четкой, основанной на тщательно разработанных политиках системы обеспечения безопасности.
Продукты обеспечения информационной безопасности могут рассматриваться как инструменты увеличения ценности информации, хранимой и передаваемой в открытых сетях. Очевидно, что уровень безопасности зависит от ИТ-инфраструктуры, т.е. от технологий, с помощью которых информация хранится и передается.
На рис.1 [3] приведена условная кривая изменения уровня безопасности в зависимости от смены технологических платформ. История развития ИТ-инфраструктуры показывает, что в момент перехода на новую платформу, с одной стороны, появляются новые возможности обработки и передачи информации, а с другой – падает уровень информационной безопасности.
Уровень
безопасности
3
4
2
1
Время
Эра мэйнфреймов ПК ЛВС Клиент-сервер Интернет
Источник: Gartner Group.
Рис.1 – Кривая изменения уровня безопасности в зависимости от смены
технологических платформ.
При этом на каждом этапе кривая изменения уровня безопасности имеет одну и ту же форму с характерными этапами (отмечены цифрами на рис.1):
1. Разработка и внедрение средств безопасности – участок соответствует этапу осознания проблемы и разработки средств, нейтрализующих возникшие угрозы.
2. Внедрение и распространение – участок внедрения некоторого средства безопасности и распространения соответствующих продуктов безопасности на рынке. По мере того, как данные продукты становятся все более известными и доступными, степень безопасности растет.
3. Взросление – этап адаптации и совершенствования систем безопасности.
4. Внедрение новой технологии – внедрение новой технологи обесценивает старую систему безопасности.
Как видно по кривой на рис.1, внедрение Интернета привело к снижению уровня безопасности даже ниже той отметки, на которой он находился на этапе внедрения локальных сетей. И это понятно: до появления глобальной сети многих угроз просто не существовало, например, угрозы мгновенного распространения вируса по всему миру. Конечно, представленная на рис.1 кривая носит условный характер и учитывает лишь глобальные смены ИТ-инфраструктуры, при этом очевидно, что на практике имеются десятки технологий, которые непрерывно сменяют друг друга и образуют бреши в системах безопасности, что требует появления на рынке новых продуктов безопасности.
На современном этапе Информация – это один из видов ресурсов компании, который, наряду с другими бизнес-ресурсами, имеет определенную ценность и потому должен быть надлежащим образом защищен.
Схема, представленная на рис.2, дает представление о структуре информационной безопасности (ИБ) [4], которая предусматривает защиту информации от широко-го спектра угроз для обеспечения непрерывности бизнеса, минимизации потерь и максимизации возврата от вложенных инвестиций. Каждая организация имеет информационные ресурсы (п.1) – знания и умения сотрудников, аппаратное и программное обеспечение, БД, документацию и прочие виды информации (п.2).
Важной составляющей ресурса компании является информация о компании в обществе, которая формирует репутацию фирмы, степень доверия к ней со стороны клиентов, популярность брэнда и т.д.
Информационные ресурсы подвержены потерям в виде нарушения конфиденциальности, работоспособности, целостности и полноты (п.3). Чем ценнее информация в компании, тем больше опасность вредоносных действий, направленных на завладение ею или на ее уничтожение. Вредоносные действия могут совершаться в виде неавторизованного доступа в сеть, неавторизованного раскрытия (утечки) информации, модификации данных или ПО, а также мошеннических действий в сети (п.4).
Наличие описанных уязвимостей определяет угрозы безопасности, которые представляют собой риски, требующие введения мер безопасности. Степень риска определяет уровень затрат на меры безопасности. Меры безопасности должны гарантировать конфиденциальность, целостность, доступность информации, своевременную отчетность, физическую безопасность и контроль доступа (п.5). В свою очередь, меры безопасности могут быть техническими, организационными и управленческими (п.6).
Например, защита от вирусов может быть реализована технически - посредством установки антивируса, а может быть решена организационно путем запрещения выхода в Интернет, самовольной установки ПО и использования мобильных накопителей информации.
Меры безопасности обеспечиваются различными системами безопасности: процедурной, физической, системной, коммуникационной и др. (п.7).
На рис.2 показаны также источники угрозы: намеренные действия со стороны людей, возможные аварии (ошибки работе пользователей, программ и оборудования), а также природные факторы (п.9).
Интересно, что в категорию вандалов и террористов (представляющих опасность с точки зрения кражи и повреждения информации) попадают также журналисты (п.8). Впрочем, очевидно, что в плане утечки корпоративной информации журналисты порой представляют не меньшую опасность для корпорации, чем шпионы. Недаром во многих компаниях общаться с журналистами имеют право лишь определенные категории сотрудников – обычно высший менеджмент и сотрудники отдела маркетинга.
Рис.2 – Структура и составляющие информационной безопасности.
Информационные технологии в настоящее время активно внедряются во все сферы деятельности. Удобство, быстроту, полноту и масштабность современных технологий трудно переоценить. Быстро развивающийся рынок электронных информационных продуктов и услуг предлагает большое количество отечественных и зарубежных экономических информационных систем (ЭИС) различного назначения.
Безопасность (с точки зрения экономики) – это интегральная системная характеристика сложных объектов, которая зависит от надежности элементов, устойчивости и стабильности показателей, управляемости параметров и живучести объекта в целом [3].
Источники опасности – это различные вредные воздействия (ВВ), которые снижают показатели бизнеса. Несмотря на разнообразие ВВ, их единство проявляется в том, что все они наносят ущерб бизнесу. Ущерб значительного размера (урон) может привести к гибели бизнеса, поэтому оперативность в выявлении ущерба и нейтрализации ВВ имеет первостепенное значение.
Управление экономической безопасностью – это оперативное управление скоростью увеличения собственного капитала, которое может выполняться ежедневно, еженедельно, ежемесячно и т.д. [4].
Масштаб применения подобных систем весьма широк, это может быть система, автоматизирующая работу одного из подразделений предприятия (например, бухгалтерия или отдел проектирования), все предприятие в целом (например, системы класса ERP, ERP-II, CRM), или системы, насчитанные на управление целыми корпорациями или даже экономическими отраслями (например, Галактика, Baan, и т.д.). С другой стороны, «зависимость» от качества функционирования и обслуживания ЭИС может серьезно сказаться на экономической безопасности предприятия, так как высокая степень централизации корпоративной информации делает ее особенно уязвимой и увеличивает риск утечки данных.