Способы защиты информации

Признаки, которые могут навести на мысль о том, что рядом идет торговля «секретами фирмы»

Во-первых, от компании уходят клиенты – вероятнее всего конкурентам кто-то слил клиентскую базу.

Во-вторых, очевидная перемена в поведении некоторых сотрудников: внезапное улучшение материального положения, снижение заинтересованности в работе, активизировавшаяся переписка в интернете, частая пересылка графических или запароленных архивированных файлов.

В-третьих, «кучкование». Так, в одной компании 30 из 40 сотрудников, которые занимались заключением договоров, сговорившись, зарегистрировали собственную организацию и фактически работали на нее. Сотрудники предлагали клиентам, с которыми напрямую общались, те же услуги, но немного дешевле и перезаключали с ними договоры уже от имени собственной организации.

От кого необходимо защищаться

Модель угроз окажется индивидуальной в каждом случае. По мнению ИТ-специалистов большинства организаций, основная опасность исходит от хакеров или внешних злоумышленников. И действительно, большинство зафиксированных инцидентов происходит от того, что на информационные системы производятся атаки с внешних ресурсов. И такие риски угрожают не только конфиденциальности информации, они происходят редко и с четко поставленными целями пиара и демонстрации возможностей хакерских группировок. Большая угроза связана с тем, что внешние злоумышленники нападают на системы управления предприятий, организаций ЖКХ, сайты государственных структур с целью дестабилизации систем управления. Внешние угрозы характерны для банковской сферы, где происходят попытки воровства денег со счетов граждан. Массовые вирусные атаки также носят внешний характер, и их целью становится вымогательство средств за разблокировку ресурса, доступность которого утрачена. Любая информационная система в целях безопасности должна иметь один или несколько встроенных модулей защиты от угроз этого рода.

Но с точки зрения хищения внутренней корпоративной информации или обрабатываемых персональных данных гораздо опаснее оказываются сотрудники. В 70-80 % случаев, как показывают исследования, утечки организовывают сотрудники компании. Существует несколько психологических типов нарушителей:

  • работники, недовольные организацией или руководством и желающие нанести ущерб ее интересам;
  • сотрудники, финансово заинтересованные в предоставлении информации конкурентам, обычно руководители разных уровней;
  • сотрудники, имеющие доступ к персональным данным или иной имеющей ценность в даркнете информации, мотивированные финансовым предложением посредников;
  • не задумывающиеся о неправомерности своих действий работники, которые передают данные друзьям или знакомым по их запросам, иногда без финансовой мотивации.

Во многих случаях возможность организации утечки остается у сотрудника и после увольнения, если он сумел сохранить право на удаленный доступ к корпоративной системе. Часто служба информационной безопасности недооценивает эту степень риска. Наибольшую опасность представляет персонал ИТ-подразделений, имеющий доступ ко всем учетным записям и базам данных и способный не только похитить информацию, но и скрыть сведения о своих неправомерных шагах в системе. Даже если настроен аудит действий пользователей, большинство программных продуктов дают возможность затереть их следы в журналах регистрации.

Степень риска невозможно оценить в финансовом отношении, так как большинство компаний и банков, исходя из необходимости сохранения деловой репутации, оставляют в тайне данные о хищении ценной информации, имеющей отношение к клиентам. Чаще всего вскрытие таких инцидентов происходит случайно. В США факт утраты данных клиентов может привести к наложению многомиллионных штрафов на компанию, это служит дополнительной причиной молчания. Утрата конфиденциальных данных говорит о том, что фирма мало времени или средств уделяла работе с персоналом, позволила не менять пароли или иметь несанкционированный доступ к чужим учетным записям, а это значит, что она недостаточно заботится о клиентах.

Часто штатные средства обеспечения безопасности информационных систем не дают возможности разграничить доступ к данным различной степени конфиденциальности на уровне программных средств. Именно этот риск выявился при первом выходе на рынок Windows XP с поддержкой в ней технологии универсальной последовательной шины доступа (Universal Serial Bus, USB). После выявления уязвимости предложенный пользователям вариант обновления Service Pack 2 для Windows XP с множеством улучшений подсистемы безопасности не смог предложить средств разграничения доступа к портам USB и FireWire. Точно так же штатная система аудита действий пользователей, содержащаяся в Windows, не позволяет проводить эффективный поиск по операциям, совершаемым пользователями, и не исключает рисков того, что данные журналов регистрации действий будут удалены системными администраторами. 

Эти ситуации приводят к необходимости разрабатывать структуру безопасности, индивидуальную для каждой организации и учитывающую заявленные в модели угроз риски. Возникает необходимость приобретения более сложных, чем встроенные в операционные системы, продуктов безопасности. Часто решением для снятия рисков со стороны инсайдеров становится установка DLP-системы, комплексно решающей задачи организации утечек данных со стороны персонала.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Основные защитные средства от несанкционированного доступа

Такие методы могут быть административными и техническими. Грамотные организационные меры вкупе с эффективными программными средствами позволяют создать надежный механизм защиты информации от злоумышленников. 

Защиту информации можно обеспечить посредством внедрения архитектурно-планировочных решений, позволяющих защитить критичные помещения от прослушивания, и определения разных уровней доступа к секретным данным.

Чтобы регламентировать деятельность персонала, можно оформить запрос на доступ к Сети, внешней электронной почте и другим ресурсам. Это позволит контролировать действия внутренних пользователей. Защиту информации, передаваемой по электронным каналам, усиливает использование электронной цифровой подписи.

К административным средствам защиты информации также относят организацию:

  • физической охраны ИС;
  • аутентификации пользователей;
  • разграничения доступа к защищаемым компонентам;
  • регистрации всех обращений к данным под защитой.

Рабочие ПК предпочтительно размещать в надежно запираемых помещениях. В рабочее время за компьютерами должны наблюдать ответственные сотрудники, в частности, не оставлять ПК без парольной защиты, когда покидают рабочее место. При обработке конфиденциальной информации в офисе могут находиться только лица, допущенные к этому процессу. 

Владелец ИС должен удостовериться в том, что у рядовых пользователей есть доступ только к тем ресурсам (массивам информационных данных), которые нужны им для работы. 

Идентификация достоверно определяет легитимность всех обращений пользователей к ИС. Она проводится на этапе входа пользователя в ОС. 

Для этого применяются следующие методы, обеспечивающие защиту информации:

  • вход по учетной записи;
  • вход по индивидуальным физиологическим характеристикам (отпечатки пальцев, тембр голоса, сетчатка глаза, лицо);
  • вход с применением радиокодовых устройств;
  • вход с использованием электронных носителей.

Вход по учетной записи. Каждый зарегистрированной пользователь в системе, получает личный логин и пароль, которые обязан хранить в тайне и вводить при каждом обращении к ИС. Логин и пароль посредством специального ПО сравниваются с эталонами. Если вводные данные совпадают, пользователь получает доступ под защитой. 

Очевидным достоинством этого способа является простота, недостатком – возможность утери или подбора логина и пароля. К тому же существует вероятность несанкционированного проникновения в область хранения эталонных паролей.

Вход по биометрическим данным. Биометрия считается одним из самых надежных методов защиты от НСД, но пока он не получил широкого распространения из-за необходимости специальной аппаратуры и соответствующего программного обеспечения, гарантирующего защиту. 
Существуют, однако, и методы обхода биометрической защиты. Например, систему распознавания лиц, которая используется в смартфонах, журналист Forbes сумел обойти с помощью гипсового слепка головы. 

Вход с применением радиокодовых устройств. Идентификация по радиокодовым устройствам предполагает использование механизмов, способных передавать радиосигналы с персональными свойствами. ПК оборудуется программно-аппаратными средствами приема, регистрации и обработки сигналов. Каждый пользователь получает такое приспособление, а его параметры заносятся в запоминающее устройство средств защиты. 

Минус этого метода идентификации в том, что похищение такого механизма дает правонарушителю потенциальную возможность НСД. 

Вход с использованием электронных носителей. В этом случае используются специальные карточки с данными, которые позволяют быстро идентифицировать сотрудника, вошедшего в офис или защищенный кабинет. Информация вносится на носитель в зашифрованном виде. Ключ кодирования известен только владельцу карточки либо сотруднику, который отвечает за обеспечение информационной безопасности в компании. Также возможно уничтожение ключа сразу после использования. ИС должна быть оснащена устройствами считывания информации с карточки. Этот способ часто находит применение в крупных территориально распределенных сетях, например, в автоматизированных банковских системах.

Уязвимость этого метода идентификации в том, что потеря карточки владельцем открывает доступ в помещения посторонним.

Основные угрозы информационной безопасности

Современная информационная система представляет собой сложную систему, состоящую из большого
числа компонентов различной степени автономности, которые связаны между собой
и обмениваются данными. Практически каждый компонент может подвергнуться
внешнему воздействию или выйти из строя. Компоненты автоматизированной информационной
системы можно разбить на следующие группы:

  • аппаратные средства — компьютеры и их составные части (процессоры,
    мониторы, терминалы, периферийные устройства — дисководы, принтеры, контроллеры,
    кабели, линии связи и т.д.);
  • программное обеспечение — приобретенные программы, исходные,
    объектные, загрузочные модули; операционные системы и системные программы
    (компиляторы, компоновщики и др.), утилиты, диагностические программы и т.д.;
  • данные — хранимые временно и постоянно, на магнитных носителях,
    печатные, архивы, системные журналы и т.д.;
  • персонал — обслуживающий персонал и пользователи.

Опасные воздействия на компьютерную информационную систему можно подразделить
на случайные и преднамеренные. Анализ опыта проектирования, изготовления и
эксплуатации информационных систем показывает, что информация подвергается
различным случайным воздействиям на всех этапах цикла жизни системы. Причинами
случайных воздействий при эксплуатации могут быть:

  • аварийные ситуации из-за стихийных бедствий и отключений электропитания;
  • отказы и сбои аппаратуры;
  • ошибки в программном обеспечении;
  • ошибки в работе персонала;
  • помехи в линиях связи из-за воздействий внешней среды.

Преднамеренные воздействия — это целенаправленные действия нарушителя.
В качестве нарушителя могут выступать служащий, посетитель, конкурент, наемник.
Действия нарушителя могут быть обусловлены разными мотивами:

  • недовольством служащего своей карьерой;
  • взяткой;
  • любопытством;
  • конкурентной борьбой;
  • стремлением самоутвердиться любой ценой.

Можно составить гипотетическую модель потенциального нарушителя:

  • квалификация нарушителя на уровне разработчика данной системы;
  • нарушителем может быть как постороннее лицо, так и законный пользователь
    системы;
  • нарушителю известна информация о принципах работы системы;
  • нарушитель выбирает наиболее слабое звено в защите.

Наиболее распространенным и многообразным видом компьютерных нарушений
является несанкционированный доступ (НСД). НСД использует любую
ошибку в системе защиты и возможен при нерациональном выборе средств защиты, их
некорректной установке и настройке.

Проведем классификацию каналов НСД, по которым можно осуществить
хищение, изменение или уничтожение информации:

  • Через человека:
    • хищение носителей информации;
    • чтение информации с экрана или клавиатуры;
    • чтение информации из распечатки.
  • Через программу:
    • перехват паролей;
    • дешифровка зашифрованной информации;
    • копирование информации с носителя.
  • Через аппаратуру:
    • подключение специально разработанных аппаратных средств, обеспечивающих
      доступ к информации;
    • перехват побочных электромагнитных излучений от аппаратуры, линий связи,
      сетей электропитания и т.д.

Особо следует остановиться на угрозах, которым могут подвергаться
компьютерные сети. Основная особенность любой компьютерной сети состоит в том,
что ее компоненты распределены в пространстве. Связь между узлами сети
осуществляется физически с помощью сетевых линий и программно с помощью
механизма сообщений. При этом управляющие сообщения и данные, пересылаемые
между узлами сети, передаются в виде пакетов обмена. Компьютерные сети характерны тем, что против них предпринимают так
называемые удаленные атаки. Нарушитель может находиться за тысячи
километров от атакуемого объекта, при этом нападению может подвергаться
не только конкретный компьютер, но и информация, передающаяся по сетевым
каналам связи.

Средства защиты информации

В отличие от методов — средства защиты информации рассматривают более узкие области ответственности. Они разделяются на работу с материальными, информационными, трудовыми ресурсами.

Физические

Физические методы крайне схожи с созданием препятствий как общего принципа действия.

Однако существует конкретизация разделения принимаемых мер.

  1. Для предотвращения доступа и одновременного обеспечения безопасности персонала физические методы заключены в разработке путей эвакуации, установке специальных противопожарных дверей, систем оконного заграждения.
  2. С целью контроля доступа в помещения используются идентификаторы трудовой единицы.
  3. Предусматривается установка надежных противопожарных систем для предотвращения потерь данных вследствие пожара.

Физические защитные методы предусматривают контроль периметра, обеспечение бесперебойного питания оборудования, работу систем оповещения.

Система защиты серверной комнаты в случае пожара

Или же систем пожаротушения.

Психологические

Психологические средства расширяют методики побуждения. Они заключены не только в формировании личной заинтересованности и положительной мотивации.

В комплекс психологических мер включается карьерная лестница, создание социальных лифтов, сетки поощрений.

Восхождение на карьерную лестницу

Хорошие результаты приносит и организация хорошего отдыха персонала, например, корпоративные путевки на курорты, тематические экскурсии, туры выходных дней для укрепления морали и сплоченности коллектива.

Организационные

Организационные методы защиты информации — это своеобразный сплав из управления, принуждения, регламентации.

В список включается:

  • разработка инструкций, касающихся проведения тех или иных процедур работы с данными;
  • формирование общих должностных инструкций;
  • разработка системы наказаний, норм ответственности за нарушения;
  • реализация мер, призванных повысить уровень знаний и умений персонала.

Реализация организационных методов защиты позволяет добиться полного умения работников обращаться с информацией, выполнять нормированный список обязанностей, четко осознавать возможные последствия тех или иных нарушений.

Законодательные

Правовые методы защиты информации описывают множество вариантов поведения людей или организации в целом при обращении с теми или иными данными. В частности, самым знакомым среднестатистическому гражданину — является процесс хранения личных сведений.

Иные механики обращения — приняты в компьютерных системах. В частности, пароль доступа является секретным и известным только конкретному пользователю, не может разглашаться, так далее.

Правовые методы защиты могут регламентироваться как законами государства, так и формироваться в пределах оказания отдельной услуги или на время выполнения договора. В этом случае конкретный список прав, разрешений, запрещенных действий — утверждается документально.

Заключение коллективного договора

Аналогичный процесс может реализовываться в разрезе предприятия или компании. Утверждающими документами при этом является коллективный договор, договор подряда, должностные инструкции.

Методики оценки уязвимости

Ряд требований по сертификации деятельности компании предполагает оценку уязвимости БД по различным методикам и параметрам с целью установления того, насколько обеспечена безопасность информации. Применяется ручное или автоматическое сканирование, направленное на поиск ошибок в программном коде, позволяющих несанкционированно получить доступ к данным, обойти элементы управления безопасностью, взломать защиту или скомпрометировать ее степень. Параллельно со сканированием уязвимостей обязателен непрерывный мониторинг, призванный выявить инциденты информационной безопасности или изменение файлов СУБД. Сканирование и мониторинг – обязательные механизмы оценки рисков для компаний, испытывающих необходимость в сертификации по ISO или размещающих свои ценные бумаги на иностранных фондовых рынках. 

Другие категории защиты информации

Информационные объекты составляют определенную систему. 

К ним относятся:

  • различные виды медийных ресурсов (данные, зафиксированные на материальных носителях, с возможностью их идентификации); 
  • преимущества (права) граждан, юрлиц и государственных органов на распространение и владение данными; 
  • системы формирования социальной ответственности в использовании данных.

Составляющие информационной системы делятся на группы по видам:

  • с исключительной возможностью входа, с публичным доступом;
  • другая доступная информация;
  • неправдивая информация (не имеет правовой основы). 

Данные с исключительным доступом делятся на государственную тайну и секретные данные. Первая защищает сведения, являющиеся тайными в различных сферах безопасности Российской Федерации: экономической, общегосударственной, контрразведывательной, политической. Угроза раскрытия государственной тайны может нанести серьезный вред национальной целостности государства. Основная часть этой информации оберегается от внешнего и внутреннего воздействия.

Целью конфиденциальной информации является ограничение доступа лиц к данным, юридический режим которых установлен специализированными нормативными актами в общегосударственной и негосударственных областях, промышленности и социальной деятельности.

Конфиденциальная информация бывает следующих типов:

  • ход следствия;
  • должностная этика;
  • профессиональная тайна;
  • негосударственная тайна;
  • индивидуальные данные;
  • данные о сути производства.

Личная информация составляет все виды данных о человеке, которые непосредственно или частично к нему относятся. Такая информация имеет ограниченный доступ, но сам субъект может пользоваться этими сведениями. Они защищаются на национальном уровне, выделены правовые принципы субъективных данных.

Например, в 149-ФЗ Российской Федерации «Об информации» в редакции от 18.12.2018 года прописаны такие права:

  • самоидентификация информации;
  • потенциальный доступ к личным данным;
  • внесение корректировок в индивидуальные данные;
  • преобразование личных данных;
  • жалобы на незаконное использование данных;
  • денежная компенсация убытков.

Правительственные органы и частные организации, самоуправляемые учреждения в регионах используют данные в основном в рамках полномочий, установленных общегосударственными законами и подзаконными актами, лицензиями на право заниматься определенными видами деятельности. 

Основную часть носителей информации составляют:

  • газетные и журнальные издания, реклама; 
  • граждане; 
  • средства связи; 
  • информационные документы; 
  • электронные и иные носители, пригодные для улучшения данных. 

Особенности АСУ

Для автоматизированной системы управления предприятием, посягательства на которую совершаются наиболее часто именно с целью приостановить производство или вмешаться в его работу и вызвать аварию, характерно управление процессами и физическими объектами, тогда как обычные административные системы управляют информацией. 

Это порождает отличия, которые влияют на организацию процесса обеспечения безопасности:

в отличие от ИС АСУ оказывается системой реального времени. Время реакции и срабатывания на вызовы всегда критично, неприемлемы потери данных или задержки их передачи

Крайне важно своевременное срабатывание в аварийных ситуациях
Системы управления доступом не должны препятствовать работе обычного интерфейса взаимодействия оператора и оборудования;
для АСУ недопустимы перерывы в работе, перезагрузка как метод решения проблем не применяется, технические работы планируются заранее при условии запуска дублирующих решений;
при управлении рисками для АСУ внимание концентрируется на физических процессах, а не на информационных объектах, как для ИС. Безопасность людей и оборудования, безотказность имеют приоритет над конфиденциальностью и целостностью данных
Информационная безопасность концентрируется на непрерывности процесса обмена информацией и сохранении ее целостности

Главным риском, который должен учитывать специалист, разрабатывающий механизм безопасности, станет соответствие требований регуляторов, касающихся опасных производственных объектов и объектов критической информационной инфраструктуры, предотвращение причинения вреда работникам предприятия, его имуществу, экологии;
для АСУ чаще используются специализированные, а не общедоступные операционные системы. Они лишены большинства известных хакерам уязвимостей, но не содержат встроенных модулей безопасности. Используются специализированные алгоритмы управления, все изменения тщательно внедряются поставщиками ПО, и это занимает длительное время из-за необходимости их обязательной сертификации;
системные ресурсы АСУ ограничены, они предназначены строго для управления промышленными объектами и не имеют ресурсов для развертывания вычислительных мощностей или модулей безопасности;
коммуникации в рамках АСУ проходят по специализированным протоколам с использованием особых типов медиа, не реализуемых в офисных ИС. Прокладка и поддержание безопасности сетей связи требуют специальных инженерных компетенций;
эксплуатация и поддержка АСУ осуществляются только разработчиками;
все АСУ сертифицируются и лицензируются, то же происходит со всеми обновлениями.

Такие отличия порождают различные подходы в вопросах обеспечения информационной безопасности. Реализация любых стратегий защиты может оказаться невозможной без привлечения поставщика программного обеспечения для системы. Стоимость модернизации в целях повышения защиты может оказаться очень высокой, только лицензирование и сертификация изменений могут занять до 10 % от общей стоимости проекта внедрения.

Методы защиты речевой информации

Для обеспечения информационной защиты акустической информации рекомендуется компактно расположить защищаемые помещения, четко установить периметр охраняемой территории, регламентировать допуск работников на территорию, на которую распространяется информационная защита.

Информационная безопасность также состоит в том, чтобы регулярно обследовать помещения и установленные в них технические средства на предмет наличия приспособлений для несанкционированного съема информации. Для усиления информационной безопасности можно использовать вибро- и звукоизоляцию, экранирование, автономизацию ОТСС в границах охраняемой территории, а также временное отключение ОТСС.

Также используются активные и пассивные механизмы обеспечения речевой безопасности. К первым относятся генераторы, вырабатывающие различного рода шумы (виброакустический и электромагнитный, как низко-, так и высокочастотные). Ко вторым: вибро- и звукоизоляция; экранирующие устройства; звукопоглощающие фильтры в воздуховодах.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector