Информационная безопасность
..pdf– технические средства контроля, предотвращающие вынос персоналом из помещения специально маркированных предметов, документов, дискет, книг и т.п.
Программно-аппаратный элемент системы защиты ин-
формации предназначен для защиты ценной информации, обрабатываемой и хранящейся в компьютерах, серверах и рабочих станциях локальных сетей и в различных информационных системах. Однако фрагменты этой защиты могут применяться как сопутствующие средства в инженерно-технической и организационной защите.
Вкаждом элементе защиты могут быть реализованы на практике только отдельные составные части в зависимости от поставленных задач защиты в фирмах различного профиля и размера.
Структура системы, состав и содержание элементов, их взаимосвязь зависят от объема и ценности защищаемой информации, характера возникающих угроз безопасности информации, требуемой надежности защиты и стоимости системы.
Например, в некрупной фирме с небольшим объемом защищаемой информации можно ограничиться регламентацией технологии обработки и хранения документов, доступа персонала к документам и делам. Можно дополнительно выделить в отдельную группу и маркировать ценные бумажные, машиночитаемые и электронные документы, вести их опись, установить порядок подписания сотрудниками обязательства о неразглашении тайны фирмы, организовывать регулярное обучение и инструктирование сотрудников, вести аналитическую и контрольную работу. Применение простейших методов защиты, как правило, дает значительный эффект.
Вкрупных производственных и исследовательских фирмах
смножеством информационных систем и значительными объемами защищаемых сведений формируется многоуровневая система защиты информации, характеризующаяся иерархическим доступом к информации. Однако эти системы, как и простейшие
31
elib.pstu.ru
методы защиты, не должны создавать сотрудникам серьезные неудобства в работе, т.е. они должны быть «прозрачными».
Содержание составных частей элементов, методы и средства защиты информации в рамках любой системы защиты должны регулярно изменяться с целью предотвращения их раскрытия заинтересованным лицом. Конкретная система защиты информации фирмы всегда является строго конфиденциальной, секретной. При практическом использовании системы следует помнить, что лица, проектирующие и модернизирующие систему, контролирующие и анализирующие ее работу, не могут быть пользователями этой системы.
4.2. Аналитическая работа в сфере безопасности
Основным условием безопасности информационных ресурсов ограниченного доступа от различных видов угроз является создание в фирме службы безопасности. Для небольшого предприятия – выделение сотрудника (сотрудников), отвечающего за безопасность информационных ресурсов. Одно из важнейших направлений работы этого подразделения – информационноаналитическая работа. Для крупных предприятий целесообразно внутри этого подразделения создание информационноаналитической службы (ИАС).
Аналитическая работа должна проводиться не только с целью предотвращения утраты собственной информации, но и с целью получения информации о конкурентах.
Основным результатом аналитической работы является информационно-аналитическое обеспечение принятия решений по вопросам прежде всего основной деятельности. Таким образом, сотрудники фирмы или его подразделений могут заказать аналитический отчет по интересующему вопросу для принятия более рационального и взвешенного решения.
Направления аналитической работы определяются каждой фирмой самостоятельно и отражают области ее интересов.
32
elib.pstu.ru
К основным направлениям аналитической работы, разрабатываемым во многих фирмах, можно отнести анализ:
–объекта защиты;
–угроз;
–каналов несанкционированного доступа к информации;
–комплексной безопасности фирмы;
–нарушений режима конфиденциальности;
–подозрений утраты конфиденциальной информации и т.д. Анализ угроз является одним из самых важных разделов
аналитической работы и представляет собой ответ на вопрос, от чего или кого следует защищать определенные ранее объекты защиты.
Каждая фирма ведет индивидуальные направления аналитической работы и самостоятельно решает, следует ли разрабатывать их постоянно, периодически или только по мере надобности. Более того, каждая фирма имеет свои специфические области интересов, в рамках которых проводит аналитические исследования. Направления аналитической работы могут быть различными, но логика взаимодействия и система связей между направлениями исследований должны сохраняться.
Обнаружение канала или каналов несанкционированного доступа к ценной информации фирмы входит в число постоянных направлений аналитической работы.
Источники угрозы конфиденциальной информации – объективные и субъективные события, явления, факторы, действия и обстоятельства, содержащие опасность для ценной информации. К объективным источникам можно отнести экстремальные ситуации, несовершенство технических средств и др. Субъективные источники связаны с человеческим фактором и включают злоумышленников различного рода, посторонних лиц, посетителей, неквалифицированный или безответственный персонал, психически неполноценных людей, сотрудников, обиженных руководством фирмы и др.
33
elib.pstu.ru
Источники угрозы могут быть внешними и внутренними. Внешние источники находятся вне фирмы и представлены чрезвычайными событиями, а также организационными структурами и физическими лицами, проявляющими определенный интерес к фирме. Внутренние источники угрозы связаны с фатальными событиями в здании фирмы, а также с персоналом. Однако наличие источника угрозы само по себе не является угрозой. Угроза реализуется в действиях.
Вопросы для самопроверки
1. Перечислите составляющие системы защиты информа-
ции.
2. Что включают организационные меры защиты информа-
ции?
3.Что включают инженерно-технические элементы защиты информации?
4.Что включают программно-аппаратные средства защиты информации?
5.Перечислите направления аналитической работы в сфере безопасности.
34
elib.pstu.ru
5. УГРОЗЫ И ЗАЩИТА БЕЗОПАСНОСТИ СО СТОРОНЫ ПЕРСОНАЛА
В деле защиты предпринимательской деятельности от различного вида угроз значительное место занимает персонал предприятия, который может стать как объектом, так и субъектом таких угроз. Этот процесс предполагает проведение превентивных и текущих мер, направленных на работу с кадрами.
Важность работы с персоналом определяется тем, что в случае желания сотрудника разгласить сведения (в силу корыстных или других мотивов), являющиеся коммерческой тайной, воспрепятствовать этому не смогут никакие, даже дорогостоящие, средства защиты. Западные специалисты по обеспечению экономической безопасности считают, что сохранность конфиденциальной информации на 80 % зависит от правильного подбора, расстановки и воспитания персонала.
Угрозы экономической безопасности фирмы со стороны, например, конкурентов, реализуемые через ее персонал, могут принимать следующие формы:
–переманивание сотрудников, владеющих конфиденциальной информацией;
–ложные предложения работы сотрудникам конкурентов с целью выведывания информации;
–выведывание конфиденциальных сведений у сотрудников
втакой форме, что последние не догадываются о цели вопросов;
–прямой подкуп сотрудников фирм-конкурентов;
–засылка агентов к конкурентам;
–тайное наблюдение за сотрудниками конкурентов. Организация эффективной защиты экономической безо-
пасности фирмы со стороны персонала включает три основных этапа работы с сотрудниками, допущенными к конфиденциальной информации: предварительный, текущий и заключительный.
35
elib.pstu.ru
Предварительный этап является наиболее ответственным и, соответственно, более сложным. В случае возникновения необходимости принять нового сотрудника на работу, связанную с допуском к конфиденциальной информации, необходимо в требования к кандидату на должность включить и ряд моральнопсихологических качеств, которыми он должен обладать.
Вслучае успешного прохождения кандидатом проверки и признания его соответствующим должности осуществляется заключение (подписание) двух документов:
–трудового договора (контракта). Контракт обязательно должен содержать пункт об обязанности работника не разглашать конфиденциальную информацию (коммерческую тайну) и соблюдать меры безопасности;
–договора (обязательства) о неразглашении конфиденциальной информации (коммерческой тайны), представляющего собой правовой документ, в котором кандидат на вакантную должность дает обещание не разглашать те сведения, которые ему будут известны в период его работы в фирме, а также об ответственности за их разглашение или несоблюдение правил безопасности (расторжение контракта и судебное разбирательство).
Непосредственная деятельность вновь принятого работ-
ника в целях проверки его соответствия занимаемой должности
исоблюдения правил работы с конфиденциальной информацией должна начинаться с испытательного срока, в конце которого принимается окончательное решение о приеме кандидата на постоянную работу.
Входе постоянной работы необходимо определение поряд-
ка доступа сотрудников к конфиденциальной информации (коммерческой тайне). Все работники фирмы (предприятия), имеющие дело с конфиденциальной информацией, имеют право знакомиться с последней только в том объеме, который предусмотрених должностными обязанностями итребуется дляработы.
Увольнение работника, имевшего дело с конфиденциальной информацией, также может представлять угрозу экономической безопасности. Уволившийся работник, не имея обязанно-
36
elib.pstu.ru
стей перед фирмой, может поделиться ценными сведениями с конкурентами, криминальными структурами. Для снижения опасности таких последствий при увольнении работник предупреждается о запрещении использования сведений в своих интересах или интересах других лиц и дает подписку о неразглашении конфиденциальной информации (коммерческой тайны) после увольнения в течение определенного срока. В противном случае все убытки, которые будут причинены предпринимателю вследствие разглашения информации, могут быть взысканы в судебном порядке.
Защита персональных данных
Требования к безопасности персональных данных отражены в Федеральном законе «О персональных данных» № 261-ФЗ с учетом изменений от 25.07.20114.
Принятие Федерального закона «О персональных данных» явилось ответом законодательной ветви власти на один из наиболее острых вызовов современной России – бесконтрольный оборот приватных сведений граждан, неуважение к частным данным вообще, а также повсеместное распространение личных записей россиян в виде баз данных. Таким образом, данный закон имеет огромное социальное значение.
Основные понятия этого закона представлены в табл. 25. Анализ его главных определений позволяет сделать ряд
важных выводов:
– под действие нормативного акта попадают абсолютно все организации, так как в каждой организации находятся персональные данные как минимум ее персонала, а часто еще и приватные сведения клиентов, партнеров, подрядчиков или заказчиков;
4URL: http://www.consultant.ru/law/hotdocs/14182.html#.UW4yXcq
NB7M.
5URL: http://www.securitylab.ru/contest/408606.php.
37
elib.pstu.ru
ru.pstu.elib
38
|
|
Т а б л и ц а 2 |
|
|
|
|
|
Термин |
Определение |
Примеры |
|
|
Любая информация, относящаяся к опреде- |
Ф.И.О., дата и место рождения, адрес, |
|
Персональные данные |
ленному или определяемому на основании |
образование, профессия, доходы и т.д. |
|
такой информации физическому лицу (субъ- |
По сути, любые сведенияожизнигражда- |
||
|
екту персональных данных) |
нина |
|
|
|
|
|
|
Государственный орган, муниципальный |
Любая коммерческая, некоммерческая, |
|
|
орган, юридическое или физическое лицо, |
государственная, частная организация, |
|
Оператор |
организующие и(или) осуществляющие об- |
так как на попечении любой организации |
|
работку персональных данных, а также оп- |
находятся персональные данные как ми- |
||
|
|||
|
ределяющие цели и содержание обработки |
нимум ее служащих |
|
|
персональных данных |
|
|
|
|
|
|
|
Практически любые действия (операции) с |
Сбор, систематизация, накопление, хра- |
|
Обработка персо- |
персональными данными |
нение, уточнение (обновление, измене- |
|
нальных данных |
|
ние). Кроме того, использование, распро- |
|
|
странение, передача, обезличивание, бло- |
||
|
|
||
|
|
кирование, уничтожение |
|
|
|
|
|
|
Действия, направленные на передачу персо- |
Обнародование персональных данных в |
|
Распространение пер- |
нальных данных определенному кругу лиц |
СМИ, размещение в Интернете и других |
|
сональных данных |
(передача персональных данных) или на оз- |
сетях или предоставление доступа к пер- |
|
|
накомлениесперсональнымиданныминеог- |
сональным данным каким-либо иным |
|
|
раниченногокругалиц |
способом |
|
|
|
|
ru.pstu.elib
|
|
О к о н ч а н и е т а б л . 2 |
|
|
|
|
|
Термин |
Определение |
Примеры |
|
Блокирование персо- |
Временное прекращение обработки персо- |
Замораживание сбора, систематизации, |
|
нальных данных |
накопления, использования и любых дру- |
||
нальных данных |
|
гих операций с персональными данными |
|
|
|
||
|
|
|
|
Обезличивание пер- |
Действия, в результате которых невозможно |
Результаты статистических опросов – |
|
определить принадлежностьперсональных |
обезличенные данные |
||
сональных данных |
данныхконкретномусубъектуперсональных |
|
|
|
данных |
|
|
|
|
|
|
|
Информационная система, представляющая |
База данных, например оператора сотовой |
|
|
собой совокупность персональных данных, |
связи, содержащая персональные данные |
|
Информационная |
содержащихся в базе данных, а также ин- |
клиентов компании. Кроме того, средства |
|
система персональ- |
формационных технологий и технических |
для анализа записей в БД, импор- |
|
ных данных |
средств, позволяющих осуществлять обра- |
та/экспорта информации, передачи дан- |
|
ботку таких персональных данных с исполь- |
ных и т.д. (см. определение обработки |
||
|
|||
|
зованием средств автоматизации или без |
персональных данных) |
|
|
использования таких средств |
|
|
|
|
|
|
|
Обязательное для соблюдения оператором |
Требование обеспечить защиту от утечек |
|
Конфиденциальность |
или иным получившим доступ к персональ- |
|
|
ным данным лицом требование не допускать |
|
||
персональных данных |
их распространение без согласия субъекта |
|
|
|
персональных данных или наличия иного |
|
|
|
законного основания |
|
|
|
|
|
39
–конфиденциальность информации является обязательным требованием, причем под ней Федеральный закон понимает защиту от распространения (синоним слову «утечка»).
Таким образом, все коммерческие компании и государственные организации должны обеспечить безопасность персональных данных в процессе хранения и обработки.
При нарушении требований Закона «О персональных данных» виновные лица (согласно ст. 24) несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.
Закон предусматривает необходимость создания помимо политики безопасности политику использования персональных данных. Эта политика должна описывать все случаи, когда приватные сведения могут быть предоставлены третьим лицам, и запрещать распространение этой информации во всех других ситуациях. Кроме того, эта политика должна определять процедуры уничтожения персональных данных, в которых больше нет необходимости.
При создании автоматизированных информационных систем, в которых обрабатываются персональные данные, необходимо обязательно разрабатывать подсистему защиты этих данных.
Мероприятия по защите персональных данных должны включать в себя:
–определение угроз безопасности персональных данных при их обработке;
–разработку модели угроз;
–разработку на основе модели угроз системы защиты с применением методов, соответствующих классу информационной системы;
–проверку готовности средств защиты к использованию с составлением заключений о возможности эксплуатации;
–установку и ввод в эксплуатацию средств защиты, а также обучение сотрудников их использованию.
40
elib.pstu.ru