Современное развитие информационных технологий и, в частности, технологий Internet/Intranet приводит к необходимости защиты информации, передаваемой в рамках распределенной корпоративной сети, которая использует сети открытого доступа. При работе на своих собственных закрытых физических каналах доступа эта проблема так остро не стоит, так как в эту сеть закрыт доступ посторонним. Однако выделенные каналы может себе позволить далеко не любая компания. Поэтому приходится довольствоваться тем, что есть в распоряжении компании. А есть чаще всего Internet. Поэтому нужно изобретать способы защиты конфиденциальных данных, передаваемых по фактически незащищенной сети.
Рассматривая вопросы информационной защиты, можно выделить несколько вопросов, которые являются базовыми и в обязательном порядке должны прорабатываться высшим руководством компании при организации информационной защиты (рис. 9.1).
Надо ли защищаться?Ответов на этот вопрос может быть множество, в зависимости от структуры и целей компании. Для одних главной задачей является предотвращение утечки информации (маркетинговых планов, перспективных разработок и т. д.) конкурентам. Другие могут пренебречь конфиденциальностью своей информации и сосредоточить свое внимание на ее целостности (например, для банка важно в первую очередь обеспечить неизменность обрабатываемых платежных поручений). Для третьих компаний на первое место выходит задача обеспечения доступности и безотказной работы корпоративных информационных систем. Например, для провайдера Internet-
Рисунок 9.1 – Ключевые вопросы информационной безопасности
услуг, компании, имеющей Web-сервер, или оператора связи первейшей задачей является именно обеспечение безотказной работы всех (или наиболее важных) узлов своей информационной системы. Расставить такого рода приоритеты можно только в результате анализа деятельности компании.
Обычно, когда речь заходит о безопасности компании, ее руководство часто недооценивает важность информационной безопасности. Основной упор делается на физической безопасности (пропускной режим, охрана, системы видеонаблюдения и т. д.). Однако за последние годы ситуация существенно изменилась. Для того чтобы проникнуть в тайны компании, нет необходимости перелезать через заборы и обходить периметровые датчики, вторгаться в защищенные толстыми стенами помещения, вскрывать сейфы и т. п. Достаточно войти в информационную систему банка и перевести сотни тысяч долларов на нужные счета, подменить или уничтожить критически важные данные, вывести из строя какой-либо узел корпоративной сети.
Все это может привести к значительному ущербу, причем не только к прямому, который может выражаться в крупных суммах, но и к косвенному, не менее значимому. Выведение из строя того или иного узла сети или модуля КИС приводит к затратам на восстановление его работоспособности, которые заключаются в обновлении или замене программного обеспечения, расходовании дополнительной зарплаты обслуживающего персонала. Атака на Web-сервер компании и замена его содержимого на любое другое может привести к снижению доверия к фирме и, как следствие, к потере части клиентуры и снижению доходов.
От кого защищаться?В абсолютном большинстве случаев ответ на этот вопрос - от внешних злоумышленников, хакеров. По мнению большинства российских предпринимателей, основная опасность исходит именно от них: проникают в компьютерные системы банков и военных организаций, перехватывают управление спутниками и т. д.
Такая опасность существует, и ее нельзя недооценивать. Но она слишком преувеличена. Статистика показывает: до 70-80 % всех компьютерных преступлений связаны с внутренними нарушениями, которые осуществляются сотрудниками компании! Пусть случайному внешнему злоумышленнику (а большинство «взломов» совершают именно такие субъекты) удалось найти слабое место в системе информационной безопасности компании. Используя эту «дыру», он проникает в корпоративную сеть - к финансовым данным, стратегическим планам или перспективным проектам. Что он реально имеет? Не являясь специалистом в области, в которой работает компания, разобраться без посторонней помощи в гигабайтах информации попросту невозможно. Однако свой сотрудник может реально оценить стоимость той или иной информации, и он обладает привилегиями доступа, которые позволяют ему производить несанкционированные манипуляции.
В публикациях достаточно примеров, когда сотрудник компании, считая, что его на работе не ценят, совершает компьютерное преступление, приводящее к многомиллионным убыткам. Часты случаи, когда после увольнения бывший сотрудник компании в течение долгого времени пользуется корпоративным доступом в Internet. При увольнении этого сотрудника никто не подумал о необходимости отмены его пароля на доступ к данным и ресурсам, с которыми он работал в рамках своих служебных обязанностей. Если администрирование доступа поставлено плохо, то часто никто не замечает, что бывшие сотрудники пользуются доступом в Internet и могут наносить ущерб своей бывшей компании. Спохватываются лишь тогда, когда замечают резко возросшие счета за Internet-услуги и утечку конфиденциальной информации. Такой случай достаточно показателен, т. к. иллюстрирует очень распространенные практику и порядок увольнения в российских компаниях.
Однако самая большая опасность может исходить не просто от уволенных или обиженных рядовых сотрудников (например, операторов различных информационных подсистем), а от тех, кто облечен большими полномочиями и имеет доступ к широкому спектру самой различной информации. Обычно это сотрудники ИТ-отделов (аналитики, разработчики, системные администраторы), которые знают пароли ко всем системам, используемым в организации. Их квалификация, знания и опыт, используемые во вред, могут привести к очень большим проблемам. Кроме того, таких злоумышленников очень трудно обнаружить, поскольку они обладают достаточными знаниями о системе защиты ИС компании, чтобы обойти используемые защитные механизмы и при этом остаться «невидимыми».
Поэтому при построении системы защиты необходимо защищаться не только и не столько от внешних злоумышленников, но и от злоумышленников внутренних, т.е. выстраивать комплексную систему информационной безопасности.
Приоритетные направления исследований и разработок в области защиты информации и компьютерной безопасности. В области защиты информации и компьютерной безопасности в целом наиболее актуальными являются три группы проблем:
1. Нарушение конфиденциальности информации;
2. Нарушение целостности информации;
3. Нарушение работоспособности информационно-вычислительных систем.
Классически считалось, что обеспечение безопасности информации складывается из трех составляющих: Конфиденциальности, Целостности, Доступности (рис. 9.2). Точками приложения процесса защиты информации к информационной системе являются аппаратное обеспечение, программное обеспечение и обеспечение связи (коммуникации). Сами процедуры (механизмы) защиты разделяются на защиту физического уровня, защиту персонала и организационный уровень.
Безопасность информации (данных) –состояние защищенности информации (данных), при котором обеспечены её (их) конфиденциальность, доступность и целостность.
Рисунок 9.2 – Составляющие обеспечения информационной безопасности
Информационная безопасность –защита конфиденциальности, целостности и доступности информации.
1. Конфиденциальность: свойство информационных ресурсов, в том числе информации, связанное с тем, что они не станут доступными и не будут раскрыты для неуполномоченных лиц (состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право);
2. Целостность: неизменность информации в процессе ее передачи или хранения (избежание несанкционированной модификации информации).
3. Доступность: свойство информационных ресурсов, в том числе информации, определяющее возможность их получения и использования по требованию уполномоченных лиц (избежание временного или постоянного сокрытия информации от пользователей, получивших права доступа).
