Обеспечение информационной безопасности – проблема комплексная, требующая согласованного принятия мер на законодательном, административном, процедурном и программно-техническом уровнях. При разработке и реализации базового документа административного уровня (политики безопасности организации) может использоваться рекомендация Internet-сообщества "Руководство по информационной безопасности предприятия" (Site Security Handbook). В нем освещаются практические аспекты формирования политики и процедур безопасности, поясняются основные понятия административного и процедурного уровней, содержится мотивировка рекомендуемых действий, затрагиваются темы анализа рисков, реакции на нарушения информационной безопасности и действий после ликвидации нарушения. Более подробно последние вопросы рассмотрены в рекомендации "Как реагировать на нарушения информационной безопасности" (Expectations for Computer Security Incident Response). В этом документе можно найти и ссылки на информационные ресурсы, и практические советы процедурного уровня.
Рекомендация "Как выбирать поставщика Internet-услуг"
При развитии и реорганизации корпоративных информационных систем окажется полезной рекомендация "Как выбирать поставщика Internet-услуг" (Site Security Handbook Addendum for ISPs). В первую очередь ее положений необходимо придерживаться в ходе формирования организационной и архитектурной безопасности, на которой базируются прочие меры процедурного и программно-технического уровней.
Британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила"
Для практического создания и поддержания режима информационной безопасности с помощью регуляторов административного и процедурного уровней необходимо использовать британский стандарт BS 7799 "Управление информационной безопасностью. Практические правила" (Code of practice for information security management) и его вторую часть BS 7799-2:2002 "Системы управления информационной безопасностью – спецификация с руководством по использованию" (Information security management systems – Specification with guidance for use). В нем разъясняются такие понятия и процедуры, как политика безопасности, общие принципы организации защиты, классификация ресурсов и управление ими, безопасность персонала, физическая безопасность, принципы администрирования систем и сетей, управление доступом, разработка и сопровождение ИС, планирование бесперебойной работы организации.
1.2. Угрозы безопасности информации
Угроза информации – это возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию: нарушение (или опасность нарушения) физической целостности, логической структуры, несанкционированная модификация информации, несанкционированное получение и размножения информации.
Системная классификация угроз информации представлена в табл. 1.
Таблица 1
Системная классификация угроз информации
Случайная угроза – это угроза, обусловленная спонтанными и независящими от воли людей обстоятельствами, возникающими в системах обработки данных, принятия решений, ее функционирования и т. д.
Отказ – нарушение работоспособности какого-либо элемента системы, приводящее к невозможности выполнения им основных своих функций.
Сбой – временное нарушение работоспособности какого-либо элемента системы, следствием чего может быть неправильное выполнение им в этот момент своей функции.
Ошибка – неправильное (разовое или систематическое) выполнение элементом одной или нескольких функций, происходящее вследствие специфического (постоянного или временного) его состояния.
Побочное влияние – негативное воздействие на систему в целом или отдельные ее элементы, оказываемое какими-либо явлениями, происходящими внутри системы или во внешней среде.
Количественная недостаточность – физическая нехватка одного или несколько элементов системы, вызывающая нарушения технологического процесса функционирования системы.
Качественная недостаточность – несовершенство конструкции (организации) элементов системы, вследствие чего могут появляться возможности случайного или преднамеренного негативного воздействия на информационные ресурсы.
Деятельность разведорганов иностранных государств – специально организуемая деятельность государственных органов, профессионально ориентированных на добывание необходимой информации всеми доступными способами и средствами. К основным видам разведки относятся агентурная (несанкционированная деятельность профессиональных разведчиков, завербованных агентов и доброжелателей) и техническая, включающая радиоразведку (перехват радиосредствами информации, циркулирующей в радиоканалах систем связи), радиотехническую (регистрацию спецсредствами сигналов, излучаемых техническими системами) и космическую (использование космических кораблей и искусственных спутников для наблюдения за территорией, ее фотографирования, регистрации радиосигналов и т. д.).
Промышленный шпионаж – негласная деятельность организации (ее представителей) по добыванию информации, специально охраняемой от несанкционированной ее утечки или похищения, а также по созданию для себя благоприятных условий в целях получения максимальных выгод.
Злоумышленные действия уголовных элементов – хищение информационных ресурсов в целях наживы или их разрушения в интересах конкурентов.
Злоумышленные действия недобросовестных сотрудников – хищение или уничтожение информационных ресурсов по эгоистическим или корыстным мотивам.
При обработке информации средствами ЭВТ (электронно-вычислительной техники) возникают угрозы прямого несанкционированного доступа к информации (НСД), так и косвенного с использованием технических средств разведки. Для ЭВТ существует пять угроз:
1. Хищение носителей информации.
2. Запоминание или копирование информации.
3. Несанкционированное подключение к аппаратуре.
4. НСД к ресурсам ЭВТ.
5. Перехват побочных излучений и наводок.
Существует три типа средств получения информации: человек, аппаратура, программа. Угрозы со стороны человека – хищение носителей, чтение информации с экрана, чтение информации с распечаток. Угрозы, реализованные аппаратными средствами, – подключение к устройствам и перехват излучений. Угрозы, обусловленные программным обеспечением, – несанкционированный программный доступ, программное дешифрование зашифрованных данных, программное копирование информации с носителей, уничтожение (искажение) или регистрация защищаемой информации с помощью программных закладок, чтение остаточной информации из оперативного запоминающего устройства (ОЗУ).
Также угрозы могут классифицироваться по их источнику:
1. Природные (стихийные бедствия, магнитные бури, радиоактивное излучение и наводки).
2. Технические (отключение или изменение характеристик электропитания, отказ и сбои аппаратно-программных средств, электромагнитные излучения и наводки, утечки через каналы связи).
3. Субъективные (преднамеренные и непреднамеренные). Угрозу для ЭВТ представляют специальные программы, скрытно и преднамеренно внедряемые в различные функциональные программные системы и которые после одного или нескольких запусков разрушают хранящуюся в них информацию. Это программы: электронные вирусы, троянские кони, компьютерные черви.
Электронные вирусы – вредоносные программы, которые не только осуществляют несанкционированные действия, но обладают способностью к саморазмножению. Для размножения вирусов необходим носитель – файл, диск.
Троянские кони – вредоносные программы, которые злоумышленно вводятся в состав программного обеспечения и в процессе обработки информации осуществляют несанкционированные процедуры.
Компьютерные черви – вредоносные программы, подобные по своему воздействию электронным вирусам, но не требующие для своего размножения специального носителя.
Статья 272 уголовного кодекса Российской Федерации (УК РФ) предусматривает ответственность за деяния, сопряженные с неправомерным доступом к компьютерной информации, повлекшим за собой уничтожение, блокирование, модификацию либо копирование информации, нарушение работы ЭВМ, системы ЭВМ или их сети. Статьей 273 УК РФ предусматривается ответственность за создание, использование или распространение программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к последствиям, описанным в статье 272 УК РФ. Такие последствия как уничтожение, блокирование, модификация либо копирование информации, нарушающие работу ЭВМ, системы ЭВМ или их сети в исследованиях по информационной безопасности, рассматриваются, как угрозы системе защиты информации и "расшифровываются" при помощи трех свойств защищаемой информации: конфиденциальности (неизвестности третьим лицам), целостности и доступности.