Организация информационной безопасности субъектов хозяйственной деятельности
Дата: 18.05.2004Источник: www.crime-research.ru
Автор: Андрей Белоусов
Одновременно с развитием рыночных отношений в Украине встал вопрос о необходимости обеспечения ее безопасности. Субъекты хозяйственной деятельности оказались незащищенными от влияния криминальной среды. В силу объективных обстоятельств государственные силовые структуры не смогли эффективно противостоять бурно развивающейся преступности в стране, что привело к возникновению новых видов противоправных деяний – преступлений с использованием современных информационных технологий.
Бурный технический рост, внедрение в повседневную практику компьютеризации внутренних и внешних производственных цепочек породило особый вид экономических преступлений - компьютерных. Новый УК Украины не оставил это незамеченным - в действующее уголовное законодательство введено уголовно-правовое понятие компьютерных преступлений и соответствующие статьи, предусматривающие наказания за определенные виды деяний, совершаемые с использованием компьютерной техники, а также в отношении компьютерной информации.
Большинство таких деяний носят корыстную направленность, и поэтому представляют наибольшую опасность для финансовой и производственной сферы. К основным видам таких преступлений за рубежом относят - компьютерные мошенничества, компьютерные подлоги, компьютерные диверсии (повреждение компьютерной информации и программ), несанкционированные доступы и перехваты массивов информации. Особую озабоченность вызывают две тенденции развития компьютерной преступности. Во-первых, благодаря транснациональным информационным сетям, прежде всего Интернету, такая преступность может миновать любые границы. Во-вторых, она активно используется организованными преступными группировками. Оценка потерь, которые несет экономика в развитых странах Запада, составляет гигантские цифры - порядка миллиардов долларов. Стоит напомнить, что европейцы не имеют столь высокого уровня уголовных преступлений, развитие технического прогресса прямо пропорционально связано со столь же бурным ростом компьютерных мошенничеств.
Одно из первых криминальных использований компьютерной техники в нашей стране (тогда ещё СССР) относится к 1979 году, когда в Вильнюсе было похищено свыше 78 тыс. руб. В последние годы компьютеры применялись уже не только для хищений и разного рода мошенничеств, но и для изготовления поддельных денежных знаков, различных банковских платежных документов, кредитных, дебитных карт, различного рода карт-систем (например, для пользователей городских таксофонов, спутникового телевидения, сотовых радиотелефонов и др.). Отмечены случаи компьютерного хулиганства со значительным ущербом (заражение ЭВМ Игналинской АЭС вирусными программами в 1993 году).
Анализ уголовных дел и иной доступной информации показал, что механизм совершения преступления в целом состоит в следующем:
· преступники имели отношение к разработке программного обеспечения и эксплуатации компьютерной техники, используя указанные возможности для несанкционированного дописания в массивы “операционного дня” необходимой им информации;
· несанкционированный доступ осуществлялся в течение короткого времени (до 1 минуты) под видом законного пользователя с неустановленного терминала, имеющего телекоммуникационную связь с единой сетью ЭВМ;
· для дальнейших операций была заранее разработана и внедрена специальная программа, которая в пользу каких-либо лиц (юридических или физических, реальных и вымышленных) открыла технологические счета, имеющие первоначально нулевой остаток, в РКЦ были дополнительно внедрены для дальнейшей обработки и рассылки по нужным адресам бумажные носители - фальшивые платежные поручения с поддельными печатями РКЦ, как якобы прошедшие там обработку;
· для осложнения бухгалтерского контроля под предлогом произошедшего, якобы, сбоя программы не выдавались необходимые документы: контрольные и оборотные ведомости по балансовым счетам, а также ведомость остатков в разрезе кодов валют за день перерасчета;
· получение со счетов наличными осуществлялось в заранее разработанном порядке и без всяких следов.
Возможность осуществления преступных деяний в областях автоматизации производства и бухгалтерского учета заключалась, прежде всего, в слабой готовности противостоять мошенничеству, неумении осуществить систему разделения доступа, обновлении паролей, ключевых слов и так далее.
Наиболее опасными субъектами компьютерных мошенничеств являются так называемые “хакеры”, “крекеры” и представители групп, занимающихся промышленным шпионажем. В этой связи, как рекомендуют специалисты по безопасности, особенно серьезное внимание, следует обращать на вновь принимаемых сотрудников-специалистов в области компьютерной техники, программирования и защиты компьютерной информации. Уже известны случаи, когда отдельные хакеры в целях личного обогащения пытались устроиться на работу в информационные службы крупных коммерческих структур. Но наибольшую опасность могут представлять такие специалисты в случае вхождения ими в сговор с руководителями подразделений и служб самой коммерческой структуры или связанных с ней систем, а также с организованными преступными группами, поскольку в этих случаях причиняемый ущерб от совершенных преступлений и тяжесть последствий значительно увеличиваются.
Необходимо также учитывать, что по мере освоения компьютерной техники усложняется и механизм ее использования в различных правонарушениях. Увеличивается число преступлений “со взломом”. Используемые компьютерными преступниками методики “взлома” или несанкционированного доступа, в общей сложности, сводятся к двум разновидностям:
1. “Взлом” изнутри: преступник имеет физический доступ к терминалу, с которого доступна интересующая его информация и может определенное время работать на нем без постороннего контроля.
2. “Взлом” извне: преступник не имеет непосредственного доступа к компьютерной системе, но имеет возможность каким-либо способом (обычно посредством удаленного доступа через сети) проникнуть в защищенную систему для внедрения специальных программ, произведения манипуляций с обрабатываемой или хранящейся в системе информацией, или осуществления других противозаконных действий.
Анализ последних деяний свидетельствует, что разовые преступления по проникновению в системы со своих или соседних рабочих мест постепенно перерастают, как у нас, так и за рубежом, в сетевые компьютерные преступления путем “взлома” защитных систем организаций.
В последние годы компьютеры применялись также для изготовления поддельных денежных знаков, различных банковских платежных документов, кредитных, дебитных карт, различного рода карт-систем.
Как указывают компетентные эксперты, наряду со “специалистами” в области компьютерной техники и программирования, в данной сфере незаконного бизнеса появляется все больше любителей. Последние умело производят декодирование паролевой системы защиты карты с последующим перепрограммированием имеющейся или установлением микросхемы (“чипа”) с записью необходимой информации для совершения мошенничеств. После подобной модификации, переделанные или вновь изготовленные поддельные пластиковые карты, или другие их типы и виды реализуются среди недобросовестных клиентов для их последующего использования.
Данный вид незаконного бизнеса уже получил широкое распространение за рубежом, и в настоящее время активно внедряется в Украине, в том числе с позиций группировок организованной преступности, имеющих также и международные связи. Таким образом, очевидно, что помимо традиционных мер безопасности в технической сфере (организационные, материальные, программные), необходимо ставить в повестку дня проблему соответствующей подготовки сотрудников служб безопасности. Речь идет, прежде всего, о подготовке специалистов в области компьютерной безопасности, основной функцией которых должно стать выявление, предупреждение и пресечение деятельности по нанесению информационного и финансового ущерба.
Анализ состояния дел в области информационной безопасности показывает, что в ряде развитых государств сложилась и успешно функционирует вполне устоявшаяся инфраструктура системы информационной безопасности (СИБ), т.е. системы мер, обеспечивающей такое состояние конфиденциальной информации, при котором исключаются ее разглашение, утечка, несанкционированный доступ (внешние угрозы), а также искажение, модификация, потеря (внутренние угрозы).
Тем не менее, как свидетельствует реальность, злоумышленные действия над информацией не только не прекращаются, а имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для успешного противодействия этой тенденции необходима стройная и управляемая система обеспечения безопасности информации (ОБИ).
Поскольку информация является продуктом информационной системы (ИС), т.е. организационно-упорядоченной совокупности информационных ресурсов, технологических средств, реализующих информационные процессы в традиционном или автоматизированном режимах для удовлетворения информационных потребностей пользователей, то материальными объектами информационной безопасности являются элементы таких ИС:
· потребители и персонал;
· материально-технические средства (МТС) информатизации;
· информационные ресурсы (ИР) с ограниченным доступом.
Таким образом, под информационной безопасностью далее будем понимать состояние защищенности информационных ресурсов, технологий их формирования и использования, а также прав субъектов информационной деятельности. Здесь важно заметить следующее:
1. Объектом защиты становится не просто информация как некие сведения, а информационный ресурс, т.е. информация на материальных носителях (документы, базы данных, патенты, техническая документация и т.д.), право на доступ к которой юридически закреплено за ее собственником и им же регулируется [1].
2. Информационная безопасность пользователей, в отличие от физической, обеспечивает защищенность их прав на доступ к ИР для удовлетворения своих информационных потребностей.
3. С точки зрения экономической целесообразности защищать следует лишь ту информацию, разглашение (утечка, потеря и т.д.) которой неизбежно приведет к материальному и моральному ущербу.
Важнейшими принципами обеспечения безопасности ИС являются [2]:
· Законность мероприятий по выявлению и предотвращению правонарушений в информационной сфере.
· Непрерывность реализации и совершенствования средств и методов контроля и защиты информационной системы.
· Экономическая целесообразность, т.е. сопоставимость возможного ущерба и затрат на обеспечение безопасности информации.
· Комплексность использования всего арсенала имеющихся средств защиты во всех подразделениях фирмы и на всех этапах информационного процесса.
Последнее дает наибольший эффект тогда, когда все используемые средства, методы и мероприятия объединены в единую управляемую систему информационной безопасности. В этом случае достигается полный охват объектов защиты (персонала, МТС информатизации и ИР) всей совокупностью форм противодействия и защиты на основе правовых, организационных и инженерно-технических мероприятий.
В зависимости от масштаба и вида деятельности коммерческой организации структура ее СИБ может быть разнообразной исходя из экономической целесообразности. Однако обязательными элементами, присутствующими в ее структуре и соответствующие основным направлениям защиты, должны быть следующие [3]:
1. Правовая защита - юридическая служба (юрист, патентовед, оценщик интеллектуальной собственности т.п.), взаимодействующая с бухгалтерией и плановым отделом.
2. Организационная защита - службы охраны (комендант, контролеры, пожарные и т.п.) и режима (государственной, служебной тайны, конфиденциальной информации и т.п.), взаимодействующие с отделом кадров.
3. Инженерно-техническая защита - инженерно-техническая служба (операторы ЭВМ, связисты, криптографы, техники и т.п.), взаимодействующие с функциональными подразделениями фирмы.
Объединяющим и координирующим началом всей СИБ является ее начальник в ранге заместителя руководителя фирмы по безопасности, опирающийся в своих действиях на решения Совета безопасности, объединяющего начальников соответствующих служб и возглавляемого ответственным руководителем фирмы.
Функционально СИБ строится в виде перекрывающихся "концентрических" контуров защиты по отношению к внешним угрозам, в центре которых располагается объект защиты. При этом "внешним" контуром (большего "радиуса") является контур правовой защиты, обеспечивающий законность и правомерность, как самого объекта, так и мер по его защите. Далее следует контур организационной защиты, обеспечивающий порядок доступа к объекту, который непосредственно защищается "внутренним" контуром инженерно-технической защиты путем контроля и предотвращения утечки, НСД, модификации и потери информации.
Такое построение СИБ позволяет существенно локализовать техническую защиту и сократить расходы на нее вследствие правовой "селекции" объектов защиты и организации ограниченного доступа к ним. Реализация процесса защиты информации в каждом из означенных контуров происходит примерно по следующим этапам:
1. Определение объекта защиты:
· права на защиту ИР;
· стоимостная оценка ИР и его основных элементов;
· длительность жизненного цикла ИР;
· траектория информационного процесса по функциональным подразделениям фирмы.
2. Выявление угроз:
· источников угроз (конкурентов, преступников, сотрудников и т.п.);
· целей угроз (ознакомление, модификация, уничтожение и т.п.);
· возможных каналов реализации угроз (разглашение, утечка, НСД и т.п.);
3. Определение необходимых мер защиты.
4. Оценка их эффективности и экономической целесообразности.
5. Реализация принятых мер с учетом выработанных критериев (приоритетов).
6. Доведение принятых мер до персонала (в части касающейся), контроль их эффективности и устранение (предотвращение) последствий угроз.
Описанный выше процесс, по сути, является процессом управления информационной безопасностью объекта, и реализуется системой управления, включающей в себя, помимо самого управляемого (защищаемого) объекта, средства контроля за его состоянием, механизм сравнения текущего состояния с требуемым и формирователь управляющих воздействий для локализации и предотвращения ущерба вследствие угроз. Критерием управления в данном случае целесообразно считать минимум информационного ущерба при минимальных затратах на ОБИ, а целью управления - обеспечение требуемого состояния объекта в смысле защищенности.
Разработка структуры системы управления информационной безопасностью СУИБ, как и любой другой системы управления, основывается на трех базовых принципах управления [4]:
1. Принцип разомкнутого управления. Заранее сформированные требования реализуются исполнительными органами СИБ, воздействуя на объект защиты. Достоинством является простота, а недостатком - низкая эффективность защиты, т.к. трудно заранее предугадать момент воздействия и вид угрозы.
2. Принцип компенсации. В контур управления оперативно вводится информация об обнаруженной угрозе, в результате чего исполнительные органы СИБ концентрируют свои усилия на локализации и противодействии конкретной угрозе. Достоинством является более высокая эффективность, а недостатками - трудность правильного обнаружения угрозы и невозможность устранения последствий внутренних угроз.
3. Принцип обратной связи. Обнаруживается не сама угроза, а реакция системы на нее и степень нанесенного ущерба. Достоинством является конкретность и точность отработки последствий угроз (экономическая целесообразность), включая и внутренние. Недостатком является запаздывание (инерционность) принимаемых мер, т.к. обнаруживается не предполагаемая угроза, а уже реакция на нее.
Сочетая при создании СУИБ различные принципы управления в каждом отдельном контуре защиты объекта можно добиться оптимального соотношения эффективности и стоимости ОБИ.
Таким образом, предложенный подход к разработке СИБ с позиций теории управления позволяет воспользоваться ее апробированным математическим аппаратом при анализе и синтезе СУИБ, оптимизируя ее в смысле основных показателей качества теории управления:
· минимума информационного ущерба и затрат на управление (защиту);
· управляемости и наблюдаемости;
· быстродействия и устойчивости управления.
В связи с новыми процессами, происходящими в современном обществе, существенно возрастает значение фактора корпоративной культуры. Информатизация бизнеса, интернетизация многих сфер предпринимательской деятельности (финансы, реклама, торговля и т.п.), внедрение компьютерных технологий управления выдвигают на первый план проблемы информационной безопасности организации, создают необходимость адаптации традиционной профессиональной и корпоративной культуры к новой информационной ситуации, поэтому неотъемлемой частью корпоративной культуры предпринимательства становиться стратегия информационной безопасности.
Но, вкладывая средства в информационную безопасность, не стоит пренебрегать человеческим фактором. При этом важна опора не на приблизительные оценки, а на результаты специальных диагностических исследований. Проведение таких исследований предполагает разработку теоретических аспектов. Один из таких аспектов связан с выбором приоритетных групп для диагностики влияния их на принятие решений в сфере информационной безопасности и их роли в формировании корпоративной культуры. Эти группы можно дифференцировать следующим образом:
· Руководители. Несомненно, руководители имеют прямое отношение к проблемам информационной безопасности. Руководители принимают стратегические решения о расширении информационной базы и о принятии на работу специалиста по информационной безопасности. Вследствие отсутствия знаний по данной проблеме многие руководители усугубляют проблемы, предполагая, что эксперт по безопасности, находясь в каком-нибудь отдалённом месте, сможет предотвратить, обнаружить или залатать бреши в защите на десятках ПК, рассеянных по всей организации. Нередко руководители, осмысливая только часть проблемы и давая команду о повсеместной установке определённого средства защиты, не только не решают проблемы, но и усложняют её решение.
· Специалисты по информационной безопасности. Если организация небольшая, то в ней нередко предпринимаются попытки совместить в одном лице обязанности менеджера по информационной безопасности и администратора сети. Это далеко не всегда приводит к успешной защите информационных интересов фирмы, т.к. объём профессиональных обязанностей данных специалистов различен. Администратор сети отвечает за функционирование сети, в том числе и за её безопасность (в технических и программных аспектах), тогда как менеджер по безопасности должен держать в поле зрения все участки информационной среды фирмы и предотвращать все угрозы её информационной безопасности (технические способы несанкционированного доступа - подслушивание, подключение, внедрение, похищение документов, шантаж и подкуп персонала, дезинформация и т.п.). Поэтому менеджер по безопасности должен владеть всем комплексом проблем информационной безопасности, уметь работать с людьми не в меньшей степени, чем с техническими средствами защиты. Цель специалиста по безопасности не в написании памяток или заявлений стратегического порядка, а в повышении безопасности информации.
· Администраторы локальных сетей. Администраторы сети - это, как правило, технически грамотные молодые люди. Они достигли своего положения, благодаря своей кропотливой работе, умению быстро постигать и возможность покупать книги соответствующего содержания. Администраторы сети сталкиваются с большим количеством проблем связанных с безопасностью сети. У них, как и у специалистов по информационной безопасности, возникает масса конфликтов с пользователями из-за ущемления прав пользователей.
Менеджеры сети в большинстве случаев сталкиваются со следующими проблемами:
· отказ выполнять процедуры управления;
· отказ выполнять процедуры управления надлежащим образом;
· отказ исправлять известные изъяны системы;
· отказ следовать установленным процедурам эксплуатации;
· отказ в дисциплинарном наказании пользователей при нарушении ими информационной безопасности.
· Пользователи. Самые типичные угрозы информационной безопасности исходят от "внутреннего врага". Чаще всего компьютеры становятся жертвой небрежного пользователя. Но компетентные и аккуратные пользователи также представляют угрозу. Они могут подобрать для работы сложное программное обеспечение, которое с трудом будут использовать другие, списать из сети и установить файл, содержащий вирус. Пользователей больше волнуют их личные перспективы, а не нужды организации. В связи с этим от них исходит потенциальная угроза информационной безопасности. Особое место занимает группа недовольных обозлённых пользователей. Люди, которые вредят изнутри, наиболее хрупкое место информационной безопасности, поскольку это те люди, которым доверяют.
· Хакеры: Хакер (в переводе с английского) означает - индивидуум, который получает удовольствие от изучения деталей функционирования компьютерных систем и от расширения их возможностей, в отличие от большинства пользователей, которые предпочитают знать только необходимый минимум. Данная трактовка отличается от принятой в средствах массовой информации, и приведшей к подмене понятий. Всех профессионалов, связанных с информационной безопасностью, можно разделить на хакеров (hackers) и крекеров (crackers). И те, и другие занимаются решением одних и тех же задач - поиском уязвимостей в вычислительных системах и осуществлением атак на данные системы ("взлом") [5].
Главное различие хакеров и крекеров заключается в преследуемых целях. Основная задача хакера в том, чтобы, исследуя защиту обнаружить слабые места в системе безопасности и проинформировать пользователей и разработчиков, с целью устранения найденных уязвимостей и повышения уровня защиты.
Кракеры непосредственно осуществляют "взлом" системы с целью получения несанкционированного доступа к закрытым для них информационным ресурсам и системам.
Кракеры подразделяются:
· вандалы - самая малочисленная часть кракеров, их цель - проникновение в систему с целью полного её уничтожения;
· "шутники" - основная цель - известность, достигаемая путём проникновения в систему и введением туда различных эффектов выражающих их неудовлетворённое чувство юмора;
· взломщики - профессиональные крекеры, основная задача - взлом системы с определёнными целями, как-то кража или подмена информации с целью наживы. Наиболее уважаемая группа в среде крекеров.
Крекеры также занимаются снятием защиты с коммерческих версий программных продуктов, изготовлением регистрационных ключей для условно бесплатных программ.
Выбор и диагностика этих групп в данный момент ставит перед исследователем множество проблем, самой крупной проблемой в этой области исследования является нежелание многих коммерческих фирм и организаций из-за боязни потерять престиж и клиентуру сделать достоянием гласности проблемы информационной безопасности, с которыми сталкивается предприятие на российском рынке. Так до сих пор сложно определить масштабы проблем связанных с крекерами, ощущается явный недостаток фактов по данной проблеме.
В сложившейся ситуации от 80% до 90% злоупотреблений, угрожающих информационной безопасности, являются внутренними. Один из администраторов сети крупного коммерческого банка заявляет, что никогда не встречался с внешними нарушениями системы. "Однако у нас были некоторые действительно глупые внутренние нарушения безопасности. Например, люди оставляли свои пароли на виду в рабочем помещении". Исходя из этого, повышение информационной безопасности зависит, прежде всего, от пользователя, сотрудников фирмы.
Повысив корпоративную культуру, заставив пользователей более серьёзно и осмысленно относиться к своим обязанностям, можно существенно повысить информационную безопасность. Поэтому топ-менеджеры и менеджеры по безопасности фирмы не должны экономить на инвестициях в подготовку персонала фирмы, мероприятия по формированию корпоративного духа, повышение информационной культуры, социальной и профессиональной ответственности каждого сотрудника за соблюдение информационно-безопасного режима.
1. Проскуряков А.М. Интеллектуальная собственность. - Вологда: Ардвисура, 1998.
2. Ярочкин В.И. Безопасность информационных систем. - М.: изд. "Ось-89", 1996.
3. Ярочкин В.И. Система безопасности фирмы. - М.: изд. "Ось-89", 1998.
4. Теория автоматического управления. В 2-х частях / Под ред.Воронова А.А. - М.: Высшая школа, 1986.
5. Медведовский И.Д., Семьянов П.В. Хакеры или кракеры «Что такое хорошо и что такое плохо?». - http://www.crime-research.ru/library/24.htm.
6. Конференция "Информационная безопасность компьютерных систем" от 2 ноября 2000 года "Современные технологические решения в сфере обеспечения безопасности компьютерных систем". - Доклад д.т.н, профессора, академика РАЕН Минаева В.А.
7. Мануйлов И.Н. Корпоративная информационная безопасность фирмы, как компонент копоративной культуры.
Добавить комментарий |
Всего 0 комментариев |