Тема 6. Консультування у сфері захисту бізнес-інформації

Зростаючу небезпеку для особи, суспільства і держави представляє новий клас соціально небезпечних злочинів, заснованих на використанні сучасних інформаційно-телекомунікаційних технологій. Комп'ютер стає найбагатообіцяючим знаряддям зростання злочинності.

Ситуація посилюється доступністю і дешевизною сучасних засобів знімання інформації з комп'ютерного і периферійного устаткування. З поширенням в Україні засобів нелегального знімання інформації важливі відомості можуть стати здобиччю не лише розвідувальних служб, але й різного роду терористів і злочинців.

У сферу діяльності консультанта в процесі захисту інформації консультованої організації можуть входити дослідження об'єктів, систем, процесів і предметів. При цьому можливі два напрями його діяльності:

1) забезпечення безпеки при супроводі інформаційних процедур дослідження; це класичні прийоми і методи захисту інформаційної безпеки;

2) вдосконалення прийомів і методів, спрямованих на стійкий і безпечний розвиток об'єктів, систем, процесів; до цього напряму можна віднести сучасні відповіді на загрози, адекватні процесам і явищам, що відбуваються у світі, що швидко змінюється.

Забезпечення інформаційної безпеки – це гарантія задоволення законних прав і інтересів суб'єктів інформаційних відносин.

Під інформаційними відносинами розуміють відносини з приводу отримання, зберігання, обробки, розподілу і використання інформації, які виникають між суб'єктами виробничо-господарських відносин при виконанні виробничо-господарських і економічних завдань.

Суб'єктами інформаційних відносин називають: державні установи; громадські або комерційні організації (об'єднання) і підприємства (юридичні особи); окремих громадян (фізичні особи).

Різні суб'єкти по відношенню до певної інформації можуть виступати як (можливо одночасно): джерела (постачальники) інформації; користувачі (споживачі) інформації; власники (власники, розпорядники) інформації; фізичні і юридичні особи, про яких збирається інформація; власники систем збору і обробки інформації і учасники процесів передачі інформації тощо.

Суб'єкти інформаційних відносин зможуть успішно здійснювати свою діяльність з управління об'єктами деякої предметної області, якщо забезпечені:

– своєчасний доступ (за прийнятний час) до необхідної інформації;

– конфіденційність (збереження в таємниці) усієї інформації або певної її частини;

– достовірність, повнота, точність, адекватність, цілісність інформації;

– захист від нав'язування неправдивої, недостовірної, спотвореної інформації, тобто дезінформації;

– захист інформації від незаконного її тиражування (захист авторських прав, прав власника інформації і тому подібне);

– розмежування законних прав інших суб'єктів інформаційних стосунків і встановлених правил поводження з інформацією;

– контроль і управління процесами обробки і передачі інформації.

Як зацікавлений в забезпеченні хоча б однієї з названих вище вимог, суб'єкт інформаційних відносин стає вразливим, тобто потенційно схильний до нанесення йому збитку (прямого або непрямого, матеріального або морального) за допомогою або дії на критичну для нього інформацію і її носія, або неправомірного використання такої інформації. Тому усі суб'єкти інформаційних відносин зацікавлені в забезпеченні своєї інформаційної безпеки (звичайно, в різному ступені залежності від розміру збитку, який ним може бути нанесений).

За рівнем важливості інформація підрозділяється так:

– життєво важлива – незамінна інформація, наявність якої потрібна для функціонування організації;

– важлива – інформація, яка може бути замінена або відновлена, але процес відновлення дуже складений і пов'язаний із великими витратами;

– корисна – інформація, яку важко відновити, проте організація може функціонувати і без неї;

– несуттєва – інформація, яка більше не потрібна організації.

Для задоволення законних прав і перелічених вище інтересів суб'єктів (забезпечення їх інформаційної безпеки) необхідно постійно підтримувати такі властивості інформації і систем її обробки:

– доступність інформації – властивість системи (середовища, засобів і технологій її обробки), в якій циркулює інформація, що характеризується здатністю забезпечувати своєчасний доступ суб'єктів до їх даних, що цікавлять, і готовністю відповідних автоматизованих служб до виконання запитів, що поступають від суб'єктів;

– цілісність інформації – властивість інформації, що полягає в її існуванні в неспотвореному виді (незмінному по відношенню до деякого фіксованого стану). Точніше кажучи, суб'єктів цікавить забезпечення ширшої властивості – достовірності інформації, яке складається з адекватності (повнота і точність) відображення стану предметної області і цілісності інформації, тобто її невикривленості;

– конфіденційність інформації – суб'єктивно визначена характеристика інформації, що вказує на необхідність введення обмежень кола суб'єктів, які можуть мати доступ до цієї інформації, і забезпечувана здатністю системи (середовища) зберігати вказану інформацію в таємниці від суб'єктів, що не мають повноважень на доступ до неї. Об'єктивною передумовою подібного обмеження доступності інформації для одних суб'єктів є необхідність захисту законних інтересів інших суб'єктів інформаційних відносин.

Мета захисту інформації – протидія загрозам безпеці інформації.

Загроза безпеці інформації – дія або подія, яка може призвести до руйнування, спотворення або несанкціонованого використання інформаційних ресурсів (тобто витоку, модифікації і втраті), включаючи інформацію, що зберігається, передається і обробляється, а також програмні і апаратні засоби. Для забезпечення безпеки інформації потрібний захист усіх супутніх компонентів інформаційних відносин (тобто компонентів інформаційних технологій і автоматизованих систем, використовуваних суб'єктами інформаційних відносин): технічних засобів, програмних засобів, інформації, персоналу.

З цією метою в організаціях на відповідних об'єктах будується система захисту.

Система захисту – це сукупність спеціальних заходів правового і адміністративного характеру, організаційних заходів, фізичних і технічних (програмно-апаратних) засобів захисту, а також спеціального персоналу, призначених для забезпечення безпеки інформації, інформаційних технологій і автоматизованої системи в цілому.

Для побудови ефективної системи захисту консультантові необхідно:

– визначити загрози безпеці інформації в організації;

– виявити можливі канали просочування інформації і несанкціонованого доступу до даних, що захищаються;

– побудувати модель потенційного порушника;

– вибрати відповідні заходи, методи, механізми і засоби захисту;

– побудувати замкнуту, комплексну, ефективну систему захисту, проектування якої починається паралельно з проектуванням автоматизованих систем і технологій.

Створення системи захисту інформації включає два взаємодоповнюючі завдання:

1) розробка системи захисту інформації (її синтез);

2) оцінка розробленої системи захисту інформації на основі аналізу її технічних характеристик з метою встановлення, чи задовольняє система захисту інформації комплексу вимог до цих систем. Таке завдання нині вирішується майже виключно експертним шляхом за допомогою сертифікації засобів захисту інформації й атестації системи захисту інформації в процесі її впровадження.

Основу механізму захисту інформації складають такі методи:

1) перешкода – метод фізичної перешкоди зловмисникові шляху до інформації (до апаратури, носіїв і так далі);

2) управління доступом – метод захисту інформації регулюванням використання всіх ресурсів комп'ютерної інформаційної системи (елементів баз цих, програмних і технічних засобів). Управління доступом включає такі функції захисту:

– ідентифікація користувачів, персоналу і ресурсів системи (привласнення кожному об'єкту персонального ідентифікатора);

– упізнання (встановлення достовірності) об'єкту або суб'єкта за пред'явленим ним ідентифікатору;

– перевірка повноважень, тобто перевірка відповідності дня тижня, часу доби, запитуваних ресурсів і процедур встановленому регламенту;

– дозвіл і створення умов роботи в межах встановленого регламенту;

– реєстрація (протоколювання) звернень до ресурсів, що захищаються;

– реєстрація (сигналізація, відключення, затримка робіт, відмова в запиті) при спробах несанкціонованих дій;

3) маскування – метод захисту інформації шляхом її криптографічного закриття. Цей метод широко застосовується за кордоном як при обробці, так і при зберіганні інформації, у тому числі на носіях. При передачі інформації каналами зв'язку великої протяжності цей метод є єдино надійним;

4) регламентація – метод захисту інформації, при якому можливості несанкціонованого доступу зводяться до мінімуму;

5) примус – метод захисту інформації, при якому користувачі і персонал системи змушені дотримуватися правил обробки, передачі і використання інформації, що захищається, щоб не піддатися матеріальній, адміністративній або кримінальній відповідальності;

6) спонукання – метод захисту інформації, який спонукає користувача і персонал системи не порушувати встановлений порядок за рахунок дотримання моральних і етичних норм, що склалися (як регламентованих, так і неписаних).

Розглянуті методи забезпечення безпеки реалізуються на практиці за рахунок застосування таких засобів захисту, як технічні (апаратні і фізичні), програмні, організаційні, законодавчі і морально-етичні.

Методика забезпечення безпеки – сукупність процедур і прийомів, що оберігають об'єкт від випадкового або умисного втручання в його діяльність або спроб руйнування його компонентів. Абсолютно безпечних систем не буває, забезпечення безпеки не може бути одноразовим заходом.

Безпека об'єктів на заданому рівні може бути забезпечена при комплексному використанні всього арсеналу наявних засобів і методів захисту в усіх структурних елементах об'єктів, на всіх стадіях життєвого циклу обробки даних виготовлення і реалізації виробів і продуктів. Найбільший ефект досягається тільки тоді, коли всі використовувані засоби, методи і заходи об'єднуються в цілісний єдиний механізм – систему забезпечення безпеки.

Основними напрямами забезпечення безпеки об'єктів, що охороняються, які визначають комплексні заходи безпеки, повинні виступати правове, організаційне і інженерно-технічне забезпечення.

Нормативно-правове забезпечення – сукупність законодавчих актів, нормативно-правових документів, положень, інструкцій, керівництв. Виконання їх вимог є обов'язковим. Вони орієнтовані на зменшення або усунення можливості нанесення збитку за рахунок проведення організаційних заходів (підбір і розстановка кадрів, організація режиму й охорони, порядок роботи з конфіденційною інформацією, заходи при проектуванні, будівництві й обладнанні службових приміщень тощо). Одним із найважливіших напрямів організаційних заходів є чітка організація системи діловодства і документообігу.

Інженерно-технічне забезпечення – сукупність спеціальних засобів, що включає:

– фізичні засоби – інженерні засоби і споруди, що перешкоджають фізичному проникненню зловмисників на об'єкти, що охороняються, і що здійснюють захист персоналу, матеріальних і фінансових засобів, інформації від протиправних дій;

– апаратні засоби – прилади, пристрої, пристосування, використовувані в цілях забезпечення безпеки підприємницької діяльності, а саме радіоелектронна і аудіо-, відеоапаратура – від простих пристроїв до досконалих автоматизованих систем;

– програмні засоби – спеціальні програми, програмні комплекси, системи захисту від несанкціонованого доступу до сховищ даних, мереж і засобів обробки даних і телекомунікацій;

– криптографічні засоби – спеціальні математичні і алгоритмічні засоби захисту інформації, що передається по мережах зв'язку, що зберігається і оброблюваної комп'ютерними засобами з використанням методів шифрування. Разом із ними широко використовують апаратно-програмні комплекси (шифрування, захист від вторгнення, електронні ключі тощо).

Передпроектному обстеженню об'єкта при проектуванні надається істотне значення, оскільки на цій стадії:

– встановлюється наявність секретної (конфіденційної) інформації в інформаційній системі, що розробляється, оцінюються рівень її конфіденційності і об'єм;

– визначаються режими обробки інформації (діалоговий, телеобробка, режим реального часу), склад комплексу технічних засобів тощо;

– аналізується можливість використання наявних на ринку сертифікованих засобів захисту інформації;

– визначається міра участі персоналу, функціональних служб, фахівців і допоміжних працівників об'єкту автоматизації в обробці інформації, характер їх взаємодії між собою і із службою безпеки;

– визначаються заходи по забезпеченню режиму секретності на стадії розробки.

Для створення ефективної системи захисту інформації розроблені стандарти інформаційної безпеки, основне завдання яких – створити основу взаємодії виробників, споживачів і експертів з кваліфікації продуктів інформаційних технологій.

У консалтингових заходах особливу роль слід відводити питанням збереження комерційної таємниці.

Основні заходи зі збереження комерційної таємниці пов'язані з обмеженнями на її поширення. Після встановлення предмета комерційної таємниці проводиться фіксація того, де і в якій формі вона проявлятиметься. Від ретельності виконання операцій залежить подальший підбір механізму забезпечення безпеки.

Методологія проектування системи забезпечення безпеки (СЗБ) повністю вписується в загальну методологію проектування складних систем організаційно-технологічного типу і широко використовує типові проектні рішення.

На кожному етапі проектування відповідно до ідеології свідомості корпоративних систем здійснюється експертна оцінка пропонованих рішень, оцінюється відповідність результатів цілям проектування, визначається рівень витрат і очікувана ефективність від їх використання. Одне з найважливіших завдань управління СЗБ полягає в раціональному розподілі ресурсів, що виділяються на безпеку, між різними функціями забезпечення відповідно до внутрішньої і зовнішньої ситуації. Ухвалення рішень про оперативне втручання в роботу СЗБ зводиться, як правило, до вибору деякого рішення із заздалегідь сформованої безлічі деякого їх набору.

Консультант повинен переконати керівництво організації, що захист інформації – цей не разовий захід і навіть не сукупність проведених заходів і встановлених засобів захисту, а безперервний цілеспрямований процес, що припускає вжиття відповідних заходів на усіх етапах життєвого циклу СЗБ. Розробка системи захисту повинна вестися паралельно з розробкою самої системи, що захищається. Це дозволить врахувати вимоги безпеки при проектуванні архітектури і кінець кінцем створити ефективніші (як за витратами ресурсів, так і за стійкістю) захищені системи.

Більшість фізичних і технічних засобів захисту для ефективного виконання своїх функцій потребують постійної організаційної (адміністративної) підтримки (своєчасна зміна і забезпечення правильного зберігання і застосування імен, паролів, ключів шифрування, перерозподіл повноважень тощо).

Перерви в роботі засобів захисту можуть бути використані зловмисниками для аналізу вживаних методів і засобів захисту, впровадження спеціальних програмних і апаратних "закладок" й інших засобів подолання системи захисту після відновлення її функціонування. Усі ці обставини визначають рівень взаємовідносин консультанта і клієнта й міру відкритості останнього. Тільки при максимально можливому рівні довіри можна отримати максимально корисний продукт – інформаційну систему забезпечення безпеки.

Проте створити абсолютно непереборну систему захисту інформації, як вважають фахівці, принципово неможливо. При достатній кількості часу і засобів можна здолати будь-який захист. Тому має сенс вести мову тільки про деякий прийнятний рівень безпеки. Високоефективна система захисту коштує дорого, використовує при роботі істотну частину потужності і ресурсів комп'ютерної системи і може створювати користувачам відчутні незручності. Важливо правильно вибрати той достатній рівень захисту, при якому витрати, ризик і розмір можливого збитку були б прийнятними.

 

Тема 7. Консалтинг у сфері забезпечення інформаційними технологіями: