Информационная безопасность: вызов бизнесу XXI века

П.И. Калинкин
Россия, Санкт-Петербург, ООО «Системный Консалтинг»

Уже в конце 80-х начале 90-х годов с появлением цифровых хранилищ информации, электронных денежных счетов, клиринговых расчетов, Интернета возникли проблемы защиты информации.
Первыми на вызов времени откликнулись военные структуры, банки и другие учреждения, деятельность которых связана с хранением ценной и секретной информации. За ними последовали субъекты крупного бизнеса. Сегодня информационная безопасность является важным вопросом уже и для представителей среднего и малого предпринимательства.
В настоящее время все больше внимания в крупных корпорациях уделяется внутренним угрозам. В наибольшей степени востребованы решения и услуги, позволяющие обеспечить эффективную защиту от инсайдеров, халатности сотрудников и информационного саботажа. К тому же весьма серьезные изменения в политике заказчиков, которые хотят снизить свою зависимость от единственного партнера и начинают заказывать услуги по аудиту, экспертизе, анализу не той компании, которая реализует проект, а, например, конкурирующей фирме.
В концептуальном смысле информационная безопасность определяется способностью государства, общества, личности:

• обеспечивать с определенной вероятностью достаточные и защищенные информационные ресурсы и информационные потоки для поддержания своей жизнеспособности и жизнедеятельности, устойчивого функционирования и развития;
• противостоять информационным опасностям и угрозам, негативным информационным воздействиям на индивидуальное и общественное сознание и психику людей, а также на компьютерные сети и другие технические источники информации;
• вырабатывать личностные и групповые навыки и умения безопасного поведения;
• поддерживать постоянную готовность к адекватным мерам в информационном противоборстве, кем бы оно ни было навязано.

Наибольший ущерб от утечки информации возникает в неспособности  оперативно определить угрозы информации, обрабатывающейся в компании  и на основе их определения выявить каналы несанкционированного получения (утечки) информации.
На стадии концептуальной проработки вопросов безопасности информационной системы представляется возможным рассмотрение общего состава потенциальных угроз.

В общем плане к угрозам безопасности относятся:

• похищения и угрозы похищения сотрудников, персонала, членов из семей и близких родственников;
• убийства и сопровождаемые насилием, издевательствами и пытками;
• психологический террор, угрозы, запугивание, шантаж, вымогательство;
• грабежи с целью заявления денежными средствами, ценностями и документами;
• нападения, вторжения, захваты, пикетирования, блокирования.

Угрозы информационным ресурсам проявляются в овладении конфиденциальной информацией, ее модификации в интересах злоумышленника или ее разрушении с целью нанесения материального ущерба.

Осуществление угроз информационным ресурсам компании может произведено:

• через имеющиеся агентурные источники в органах государственного управления, коммерческих структур, имеющих возможность получения конфиденциальной информации;
• путем подкупа лиц, непосредственно работающих на предприятии или в структурах, непосредственно связанных с его деятельностью;
• путем перехвата информации, циркулирующей в средствах и системах связи и вычислительной техники, с помощью технических средств разведки и съема информации, несанкционированного доступа к информации и преднамеренных программно-технических (математических) воздействий на нее в процессе обработки и хранения;
• путем подслушивания конфиденциальных переговоров, ведущихся в служебных помещениях, служебном и личном автотранспорте, на квартирах и дачах;
• через переговорные процессы с иностранными или отечественными фирмами, используя неосторожное обращение с информацией;
• через «инициативников» из числа сотрудников, которые хотят заработать деньги и улучшить свое благосостояние или проявляют инициативу по другим моральным или материальным причинам;

Цель подобных акций:

• Откровенный террор в отношении коммерческого предприятия;
• Нанесение серьезного морального и материального ущерба;
• Срыв на длительное время нормального функционирования предприятия;
• Вымогательство значительных сумм денег иди каких-либо льгот (кредиты, отсрочка платежей и т.п.).

На этапе завершения определения угроз информации представляется целесообразным этап выявления каналов утечки информации. Рассмотрим относительно полное множество каналов несанкционированного получения информации, сформированного на основе такого показателя, как степень взаимодействия злоумышленника с элементами объекта обработки информации и самой информацией;

К первому классу относятся каналы от источника информации при несанкционированном доступе (НСД) к нему:
1. Хищение носителей информации;
2. Копирование информации с носителей (материально-вещественных, магнитных и т.д.).
3. Подслушивание разговоров (в том числе аудозапись.).
4. Установка закладных устройств в помещение и съем информации с их помощью;
5. Выведывание информации обслуживающего персонала на объекте.
6. Фотографирование или видеосъемка носителей информации внутри помещения.

Ко второму классу относятся каналы со средств обработки информации при НСД к ним:
1. Снятие информации с устройств электронной памяти.
2.Установка закладных устройств в средства обработки информации;
3. Ввод программных продуктов, позволяющих злоумышленнику
получать информацию.
4. Копирование информации с технических устройств отображения (фотографирование с мониторов и др.).

К третьему классу относятся каналы от источника информации без НСД к нему:
1. Получение информации по акустическим каналам (в системах вентиляции, теплоснабжения, а также с помощью направленных микрофонов).
2. Получение информации по виброакустическим каналам (с использованием акустических датчиков, лазерных устройств).
3. Использование технических средств оптико-электронной разведки (биноклей, подзорных труб и т.д.).
4. Использование технических средств оптико-электронной разведки (внешних телекамер, приборов ночного видения и т.д.).
5.  Осмотр отходов и мусора.
6. Выведывание информации у обслуживающего персонала за пределами объекта.
7. Изучение выходящей за пределы объекта открытой информации (публикаций, рекламных проспектов и т.д.)

К четвертому классу относятся каналы со средств обработки  информации без НСД к ним:
1. Электромагнитные излучения средств обработки информации (побочные электромагнитные излучения (ПЭМИ), паразитная генерация усилительных каскадов, паразитная модуляция высокочастотных генераторов низкочастотным сигналом, содержащим конфиденциальную информацию).
2. Электромагнитные излучения линий связи.
3. Подключения к линиям связи.
4. Снятие наводок электрических сигналов с линий связи.
5. Снятие наводок с системы питания.
6. Снятие наводок с системы заземления.
7. Снятие наводок с системы теплоснабжения.
8. Использование высокочастотного навязывания.
9. Снятие с линий, выходящих за пределы объекта, сигналов, образованных на технических средствах за счет акустоэлектрических преобразований.
10. Снятие излучений оптоволоконных линий связи.
11. Подключение к базам данных и ПЭВМ по компьютерным сетям.

Пример использования информации конкурентов для преимущества собственной компании
     Несколько лет назад одна из молодых компаний попыталась конкурировать с фирмой, прочно занимавшей лидерские позиции на рынке продажи мороженого. Проанализировав всех партнеров фирмы-конкурента на разных стадиях - от получения товара, его рекламы, развоза на точки и собственно самой продажи -аналитики компании-новичка выявили, что «узким местом» является использование парка мини-грузовиков, которые доставляют мороженое соперников на торговые точки. Таковых было достаточно много, а транспортировкой занималась всего одна компания-грузоперевозчик. С ней у конкурента был заключен долгосрочный договор, срок действия которого заканчивался.
Компания-новичок начала действовать на основе полученной информации: заключила с фирмой-перевозчиком долгосрочный эксклюзивный контракт по очень выгодной для последнего цене, загрузив на 100 процентов ее автомобильный парк. Когда же ее конкурент обратился в очередной раз за продлением договора о перевозках, ему было отказано с мотивировкой: «извините, у нас появился очень выгодный контракт». Опытный конкурент не сумел быстро найти альтернативу и за очень короткий срок разорился.

Проблемы и задачи крупных компаний сегодня стали сравнимы с проблемами и задачами целых государств. Как и государства, они сотрудничают и воюют. Но войны здесь носят название информационных: кто обладает информацией, владеет если не миром, то финансовыми потоками.
Тем не менее, как ни странно, сегодня не многие руководители предприятий осознают насущную необходимость в организации на предприятии системы защиты коммерческой тайны для обеспечения его информационной безопасностью. Из числа тех, кто осознает такую необходимость, есть те, которые не знают, что следует предпринять, чтобы сохранить те или иные сведения в тайне, с выгодой реализовать их, не понести убытки от их утечки или утраты. Многие идут только по пути оснащения предприятия техническими средствами защиты, полностью игнорируя организационно-правовые методы, в частности создание нормативно-правовой базы, принятие и строгое соблюдение которой позволит предприятию не только сохранить и использовать с выгодой свои секреты, а в случае утечки информации явится основанием для подачи искового заявления в суд.

Нормативно-правовое регулирование.
Что дает предприятию внедрение международного стандарта ISO 27001:2005?
В отличие от технических регламентов все стандарты по нашему законодательству являются добровольными. А в отношении системы управления информационной безопасностью у нас существуют только стандарты.
На сегодняшний день зачастую не понимают смысл стандартов ISO 17799/ISO 27001. Это не стандарты прямого действия, которые можно непосредственно объявить политиками компании. Это свод мер контроля лучших практик, на базе которых разрабатываются собственные документы компании. И не все меры можно применить к конкретной организации - из-за того, что они прописаны для организаций с определенной спецификой деятельности или не учитывают особенности местного законодательства. В основе причин создания политик информационной безопасности лежит не только одно из основных требований МС ИСО 27001:2005 при его внедрении на предприятиях,  но также и соблюдение требований законодательной базы РФ при построении общей политики безопасности. Любую отечественную компанию можно сравнить с небольшим государством. И если в каждом государстве существует законодательство, регламентирующее деятельность граждан, то в компании роль законов выполняют политики безопасности. За нарушение законов государства граждане несут ответственность, нарушение политик безопасности сотрудниками компании также влечет за собой ответственность.
Политики информационной безопасности определяют стратегию и тактику построения корпоративной системы информационной безопасности (ИБ). В Российской терминологии документ, определяющий стратегию, часто называют концепцией, а документ, определяющий тактику, - политикой. В качестве примера может служить выполненный проект, заключающийся в проведении всего цикла работ по организации системы безопасности на предприятии – это построение модели системы управления политикой информационной безопасности (СУИБ) и последующее внедрение системы информационной безопасности (системы защиты информации) на предприятии, эффективность которой будет зависеть от слаженности интегрированного взаимодействия составляющих ИБ. ( Рис.1).

Справки и регистрация участия по тел.:

• г. Санкт-Петербург: (812) 454-50-32, (812) 454-52-34, (812) 640-75-07 
  

 
Скачать заявку Вы можете по этой ссылке: Заявка на участие в семинаре.doc

Заявки просьба высылать на адрес эл. почты: info@s-konsalt.ru или факс. (812) 454-52-34.