Защита информации в экономических системах

«Люки». Люком называется не описанная в документации на программный продукт возможность работы с этим программным продуктом. Сущность использования люков состоит в том, что при выполнении пользователем некоторых не описанных в документации действий он получает доступ к возможностям и данным, которые в обычных условиях для него закрыты (в частности - выход в привилегированный режим).

«Люки» чаще всего  являются результатом забывчивости разработчиков. В частности, отладка  программы ведется за счет прямого  доступа к отдельным частям продукта или наборе определенного сочетания клавиш.

Вообще люк (или люки) могут присутствовать в программе  в виду того, что программист:

а) забыл удалить его;

б) умышленно оставил  его в программе для обеспечения  тестирования или выполнения оставшейся части отладки;

в) умышленно оставил  его в программе в интересах  облегчения окончательной сборки конечного  программного продукта;

г) умышленно оставил  его в программе с тем, чтобы  иметь скрытое средство доступа  к программе уже после того, как она вошла в состав конечного продукта.

В первом случае «люк»  – неумышленная, но серьезная брешь  в безопасности системы. Во втором и  третьем случаях «люк» – серьезная  экспозиция безопасности системы. Наконец, в последнем случае «люк» –  первый шаг к атаке системы. В  любом случае «люк» – это возможность получить управление системой в обход защиты.

        

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Глава 3. Методы, средства и организация системы защиты информации в экономических информационных системах

 

3.1. Правовые основы обеспечения информационной безопасности.

Современный этап развития системы обеспечения информационной безопасности государства и общества характеризуется переходом от тотального сокрытия большого объема сведений к  гарантированной защищенности принципиально  важных данных, обеспечивающей:

• конституционные права и свободы граждан, предприятий и организаций в 
  сфере информатизации;
• необходимый уровень безопасности информации, подлежащей защите;
• защищенность систем формирования и использования информационных ресурсов (технологий, систем обработки и передачи информации).

Ключевым моментом политики государства в данной области  является осознание необходимости  защиты любых информационных ресурсов и информационных технологий, неправомерное  обращение с которыми может нанести  ущерб их собственнику, владельцу, пользователю или иному лицу.

Нормативные акты правового  регулирования вопросов информатизации и защиты информации в Российской Федерации включают:

• Законы Российской Федерации
• Указы Президента Российской Федерации и утверждаемые этими указами нормативные документы
• Постановления Правительства Российской Федерации и утверждаемые этими постановлениями нормативные документы (Положения, Перечни и т.п.)
• Государственные и отраслевые стандарты
• Положения, Порядки. Руководящие документы и другие нормативные и методические документы уполномоченных государственных органов (Гостехкомиссии России, ФАПСИ, ФСБ).

Федеральные законы и  другие нормативные акты предусматривают:

• разделение информации на категории свободного и ограниченного доступа, причем информация ограниченного доступа подразделяется на:
• отнесенную к государственной тайне
• отнесенную к служебной тайне (информацию для служебного пользования), персональные данные (и другие виды тайн)
• и другую информацию, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю или иному лицу;
• правовой режим защиты информации, неправомерное обращение с которой может нанести ущерб ее собственнику, владельцу, пользователю и иному лицу, устанавливаемый:
• в отношении сведений, отнесенных к государственной тайне, -уполномоченными государственными органами на основании Закона Российской Федерации "О государственной тайне" (от 21.07.93 г. N 5485-1)⁴;
• в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании Закона Российской Федерации "Об информации, информатизации и защите информации" (в ред. Федеральных законов от 27.07.2010 N 227-ФЗ, от 06.04.2011 N 65-ФЗ)⁵;
• в отношении персональных данных - отдельным федеральным законом;
• лицензирование деятельности предприятий, учреждений и организаций в области защиты информации;
• аттестование автоматизированных информационных систем, обрабатывающих информацию с ограниченным доступом на соответствие требованиям безопасности информации при проведении работ со сведениями соответствующей степени конфиденциальности (секретности);
• сертификацию средств защиты информации и средств контроля эффективности защиты, используемых в АС;
• возложение решения вопросов организации лицензирования, аттестации и сертификации на органы государственного управления в пределах их компетенции, определенной законодательством Российской Федерации;
• создание автоматизированных информационных систем в защищенном исполнении и специальных подразделений, обеспечивающих защиту информации с ограниченным доступом, являющейся собственностью государства, а также осуществление контроля защищенности информации и предоставление прав запрещать или приостанавливать обработку информации в случае невыполнения требований по обеспечению ее защиты;
• определение прав и обязанностей субъектов в области защиты информации.

Рассмотренные выше Федеральные законы и другие нормативные акты составляют  правовые основы обеспечения информационной безопасности.

 

3.2. Основные методы и средства защиты информации.

 

При разработке АИТ возникает  проблема по решению вопроса безопасности информации, составляющей коммерческую тайну, а также безопасности самих  компьютерных информационных систем.

Каждую систему  защиты следует разрабатывать индивидуально, учитывая следующие особенности:

- организационную структуру  организации;

- объем и характер  информационных потоков (внутри  объекта в целом, внутри отделов,  между отделами, внешних);

- количество и характер  выполняемых операций: аналитических и повседневных;

- количество и функциональные  обязанности персонала;

- количество и характер  клиентов;

- график суточной нагрузки.

Защита должна разрабатываться  для каждой системы индивидуально, но в соответствии с общими правилами. Построение защиты предполагает следующие этапы:

- анализ риска, заканчивающийся  разработкой проекта системы  защиты и планов защиты, непрерывной работы и восстановления;

- реализация системы  защиты на основе результатов  анализа риска;

- постоянный контроль  за работой системы защиты и АИС в целом (программный, системный и административный).

На каждом этапе реализуются  определенные требования к защите; их точное соблюдение приводит к созданию безопасной системы.

Для обеспечения непрерывной  защиты информации в АИС целесообразно создать из специалистов группу информационной безопасности. На эту группу возлагаются обязанности по сопровождению системы защиты, ведения реквизитов защиты, обнаружения и расследования нарушений политики безопасности и т.д.

Основные этапы построения системы защиты заключаются в следующем:

Анализ => Разработка системы защиты (планирование) => Реализация системы защиты => Сопровождение системы защиты.

Этап анализа возможных  угроз АИС необходим для фиксирования на

определенный момент времени состояния АИС (конфигурации аппаратных и программных средств, технологии обработки информации) и определения возможных воздействий на каждый компонент системы. Обеспечить защиту АИС от всех воздействий на нее невозможно, хотя бы потому, что невозможно полностью установить перечень угроз и способов их реализации. Поэтому надо выбрать из всего множества возможных воздействий лишь те, которые могут реально произойти и нанести серьезный ущерб владельцам и пользователям системы.

На этапе планирования формируется система защиты как единая совокупность мер противодействия различной природы.

Сущность этапа реализации системы защиты заключается в  установке и настройке средств  защиты, необходимых для реализации зафиксированных в плане защиты правил обработки информации. Содержание этого этапа зависит от способа реализации механизмов защиты в средствах защиты.

Этап сопровождения  заключается в контроле работы системы, регистрации происходящих в ней  событий, их анализе с целью обнаружить нарушения безопасности. В том  случае, когда состав системы претерпел существенные изменения (смена вычислительной техники, переезд в другое здание, добавление новых устройств или программных средств), требуется повторение описанной выше последовательности действий.

Стоит отметить тот немаловажный факт, что обеспечение защиты АИС — это итеративный процесс, завершающийся только с завершением жизненного цикла всей системы.

Можно выделить следующие 3 направления управления защиты информации в экономических информационных системах, которые представлены на рисунке 3.1.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Рис. 3.1. Управление защитой компьютерной безопасностью.⁶

 

К правовому обеспечению  защиты информации относятся действующие в стране законы, указы и другие нормативно - правовые акты, регламентирующие правила обращения с информацией, закрепляющие права и обязанности участников информационных отношений в процессе ее получения, обработки и использования, а также устанавливающие ответственность за нарушения этих правил, препятствуя тем самым неправомерному использованию информации и являющиеся сдерживающим фактором для потенциальных нарушителей.

Инженерно-техническая  защита — это совокупность специальных органов, технических средств и мероприятий, функционирующих совместно для выполнения определенной задачи по защите информации.

Инженерно-техническая  защита использует следующие средства:

• физические средства;
• аппаратные средства;
• программные средства;
• криптографические средства.

В свою очередь  организационные  мероприятия и процедуры, используемые для решения проблемы безопасности информации, решаются на всех этапах проектирования и в процессе эксплуатации АИТ.

Среди организационных  мероприятий по обеспечению безопасности информации важное место занимает охрана объекта, на котором расположена защищаемая АИТ (территория здания, помещения, хранилища информационных носителей). При этом устанавливаются соответствующие посты охраны, технические средства, предотвращающие или существенно затрудняющие хищение средств вычислительной техники, информационных носителей, а также исключающие несанкционированный доступ к АИТ и линиям связи.

Следует отметить, что  без надлежащей организационной  поддержки программно-технических  средств защиты информации от несанкционированного доступа и точного выполнения, предусмотренных проектной документацией процедур в должной мере не решить проблему обеспечения безопасности информации, какими бы совершенными эти программно-технические средства не были.

Создание базовой системы зашиты информации в АИТ основывается на следующих принципах: 
1. Комплексный подход к построению системы защиты при ведущей роли организационных мероприятий. Он означает оптимальное сочетание программных аппаратных средств и организационных мер защиты, подтвержденное практикой создания отечественных и зарубежных систем защиты. 
2. Разделение и минимизация полномочий по доступу к обрабатываемой информации и процедурам обработки. Пользователям предоставляется минимум строго определенных полномочий, достаточных для успешного выполнения ими своих служебных обязанностей, с точки зрения автоматизированной обработки доступной им конфиденциальной информации. 
3. Полнота контроля и регистрации попыток несанкционированного доступа, т.е. необходимость точного установления идентичности каждого пользователя и протоколирования его действий для проведения возможного расследования, а также невозможность совершения любой операции обработки информации в АИТ без ее предварительной регистрации. 
4. Обеспечение надежности системы защиты, т.е. невозможность снижения ее уровня при возникновении в системе сбоев, отказов, преднамеренных действий нарушителя или непреднамеренных ошибок пользователей и обслуживающего персонала. 
5. Обеспечение контроля за функционированием системы защиты, т.е. создание средств и методов контроля работоспособности механизмов защиты. 
6. “Прозрачность” системы защиты информации для общего, прикладного программного обеспечения и пользователей АИТ.

7. Экономическая целесообразность использования системы защиты. Он выражается в том, что стоимость разработки и эксплуатации систем защиты информации должна быть меньше стоимости возможного ущерба, наносимого объекту в случае разработки и эксплуатации АИТ без системы защиты информации. Для того что бы осуществлять качественную защиту информации в экономических информационных системах, необходимо осуществлять управление защиты информации. (рис. 3.2.)