Словосочетание “информационная безопасность” в разных контекстах имеет различный смысл. В Доктрине информационной безопасности Российской Федерации термин "информационная безопасность" рассматривается как состояние защищенности национальных интересов в информационной сфере, определяемых совокупностью сбалансированных интересов личности, общества и государства.
В Законе РФ “Об участии в международном информационном обмене” информационная безопасность определяется аналогичным образом – как состояние защищенности информационной среды общества, обеспечивающее ее формирование, использование и развитие в интересах граждан, организаций, государства.
Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и поддерживающей инфраструктуры.
Защита информации – это комплекс мероприятий, направленных на обеспечение информационной безопасности.
Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем (ИС). Угрозы информационной безопасности – это оборотная сторона использования информационных технологий.
Из этого положения можно вывести два важных следствия:
1. Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. В первом случае “пусть лучше все сломается, чем враг узнает хоть один секретный бит”, во втором – “да нет у нас никаких секретов, лишь бы все работало”.
2. Информационная безопасность не сводится исключительно к защите от несанкционированного доступа к информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести убытки и/или получить моральный ущерб) не только от несанкционированного доступа, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита от несанкционированного доступа к информации стоит по важности отнюдь не на первом месте.
Согласно определению информационной безопасности, она зависит не только от компьютеров, но и от поддерживающей инфраструктуры, к которой можно отнести системы электро-, водо- и теплоснабжения, кондиционеры, средства коммуникаций и, конечно, обслуживающий персонал
Абсолютной защиты быть не может. Бытует такое мнение: установил защиту и ни о чем не беспокойся. Полностью защищенный компьютер – это тот, который стоит под замком в бронированной комнате в сейфе, не подключен ни к какой сети (даже электрической) и выключен. Такой компьютер имеет абсолютную защиту, но использовать его для работы нельзя.
Значит, с чем-то приходится мириться и защищаться следует только от того, с чем смириться никак нельзя. Иногда таким недопустимым ущербом является нанесение вреда здоровью людей или состоянию окружающей среды, но чаще порог неприемлемости имеет материальное (денежное) выражение, а целью защиты информации становится уменьшение размеров ущерба до допустимых значений.
Безопасность в информационной среде. Любая технология на каком-то этапе своего развития приходит к тому, что соблюдение норм безопасности становится одним из важнейших требований. И лучшая защита от нападения – не допускать нападения. Не стоит забывать, что мешает работе не система безопасности, а ее отсутствие.
С точки зрения компьютерной безопасности каждое предприятие обладает корпоративным богатством – информационным. Его нельзя спрятать, оно должно активно работать. Средства информационной безопасности должны обеспечивать содержание информации в состоянии, которое описывается тремя категориями требований: доступность, целостность и конфиденциальность. Основные составляющие информационной безопасности сформулированы в Европейских критериях, принятых ведущими странами Европы:
- доступность информации – обеспечение готовности системы к обслуживанию поступающих к ней запросов;
- целостность информации — обеспечение существования информации в неискаженном виде;
- конфиденциальность информации – обеспечение доступа к информации только авторизованному кругу субъектов.
Классификация средств защиты. В деле обеспечения информационной безопасности успех может принести только комплексный подход. Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:
- законодательного;
- административного (приказы и другие действия руководства организаций, связанных с защищаемыми информационными системами);
- процедурного (меры безопасности, ориентированные на людей);
- программно-технического.
Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать не принято.
На законодательном уровне различают следующие группы мер:
- меры, направленные на создание и поддержание в обществе негативного (в том числе с применением наказаний) отношения к нарушениям и нарушителям информационной безопасности (назовем их мерами ограничительной направленности);
- направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности (меры созидательной направленности).
На практике обе группы мер важны в равной степени, но хотелось бы выделить аспект осознанного соблюдения норм и правил ИБ. Это важно для всех субъектов информационных отношений, поскольку рассчитывать только на защиту силами правоохранительных органов было бы наивно. Необходимо это и тем, в чьи обязанности входит наказывать нарушителей, поскольку обеспечить доказательность при расследовании и судебном разбирательстве компьютерных преступлений без специальной подготовки невозможно.
Самое важное (и самое трудное) на законодательном уровне - создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности.
К административному уровню информационной безопасности относятся действия общего характера, предпринимаемые руководством организации. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Основой программы является политика безопасности, отражающая подход организации к защите своих информационных активов. Руководство каждой организации должно осознать необходимость поддержания режима безопасности и выделения на эти цели значительных ресурсов.
Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа обеспечения информационной безопасности. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т.п.
Термин “политика безопасности” является не совсем точным переводом английского словосочетания “security policy. В данном случае имеется в виду не отдельные правила или их наборы (такого рода решения выносятся на процедурный уровень, речь о котором впереди), а стратегию организации в области информационной безопасности. Для выработки стратегии и проведения ее в жизнь нужны, несомненно, политические решения, принимаемые на самом высоком уровне.
Политика безопасности - совокупность документированных решений, принимаемых руководством организации и направленных на защиту информации и ассоциированных с ней ресурсов.
Такая трактовка гораздо шире, чем набор правил разграничения доступа (именно это означал термин “security policy” в “Оранжевой книге” и в построенных на ее основе нормативных документах других стран).
ИС организации и связанные с ней интересы субъектов - это сложная система, для рассмотрения которой необходимо применять объектно-ориентированный подход и понятие уровня детализации. Целесообразно выделить, по крайней мере, три таких уровня.
К программно-техническому уровню относятся программные и аппаратные средства, которые составляют технику информационной безопасности.
Программно-технические меры, то есть меры, направленные на контроль компьютерных сущностей - оборудования, программ и/или данных, образуют последний и самый важный рубеж информационной безопасности. Ущерб наносят в основном действия легальных пользователей, по отношению к которым процедурные регуляторы малоэффективны. Главные враги - некомпетентность и неаккуратность при выполнении служебных обязанностей, и только программно-технические меры способны им противостоять.
Компьютеры помогли автоматизировать многие области человеческой деятельности. Вполне естественным представляется желание возложить на них и обеспечение собственной безопасности. Даже физическую защиту все чаще поручают не охранникам, а интегрированным компьютерным системам, что позволяет одновременно отслеживать перемещения сотрудников и по организации, и по информационному пространству.
Это вторая причина, объясняющая важность программно-технических мер.
Следует, однако, учитывать, что быстрое развитие информационных технологий не только предоставляет обороняющимся новые возможности, но и объективно затрудняет обеспечение надежной защиты, если опираться исключительно на меры программно-технического уровня. Причин тому несколько:
- повышение быстродействия микросхем, развитие архитектур с высокой степенью параллелизма позволяет методом грубой силы преодолевать барьеры (прежде всего криптографические), ранее казавшиеся неприступными;
- развитие сетей и сетевых технологий, увеличение числа связей между информационными системами, рост пропускной способности каналов расширяют круг злоумышленников, имеющих техническую возможность организовывать атаки;
- появление новых информационных сервисов ведет и к образованию новых уязвимых мест как “внутри” сервисов, так и на их стыках;
- конкуренция среди производителей программного обеспечения заставляет сокращать сроки разработки, что приводит к снижению качества тестирования и выпуску продуктов с дефектами защиты;
- навязываемая потребителям парадигма постоянного наращивания мощности аппаратного и программного обеспечения не позволяет долго оставаться в рамках надежных, апробированных конфигураций и, кроме того, вступает в конфликт с бюджетными ограничениями, из-за чего снижается доля ассигнований на безопасность.
Первое, что обычно делает пользователь персонального компьютера – ставит 2 пароля: один пароль в настройках BIOS и другой – на заставку экрана. Защита на уровне BIOS будет требовать ввод пароля при загрузке компьютера, а защита на заставке экрана перекроет доступ к информации при прошествии определенного, заданного, времени бездействия компьютера.
Установка пароля на уровне BIOS – достаточно тонкий процесс, требующий определенных навыков работы с настройками компьютера, а пароль на заставку экрана поставить не так сложно, и его может поставить сам пользователь.
Для задания пароля на заставку надо нажать кнопку Пуск, выбрать команды Настройка и Панель управления, дважды щелкнуть по значку Экран и в открывшемся окне Свойства экрана (рисунок 6.1) выбрать вкладку Заставка. Затем задать Вид заставки, установить временной интервал, установить флажок Пароль и нажать на кнопку Изменить. В открывшемся окне Изменение пароля ввести пароль на заставку экрана, затем набрать его повторно для подтверждения и нажать на кнопку OK.
Рисунок 6.1 - Окно Свойства экрана
После установки паролей можно считать, что первый уровень защиты сделан. Но существует три способа разрушить ее:
1) воспользоваться одной из лазеек, часто предусмотренных производителями системной платы, так называемым “универсальным паролем для забывчивых людей”. Обычный пользователь, как правило, его не знает;
2) снять кожух компьютера, вынуть примерно на 20 минут литиевую батарейку на системной плате, после чего вставить ее обратно. После этой операции BIOS на 99% забудет все пароли и пользовательские настройки;
3) вынуть из компьютера жесткий диск и подключить его к другому компьютеру в качестве второго устройства, а дальше без проблем можно читать и копировать информацию. При определенном навыке эта процедура занимает 15…20 минут.
Необходимо проследить, чтобы при длительном отсутствии работников в помещении, где находится компьютер, не допускали посторонних лиц
Защита жесткого диска (винчестера). Любую часть компьютерной системы можно заменить на новую, но, утратив данные, записанные на жестоком диске работники будут вынуждены воссоздавать из заново. На это могут уйти месяцы, а, возможно, и годы. Гораздо проще заранее организовать защиту содержимого жесткого диска.
Начинать следует с создания аварийной загрузочной дискеты. Она очень пригодится, если по какой-то причине не удастся загрузить операционную систему с жесткого диска. Владельцам Windows-систем придется создавать дискету аварийной загрузки самостоятельно. Делается это следующим образом: приготовив дискету, выполнить в среде Windows действия:
- в меню Пуск выбрать Настройка/ Панель управления;
- выбрать позицию Установка и удаление программ;
- щелкнуть по закладке Системный диск или Загрузочный диск;
- щелкнуть на кнопке Создать диск;
- по требованию вставить дискету в дисковод и щелкнуть по кнопке OK;
- по завершению процедуры вынуть дискету из дисковода, наклеить на нее этикетку с маркировкой “Аварийная загрузочная дискета” и хранить в безопасное место.
Резервное копирование данных. Другой враг информации - сбои самого компьютера. Даже при самом строгом соблюдении мер профилактики нельзя быть абсолютно застрахованным от потери данных, хранящихся на жестком диске. Рано или поздно что-нибудь случается, и восстановить все в прежнем виде можно будет только в том случае, если имеется копия содержимого жесткого диска.Логика очень проста: если одни и те же данные хранятся в двух разных местах, вероятность лишиться их значительно уменьшается. Поэтому всегда следует хранить данные в двух экземплярах: один на жестком диске, другой на сменных носителях, используемых для резервного копирования. Чтобы определиться со стратегией создания резервных копий, необходимо решить, каким носителем вы будете пользоваться и какие данные нужно продублировать.
Информацию можно хранить на различных съемных носителях: дискетах, zip-дисках и дисках CD-ROM.
Чаще всего для хранения резервных копий используют дискеты, но это ненадежный носитель. К тому же, на одну дискету можно записать не очень много информации, но они дешевы и общедоступны. Вероятно поэтому – это самый распространенный на сегодняшний день носитель для резервного копирования.
Устройства со сменным диском, например, zip, более универсальны, поскольку их можно использовать как для резервного копирования, так и в качестве обычных накопителей. Они просты и удобны в использовании, но из-за высокой цены мало применяются.
Дискеты и zip-диски имеют склонность выходить из строя в самый неподходящий момент, и в этом смысле диски CD-ROM являются самым надежным способом хранения. При резервировании информации на записывающем CD-диске можно говорить о сравнительно надежном и одновременно безопасном хранении важной информации.
Коварство мусорной корзины. При удалении информации она не исчезает бесследно, а попадает сначала в Корзину, если только документ не находился на дискете. Это ежедневно спасает многих небрежных пользователей, случайно удаливших документ неосторожным нажатием клавиши [Delete], поскольку документы из Корзины можно восстановить.
Для полного удаления информации из Корзины (рисунок 6.3) т.е. ее очистки, необходимо сделать щелчок правой кнопкой мыши по значку Корзины на рабочем столе и в открывшемся контекстном меню выбрать команду Очистить корзину или выбрать в окне Корзина команду очистки корзины.
Рисунок 6.3 - Окно Корзина
Эта процедура может занять от нескольких минут до получаса и более в зависимости от степени фрагментации диска. Желательно проводить дефрагментацию не реже одного раза в месяц, а при большом количестве операций по удалению файлов – еженедельно.
Считается, что после принудительной очистки Корзины документы теряются безвозвратно, но это не совсем так. Физические данные с жесткого диска никуда не исчезают и могут быть легко восстановлены специальными программами вплоть до того момента, пока на то же место винчестера не будет записана другая информация. Это может произойти через неделю или месяц. Чтобы быть точно уверенным, что данные уничтожены навсегда, систематически надо проводить дефрагментацию жесткого диска. Программа дефрагментации Defrag входит в состав служебных программ (Пуск/ Программы/ Стандартные/ Служебные) и перемещает данные на диске таким образом, чтобы файлы и свободное пространство размещались оптимально (рисунок 6.4)
Рисунок 6.4 - Окно Дефрагментация диска)
Установка паролей на документ. Известно, что любое приложение MS Office позволяет закрыть любой документ паролем, и многие успешно пользуются этим проверенным средством (рисунок 6. 5)
Для установки пароля на текстовый документ необходимо его открыть, далее в меню Сервис выбрать команду Параметры. В открывшемся окне на вкладке Безопасность набрать пароль для открытия файла документа, сделать подтверждение его повторным набором и нажать на кнопку OK.
Обычному пользователю, не имеющему конкретной цели узнать информацию, вскрыть пароль практически невозможно, да и специалисту-взломщику при использовании современного компьютера на взлом пароля методом прямого перебора вариантов понадобится примерно один месяц.
Парольная защита, входящая в комплект многих архиваторов, вполне может уберечь документ от посторонних глаз. В сети Интернет можно найти ряд специальных программ “шифрования”, отдельных документов и винчестера, однако стопроцентной гарантии от взлома паролей они не дают. Осложнить процесс взлома защиты можно, используя достаточно длинные и сложные пароли, исключающие имя, фамилию и телефон пользователя. Лучше всего в качестве пароля выбирать фразу, в которой отсутствует осмысленная информация об авторе пароля. Главная цель мер административного уровня — сформировать программу работ в области информационной безопасности и обеспечить ее выполнение, выделяя необходимые ресурсы и контролируя состояние дел.
Рисунок 6.5 - Установка паролей на документ MS Word)