Организационное и техническое обеспечение информационной безопасности. Защита конфиденциальной информации


ВЫСШЕЕ ОБРАЗОВАНИЕ — СПЕЦИАЛИТЕТ серия основана в 1 996 г.





В.Я. ИЩЕЙНОВ
М.В. МЕЦАТУНЯН


ОРГАНИЗАЦИОННОЕ
И ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ
ИНФОРМАЦИОННОЙ
БЕЗОПАСНОСТИ


Защита конфиденциальной информации

        УЧЕБНОЕ ПОСОБИЕ




Рекомендовано Межрегиональным учебно-методическим советом профессионального образования в качестве учебного пособия для студентов высших учебных заведений, обучающихся по укрупненной группе специальностей 10.05.00 «Информационная безопасность» (протокол № 8 от 22.06.2020)


znanium.com

Москва
ИНФРА-М 2021

УДК [002+004.056.5](075.8)
ББК 32.973-018.2я73

    И98



     Рецензенты:
        В.В. Попов — кандидат технических наук, профессор кафедры проблем управления МИРЭА;
        В.Б. Кравченко — кандидат технических наук, профессор кафедры инженерно-технической защиты информации




     Ищейнов В.Я.
И98 Организационное и техническое обеспечение информационной безопасности. Защита конфиденциальной информации : учебное пособие / В.Я. Ищейнов, М.В. Мецатунян. — Москва : ИНФРА-М, 2021. — 256 с. — (Высшее образование: Специалитет).


          ISBN 978-5-16-016535-6 (print)
          ISBN 978-5-16-108801-2 (online)


         Книга посвящена организационной и технической защите конфиденциальной информации. В работе изложены основные вопросы защиты конфиденциальной информации и различные подходы к обеспечению безопасности информации в современных условиях.
         Учебное пособие рекомендовано для студентов высших учебных заведений, обучающихся по укрупненной группе специальностей 10.05.00 «Информационная безопасность», а также рассчитано на широкий круг читателей, преподавателей и специалистов, интересующихся проблемами защиты информации.


УДК [002+004.056.5](075.8)
ББК 32.973-018.2я73














ISBN 978-5-16-016535-6 (print)
ISBN 978-5-16-108801-2 (online)

                               © Ищейнов В.Я., Мецатунян М.В., 2009
     © Ищейнов В.Я., Мецатунян М.В., 2014,


2021. с изменениями

            Предисловие







   Информация сегодня превратилась в мощный, реально ощутимый ресурс, имеющий даже большую ценность, чем природные, финансовые и иные ресурсы, она стала товаром, который продается и покупается. В настоящее время уже не вызывает сомнения значение использования информации в любых видах деятельности. Любое направление производственной деятельности — материальное обеспечение, производство изделий, их сбыт, а также заключение договоров, начинается со сбора информации.
   Информация добывается, обрабатывается, хранится, используется, продается, расхищается и разрушается. В зависимости от условий, информация может становиться сырьем, продуктом, товаром. Следовательно, информация, имеющая стоимость и цену, может представлять интерес для определенных потребителей, для преступных элементов.
   Это означает, что если необходимую информацию не выдают добровольно и безвозмездно, если ее не продают, то всегда будет иметь место стремление похитить эту информацию, в том числе с использованием методов разведки, промышленного шпионажа. В этой связи все большую остроту приобретает защита коммерческой информации от различного рода угроз. Защита информации включает в себя определенные направления защиты, в которых применяется в основном присущий только этим областям набор методов, средств и мероприятий.
   Данное учебное пособие посвящено двум направлениям защиты конфиденциальной информации: организационной и технической защите информации. Организационная защита информации занимает особое место среди других направлений защиты. Она, во-первых, обеспечивает выполнение установленных правовых норм, во-вторых, объединяет методы защиты, которые обеспечивают защиту конфиденциальной информации самостоятельно, либо в комплексе с методами и средствами других направлений, в-третьих, без организационных методов невозможно использование методов и средств других направлений, в-четвертых, с помощью организационных методов методы и средства всех направлений объединяются в единую систему.

Предисловие

   Обеспечение выполнения установленных правовых норм осуществляется путем такой регламентации производственной деятельности предприятия и его работников, которое позволяет, обязывает или заставляет на нормативно-правовой основе выполнять требования по защите информации. С этой целью правовые нормы защиты информации закладываются в нормативные документы предприятия, которые регулируют организацию и технологию выполнения работ, взаимоотношения служащих, условия приема и увольнение сотрудников, правила трудового распорядка и др.
   При этом решение вопросов защиты информации обеспечивается либо установленной технологией выполнения работ, исключающей утрату носителей информации и несанкционированного доступа к информации или к ее носителям, либо путем введения прямых правил, регулирующих организацию защиты информации.
   Техническая защита информации включает в себя комплекс технических средств и мероприятий по их установке, эксплуатации и использованию, которые в совокупности обеспечивают защиту конфиденциальной информации. Сферой технической защиты является защита информации от технических средств ее добывания, от несанкционированного проникновения лиц к защищаемым объектам и носителям защищаемой информации.
   Учебное пособие рассчитано на широкий круг читателей, и в первую очередь на студентов, преподавателей и специалистов, интересующихся проблемами защиты информации и изучающих различные подходы обеспечения безопасности информации на предприятиях в современных условиях.
   Предлагаемое пособие является достаточно новым видом учебного материала по вопросам организационной и технической защиты конфиденциальной информации, что позволяет использовать его в качестве учебного пособия для студентов высших специальных учебных заведений по специальностям «Организация и технология защиты информации» и «Комплексная защита объектов информатизации».

                Часть I
                ОРГАНИЗАЦИОННАЯ ЗАЩИТА КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ







Глава 1


            СУЩНОСТЬ ОРГАНИЗАЦИОННОЙ ЗАЩИТЫ КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ






   Примечательная особенность нынешнего периода — переход от индустриального общества к информационному, в котором информация становится более важным ресурсом, чем материальные иди энергетические ресурсы. Ресурсами, как известно, называют элементы экономического потенциала, которыми располагает общество, и которые при необходимости могут быть использованы для достижения конкретной цели хозяйственной деятельности государства. Давно стали привычными и общеупотребительными такие категории, как материальные, финансовые, трудовые, природные ресурсы, которые вовлекаются в хозяйственный оборот и их назначение понятно каждому. Но вот появилось понятие «информационные ресурсы», и хотя оно узаконено, но осознано пока еще недостаточно. Информационные ресурсы — отдельные документы и отдельные массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах). Информационные ресурсы являются собственностью, находятся в ведении соответствующих органов и организаций, подлежат учету и защите, так как информацию можно использовать не только для товаров и услуг, но и превратить ее в наличность, продав кому-нибудь, или, что еще хуже, похитить. Собственная информа

Часть I. Организационная защита конфиденциальной информации

ция для производителя представляет значительную ценность, так как нередко получение (создание) такой информации — весьма трудоемкий и дорогостоящий процесс. Очевидно, что ценность информации (реальная или потенциальная) определяется в первую очередь приносимыми доходами.
   Особое место отводится информационным ресурсам в условиях рыночной экономики.
   Важнейшим фактором рыночной экономики выступает конкуренция. Побеждает тот, кто лучше, качественнее, дешевле и оперативнее производит и продает. В сущности, это универсальное правило рынка. И в этих условиях основным выступает правило: кто владеет информацией, тот владеет миром.
   На рис. 1.1 представлены способы, источники и методы промышленно-экономического шпионажа.


Рис. 1.1. Способы, источники и методы промышленно-экономического шпионажа

   В конкурентной борьбе широко распространены разнообразные действия, направленные на получение (добывание, приобретение) конфиденциальной информации самыми различными способами, вплоть до прямого промышленного шпионажа с использованием современных технических средств разведки. Установлено, что 47 % охраняемых сведений добывается с помощью технических средств промышленного шпионажа.
   В этих условиях защите информации от неправомерного овладения ею отводится весьма значительное место. При этом целя

Глава 1. Сущность организационной защиты конфиденциальной информации 7

ми защиты информации являются: предотвращение разглашения, утечки и несанкционированного доступа к охраняемым сведениям; предотвращение противоправных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы; обеспечение правового режима документированной информации как объекта собственности; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах; сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством; обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
   Как видно из этого определения целей защиты, информационная безопасность — довольно емкая и многогранная проблема, охватывающая не только определение необходимости защиты информации, но и то, как ее защищать, от чего защищать и когда защищать, чем защищать и какой должна быть эта защита.
   Правомерно задать вопрос: что же такое информация? В литературе дается такое определение: информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. Известно, что информация может иметь различную форму, включая данные, заложенные в компьютерах, «синьки», кальки, письма или памятные записки, досье, формулы, чертежи, диаграммы, модели продукции и прототипы, диссертации, судебные документы и др.
   Как всякий продукт, информация имеет потребителей, нуждающихся в ней и потому обладает определенными потребительскими качествами, а также имеет и своих обладателей или производителей.
   С точки зрения потребителя качество используемой информации позволяет получать дополнительный экономический или моральный эффект.
   С точки зрения обладателя — сохранение в тайне коммерчески важной информации позволяет успешно конкурировать на рынке производства и сбыта товаров и услуг. Это, естественно, требует определенных действий, направленных на защиту конфиденциальной информации.
   Понимая под безопасностью состояние защищенности жизненно важных интересов личности, предприятия, государства от

Часть I. Организационная защита конфиденциальной информации

внутренних и внешних угроз, можно выделить и компоненты безопасности — такие как персонал, материальные и финансовые средства и информацию.
   Анализ состояния дел в сфере защиты информации показывает, что уже сложилась вполне сформировавшаяся концепция и структура защиты, основу которой составляют:
   • весьма развитый арсенал технических средств защиты информации, производимых на промышленной основе;
   • значительное число фирм, специализирующихся на решении вопросов защиты информации;
   • достаточно четко очерченная система взглядов на эту проблему;
   • наличие значительного практического опыта и др.
   И тем не менее, как свидетельствует отечественная и зарубежная печать, злоумышленные действия над информацией не только не уменьшаются, но и имеют достаточно устойчивую тенденцию к росту. Опыт показывает, что для борьбы с этой тенденцией необходима стройная и целенаправленная организация процесса защиты информационных ресурсов. Причем в этом должны активно участвовать профессиональные специалисты, администрация, сотрудники и пользователи, что и определяет повышенную значимость организационной стороны вопроса.
   Опыт также показывает, что:
   • обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий;
   • безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм — систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий;
   • никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользо

Глава 1. Сущность организационной защиты конфиденциальной информации 9

     вателей и соблюдения ими всех установленных правил, направленных на ее защиту.
   С учетом накопленного опыта можно определить систему защиты информации как организованную совокупность специальных органов, средств, методов и мероприятий, обеспечивающих защиту информации от внутренних и внешних угроз.
   С позиций системного подхода к защите информации предъявляются определенные требования. Защита информации должна быть:
   • непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;
   • плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели организации;
   • целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;
   • конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;
   • активной. Защищать информацию необходимо с достаточной степенью настойчивости;
   • надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;
   • универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;
   • комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства.
   Комплексный характер защиты проистекает из того, что защита — это специфическое явление, представляющее собой сложную систему неразрывно взаимосвязанных и взаимозависимых процессов, каждый из которых в свою очередь имеет множество различных взаимообусловливающих друг друга сторон, свойств, тенденций.

Часть I. Организационная защита конфиденциальной информации

   Зарубежный и отечественный опыт показывает, что для обеспечения выполнения столь многогранных требований безопасности система защиты информации должна удовлетворять определенным условиям:
   • охватывать весь технологический комплекс информационной деятельности;
   • быть разнообразной по используемым средствам, многоуровневой с иерархической последовательностью доступа;
   • быть открытой для изменения и дополнения мер обеспечения безопасности информации;
   • быть нестандартной, разнообразной. При выборе средств защиты нельзя рассчитывать на неосведомленность злоумышленников относительно ее возможностей;
   • быть простой для технического обслуживания и удобной для эксплуатации пользователями;
   • быть надежной. Любые поломки технических средств являются причиной появления неконтролируемых каналов утечки информации;
   • быть комплексной, обладать целостностью, означающей, что ни одна ее часть не может быть изъята без ущерба для всей системы.
   К системе безопасности информации предъявляются также определенные требования:
   • четкость определения полномочий и прав пользователей на доступ к определенным видам информации;
   • предоставление пользователю минимальных полномочий, необходимых ему для выполнения порученной работы;
   • сведение к минимуму числа общих для нескольких пользователей средств защиты;
   • учет случаев и попыток несанкционированного доступа к конфиденциальной информации;
   • обеспечение оценки степени конфиденциальности информации;
   • обеспечение контроля целостности средств защиты и немедленное реагирование на их выход из строя. Система защиты информации, как любая система, должна иметь определенные виды собственного обеспечения, опираясь на которые она будет выполнять свою целевую функцию.
   С учетом этого СЗИ может иметь:
   • правовое обеспечение. Сюда входят нормативные документы, положения, инструкции, руководства, требования которых являются обязательными в рамках сферы их действий;