В своем интервью журналу «Консультант» Е.В. Касперский, руководитель антивирусных исследований компании «Лаборатория Касперского», сказал: «…за последнее время проблема защиты от внутренних угроз вышла на первый план в списке «головной боли» специалистов по IT-безопасности …Для минимизации риска внутренних угроз организациям необходимо реализовывать комплекс мер технического и организационного плана. Прежде всего им следует установить программные средства над операциями внутри корпоративной сети…» [5]

Угрозы исходят из целого ряда источников. Информационным системам и сетям могут угрожать такие опасности, как компьютерное мошенничество, шпионаж, саботаж, вандализм. Особую опасность для компьютерных систем представляют злоумышленники, специалисты - профессионалы в области вычислительной техники и программирования, досконально знающие все достоинства и слабые места вычислительных систем и располагающие подробнейшей документацией и самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты. Предполагается, что такие угрозы информационной безопасности со временем станут более распространенными, опасными и изощренными. А из-за возрастающей зависимости организаций от информационных систем и сервисов они могут стать более уязвимыми по отношению к угрозам нарушения защиты их баз данных. [3]

Вице-президент IDC (International Data Corporation <http://ru.wikipedia.org/wiki/International_Data_Corporation> - компания, занимающаяся аналитикой <http://ru.wikipedia.org/wiki/%D0%90%D0%BD%D0%B0%D0%BB%D0%B8%D1%82%D0%B8%D0%BA%D0%B0>, специализирующаяся на исследованиях рынка информационных технологий <http://ru.wikipedia.org/wiki/%D0%98%D0%BD%D1%84%D0%BE%D1%80%D0%BC%D0%B0%D1%86%D0%B8%D0%BE%D0%BD%D0%BD%D1%8B%D0%B5_%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D0%B8>) Мартин Кэннинг полагает, что «в России ситуация с информационной безопасностью такая же, какая была несколько лет назад в Западной Европе» информационные технологии развиваются стремительно, проникая во все сферы человеческой деятельности. Бизнес становится все более зависимым от безупречной работы информационных систем. Однако по мере своего развития и усложнения IT (информационные технологии) - системы делаются все уязвимее к внешним воздействиям, поэтому некоторым предприятиям все больше финансов приходится тратить на защиту своих информационных ресурсов. Остальные уповают на защитные системы - ключи, пароли, коды, антивирусы и т.д., но все эти средства полной неуязвимости систем не гарантируют. [7]

По данным импровизированного опроса, проведенного мной в школе, выяснилось, что 57% опрошенных используют в качестве пароля какие - либо слова, напрямую связанные с ними: имена родителей, домашних животных, свою дату рождения; 36% используют в качестве пароля случайную последовательность букв и цифр, которая впоследствии записана на бумаге и лежит рядом с компьютером; 7% используют в качестве своих паролей пароли друзей. Пока пользователи записывают пароли на «бумажках» или спрашивают их у друзей, ни о какой политике защиты информации не может быть и речи.

2.5 Утечки информации. Последствия утечек информации

С увеличением масштабов распространения и использования ЭВМ и информационных сетей усиливается роль различных факторов, вызывающих утечку, разглашение и несанкционированный доступ к информации. К ним относятся:

несанкционированные и злоумышленные действия персонала и пользователя;

ошибки пользователей и персонала;

отказы аппаратуры и сбои в программах;

стихийные бедствия, аварии различного рода и опасности.

Из отчета, сделанного компанией InfoWatch (российская компания, выпускающая средства предотвращения утечки конфиденциальной информации, созданная в 2003 году на базе «Лаборатории Касперского <http://ru.wikipedia.org/wiki/%D0%9B%D0%B0%D0%B1%D0%BE%D1%80%D0%B0%D1%82%D0%BE%D1%80%D0%B8%D1%8F_%D0%9A%D0%B0%D1%81%D0%BF%D0%B5%D1%80%D1%81%D0%BA%D0%BE%D0%B3%D0%BE>»), касающегося исследования утечек за 2009 год, видно, что количество случаев попадания важной информации в чужие руки, т.е. утечек информации, постоянно растет. В отчете говорится, что информацию могут «слить» как специально (ради денег, нового рабочего места, из мести), так и случайно. На основе этого все утечки подразделяются на умышленные и неумышленные. Количество умышленных утечек увеличилось в два раза, и продолжало расти.

Ярким примером умышленных утечек информации может послужить недавно разразившийся международный скандал после публикаций секретных документов на ресурсе WikiLeaks <http://ru.wikipedia.org/wiki/WikiLeaks>. Джулиан Ассанж, основатель этого сайта, своих информаторов не раскрывает, но говорит, что информация «получена из серьезного источника». И, значит, если секретная информация появилась на сайте WikiLeaks <http://ru.wikipedia.org/wiki/WikiLeaks> то в другом месте, в обход информационной безопасности ее, украли.

Так же примером умышленных утечек являются базы данных, которые можно приобрести, и это не секрет, в свободной продаже: данные о налогоплательщиках, сведения о клиентах мобильных операторов, данные об автовладельцах и т.д. - это все конфиденциальная информация, которая должна быть защищена. Но, благодаря халатности одних сотрудников и неправомерных действий других, конфиденциальная информация попадает во всемирную сеть, нанося обычным законопослушным гражданам, маленьким фирмам и большим предприятиям моральный, а иногда и экономический вред.

По данным компании IDC, в России для защиты информации приблизительно 48% компаний используют антивирусное программное обеспечение. Вторыми по популярности (около 29%) являются межсетевые экраны и средства построения виртуальных частных сетей. Примерно одинаковое количество финансовых средств тратится на решения для обнаружения атак (10%) и продукты для идентификации, авторизации и администрирования (11%). Другие технологии защиты информации на нашем рынке практически не представлены. [7]

.6 Принципы информационной безопасности

Существуют три базовых принципа информационной безопасности:

целостность данных - защита от сбоев, ведущих к потере информации, а также защита от неавторизованного создания или уничтожения данных;

конфиденциальность информации;

доступность информации для всех авторизованных пользователей.

Среди множества мер, направленных на обеспечение компьютерной безопасности, основными являются:

технические - защита от несанкционированного доступа к системе, резервирование особо важных компьютерных подсистем, организация вычислительных сетей с возможностью перераспределения ресурсов;

организационные - охрана вычислительного центра, тщательный подбор персонала, универсальная эффективность средств защиты для всех пользователей - потенциальных нарушителей;

правовые - разработка норм, устанавливающих ответственность за компьютерные преступления.

Вся информация с точки зрения права делится на несколько основных сегментов:

Информация без ограничения права доступа - информация общего пользования, предоставляемая пользователям бесплатно.

Информация с ограниченным доступом - государственная тайна, служебная тайна, коммерческая тайна, банковская тайна, профессиональная тайна, персональные данные.

Информация, распространение которой наносит вред интересам общества, законным интересам и правам граждан, - порнография; информация, разжигающая национальную, расовую, и другую рознь; пропаганда и призыв к войне, ложная реклама.

Объекты интеллектуальной собственности - авторское право, патентное право. [8]

Защита информации должна быть:

непрерывной. Это требование проистекает из того, что злоумышленники только и ищут возможность, как бы обойти защиту интересующей их информации;

плановой. Планирование осуществляется путем разработки каждой службой детальных планов защиты информации в сфере ее компетенции с учетом общей цели предприятия (организации);

целенаправленной. Защищается то, что должно защищаться в интересах конкретной цели, а не все подряд;

конкретной. Защите подлежат конкретные данные, объективно подлежащие охране, утрата которых может причинить организации определенный ущерб;

активной. Защищать информацию необходимо с достаточной степенью настойчивости;

надежной. Методы и формы защиты должны надежно перекрывать возможные пути неправомерного доступа к охраняемым секретам, независимо от формы их представления, языка выражения и вида физического носителя, на котором они закреплены;

универсальной. Считается, что в зависимости от вида канала утечки или способа несанкционированного доступа его необходимо перекрывать, где бы он ни проявился, разумными и достаточными средствами, независимо от характера, формы и вида информации;

комплексной. Для защиты информации во всем многообразии структурных элементов должны применяться все виды и формы защиты в полном объеме. Недопустимо применять лишь отдельные формы или технические средства. [8]

2.7 Классификация средств защиты информации

В литературе предлагается следующая классификация средств защиты информации:

Средства защиты от несанкционированного доступа (НСД):

средства авторизации;

избирательное управление доступом;

управление доступом на основе ролей;

журналирование (так же называется Аудит).

Системы анализа и моделирования информационных потоков (CASE-системы).

Системы мониторинга сетей:

системы обнаружения и предотвращения вторжений (IDS/IPS).

системы предотвращения утечек <http://ru.wikipedia.org/wiki/%D0%9F%D1%80%D0%B5%D0%B4%D0%BE%D1%82%D0%B2%D1%80%D0%B0%D1%89%D0%B5%D0%BD%D0%B8%D0%B5_%D1%83%D1%82%D0%B5%D1%87%D0%B5%D0%BA> конфиденциальной информации (DLP-системы).

Анализаторы протоколов.

Антивирусные средства.

Межсетевые экраны.

Криптографические средства:

шифрование;

цифровая подпись.

Системы резервного копирования.

Системы бесперебойного питания:

источники бесперебойного питания;

резервирование нагрузки;

генераторы напряжения.

Системы аутентификации:

пароль;

ключ доступа (физический или электронный);

сертификат;

биометрия.

Средства предотвращения взлома корпусов и краж оборудования.

Средства контроля доступа в помещения.

Инструментальные средства анализа систем защиты:

мониторинговый программный продукт. [4]

2.8 Цель информационной безопасности

Цель информационной безопасности - обеспечить бесперебойную работу организации и свести к минимуму ущерб от событий, таящих угрозу безопасности, посредством их предотвращения и сведения последствий к минимуму. [3]

Расходы на систему защиты информации необходимо сопоставить и привести в соответствие с ценностью защищаемой информации и других информационных ресурсов, подвергающихся риску, а также с размером ущерба, который может быть нанесен организации из-за сбоев в системе защиты. [3]

Зарубежный опыт показывает, что наиболее эффективной защитой от компьютерных правонарушений является введение в штатное расписание организаций должности специалиста по компьютерной безопасности (администратора по защите информации) либо создание специальных служб - как частных, так и централизованных, исходя из конкретной ситуации. Наличие такого отдела (службы) в организации, по оценкам зарубежных специалистов, снижает вероятность совершения компьютерных преступлений вдвое.

Согласно «Квалификационному справочнику должностей руководителей, специалистов и других служащих» в должностные обязанности специалиста по защите информации входит:

Выполнение работ, связанных с обеспечением комплексной защиты информации на основе разработанных программ и методик,

соблюдения государственной тайны.

Принятие мер по обеспечению защиты информации и эффективному использованию средств автоматического контроля, обнаружению возможных каналов утечки сведений, представляющих государственную, военную, служебную и коммерческую тайну.

Определение потребности в технических средствах защиты и контроля.

Осуществление проверки выполнения требований межотраслевых и отраслевых нормативных документов по защите информации. [6]

Информационная безопасность относится к дисциплинам, развивающимся чрезвычайно быстрыми темпами. Этому способствует как общий прогресс информационных технологий, так и постоянное противоборство нападающих и защищающихся.

3. ЗАКЛЮЧЕНИЕ

И в заключение своей работы я бы хотела сказать, что специалист по защите информации - это актуальная в наше время профессия. Сегодня любая страна рискует погрузиться в хаос и стать фактически беззащитной, если выйдут из строя ее коммуникационные, управляющие, аналитические и другие информационные системы. В критический момент нарушится рабочий режим энергетических комплексов, корабли собьются с маршрута, пушки не выстрелят, ракеты не увидят цель, самолеты не взлетят. [1]

Кстати о самолетах, перед войной с Кювейтом Ирак закупил во Франции «Миражи». Их эксплуатация в мирное время подняла боевой дух иракской армии, но вот беда (для Ирака) - во время войны не взлетел ни один самолет. Почему? Париж не захотел...

Значимость систем информационной защиты настолько высока, а недооценка их может обернуться такими издержками, что государственное регулирование в этой области представляется совершенно необходимым. Руководство такого влиятельного государства, как Российская Федерация, уделяет большое внимание вопросам собственной информационной безопасности и разработке комплексной системы ее реализации. К сожалению, проблема информационной безопасности государства была полностью упущена из виду в 90-е годы. Именно тогда мы сели на «компьютерную иглу» Запада. [1]

А теперь вопрос: «Что может произойти с государством, все ветви власти которого (включая КГБ, МВД, армию, пограничные войска, таможню, банки, телефон, почту и т.д.) широко внедрили информационные технологии, если они базируются на импортном техническом и программном обеспечении?»

Обеспечение безопасности информации не может быть одноразовым актом. Это непрерывный процесс, заключающийся в обосновании и реализации наиболее рациональных методов, способов и путей совершенствования и развития системы защиты, непрерывном контроле ее состояния, выявлении ее узких и слабых мест и противоправных действий.

Безопасность информации может быть обеспечена лишь при комплексном использовании всего арсенала имеющихся средств защиты во всех структурных элементах производственной системы и на всех этапах технологического цикла обработки информации. Наибольший эффект достигается тогда, когда все используемые средства, методы и меры объединяются в единый целостный механизм - систему защиты информации (СЗИ). При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий. [4]

Никакая СЗИ не может обеспечить требуемого уровня безопасности информации без надлежащей подготовки пользователей и соблюдения ими всех установленных правил, направленных на ее защиту. [4]

Я могу сказать, что проблема обеспечения информационной безопасности является одной из наиболее важных. Без учета информационного фактора мы не сможем защищать свои геополитические интересы, оказывать воздействие на внешнюю политику других стран, определять основные направления политического развития отдельных регионов и влиять на мировую политику в целом.

4. СПИСОК ИСПОЛЬЗУЕМОЙ ЛИТЕРАТУРЫ

«Российская газета» - Федеральный выпуск № 4475 от 25 сентября 2007 г. <http://www.rg.ru/gazeta/rg/2007/09/25.html>

-й Международный форум «Охрана и Безопасность-Sfitex». Архив:2010 год. Санкт - Петербург, Ленэкспо.://www.avosp.ru/info/2infopro.htm- сайт «Агентства Вневедомственной Охраны». Санкт-Петербург.

Домарев В. В. Безопасность информационных технологий. Системный подход - К.: ООО ТИД Диа Софт, 2004 г.

Журнал «Консультант» №9, май 2005 г.

Квалификационный справочник должностей руководителей, специалистов и других служащих (утв. постановлением Минтруда РФ от 21 августа 1998 г. № 37) (с изменениями от 21 января, 4 августа 2000 г., 20 апреля 2001 г.).

Коржова Валерия «Сколько стоит безопасность?» Cтатья (Computerworld Россия, №12, 2004).

Партыка Т.Л., Попов И.И. Информационная безопасность. Москва. ФОРУМ - ИНФРА-М 2005 г.

Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г.

Больше работ по теме: