Раздел 1. Комплексный подход к обеспечению информационной

безопасности

Тема 1.1. Основные понятия информационной безопасности
Прежде всего необходимо разобраться, что такое безопасность информационных технологий, определить
что (кого), от чего (от кого),

почему

(зачем)

и

как

(в

какой

степени

и

какими

средствами)

надо

защищать.
Только получив четкие ответы на данные вопросы, можно правильно сформулировать общие требования к системе обеспечения безопасности и переходить к обсуждению вопросов построения соответствующих систем зашиты.
Информация

и

информационные

отношения.

Субъекты

информационных отношений, их безопасность

Под информацией
будем понимать сведения о фактах, событиях, процессах и явлениях, о состоянии объектов (их свойствах, характеристиках) в некоторой предметной области, необходимые для оптимизации принимаемых решений в процессе управления данными объектами. Информация может существовать в различных формах в виде совокупностей некоторых знаков (символов, сигналов и т.п.) на носителях различных типов. В связи с бурным процессом информатизации общества все большие объемы информации накапливаются, хранятся и обрабатываются в автоматизированных системах, построенных на основе современных средств вычислительной техники и связи. В дальнейшем будут рассматриваться только те формы представления информации, которые используются при ее автоматизированной обработке. Под автоматизированной системой (АС) обработки информации будем понимать организационно-техническую систему, представляющую собой совокупность следующих взаимосвязанных компонентов: • технических средств обработки и передачи данных (средств вычислительной техники и связи) • методов и алгоритмов обработки в виде соответствующего программного обеспечения • информации (массивов, наборов, баз данных) на различных носителях • обслуживающего персонала и пользователей системы, объединенных по организационно-структурному, тематическому, технологическому или другим признакам для выполнения автоматизированной обработки информации (данных) с целью удовлетворения информационных потребностей субъектов информационных отношений.
Под обработкой информации в АС буд е м п о н и м ат ь л ю бу ю совокупность операций (прием, накопление, хранение, преобразование, отображение, передача и т.п.), осуществляемых над информацией (сведениями, данными) с использованием средств АС. В дальнейшем субъектами будем называть: • государство (в целом или отдельные его органы и организации) • общественные или коммерческие организации (объединения) и предприятия (юридических лиц) • отдельных граждан (физических лиц). В процессе своей деятельности субъекты могут находиться друг с другом в разного рода отношениях, в том числе, касающихся вопросов получения, хранения, обработки, распространения и использования определенной информации. Такие отношения между субъектами будем называть информационными отношениями, а самих участвующих в них субъектов - субъектами информационных отношений. Различные субъекты по отношению к определенной информации могут (возможно одновременно) выступать в качестве (в роли): • источников (поставщиков) информации • потребителей (пользователей) информации • собственников, владельцев, распорядителей информации • физических и юридических лиц, о которых собирается информация • владельцев систем обработки информации • участников процессов обработки и передачи информации и т.д. Для успешного осуществления своей деятельности по управлению объектами некоторой предметной области субъекты информационных отношений могут быть заинтересованы в обеспечении: • своевременного доступа (за приемлемое для них время) к необходимой им информации и определенным автоматизированным службам • конфиденциальности (сохранения в тайне) определенной части информации • д о с т о в е р н о с т и ( п о л н о т ы , т о ч н о с т и , адекватности, целостности) информации
• защиты от навязывания им ложной (недостоверной, искаженной) информации (то есть отдезинформации) • з а щ и т ы ч а с т и и н ф о р м а ц и и о т н е з а к о н н о г о е е тиражирования (защиты авторских прав, прав собственника информации и т.п.) • разграничения ответственности за нарушения законных прав (интересов) других субъектов информационных отношений и установленных правил обращения с информацией • возможно сти о суще ствления непрерывного контроля и управления процессами обработки и передачи информации и т.д. Будучи заинтересованным в обеспечении хотя бы одного из вышеназванных требований, субъект информационных отношений является уязвимым, то есть потенциально подверженным нанесению ему ущерба (прямого или косвенного, материального или морального) посредством воздействия на критичную для него информацию, ее носители и процессы обработки либо посредством неправомерного использования такой информации. Поэтому все субъекты информационных отношений в той или иной степени (в зависимости от размеров ущерба, который им может быть нанесен) заинтересованы в обеспечении своей информационной безопасности. Для обеспечения законных прав и удовлетворения перечисленных выше интересов субъектов (т.е. обеспечения их информационной безопасности) необходимо постоянно поддерживать следующие свойства информации и систем ее обработки: • доступность информации - такое свойство системы (инфраструктуры, средств и технологии обработки, в которой циркулирует информация), которое характеризует ее способность обеспечивать своевременный доступ субъектов к интересующей их информации и соответствующим автоматизированным службам (готовность к обслуживанию поступающих от субъектов) запросов всегда, когда в обращении к ним возникает необходимость; • целостность информации - такое свойство информации, которое заключается в ее существовании в неискаженном виде (неизменном по отношению к некоторому фиксированному ее состоянию). Точнее говоря, субъектов интересует обеспечение более широкого свойства - достоверности информации, которое складывается из адекватности (полноты и точности) отображения состояния предметной области и непосредственно целостности информации, то есть ее неискаженности. Однако, мы ограничимся только рассмотрением вопросов обеспечения
целостности информации, так как вопросы адекватности отображения выходят далеко за рамки проблемы информационной безопасности; • конфиденциальность информации - такую субъективно определяемую (приписываемую) характеристику (свойство) информации, которая указывает на необходимость введения ограничений на круг субъектов, имеющих доступ к данной информации, и обеспечиваемую способностью системы (инфраструктуры) сохранять указанную информацию в тайне от субъектов, не имеющих прав на доступ к ней. Объективные предпосылки подобного ограничения доступности информации для одних субъектов заключены в необходимости защиты законных интересов других субъектов информационных отношений. Поскольку ущерб субъектам информационных отношений может быть нанесен опосредованно, через определенную информацию и ее носители, то закономерно возникает заинтересованность субъектов в обеспечении безопасности этой информации, ее носителей и систем обработки. Отсюда следует, что в качестве объектов, подлежащих защите в целях обеспечения безопасности субъектов информационных отношений, должны рассматриваться: информация, любые ее носители (отдельные компоненты АС и АС в целом) и процессы обработки (передачи). Однако, всегда следует помнить, что уязвимыми в конечном счете являются именно заинтересованные в обеспечении определенных свойств информации и систем ее обработки субъекты (информация, равно как и средства ее обработки, не имеют своих интересов, которые можно было бы ущемить). Поэтому, говоря об обеспечении безопасности АС или циркулирующей в системе информации, всегда следует понимать под этим косвенное обеспечение безопасности соответствующих субъектов, участвующих в процессах автоматизированного информационного взаимодействия. Следовательно, термин «безопасность информации» нужно понимать как защищенностьинформации от нежелательного для соответствующих субъектов информационных отношений ее разглашения (нарушения конфиденциальности), искажения или утраты (нарушения целостности, фальсификации) или снижения степени доступности информации, а также незаконного ее тиражирования (неправомерного использования). Поскольку субъектам информационных отношений ущерб может быть нанесен также посредством воздействия на процессы и средства обработки критичной для них информации, то становится очевидной необходимость обеспечения защиты системы обработки и передачи данной информации от несанкционированного вмешательства в процесс ее функционирования, а
также от попыток хищения, незаконной модификации и/или разрушения любых компонентов данной системы. П о э т о м у п о д «безопасностью а в т ом а т и з и р о в а н н о й системы» (системы обработки информации, компьютерной системы) следует понимать защищенность всех ее компонентов (технических средств, программного обеспечения, данных, пользователей и персонала) от разного рода нежелательных для соответствующих субъектов воздействий. Безопасность любого компонента (ресурса) АС складывается из обеспечения трех его характеристик: конфиденциальности, целостности и доступности. Конфиденциальность компонента (ресурса) АС заключается в том, что он доступен только тем субъектам (пользователям, программам, процессам), которым предоставлены на то соответствующие полномочия. Целостность компонента (ресурса) АС предполагает, что он может быть модифицирован только субъектом, имеющим для э то го соответствующие права. Целостность является гарантией корректности (неизменности, работоспособности) компонента в любой момент времени. Доступность компонента (ресурса) АС означает, что имеющий соответствующие полномочия субъект может в любое время без особых проблем получить доступ к необходимому компоненту системы.
Цель защиты АС и циркулирующей в ней информации
При рассмотрении проблемы обеспечения компьютерной, информационной безопасности следует всегда исходить из того, что защита информации и вычислительной системы ее обработки не является самоцелью. Конечной целью создания системы компьютерной безопасности АС является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных или преднамеренных нежелательных воздействий на информацию и системы ее обработки и передачи. В качестве защищаемых объектов должны рассматриваться информация, все ее носители (отдельные компоненты и автоматизированная система обработки информации в целом) и процессы обработки. Целью защиты циркулирующей в АС информации является предотвращение разглашения (утечки), искажения (модификации), утраты,
блокирования (снижения степени доступности) или незаконного тиражирования информации. Обеспечение безопасности вычислительной системы предполагает создание препятствий для любого несанкционированного вмешательства в процесс ее функционирования, а также для попыток хищения, модификации, выведения из строя или разрушения ее компонентов, то есть защиту всех компонентов системы: оборудования, программного обеспечения, данных (информации) и ее персонала. В этом смысле защита информации от несанкционированного доступа (НСД) является только частью общей проблемы обеспечения безопасности компьютерных систем и защиты законных интересов субъектов информационных отношений, а сам термин НСД было бы правильнее трактовать не как "несанкционированный доступ" (к информации), а шире, - как "несанкционированные (неправомерные) действия", наносящие ущерб субъектам информационных отношений.

Основные составляющие информационной безопасности

Второстепенные термины
 доступность информации;  целостность информации;  конфиденциальность информации.
Структурная схема терминов

1.2.2. Доступность информации
Как уже отмечено в предыдущей теме, информационная безопасность – многогранная область деятельности, в которой успех может принести только систематический, комплексный подход. Обеспечение информационной безопасности в большинстве случаев связано с комплексным решением трех задач: 1. Обеспечением доступности информации. 2. Обеспечением целостности информации. 3. Обеспечением конфиденциальности информации. Именно доступность, целостность и конфиденциальность являются равнозначными составляющими информационной безопасности.
Информационные системы создаются для получения определенных информационных услуг. Если по тем или иным причинам предоставить эти услуги пользователям становится невозможно, то это, очевидно, наносит ущерб всем пользователям. Роль доступности информации особенно проявляется в разного рода системах управления – производством, транспортом и т. п. Менее драматичные, но также весьма неприятные последствия – и материальные, и моральные – может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей, например, продажа железнодорожных и авиабилетов, банковские услуги, доступ в информационную сеть Интернет и т. п.
Доступность
– это гарантия получения требуемой информации или информационной услуги пользователем за определенное время. Фактор времени в определении доступности информации в ряде случаев является очень важным, поскольку некоторые виды информации и информационных услуг имеют смысл только в определенный промежуток времени. Например, получение заранее заказанного билета на самолет после его вылета теряет всякий смысл. Точно так же получение прогноза погоды на вчерашний день не имеет никакого смысла, поскольку это событие уже наступило. В этом контексте весьма уместной является поговорка: "Дорога ложка к обеду".
1.2.3. Целостность информации
Целостность информации условно подразделяется на статическую и динамическую.
Статическая
целостность информации предполагает неизменность информационных объектов от их исходного состояния, определяемого автором или источником информации.
Динамическая
целостность информации включает вопросы корректного выполнения сложных действий с информационными потоками, например, анализ потока сообщений для выявления некорректных, контроль правильности передачи сообщений, подтверждение отдельных сообщений и др. Целостность является важнейшим аспектом информационной безопасности в тех случаях, когда информация используется для управления различными процессами, например, техническими, социальными и т. д.
Так, ошибка в управляющей программе приведет к остановке управляемой системы, неправильная трактовка закона может привести к его нарушениям, точно также неточный перевод инструкции по применению лекарственного препарата может нанести вред здоровью. Все эти примеры иллюстрируют нарушение целостности информации, что может привести к катастрофическим последствиям. Именно поэтому целостность информации выделяется в качестве одной из базовых составляющих информационной безопасности.
Целостность
– гарантия того, что информация сейчас существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений.
1.2.4. Конфиденциальность информации
Конфиденциальность – самый проработанный у нас в стране аспект информационной безопасности. К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем в России связана с серьезными трудностями. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить представление о потенциальных рисках. Во-вторых, на пути пользовательской криптографии как основного средства обеспечения конфиденциальности стоят многочисленные законодательные и технические проблемы. Конфиденциальная информация есть практически во всех организациях. Это может быть технология производства, программный продукт, анкетные данные сотрудников и др. Применительно к вычислительным системам в обязательном порядке конфиденциальными данными являются пароли для доступа к системе.
Конфиденциальность
– гарантия доступности конкретной информации только тому кругу лиц, для кого она предназначена. Нарушение каждой из трех категорий приводит к нарушению информационной безопасности в целом. Так, нарушение доступности приводит к отказу в доступе к информации, нарушение целостности приводит к фальсификации информации и, наконец, нарушение конфиденциальности приводит к раскрытию информации.

Рисунок 1.2.1. Составляющие информационной безопасности.
Как уже отмечалось, выделение этих категорий в качестве базовых составляющих информационной безопасности обусловлено необходимостью реализации комплексного подхода при обеспечении режима информационной безопасности. Кроме этого, нарушение одной из этих категорий может привести к нарушению или полной бесполезности двух других. Например, хищение пароля для доступа к компьютеру (нарушение конфиденциальности) может привести к его блокировке, уничтожению данных (нарушение доступности информации) или фальсификации информации, содержащейся в памяти компьютера (нарушение целостности информации).
Комплексный подход к защите информации


Комплексный

подход

к

организации

системы

защиты

информации

на

предприятии: основные вопросы и технологии
Технологические, производственные и коммерческие данные, которые используют предприятия, обладают высокой стоимостью, а их утрата или утечка может привести к серьезным финансовым потерям. Для нефтегазового комплекса (НГК), имеющего стратегическое значение для экономики страны, цена вопроса особенно велика. Поэтому одной из целей для предприятий отрасли является создание надежной системы защиты информации (СЗИ). Система защиты информации — это комплекс организационных и технических мер, направленных на обеспечение информационной безопасности предприятия. Главным объектом защиты являются данные, которые обрабатываются в автоматизированной системе управления (АСУ) и задействованы при выполнении бизнес-процессов. Основные угрозы для информационной безопасности любой компании связаны с кражей данных (например, промышленный шпионаж), использованием непроверенного программного обеспечения (например, содержащего вирусы), хакерскими атаками, получением спама (также может содержать вирусы), халатностью сотрудников. Реже утрата данных вызвана такими причинами, как сбой в работе аппаратно-программного обеспечения или кража оборудования. В результате компании несут значительные потери. Процесс создания системы защиты информации можно разделить на три этапа:  формирование политики предприятия в области информационной безопасности;  выбор и внедрение технических и программных средств защиты;  разработка и проведение ряда организационных мероприятий. При этом следует учитывать государственные нормативные документы и стандарты, которые регулируют вопросы информационной безопасности на предприятиях нефтегазового комплекса.
Политика предприятия в области информационной безопасности
Фундаментом для создания системы защиты информации является документ, в котором формулируются принципы и основные положения политики предприятия в области информационной безопасности. Какие вопросы он охватывает?
1.

Разработка

правового

обеспечения

защиты

информации.
Фактически это система нормативно-правовых документов, актуальных для деятельности предприятия. С ее помощью, с одной стороны, определяются правила обеспечения информационной безопасности на предприятии (например, обязанности сотрудников), а с другой — устанавливается ответственность за их нарушение. В состав правового обеспечения включаются государственные законы и акты (например, закон о государственной тайне), внутренние нормативные и организационные документы предприятия (устав, правила внутреннего распорядка, инструкции для сотрудников о сохранении коммерческой или иной тайны и т.д.).
2.

Определение

потенциальных

угроз

безопасности

информации.
Их можно разделить на три группы — это угрозы, возникающие:  вследствие действий человека — это могут быть как случайные ошибки специалистов предприятия при работе с информационной системой (неправильный ввод данных или их удаление), так и предумышленные действия (кража документов или носителей информации);
 вследствие некорректной работы или отказа технических или программных средств (например, сбой в работе операционной системы, вызванный вирусом);  из-за стихийных бедствий, природных катаклизмов, форс-мажорных обстоятельств (наводнения, пожары, смерчи, военные действия и т.д.). Список потенциальных угроз для информационной безопасности предприятия может быть очень велик. Рекомендуется оценить каждую из них с позиции здравого смысла или данных статистики, а затем проранжировать по степени вероятности возникновения и объема потенциального ущерба.
3.

Составление

перечня

данных,

подлежащих

защите.
Информация, которая используется на предприятии, может быть открытой (доступна для всех) или закрытой (доступна для ограниченного круга лиц). К первому типу относятся сведения, которые не составляют государственной или коммерческой тайны, не относятся к категории конфиденциальной информации (согласно законодательству или внутренним документам предприятия). Ущерб от потери подобного рода сведений не является значительным, поэтому их защита не приоритетна. Ко второму типу относятся:  данные, являющиеся государственной тайной — их перечень определяется законодательством;  коммерческие или служебные сведения — любая информация, связанная с производством, финансами, использующимися технологиями, утечка или утрата которой может нанести ущерб интересам предприятия;  персональные данные сотрудников. Эта информация должна быть защищена в первую очередь. Для каждого типа такого рода данных указывается, как и где они возникают, с помощью каких программных или технических средств ведется их обработка, какие подразделения (сотрудники) с ними работают и т.д.
4.

Создание

подразделения,

ответственного

за

вопросы

защиты

информации.
Как правило, на российских предприятиях существует разделение функций, связанных с обеспечением информационной безопасности. Это подразумевает, что за разработку политики защиты данных, выполнение организационных мер отвечает служба безопасности компании, а вопросы, связанные с применением любых программных и аппаратных средств, включаются в компетенцию ИТ-подразделения. Нередко возникают ситуации, когда стремление как можно надежнее защитить данные вступает в противоречие с потребностями бизнеса предприятия. В том числе это происходит, если меры безопасности разрабатываются без учета возможностей современных ИТ-средств. Например, на одном из предприятий служба безопасности запретила сотрудникам иметь доступ к рабочему адресу электронной почты из внешней среды, мотивируя свое решение необходимостью избежать утечек информации. В результате стали возникать задержки при выполнении бизнес-процессов: сотрудники не могли оперативно принимать необходимые управленческие решения, если они находились не в офисе предприятия. Участие в разработке подобной меры сотрудников ИТ-подразделения позволило бы избежать этой проблемы: доступ к рабочей почте был бы сохранен, а защита данных обеспечивалась бы за счет применения дополнительных программных средств. Поэтому более правильным подходом является создание единой точки принятия решений, а именно создание подразделения, задачей которого будет решение всего спектра вопросов по защите информации на предприятии. В его состав необходимо включить как сотрудников службы безопасности, так и ИТ-специалистов.

5.

Определение

основных

направлений

обеспечения

информационной

безопасности.
В рамках решения этой задачи, в частности, обозначаются компоненты АСУ, которые нуждаются в защите, определяются необходимые программные и технические средства, формулируются организационные меры, направленные на защиту информации.
Защита

автоматизированной

системы

управления:

программные

и

технические средства
Основным вопросом в плане обеспечения информационной безопасности является защита автоматизированной системы управления (ее возможная структура приведена на рис. 1), которая осуществляется за счет применения программных и технических средств. Сложность решения этой задачи обуславливается двумя факторами. Во-первых, доступ к ресурсам системы имеет огромное количество пользователей (несколько тысяч человек), которые находятся в нескольких территориально-распределенных подразделениях. Во-вторых, ее работа строится на взаимодействии целого ряда программных и аппаратных компонентов. Рис. 1 Типовая структура управления предприятием (источник: EPAM Systems) С точки зрения применения технических и программных средств защиту информации в системе управления можно разбить на три направления — это защита содержания данных, обеспечение сохранности информации при форс-мажорных
обстоятельствах (сбои в электропитании, пожары и т.д.) и устранение возможности для несанкционированного доступа к ресурсам системы. Для защиты содержания данных обычно применяют криптографические технологии — шифрование и электронную цифровую подпись, что позволяет добиться конфиденциальности и целостности информации, ее однозначной аутентификации. При этом метод шифрования позволяет защитить информацию даже в случае кражи ее носителя (например, жесткого диска сервера). Сохранение данных при внештатных ситуациях (в том числе вызванных форс- мажорными обстоятельствами) обеспечивается с помощью стандартных средств и мер. Кроме того, для предотвращения невосполнимой потери данных при таких инцидентах обычно применяются различные средства резервного копирования. Они позволяют создавать копии операционных систем компьютеров, документов пользователей и затем восстанавливать нормальную работу всей системы. Наиболее масштабной и сложной является задача предотвращения несанкционированного доступа к информации в системе управления. Ее решение разбивается на несколько подзадач — это обеспечение защиты персональных компьютеров, серверов и сетевых соединений. Защита персональных компьютеров подразумевает предотвращение случаев запуска системы пользователями, у которых нет соответствующих прав. Доступ к системе должен регламентироваться в строгой привязке к конкретным рабочим местам пользователей и их функциональным обязанностям. Для этого могут применяться различные средства, которые входят в состав использующегося программного обеспечения или являются дополнительными компонентами. Один из механизмов подобной защиты — это идентификация пользователей, которая проводится несколькими способами. К числу наиболее распространенных можно отнести метод парольной идентификации. Она выполняется как с помощью включенных в программное обеспечение средств (входят в состав BIOS, любых операционных систем, СУБД, ERP-систем), так и с помощью внешних компонентов. Это могут быть, например, аппаратные модули доверенной загрузки — иногда их называют «электронный замок». Функции подобных устройств заключаются в идентификации пользователя и проверке целостности программного обеспечения. Если на компьютере работает только один пользователь, то данных средств обычно достаточно для обеспечения надежной защиты системы. При работе на одном компьютере нескольких пользователей, кроме задачи идентификации пользователей, необходимо решить вопрос разделения их полномочий. Для этих целей возможно использование специальной программы защиты, которая запускается при старте операционной системы. Она контролирует действия пользователей по запуску приложений и обращения к данным. При этом все операции фиксируются в журнале, доступ к которому имеет только системный администратор, ответственный за информационную безопасность. Идентификация пользователей может вестись не только с помощью системы паролей, но и на основе биометрических технологий. В этом случае в качестве уникальных идентификаторов используются отпечаток ладони или пальцев пользователя, рисунок радужной оболочки глаза. Еще один способ однозначного определения пользователей — применение таких средств, как электронные ключи, смарт-карты.
Защита серверов также проводится за счет идентификации пользователей и разграничения прав доступа. Использование специальной системы протоколирования и аудита позволяет фиксировать все действия пользователей, связанные с обращением к серверу, анализировать их для выявления потенциально опасных ситуаций. Защита сетевых соединений обеспечивается с помощью аутентификации рабочих станций и серверов, основанной на применении технологий цифровой подписи, шифрования и инкапсуляции IP-пакетов. Для обеспечения контроля над информационными потоками между различными сегментами корпоративной сети и внешней средой (например, Интернетом) может использоваться технология межсетевого экранирования. Межсетевые экраны — это программно-аппаратные средства, которые позволяют вести мониторинг данных, поступающих из внешней среды, и оценивать их на предмет угрозы для внутренней сети предприятия. Вопрос о выборе технологий защиты и конкретных программно-аппаратных средств решается на основе анализа характеристик автоматизированной системы управления и ее структуры. Минимальные необходимые требования к составу и функциям средств защиты АСУ сформулированы в нормативных документах Федеральной службы по техническому и экспортному контролю России (ФСТЭК, предыдущее название — Гостехкомиссия РФ).
Нормативные

требования

к

автоматизированной

системе

управления

в

области защиты информации
В контексте защиты информации выделяют пять классов автоматизированных систем, с помощью которых может одновременно обрабатываться или храниться информация различных уровней конфиденциальности. При этом доступ к данным должен различаться в зависимости от категории пользователей. По отношению к каждому классу таких систем должны соблюдаться определенные стандарты и правила. Системы классов 1А, 1Б и 1В используются в органах власти, ведомственных структурах, на предприятиях оборонно-промышленного комплекса. Применимо к ним состав средств защиты и их применение контролируется специальными организациями (ФСТЭК, ФСБ, ФАПСИ и т.д.). Системы, которые используются в крупных коммерческих компаниях, имеющих государственное значение (например, ОАО «Газпром», НК «Роснефть»), преимущественно относятся к классу 1Г. Контроль защиты информации должен осуществляться собственной службой безопасности предприятия, но в соответствии с рекомендациями ФСТЭК, ФСБ и других организаций. В других компаниях применяются системы класса 1Д, что означает гораздо более низкие требования к обеспечению защиты информации и отсутствие контроля со стороны государственных ведомств. Основные требования в области защиты информации по всем классам автоматизированных систем приведены в таблице 1.
Таблица 1. Основные требования в области защиты информации по всем классам автоматизированных систем Использование современных программных и аппаратных средств является существенным элементом в обеспечении информационной безопасности. Однако, чтобы система защиты информации была полностью надежной, необходимо дополнить применение ИТ-средств выполнением ряда организационных мероприятий.
Организационные мероприятия по защите информации
Организационные мероприятия, связанные с защитой информации (в том числе — с защитой автоматизированной системы управления), обычно включают в себя:  разработку инструкций и регламентов для сотрудников;
 организацию охраны помещений и разработку пропускного режима;  ограничение до ступа в помещения, где размещены с е р в е р ы автоматизированной системы управления;  хранение носителей информации и бумажной документации в сейфах или других защищенных местах;  установку мониторов компьютеров, клавиатуры, принтеров таким образом, чтобы исключить возможность просмотра или копирования информации посторонними лицами;  ликвидацию ненужных носителей информации и документов;  уничтожение всей информации на жестких дисках компьютеров, где были установлены компоненты системы, перед их отправкой в ремонт;  проведение регулярных проверок по соблюдению всех правил, положений и инструкций, связанных с обеспечением информационной безопасности. Для минимизации рисков, связанных с несанкционированным доступом на предприятие или в его отдельные подразделения, может использоваться метод создания рубежей защиты. Это подразумевает, что территория предприятия разбивается на несколько зон, ранжированных по степени закрытости для сотрудников или посетителей. В результате возникает возможность для разграничения доступа к наиболее важным информационным ресурсам предприятия. Тем самым обеспечивается их максимальная защита. Пример организации рубежей защиты приведен на рис. 2. Рис. 2 Типовые рубежи защиты (источник: EPAM Systems)
Информационная безопасность: цена вопроса и эффективность
Наконец, один из важных вопросов создания системы защиты информации — это стоимость всего проекта. Необходимые затраты можно разделить на прямые и косвенные. Прямые затраты — это:
 стоимость программного и аппаратного обеспечения, необходимого для защиты данных в автоматизированной системе управления;  стоимость внедрения средств защиты (для этого может потребоваться перенастройка использующегося программного обеспечения и оборудования, прокладка дополнительной кабельной сети и т.д.);  стоимость поддержки внедренных средств, обучения специалистов;  стоимость дополнительных технических средств (например, систем бесперебойного питания, систем для организации пропускного режима);  стоимость управления системой защиты информации (например, заработная плата сотрудникам подразделения, занимающегося вопросами информационной безопасности, оборудование рабочих мест и т.д.);  стоимость последующей модернизации программно-аппаратного обеспечения и других технических средств. К косвенным затратам относятся потери предприятия, возникающие в результате сбоя или простоев в работе автоматизированной системы управления. Это может являться, например, следствием неправильного выбора, установки или настройки средств защиты информации. Главный результат создания надежной системы защиты информации заключается в отсутствии потерь. Без использования системы значительно возрастает риск утечки или утраты информации. К числу наиболее неприятных последствий подобных инцидентов компании относятся прямые финансовые убытки, удар по репутации, потерю клиентов, снижение конкурентоспособности (рис. 3). Тем самым обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл. Рис. 3 Потери предприятия в результате отсутствия СЗИ (источник: CNews, обзор «Средства защиты информации и бизнеса», 2007 г.) Разработка системы защиты позволяет комплексно подойти к решению вопросов информационной безопасности предприятия. За счет применения программных и аппаратных средств, выполнения организационных мероприятий обеспечивается сохранность данных, которые обрабатываются в автоматизированной системе управления, и минимизируются риски потери информации.

Уровни формирования режима информационной

безопасности
С учетом изложенного выделим три уровня формирования режима информационной безопасности: · законодательно-правовой; · административный (организационный); · программно-технический.
Законодательно-правовой

уровень
в к л ю ч а е т к о м п л е к с законодательных и иных правовых актов, устанавливающих правовой статус субъектов информационных отношений, субъектов и объектов защиты, методы, формы и способы защиты, их правовой статус. Кроме того, к этому уровню относятся стандарты и спецификации в области информационной безопасности. Система законодательных актов и разработанных на их базе нормативных и организационно-распорядительных документов должна обеспечивать организацию эффективного надзора за их исполнением со стороны правоохранительных органов и реализацию мер судебной защиты и ответственности субъектов информационных отношений. К этому уровню можно отнести и морально-этические нормы поведения, которые сложились традиционно или складываются по мере распространения вычислительных средств в обще стве. Морально-этиче ские нормы могут б ыт ь регламентированными в законодательном порядке, т. е. в виде свода правил и предписаний. Наиболее характерным примером таких норм является Кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США. Тем не менее, эти нормы большей частью не являются обязательными, как законодательные меры.
А д м и н и с т р а т и в н ы й

у р о в е н ь
в к л ю ч а е т к о м п л е к с взаимокоординируемых мероприятий и технических мер, реализующих практические механизмы защиты в процессе создания и эксплуатации систем защиты информации. Организационный уровень должен охватывать все структурные элементы систем обработки данных на всех этапах их жизненного цикла: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.
Программно-технический

уровень
включает три подуровня: физический, технический (аппаратный) и программный. Физический подуровень решает задачи с ограничением физического доступа к информации и информационным системам, соответственно к нему относятся технические средства, реализуемые в виде автономных устройств и систем, не связанных с обработкой, хранением и передачей информации: система
охранной сигнализации, система наблюдения, средства физического воспрепятствования доступу (замки, ограждения, решетки и т. д.). Средства защиты аппаратного и программного подуровней непосредственно связаны с системой обработки информации. Эти средства либо встроены в аппаратные средства обработки, либо сопряжены с ними по стандартному интерфейсу. К аппаратным средствам относятся схемы контроля информации по четности, схемы доступа по ключу и т. д. К программным средствам защиты, образующим программный подуровень, относятся специальное программное обеспечение, используемое для защиты информации, например, антивирусный пакет и т. д. Программы защиты могут быть как отдельные, так и встроенные. Так, шифрование данных можно выполнить встроенной в операционную систему файловой шифрующей системой EFS (Windows 2000, XP) или специальной программой шифрования. Подчеркнем, что формирование режима информационной безопасности является сложной системной задачей, решение которой в разных странах отличается по содержанию и зависит от таких факторов, как научный потенциал страны, степень внедрения средств информатизации в жизнь общества и экономику, развитие производственной базы, общей культуры общества и, наконец, традиций и норм поведения.
Процедурный уровень информационной безопасности
Обеспечение информационной безопасности компьютерных систем является чрезвычайно острой проблемой. Информационная безопасность - механизм защиты, обеспечивающий: - конфиденциальность: доступ к информации только авторизованных пользователей; - целостность: достоверность и полноту информации и методов ее обработки; - доступность: доступ к информации и связанным с ней активам авторизованных пользователей по мере необходимости. Информационная безопасность достигается путем реализации соответствующего комплекса мероприятий по управлению информационной безопасностью, которые могут быть представлены политиками, методами, процедурами, организационными структурами и функциями программного обеспечения. Указанные мероприятия должны обеспечить достижение целей информационной безопасности организации.
К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, и поэтому нуждаются в существенном пересмотре.