Урок №6. Техногенные и экономические угрозы, связанные с использованием ИКТ. Защита информации и информационная безопасность.
Зависимость современных организаций от компьютерных технологий стала настолько сильной, что вывод из строя компьютерной сети или программного обеспечения может остановить работу предприятия. Чтобы этого не произошло, нужно соблюдать правила информационной безопасности.
Информационная безопасность — это защищённость информации от любых действий, в результате которых владельцам или пользователям информации может быть нанесён недопустимый ущерб. Причиной такого ущерба может быть искажение или утеря информации, а также неправомерный доступ к ней.
Прежде всего в защите нуждается государственная и военная тайна, коммерческая тайна, юридическая тайна, врачебная тайна. Необходимо защищать личную информацию: паспортные данные, данные о банковских счетах, пароли на сайтах, а также любую информацию, которую можно использовать для шантажа, вымогательства и т. п.
Конечно, невозможно защититься от любых потерь, поэтому задача состоит в том, чтобы исключить именно недопустимый ущерб. С точки зрения экономики, средства защиты не должны стоить больше, чем возможные потери.
Защита информации — это меры, направленные на то, чтобы не потерять информацию, не допустить её искажения, а также не допустить, чтобы к ней получили доступ люди, не имеющие на это права. В результате нужно обеспечить:
• доступность информации — свойство информации, которое обеспечивает возможность ее использования по назначению в нужное время и в нужном месте. Доступность защищает информацию от несанкционированного блокирования или уничтожения.;
• целостность — свойство информации, которое обеспечивает сохранение ее исходного содержания и структуры. Целостность защищает информацию от несанкционированного изменения или искажения.;
• конфиденциальность информации — свойство информации, которое обеспечивает доступ к ней только тем лицам, которые имеют на это право. Конфиденциальность защищает информацию от несанкционированного раскрытия или утечки..
Доступность информации нарушается, например, когда оборудование выходит из строя или веб-сайт не отвечает на запросы пользователей в результате массовой атаки вредоносных программ через Интернет.
Нарушения целостности информации — это кража или искажение информации, например подделка сообщений электронной почты и других цифровых документов.
Конфиденциальность информации нарушается, когда информация становится известной тем людям, которые не должны о ней знать (происходит перехват секретной информации).
В компьютерных сетях защищённость информации снижается по сравнению с отдельным компьютером, потому что:
• в сети работает много пользователей, их состав меняется;
• есть возможность незаконного подключения к сети;
• существуют уязвимости в сетевом программном обеспечении;
• возможны атаки взломщиков и вредоносных программ через сеть.
Технические средства защиты информации — это замки, решётки на окнах, системы сигнализации и видеонаблюдения, другие устройства, которые блокируют возможные каналы утечки информации или позволяют их обнаружить.
Программно-аппаратные средства обеспечения информационной безопасности — это специальные программы и устройства, которые используются для защиты информации от различных угроз в электронном виде. Программно-аппаратные средства обеспечения информационной безопасности можно классифицировать по различным критериям, например, по функциональному назначению, по месту применения, по способу взаимодействия с информацией и т. д. Среди наиболее распространенных типов программно-аппаратных средств обеспечения информационной безопасности можно выделить следующие:
- антивирусное ПО — специализированный софт для обнаружения, нейтрализации и удаления компьютерных вирусов и других вредоносных программ, которые могут повредить или украсть информацию.
- облачные антивирусы — решения, которые используют удаленные серверы для анализа и защиты информации от вирусов и других угроз, не требуя установки локального ПО на компьютере пользователя.
- решения DLP (Data Leak Prevention) — системы, которые контролируют передачу и хранение конфиденциальной информации и предотвращают ее утечку или кражу через различные каналы связи.
- системы криптографии — средства, которые используют математические алгоритмы для преобразования информации в зашифрованный вид, который может быть прочитан только обладателем соответствующего ключа. Криптография обеспечивает конфиденциальность и целостность информации при ее передаче или хранении.
- межсетевые экраны (МСЭ) — устройства или программы, которые контролируют сетевой трафик и фильтруют его по заданным правилам, блокируя нежелательные или опасные подключения. МСЭ защищают информацию от несанкционированного доступа или атак из Интернета или локальной сети.
- виртуальная частная сеть VPN (Virtual Private Network) — технология, которая позволяют создавать защищенные туннели между удаленными компьютерами или сетями через общедоступную сеть Интернет. VPN обеспечивает конфиденциальность и целостность передаваемой информации, а также позволяют обходить ограничения доступа к ресурсам сети.
- прокси-сервер — сервер, который выступает в качестве посредника между клиентом и целевым сервером, пересылая запросы и ответы между ними. Прокси-сервер может выполнять различные функции по защите информации, например, анонимизацию клиента, фильтрацию содержимого, кэширование данных и т. д.
- решения SIEM (Security Information and Event Management) — системы, которые собирают, анализируют и хранят информацию о событиях и инцидентах, связанных с информационной безопасностью в различных системах и сетях. SIEM позволяют мониторить состояние информационной безопасности, выявлять аномалии и нарушения, реагировать на угрозы и генерировать отчеты.
- системы обнаружения и предотвращения вторжений (IDS/IPS) — средства, которые анализируют сетевой трафик и выявляют попытки несанкционированного доступа или атак на информационные системы и сети. IDS регистрируют и оповещают об инцидентах, а IPS блокируют или ослабляют атаки.
- системы биометрической идентификации — средства, которые используют уникальные физические или поведенческие характеристики человека для подтверждения его личности при доступе к информации. Системы биометрической идентификации могут использовать отпечатки пальцев, радужку глаза, голос, лицо и т. д.
- системы штрих-кодирования и RFID (Radio Frequency Identification) — средства, которые используют специальные метки или носители информации для идентификации и отслеживания объектов или людей. Системы штрих-кодирования и RFID могут применяться для защиты информации на физических носителях или документах.
Организационные средства включают:
• распределение помещений и прокладку линий связи таким образом, чтобы злоумышленнику было сложно до них добраться;
• политику безопасности организации.
Серверы, как правило, находятся в отдельном (охраняемом) помещении и доступны только администраторам сети. Важная информация должна периодически копироваться на резервные носители (диски или магнитную ленту), чтобы сохранить её в случае сбоев. Обычные сотрудники (не администраторы):
• имеют право доступа только к тем данным, которые им нужны для работы;
• не имеют права устанавливать программное обеспечение;
• раз в месяц должны менять пароли.
Самое слабое звено любой системы защиты — это человек. Некоторые пользователи могут записывать пароли на видном месте (чтобы не забыть) и передавать их другим, при этом возможность незаконного доступа к информации значительно возрастает. Поэтому очень важно обучить пользователей основам информационной безопасности.
Большинство утечек информации связано с инсайдерами (англ, inside — внутри) — недобросовестными сотрудниками, работающими в фирме. Известны случаи утечки закрытой информации не через ответственных сотрудников, а через секретарей, уборщиц и другой вспомогательный персонал. Поэтому ни один человек не должен иметь возможности причинить непоправимый вред (в одиночку уничтожить, украсть или изменить данные, вывести из строя оборудование).
Впервые требования к информационной безопасности компьютерных систем были сформулированы в 1983 г. в документе министерства обороны США под названием «Критерии оценки надёжных компьютерных систем» (его также называют «Оранжевая книга» по цвету обложки). В конце 1980-х гг. подобные документы появились во многих европейских странах.
В этих документах выделены основные угрозы информационной безопасности:
• кража данных и информации из сетей и баз данных;
• подмена информации;
• подделка документов в электронном виде;
• промышленный шпионаж (кража чертежей, технологий и т. п.) и предлагаются различные варианты обеспечения минимального, но достаточного уровня защиты данных.
Международная организация по стандартизации (англ. ISO: International Organization for Standardization) утвердила несколько стандартов по информационной безопасности компьютерных систем, в том числе «Практические правила менеджмента информационной безопасности» и «Системы управления информационной безопасностью».
В начале XXI века появилась новая угроза для всего мирового сообщества — кибервойны, т. е. использование Интернета и связанных с ним информационных технологий одним государством с целью причинения вреда военной, технологической, экономической, политической, информационной безопасности и суверенитету другого государства.
Кибератаки могут привести к очень тяжёлым последствиям, сравнимым с результатом действия обычного оружия. Например, в результате внедрения вредоносного кода в программное обеспечение систем управления ядерным реактором этот реактор может взорваться. При этом урон будет нанесён не только военным объектам, но и в большей степени мирному населению.
Опасны кибератаки не только против военных объектов. Атака на финансовую, транспортную или энергетическую систему тоже может привести к хаосу в государстве, и его последствия могут быть столь же тяжёлыми, как и вооружённое нападение.
К сожалению, международные нормы в области информационной безопасности ещё только начинают разрабатываться. В Организации Объединённых Наций работает Группа правительственных экспертов (ГПЭ) по международной информационной безопасности. В докладе ГПЭ 2015 года государствам — членам ООН было предложено соблюдать набор добровольных и необязательных норм ответственного поведения в киберпространстве. Участники ГПЭ согласились, что:
• государство отвечает за работу всех информационных систем и компьютерных сетей на своей территории;
• в киберпространстве необходимо соблюдать общие принципы международного права, закреплённые в Уставе ООН: суверенитет государств, невмешательство в их внутренние дела, мирное разрешение споров.
Доктрина информационной безопасности Российской Федерации была утверждена в 2000 году. В ней информационная безопасность определяется как состояние защищённости национальных интересов в информационной сфере с точки зрения интересов личности, общества и государства. Согласно Доктрине, национальные интересы России включают:
• соблюдение конституционных прав и свобод человека в области получения и использования информации;
• информационное обеспечение государственной политики РФ;
• развитие современных отечественных средств информатизации, телекоммуникации и связи; обеспечение внутреннего рынка и выход на внешний рынок;
• защиту информационных ресурсов от несанкционированного доступа, обеспечение безопасности информационных и телекоммуникационных систем.
Для выполнения этих задач в Доктрине предусмотрены:
• правовые методы — разработка документов по информационной безопасности;
• организационно-технические методы:
— создание системы информационной безопасности РФ;
— защита сведений, составляющих государственную тайну;
— привлечение к ответственности лиц, совершивших преступления в сфере информационной безопасности;
— создание систем для предотвращения несанкционированного доступа к информации;
— контроль за выполнением требований по защите информации;
• экономические методы — финансирование работ, связанных с обеспечением информационной безопасности РФ.
В Конституции РФ определено, что доступ к отдельным видам информации (например, к информации о состоянии окружающей среды) не может быть ограничен. В случае угрозы жизни и здоровью людей должностные лица обязаны информировать население о ней под страхом привлечения к уголовной ответственности.
Основные принципы правового регулирования отношений в сфере информации, информационных технологий и защиты информации закреплены в Федеральном законе «Об информации, информационных технологиях и о защите информации», принятом в 2006 году. В нём определяются:
• порядок распространения информации в компьютерных сетях;
• обязанности организаторов распространения информации в сети Интернет;
• перечень информации, запрещённой для распространения (например, призывы к массовым беспорядкам и терроризму);
• меры по соблюдению авторских прав при распространении информации;
• порядок ограничения доступа к информации, которая распространяется с нарушением закона;
• ответственность провайдеров, операторов связи и владельцев сайтов за нарушение законов при распространении информации.
Информация, составляющая государственную, коммерческую или банковскую тайну, а также персональные данные граждан, — это информация ограниченного доступа. В то же время в законах РФ «О Государственной тайне» и «Об информации, информационных технологиях и о защите информации» перечислены сведения, не подлежащие засекречиванию (например, информация о работе государственных и местных органов управления, а также об использовании бюджетных средств).