Организация и средства информационных технологий обеспечения управленческой деятельности
Информационная безопасность IT-службы предприятия
1. Экономическая информация предприятия, как объект коммерческой тайны
2. Анализ потенциальных атак на экономическую независимость предприятия
3. Оценка состояния системы безопасности предприятия
4 Стратегии экономической безопасности предприятия
1 Экономическая информация предприятия,
как объект коммерческой тайны
Прежде чем рассматривать вопросы обеспечения экономической безопасности предприятия необходимо проанализировать те особенности, которые проявляются в процессе его функционирования. В первую очередь, это смешанный административно-рыночный характер, который проявляется в том, что функционирование предприятия происходит преимущественно на товарных рынках, а управление осуществляется в жестких административных рамках – вплоть до вмешательства Правительства России.
Отметим также, что принципиальной особенностью любой отрасли хозяйствования является отсутствие стратегических финансовых целей, обусловленное макроэкономической моделью, то есть механизм перераспределения доходов включается в налоговую систему на макроуровне. Также имеет место противоречие между характером операций и невозможностью их выполнения, обусловленное законодательными ограничениями на выполнение бизнес-операций административными органами, осуществляющими управление.
Функционирование предприятия осуществляется в условиях жесткой конкуренции с подобными предприятиями, что повышает угрозу экономической безопасности, а также усиливает необходимость регулирования условий их функционирования на макроуровне.
Кроме этого имеется острая потребность в высококлассных специалистах при реальных ограничениях в оплате их труда, что влечет за собой использование услуг профессиональных участников рынка и предоставление им взамен определенных прав в употреблении части выделяемых средств на их стимулирование.
Перечисленные особенности субъектов экономики существенно отличают их как от функционирования фирмы с чисто рыночной ориентацией, так и от административно-ориентированной организации. Следовательно, обеспечение экономической безопасности предприятия должно осуществляться на основе синтеза административных и рыночных методов управления, а это, в свою очередь означает необходимость
.
Оценка ожидаемых потерь при нарушении защищенности информации принципиально может быть получена лишь тогда, когда речь идет о защите промышленной, коммерческой и им подобной тайны.
Для определения уровня затрат, обеспечивающих требуемый уровень защищенности информации, необходимо, по крайней мере, знать, во-первых, полный перечень угроз информации, во-вторых, потенциальную опасность для информации каждой из угроз и, в-третьих, размеры затрат, необходимых для нейтрализации каждой из угроз.
4 Стратегии экономической безопасности предприятия
В «Государственной стратегии экономической безопасности Российской Федерации (основные положения)» зафиксировано, что «без обеспечения экономической безопасности невозможно решить ни одну из задач, стоящих перед страной, как внутригосударственном, так и в международном плане».
В стратегии сформулированы угрозы экономической безопасности России обусловленные:
увеличением имущественной дифференциации населения и повышением уровня бедности, что ведет к нарушению социального мира и общественного согласия;
деформированность структуры российской экономики, обусловленная такими факторами, как:
усиление топливно-сырьевой направленности экономики;
отставание разведки запасов полезных ископаемых от их добычи;
низкая конкурентоспособность продукции большинства отечественных предприятий;
свертывание производства в жизненно важных отраслях обрабатывающей промышленности, прежде всего в машиностроении;
снижение результативности, разрушение технологического единства научных исследований и разработок, распад сложившихся научных коллективов и на этой основе подрыв научно-технического потенциала России;
завоевание иностранными фирмами внутреннего рынка России по многим видам товаров народного потребления;
приобретение иностранными фирмами российских предприятий в целях вытеснения отечественной продукции как с внешнего, так и с внутреннего рынка;
рост внешнего долга России и связанное с этим увеличение расходов бюджета на его погашение;
возрастание неравномерности социально-экономического развития регионов. Важнейшими факторами этой угрозы являются:
объективно существующие различия в уровне социально-экономического развития регионов, наличие депрессивных, кризисных и отсталых в экономическом отношении районов на фоне структурных сдвигов в промышленном производстве, сопровождающихся резким уменьшением доли обрабатывающих отраслей;
нарушение производственно-технологических связей между предприятиями отдельных регионов России;
увеличение разрыва в уровне производства национального дохода на душу населения между отдельными субъектами Российской Федерации;
криминализация общества и хозяйственной деятельности, вызванная в основном такими факторами, как:
рост безработицы, поскольку значительная часть преступлений совершается лицами, не имеющими постоянного источника дохода;
сращивание части чиновников государственных органов с организованной преступностью, возможность доступа криминальных структур к управлению определенной частью производства и их проникновения в различные властные структуры;
ослабление системы государственного контроля, что привело к расширению деятельности криминальных структур на внутреннем финансовом рынке, в сфере приватизации, экспортно-импортных операций и торговли.
Основными причинами, вызывающими возникновение указанных угроз, является неустойчивость финансового положения предприятий, неблагоприятных инвестиционный климат, сохранение инфляционных процессов и другие проблемы, связанные с финансовой дестабилизацией в экономике.
Кроме того, государственная стратегия развивает и конкретизирует положения Концепции национальной безопасности России с учетом национальных интересов в области экономики. Ее цель – обеспечение такого развития экономики, при котором создались бы приемлемые условия для жизни и развития личности, социально-экономической и военно-политической стабильности общества и сохранения целостности государства, успешного противостояния влиянию внутренних и внешних угроз.
Особое место в Стратегии отводится экономическим приоритетам страны, среди которых отмечается: стратегия экономики, структурные преобразования, финансовые и кредитно-денежные отношения, бюджетные приоритеты, научно-техническая политика, аграрная политика, ликвидация преступности, региональная политика, внешнеэкономическая деятельность, отношения со странами СНГ, сырьевая политика.
Стратегии защиты информационной системы предприятия
В целях создания условий для ориентации в таких неопределенных ситуациях и введено понятие «стратегия защиты» как общий взгляд на сложившуюся ситуацию по обеспечению безопасности информации и общий подход к принятию наиболее рационального решения в этой ситуации. При этом количество различных стратегий должно быть небольшим в противном случае будет трудно ориентироваться в самих стратегиях, но в то же время полно и достаточно адекватно отображать всю гамму потенциально возможных ситуаций.
Обоснование числа и содержания необходимых стратегий осуществляется по двум критериям: требуемому уровню защиты и степени свободы действий при организации защиты.
Значения первого критерия лучше всего выразить множеством тех угроз, относительно которых должна быть обеспечена защита: от наиболее опасных из известных (ранее проявившихся) угроз; от всех известных угроз; от всех потенциально возможных угроз.
Второй критерий выбора стратегий защиты сводится к тому, что организаторы и исполнители процессов защиты имеют относительно полную свободу распоряжения методами и средствами защиты и некоторую степень свободы вмешательства в архитектурное построение системы обработки информации (СОИ), а также в организацию и обеспечение технологии ее функционирования. По этому аспекту возможно выделить три различные степени свободы:
никакое вмешательство в СОИ не допускается. Такое требование может быть предъявлено к уже функционирующим СОИ, и нарушение процесса их функционирования для установки механизмов защиты не разрешается;
к архитектурному построению СОИ и технологии ее функционирования допускается предъявлять требования не концептуального характера. Другими словами, допускается приостановка процесса функционирования СОИ для установки некоторых механизмов защиты;
требования любого уровня, обусловленные потребностями защиты информации, принимаются в качестве обязательных условий при построении СОИ, организации и обеспечении их функционирования.
Если суммировать сказанное выше, то декартово произведение трех значений каждого из двух критериев (рис. 3) дает в общем случае девять различных стратегических подходов к защите информации.
Рис. 3 Стратегии защиты информации
Однако на практике из девяти можно выделить лишь три основные стратегии: оборонительная, наступательная и упреждающая стратегия
Формирование множества задач осуществляется на основе анализа объективных возможностей по реализации поставленных целей защиты. Такое их множество может состоять из ряда классов, включающих содержащие однородные в функциональном отношении задачи.
Учитывая, что основной целью обеспечения информационной безопасности является обеспечение защиты системы от обнаружения и от информационного воздействия, а также содержания информации, выделяются задачи соответствующих видов (рис.4).
Рис. 4 Классификация задач обеспечения информационной
безопасности
Система защиты информации (СЗИ) в общем виде определяется как организованная совокупность всех средств, методов и мероприятий, выделяемых (предусматриваемых) на объекте информатизации (ОИ) для решения в ней выбранных задач по защите.
Введением понятия СЗИ определяется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой любого объекта.
Таким образом, важнейшим концептуальным требованием к СЗИ является требование адаптируемости, то есть способности к целенаправленному приспособлению при изменении структуры, технологических схем или условий функционирования объекта. Важность требования адаптируемости обусловливается, с одной стороны, возможностью изменяться перечисленным факторам, а с другой – отношением процессов защиты информации к слабоструктурированным, то есть имеющим высокий уровень неопределенности. Управление же слабоструктурированными процессами может быть эффективным лишь при условии адаптируемости системы управления.
Помимо общего концептуального требования, к СЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые подразделяются на:
функциональные;
эргономические;
экономические;
технические;
организационные.
В основу архитектурного построения СЗИ закладывается архитектура объекта. Функционально система защиты информации представляет собой организованную совокупность функционально разграниченных элементов (рис.5).
Рис. 5 Функциональное построение системы защиты информации
Исходя из анализа необходимости нейтрализации основных видов угроз информации и реализации основных методов защиты информации, а также в соответствии с подходами, определенными руководящим документом Государственной технической комиссии, функциональное построение СЗИ можно представить совокупностью следующих подсистем:
1.Ограничения доступа. Подсистема должна выполнять функции идентификации, проверки подлинности (аутентификации) и контроля доступа пользователей конфиденциальной
Данные функции могут реализовываться на объекте с помощью специализированных систем контроля и управления доступом (СКУД), включающих программные средства аутентификации и регистрации и технические устройства ограничения доступа. Доступ к ПЭВМ в основном обеспечивается программными средствами защиты.
2.Криптографической защиты. Подсистема реализует функцию шифрования конфиденциальной информации, записываемой на совместно используемые различными субъектами доступа (разделяемые) носители данных, а также на съемные носители данных (ленты, диски, дискеты, микрокассеты и г. п.) долговременной внешней памяти для хранения за пределами сеансов работы санкционированных субъектов доступа, и также информации, передаваемой по линиям связи. Доступ к операциям шифрования и/или криптографическим ключам контролируется посредством подсистемы управления доступом.
Криптографическая подсистема реализуется в виде:
программно-аппаратных или программных средств, разрабатываемых (используемых) на основе действующих алгоритмов криптографического преобразования, криптосхемы, реализующей выбранный алгоритм, или других аттестованных аппаратных средств, предназначенных для шифрования/дешифрования с целью снятия грифа секретности информации, описываемой на учтенных носителях, внешних запоминающих устройствах ЭВМ (накопителях) или передаваемой по линиям связи;
других криптографических средств для шифрования/дешифрования информации, включая служебную информацию СЗИ НСД (ключи, пароли, таблицы санкционирования и т. п.).
3. Обеспечения целостности. Является обязательной для СЗИ и включает организационные, программно-аппаратные и другие средства и методы, обеспечивающие:
контроль целостности программных средств АС и СЗИ на предмет их несанкционированного изменения;
периодическое и/или динамическое тестирование функций СЗИ НСД с помощью специальных программных средств;
наличие администратора (службы) защиты информации, ответственного за ведение, нормальное функционирование и контроль работы СЗИ НСД;
восстановление СЗИ НСД при отказе и сбое;
резервирование информационных ресурсов на других типах носителей;
применение сертифицированных (аттестованных) средств и методов защиты, сертификация которых проводится специальными и испытательными центрами.
4. Регистрации и учета. Включает средства регистрации и учета событий и/или ресурсов с указанием времени и инициатора:
входа/выхода пользователей в/из системы (узла сети);
выдачи печатных (графических) выходных документов;
запуска/завершения программ и процессов (заданий, задач), использующих защищаемые файлы;
доступа программ пользователей к защищаемым файлам, включая их создание и удаление, передачу по линиям и каналам связи;
доступа программ пользователей к терминалам, ЭВМ, узлам сети ЭВМ, каналам и линиям связи, внешним устройствам ЭВМ, программам, томам, каталогам;
изменения полномочий субъектов доступа;
создаваемых объектов доступа;
носителей информации.
Кроме того, данная подсистема включает средства очистки (обнуления, обезличивания) областей оперативной памяти ЭВМ и внешних накопителей, использованных для обработки и/или хранения защищаемой информации. При ручном учете и регистрации эти функции реализуются организационными методами уничтожения носителей.
5. Подсистема управления – некоторое управляющее звено, которое в специальных публикациях получило название «ядро СЗИ».
Ядро системы защиты информации предназначено для объединения всех подсистем СЗИ в единую целостную систему, для организации обеспечения управления ее функционированием.
Ядро может включать организационные и технические составляющие.
Организационная составляющая представляет собой совокупность специально выделенных для обеспечения ЗИ сотрудников, выполняющих свои функции в соответствии с разработанными правилами, а также нормативную базу, регламентирующую выполнение этих функций службой защиты информации. Ее назначение и основные функции будут рассмотрены ниже.
Техническая составляющая обеспечивает техническую поддержку организационной составляющей и представляет собой совокупность технических средств отображения состояния элементов СЗИ, контроля доступа к ним, управления их включением и т. д. Чаще всего эти средства объединены в соответствующий пульт управления СЗИ.
Ядро СЗИ реализует следующие функции.
1. В отношении подсистемы ограничения доступа:
блокирование бесконтрольного доступа к носителям конфиденциальной информации и элементам СОИ (помещения ООИ и отдельные их элементы оборудуются средствами охранной сигнализации, пульт управления которыми входит в состав технического обеспечения ядра. Носители с защищаемыми данными хранятся в охраняемом помещении и отдельно от носителей с не защищаемыми данными. Для установки носителей с защищаемыми данными выделяются строго определенные устройства управления ВЗУ, которые оборудуются специальными замками, управление которыми осуществляется средствами ядра);
контроль и обеспечение реагирования на сигналы о попытках несанкционированного доступа (средства ядра должны обеспечивать контроль всех сигналов о несанкционированных действиях в любом структурном элементе ОИ, причем могут быть предусмотрены следующие виды реагирования: звуковое, световое и документальное; зарегистрированный сигнал должен содержать следующую информацию: место несанкционированного действия, время и характер действия; реагирование на сигналы должно обеспечивать прерывание обработки защищаемых данных, уничтожение информации в тех устройствах, которые могут быть доступны вследствие обнаруженных несанкционированных действий, и принятие мер для задержания нарушителя);
при наличии нескольких уровней конфиденциальности информации управление потоками информации, то есть контроль ее передачи между строго установленными ресурсами (носителями) с учетом наличия разрешения на такой вид обмена. Управление осуществляется с помощью определенных меток конфиденциальности. При переводе информации на новый носитель (передаче другому пользователю) необходимо, чтобы уровень конфиденциальности этого носителя (пользователя) был не ниже уровня конфиденциальности передаваемой информации.
2. В отношении криптографической подсистемы:
контроль выполнения требований к средствам шифрования информации (криптостойкости – способности противостоять вскрытию содержания информации; имитозащищенности – способности противостоять вводу ложной информации);
управление ключами шифрования (разработка, доставка, обращение и уничтожение).
3. В отношении подсистемы обеспечения целостности:
организация и обеспечение проверок правильности функционирования СЗИ (аппаратных средств – по тестовым программам и организационно; физических средств – организационно, программных средств – по специальным контрольным суммам (на целостность) и по другим идентифицирующим признакам; регистрационных журналов – программно и организационно на целостность и защищенность; организационных средств защиты – организационно сотрудниками служб защиты);
контроль за резервированием информационных ресурсов и их уничтожением при необходимости;
обеспечение недоступности средств управления доступом со стороны пользователей с целью их модификации, блокирования или отключения.
4. В отношении подсистемы регистрации и учета:
организация и контроль процесса регистрации всех случаев, рассмотренных выше;
анализ регистрируемых данных для оценки уровня безопасности объекта.
Кроме того, в отношении общего управления ядро СЗИ обеспечивает текущее планирование защиты информации, включение компонентов и технологических схем функционирования СЗИ в работу при поступлении запросов на обработку защищаемых данных, подготовку персонала объекта и т. д.
Под организационным построением СЗИ понимается общая организация системы, адекватно отражающая основные принципы построения ОИ. При этом основные элементы СЗИ территориально привязываются к основным организационным составляющим объекта.
Одним из весьма перспективных вариантов такого построения является так называемая семирубежная модель защиты (рис.8).
Существо подхода состоит в следующем. Очевидно, что защита информации в ОИ может быть обеспечена лишь в том случае, если будут защищены элементы, имеющие отношение к ОИ:
территория, в пределах которой расположены средства ОИ;
здания и помещения, в которых размещены средства ОИ;
ресурсы, используемые для обработки и хранения защищаемой информации;
линии (каналы) связи, используемые для сопряжения элементов ОИ и ОИ с другими (внешними) объектами.
Тогда организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:
территории, занимаемой ОИ;
зданий, расположенных на территории;
помещений внутри здания, в которых расположены ресурсы ОИ и защищаемая информация;
ресурсов, используемых для обработки и хранения информации и самой защищаемой информации: технических ресурсов (средств обработки информации, технических средств шифрования и т. д.), устройств хранения конфиденциальной информации (сейфов, электронных устройств), самой конфиденциальной информации ее носителей;
линий связи, проходящих в пределах одного и того же здания;
линий (каналов) связи, проходящих между различными зданиями, расположенными на одной и той же охраняемой территории;
линий (каналов) связи, выходящих за пределы объекта. При этом в зависимости от требований к уровню безопасности информации на каждом из рубежей защиты могут быть реализованы функции одной или нескольких подсистем защиты, указанных выше.
Рис.6 Семирубежная модель СЗИ
Поскольку СЗИ является подсистемой системы обработки информации, ее структурное построение может быть определено по аналогии со структурным построением ОИ. Сформированная таким образом структурная схема СЗИ представлена на рис. 9.
Содержание выделенных структурных компонентов в общем виде может быть представлено следующим образом. Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования ОИ. К ним относятся:
Рис. 9 Общая структурная схема системы защиты информации
абоненты ОИ, имеющие доступ к ресурсам и участвующие в обработке информации;
администрация объекта, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ;
телефонисты и операторы ОИ, осуществляющие прием информации, подготовку ее к обработке, управление средствами ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков;
администраторы банков данных, отвечающие за организацию, ведение и использование баз данных ОИ, а также специалисты, занимающиеся ведением защищенного документооборота;
обслуживающий персонал, обеспечивающий работу технических средств ОИ, в том числе и средств СЗИ;
системные программисты, осуществляющие управление программным обеспечением ОИ;
служба защиты информации, которая несет полную ответственность за защиту информации и имеет особые полномочия. Если эта служба в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на обслуживающий персонал ОИ и администрацию банков данных с соответствующим изменением ее организационно-правового статуса.
Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение.