Данный материал предназначен прежде всего для руководителей и специалистов негосударственных структур безопасности, проектирующих концепции комплексной безопасности предприятия любой формы собственности.
Одной из основных, наиболее актуальных сфер безопасности, оказывающих существенное (а в ряде случаев — определяющее) влияние на все процессы в бизнесе, является информационная безопасность.
Информационная безопасность – это состояние защищенности информационных ресурсов, технологии их формирования и использования, а также прав субъектов информационной деятельности.
Информационная безопасность бизнеса представляет собой относительно самостоятельную область, для которой информационные условия формируются, как принято считать в бизнесе, взаимодействием 4 внешних факторов дальнего окружения – социальных, технических, экономических и политических. Однако реальные угрозы бизнесу в информационной области формируются не только и не столько в области этих STEP-факторов.
О значительных масштабах угроз бизнесу свидетельствуют многие факты. Сегодняшний бизнес не может существовать без информационных технологий. Известно, что около 70% мирового совокупного национального продукта зависит тем или иным образом от информации, хранящейся в информационных системах. Повсеместное внедрение компьютеров создало не только известные удобства, но и проблемы, наиболее серьезной из которых является проблема защиты информационных потоков.
Показательным является недавнее исследование Британского Национального Компьютерного Центра (NCC, 2003), в котором участвовало 660 компаний, выявившее более 7000 случаев нарушения информационной безопасности, допущенных в этих компаниях в течение последних двух лет. С момента проведения предыдущего исследования (т. е. за два года) средняя стоимость такого нарушения почти удвоилась и достигла 16 тыс. фунтов стерлингов (25,5 тыс. долл.). К сожалению, подобные исследования в России практически не проводятся, и более того, предприятия, подвергшиеся хакерским атакам, скрывают эти факты, что приводит к искажению реального положения дел при проведении работы по выявлению несанкционированных проникновений в информационные сети.
В качестве примеров можно привести краткую выдержку данных наблюдения всего лишь за один месяц прошлого года.
n Взломан веб-сайт одной из фирм электронной коммерции; украдено около 3000 записей, содержащих номера кредитных карт клиентов и информацию частного характера. Часть этой информации помещена в Интернете.
n В течение нескольких лет частная информация с ряда веб-сайтов без ведома их владельцев становилась известной рекламодателям (например, с веб-сайта корпорации Sony и др.)
n Человеческий фактор остается наиболее уязвимым местом системы безопасности. Хакеры зачастую узнают пароли и другую секретную информацию через сотрудников фирм, действуя под чужим именем.
n Министерство обороны Японии приостановило внедрение новой компьютерной системы безопасности после того, как установило, что программное обеспечение было разработано членами секты Аум Синрике.
n Двое сицилийцев (Дж. Руссо и его жена С. Элазар) были арестованы за кражу через Интернет данных почти тысячи кредитных карт США. Они использовали эти карты для закупки лучших товаров и лотерейных билетов.
n Отражена серия атак, направленных на отказ в обслуживании, проведенных хакером (на самом деле — скучающим подростком) по имени Кулио. Он признал, что в прошлом вскрыл около 100 сайтов, в том числе сайт криптографической компании RSA Security и сайт, принадлежащий государственному департаменту США.
n Злоумышленники организовали атаки, приведшие к отказам в обслуживании на веб-сайте компании Мiсгоsoft в Израиле.
n Лазейка, обнаруженная в Мiсгоsoft Internet Ехрlогег 5 (в Windows 95, Windows 98, Windows NТ 4.0 и Windows 2000), позволила злоумышленнику создать веб-страницу, дающую ему возможность запустить любую программу на компьютере посетителя сайта.
Обозревая этот список, приходишь к заключению, что имеется значительное разнообразие проблем, слабых точек в защите от атак. Некоторые из них присутствуют в электронной коммерции, при проектировании которой далеко не всегда учитывались требования информационной безопасности. Даже криптографическая фирма, продающая системы информационной безопасности, не смогла уберечь собственный сайт от взлома.
Хакерами оказываются самые разнообразные люди, часто не имеющие специального образования в области защиты информации. Почему это происходит и что можно сделать для сохранения своих секретов – предмет дальнейшего нашего рассмотрения.
В российском законодательстве на национальном уровне политика информационной безопасности регулируется прежде всего Конституцией Российской Федерации, Доктриной информационной безопасности Российской Федерации от 16.03.04 г. и рядом федеральных законов, основные из которых следующие: Закон РФ «Об авторском праве и смежных правах» от 9.07.93 г. № 5352-1, Закон РФ «О государственной тайне» от 21.07.93 г. № 5485-1 (с изменениям и дополнениями от 22.08.2004 г.), Федеральный закон «Об информации, информатизации и защите информации» от 25.01.95 г. № 24-Ф3, Федеральный закон «О коммерческой тайне» 29.07.2004 г. № 98-ФЗ и др., а также рядом руководящих документов Государственной технической комиссии при Президенте РФ (Гостехкомиссии России).
Работая на компьютере, используя сеть компьютеров в организации, подключаясь к Интернету, мы имеем дело с системами. Понятие «система» относительно новое для науки, хотя восточные философы уже давно рассматривали мир как единую систему, состоящую из различных компонентов, но в западной традиции было принято разделять его на отдельные явления, развивающиеся в различных направлениях. Интернет — возможно, наиболее сложная система, которая когда-либо разрабатывалась. Она включает в себя миллионы компьютеров, объединенных в сложные физические сети. На каждом компьютере работают сотни программ, некоторые из них взаимодействуют с программами, установленными на том же компьютере, другие — через сеть с программами, установленными на удаленных компьютерах. Система принимает сигналы от миллионов пользователей часто одновременно.
Системы имеют несколько интересных свойств, которые хотелось бы рассмотреть далее.
1. Сложность. Даже простая компьютерная программа имеет тысячи строчек кода. Человек спроектировал систему, но работает она не так, как ее он задумал. В ходе ее создания она подверглась массе доработок, замен и других изменений. В реальности система – не то, что было записано на бумаге. То, что записано, — некий ее образ, модель, которые всегда значительно проще, чем реальная система, в состав которой включены люди со своими целями, характером и навыками. В случае информационной безопасности все информационные системы для бизнеса строятся в интересах бизнеса. И только потом их пытаются защитить от атак. Так, проблемы безопасности в операционной системе Windows 2000 прямо вытекают из сложности любой компьютерной системы каталогов. Скорее всего, они основаны на недостатках, заложенным при проектировании: Мiсгоsoft применила конструкторское решение, обеспечивающее удобство пользователям, но небезупречное с точки зрения безопасности.
2 Взаимодействие. Это еще одно свойство системы. Взаимодействие между программным обеспечением веб-сайта фирмы и программным обеспечением, например, рекламодателя производящее отображение объявлений пользователей, привело к утечке информации от одного к другому. Это взаимодействие происходит без участия людей.
3. Неожиданность. Судя по сообщениям в прессе, программисты Sonу не знали, как происходит утечка информации о кредитных картах от одного пользователя к другому. Она просто происходит.
4. «Баги» (от английского bug – жучок). Этим термином обозначают особую разновидность ошибки. Их наличие— неожиданное свойство системы, не предусмотренное при ее создании. «Баги» принципиально отличаются от сбоев. Если где-то происходит сбой, продолжение работы невозможно. Когда же имеется «баг», работа продолжается, хотя объект, ее производящий, ведет себя, возможно, неустойчиво, возможно, необъяснимо. «Баги» — уникальное свойство систем. Машины могут ломаться или портиться, или не работать вовсе, но только системы могут иметь «баги». Уязвимость программного обеспечения – это следствие «бага». Нарушитель отыскивает «баг» и использует его в своих интересах, создавая проблему для безопасности.
Сочетание всех четырех свойств порождает возможность несанкционированного доступа. Нет сложности – следовательно, просто защитить. И взаимодействие пройдет под контролем людей. Или сложно, но «прозрачно», тогда нет неожиданности. Но если сложно, без участия людей, при наличии слабой модели для описания самой системы и для организации безопасности, то появляются «баги», и есть возможность обойти систему защиты.
Необходимо отметить еще одну особенность систем защиты от атак. Это соотношение между предупреждением, обнаружением и реагированием. Хорошая защита объединяет все три звена: безопасное хранилище, чтобы сохранить ценности; сигнализацию, чтобы обнаружить грабителей, если они захотят туда проникнуть, и милицию, которая отреагирует на сигнал тревоги и поймает грабителей. В системах компьютерной безопасности наблюдается тенденция полагаться в основном на упреждающие меры: криптография, брандмауэры и т. д. В большинстве случаев в них не заложено обнаружения и почти никогда нет реагирования и преследования. Такая стратегия оправдана только тогда, когда предупредительные меры совершенны, в противном случае кто-нибудь наверняка сможет сообразить, как их обойти. Большинство уязвимых мест и соответственно нападений, описанных выше, — это результат несовершенства превентивных механизмов. В реальности же нашего мира обнаружение и реагирование очень существенны.
Что и как узнают злоумышленники
n Чтобы защитить информацию, нужно представлять себе наиболее вероятные пути несанкционированного получения информации; уметь правильно выбрать информацию, подлежащую защите, знать основные организационно-технические приемы защиты информации.
Сбор информации о хозяйственной деятельности велся во все времена. Его вели государственные разведывательные органы (об экономике потенциальных противников); коммерческие и другие организации (о фирмах-конкурентах); криминальные группировки (о будущих жертвах).
При этом суть такой деятельности часто не зависит от размеров участников (будь то иностранная фирма, действующая на одном с вами рынке, или мелкий шантажист, пытающийся узнать о ваших «грехах» в уплате налогов).
В принципе несанкционированное получение информации может быть случайным, (уволившийся сотрудник знает «кое-что» о фирме, в которой работал) или являться следствием целенаправленной разведки.
Каковы же способы такой разведки, осуществляемой в отношении коммерческих и иных организаций. Можно выделить несколько, достаточно подробно описанных в специальной литературе:
1. Получение информации через агентуру фирмы о конкурирующем предприятии от специалистов соперника на выставках, на биржах, конференциях, совещаниях и т. д. В процессе общения возможно «выуживание» у них интересующей информации. Учитывая обстоятельства, возможны попытки получения конфиденциальной информации конкурентами и через «своих» людей. Поэтому не рекомендуется направлять на выставки, ярмарки, конференции ведущих специалистов, осведомленных в конфиденциальной информации.
2. Подкуп специалистов конкурирующей фирмы (по существу — это вербовка), который за вознаграждение снабжает данную фирму конфиденциальной информацией. Возможно как разовое получение информации, так и на постоянной основе. Через таких агентов-специалистов может осуществляться хищение документов, технических описаний, образцов, содержащих необходимую информацию.
3. Возможно и предательство со стороны сотрудников предприятия, которые пытаются продать дорогостоящие объекты интеллектуальной собственности, созданные ими или их коллегами на предприятии, незаконно и, безусловно, в корыстных личных целях.
4. Добывание информации о конкурентах путем засылки агента на предприятие (банк, контора, фирма и др.) для добывания различными приемами и ухищрениями конфиденциальной информации о конкурентах. Например, запускают в какой-нибудь банк, все равно — государственный или акционерный, или еще в какую-либо фирму молодого человека приятной внешности с бутылкой шампанского в кейсе и букетом роз в руках, и через три дня он представляет подробный отчет о том, куда и как двигаются средства на лицевом счете предприятия, которое интересует соответствующую фирму.
5. Непосредственное наблюдение за работой конкурирующего предприятия. Однажды утром четверо служащих крупной сети отелей «Мэрриот» заняли номера в дешевой гостинице Атланты (столица штата Джорджия) и приступили к «разведывательной» операции. Один изучал систему обслуживания, другой - оборудование номеров, третий - степень звукоизоляции комнат... Такие операции, по свидетельству американского журнала «Форчун», осуществлялись на протяжении шести месяцев в разных районах страны. Результаты операции не замедлили сказаться. Вложив 500 млн. долларов, «Мэрриот» создала новую сеть гостиниц, которая должна превзойти конкурентов по всем показателям.
6. Скупка краденных промышленных секретов у профессиональных промышленных шпионов... Кроме того, могут быть и вполне легальные способы сбора информации, такие как:
n приобретение открытой литературы, периодических изданий и т.п.;
n направление запросов в различные организации и учреждения, анкетирование и т.п.;
n визуальное наблюдение за незащищенными объектами;
n банки данных о предприятиях, создаваемые различными фирмами и акционерными обществами. В банках накапливается и постоянно обновляется информация о десятках тысяч предприятий, банков, биржах, брокерских фирмах и др.;
n обратный инжиниринг, то есть разборка и изучение продукции конкурентов с целью исследования конструкции, компонентов и других характеристик, также пользуется большой популярностью;
n материалы открытых судебных процессов. Судебные материалы нередко обладают высокой информативностью и полной достоверностью.
Широко известен термин «утечка» информации. Имеет смысл подробнее разобраться в этом понятии. Тем более что для современного отечественного предпринимательства оно, к сожалению, характерно.
Часто под утечкой информации понимается ее несанкционированное разглашение, выход ее за пределы круга лиц, которым эта информация была доверена. Однако одного этого признака недостаточно, чтобы считать факт утечки защищаемой информации состоявшимся. Основным признаком утечки информации все-таки должен считаться факт завладения защищаемой информацией субъектом, от которого информация защищается.
Обычно выделяют две группы причин утечки информации:
1. Принятие недостаточных мер защиты информации:
n несовершенство нормативных актов, даже буквальное выполнение которых не гарантирует защищенности информации;
n недостаточность наличных средств и сил для перекрытия всех возможных каналов утечки информации.
2. Нарушение лицами, допущенными к работе с защищаемой информацией, правил защиты, что создает возможность и облегчает несанкционированный доступ к информации.
Мероприятия по минимизации таких угроз представляют для руководителей и специалистов по безопасности особый интерес и будут рассмотрены автором позже. Проблемы работы с персоналом также должны быть выделены в отдельную тему, которой, возможно, будет посвящена следующая статья.
Какую информацию следует защищать
Коммерческая информация может быть ранжирована по степени ее важности для предприятия с тем, чтобы регулировать ее распространение среди работающих на предприятии, указывать пользователей этой информации, уровень ее защиты и т.д. Для обозначения степени важности коммерческой информации на предприятии можно предложить систему обозначения степени ее секретности (грифы секретности или конфиденциальности):
n коммерческая тайна — строго конфиденциально (КТ-СК);
n коммерческая тайна — конфиденциально (КТ-К);
n коммерческая тайна (КТ).
Предлагаются также двухуровневые системы ранжирования коммерческой информации по степени важности: «Коммерческая тайна» и «Для служебного пользования» («ДСП»).
Для того чтобы система защиты информации в организации была работоспособной и эффективной, весьма важно отсортировать служебную информацию и выбрать ту, защита которой действительно целесообразна.
Каждая организация решает эту проблему самостоятельно исходя из действующего законодательства, своих собственных интересов и возможностей. Однако к настоящему времени практикой выработаны общие рекомендации, которые могут быть полезны любому предприятию, решающему проблему засекречивания своей коммерческой информации.
Предлагается следующий комплекс мероприятий, проводимых на предприятии по определению сведений, являющихся коммерческой тайной:
1. Выделяется ответственный за эту работу — один из руководителей предприятия (например, заместитель руководителя по коммерции или маркетингу), который совместно со службой безопасности (СБ) организует и осуществляет весь комплекс работ.
2. Создается комиссия из числа квалифицированных специалистов ведущих структурных подразделений, которая будет выполнять экспертные функции.
3. Членами созданной комиссии с привлечением руководителей и специалистов таких структурных подразделений, как патентно-лицензионное, финансовое, занимающихся рекламой и сбытом продукции и др., вырабатывается первоначальный вариант Перечня сведений, составляющих коммерческую тайну предприятия.
4. Анализируются поступившие предложения и готовится окончательный вариант Перечня сведений.
5. Перечень утверждается руководителем предприятия и доводится до исполнителей в полном объеме или в касающейся их части.
В подготовленном и утвержденном Перечне целесообразно указывать степень конфиденциальной коммерческой информации, на какой срок она засекречивается (в тех случаях, когда это возможно определить), а также условия рассекречивания информации.
Вся информация организации, о защите которой может идти речь, относится к одной из трех следующих групп.
1. Сведения стратегического характера:
n планы развития организации, в том числе с применением новых технологий и т.п.;
n причины, сдерживающие развитие предприятия, трудности и возможные пути их преодоления.
2. Технологическая и научно-техническая информация, лежащая в основе производства предприятием конкурентоспособной продукции.
3. Деловая информация:
n о торговых и деловых партнерах, клиентах, посредниках, поставщиках;
n об условиях контрактов, соглашений, договоров;
n о состоянии кредитно-финансовой системы предприятия;
n маркетинговая информация.
Следует иметь в виду, что защита информации требует определенных затрат. Поэтому необходимо следить за тем, чтобы в составе защищаемой информации не было ничего лишнего. Надо убедиться в том, что рассматриваемые сведения не являются общеизвестными или общедоступными на законных основаниях. Не подлежат отнесению к категории коммерческой тайны сведения стратегического характера, передаваемые в соответствующие государственные органы (в том числе информация, передаваемая государственным органам статистики, налоговой инспекции и т.п.); любые сведения после их опубликования в открытой печати, передаче по электронным средствам массовой информации.
Кроме того, нужно убедиться в том, что ваша организация будет в состоянии обеспечить защиту отобранной информации и «взвесить» отрицательные последствия таких шагов, например некоторые потери от вводимых ограничений на пользование конфиденциальной информацией.
Способы защиты информации
Все разнообразные способы защиты информации обычно классифицируют по двум основным признакам.
Во-первых, по собственнику информации (по видам охраняемых тайн) и, во-вторых, по группам используемых для защиты информации сил, средств и методов. К первой группе могут быть отнесены следующие основные направления: защита государственной тайны, защита межгосударственных секретов, защита коммерческой тайны.
Ко второй группе относятся следующие основные направления: правовая защита информации, организационная защита информации, инженерно-техническая защита информации, программно-математическая защита информации.
Защита государственной тайны регламентируется Законом РФ «О государственной тайне». Этим же законом, а также рядом межгосударственных соглашений регламентируется защита межгосударственных секретов.
Рассмотрим общие подходы к построению системы защиты коммерческой тайны. Такая система будет состоять из элементов, условно располагаемых на следующих уровнях защиты:
n правового обеспечения деятельности организации по защите коммерческой тайны;
n организационного, материального и инженерно-технического обеспечения защиты этой информации;
n осуществления мероприятий по защите коммерческой тайны, отслеживание состояния и эффективности всей системы защиты такой тайны, предупреждение ее утечки и перекрытие возможных или появляющихся источников и каналов утечки конфиденциальной информации.
Система правовой регламентации защиты конфиденциальной информации является двухуровневой. На первом уровне стоят законодательные акты государства, регламентирующие деятельность организаций в области защиты коммерческой тайны, определяющие объем их прав и обязанностей в области защиты их собственности в виде информации, объявленной предприятием коммерческой тайной. К этой группе можно отнести Закон РФ «О частной детективной и охранной деятельности в РФ» от 11.03.92 г. № 2487-1, закон РФ «О конкуренции и ограничении монополистической деятельности на товарных рынках» от 22.03.91 г. № 948-1, Гражданский кодекс Российской Федерации и др.
Второй уровень нормативной документации образуют документы, разрабатываемые непосредственно в организации. К ним относятся:
1. Устав предприятия (указываются цели его деятельности, права, в том числе право иметь коммерческую тайну и осуществлять ее защиту).
2. Коллективный договор (определяются права и обязанности сторон, заключивших договор, в том числе по защите конфиденциальной информации, обеспечению необходимых условий и средств ее защиты).
3. Правила внутреннего распорядка (в которые также могут быть включены статьи, обязывающие всех работников защищать интересы предприятия, его информацию, в том числе защищать коммерческую тайну).
4. Инструкция, определяющая организацию, порядок и правила защиты коммерческой тайны на предприятии.
5. Перечни, определяющие категории сведений, которые отнесены к конфиденциальной информации предприятия (в этих перечнях следует также указывать сроки засекречивания коммерческой информации и уровень ее защиты).
6. Концепция безопасности предприятия.
7. Политика информационной безопасности.
В ходе текущей деятельности организации необходимо осуществлять меры по защите коммерческой тайны, к которым относят:
n контроль со стороны руководства предприятия и специалиста по безопасности за соблюдением всеми сотрудниками, связанными по работе с конфиденциальной информацией, правил ее защиты;
n выявление каналов и источников утечки защищаемой информации и принятие мер по их перекрытию;
n принятие мер по предотвращению разглашения защищаемой информации в открытых публикациях сотрудниками, особенно по техническим вопросам профиля предприятия при подготовке рекламных брошюр, литературы, распространяемой при участии в выставках и т.п., а также при подготовке и публикации научных работ (статей, брошюр и др.). Все эти документы и публикации должны предварительно согласовываться со специалистами и руководящими работниками организаций;
n работа с клиентами, партнерами и др.
Инженерно-техническая защита информации — это самостоятельное направление защиты секретов, приобретающее в последнее время все большее значение. Всю совокупность инженерно-технических мер защиты информации можно разделить на группы: создание и использование экранированных помещений; специальных транспортных средств, укрытий и аппаратуры засекречивания; снижение и изменение различных излучений путем использования эквивалентных антенн, естественных и индустриальных помех, а также режима молчания и соблюдение установленных правил использования средств связи.
Доступность разнообразных технических средств защиты информации — одно из наибольших достижений в развитии отечественного бизнеса. Многие фирмы в разных регионах страны занимаются продажей, монтажом и обслуживанием этих средств. На наш взгляд, выбор наиболее подходящих из них не представляет трудностей.
Отдельное направление представляет IT-безопасность, которой на постоянной основе занимается специалист, системный администратор или специально подготовленный сотрудник службы информационной защиты.
Дорогие читатели, статьи в разделе «Охранная деятельность» публикуются на Интернет-портале с сокращениями. Полную версию уже опубликованных, а также много других интересных профильных статей вы можете прочитать в ежемесячном печатном журнале «Охранная деятельность». Подписку на него можно оформить, перейдя по следующей ссылке: http://www.psj.ru/saver_people/detail.php?ID=8038