Классификация угроз. Ущерб информационной безопасности предприятия

Существует несколько видов классификации угроз информа­ционной безопасности объекта; угрозы делят:

- по источнику (его местонахождению) — на внутренние (воз­никают непосредственно на объекте и обусловлены взаимодей­ствием между его элементами или субъектами) и внешние (возни­кают вследствие его взаимодействия с внешними объектами);

- по вероятности реализации — на потенциальные и реальные;

- по размерам наносимого ущерба — на общие (наносят вред объекту безопасности в целом, оказывая существенное негатив­ное воздействие на условия его деятельности), локальные (затрагивают условия существования отдельных элементов объекта безопасности) и частные (наносят вред отдельным свойствам элементов объекта или отдельным направлениям его деятельности);

- по природе происхождения — на случайные (не связанные с действиями персонала, состоянием и функционированием объекта информационной безопасности, такие как отказы, сбои и ошибки в работе средств автоматизации, стихийные бедствия и другие чрезвычайные обстоятельства) и преднамеренные (обусловлены злоумышленными действиями людей);

- по предпосылкам возникновения — на объективные (вызваны недостатками системы информационной безопасности объекта, например, несовершенством разработанных нормативно-методических и организационно-плановых документов, отсутствием подготовленных специалистов по защите информации и т. п.) и субъективные (обусловлены деятельностью персонала объекта безопасности, например, ошибками в работе, низким уровнем подготовки в вопросах защиты информации, злоумышленными действиями или намерениями посторонних лиц);

- по видам объектов безопасности — на угрозы собственно информации (обусловлены попытками получения защищаемой информации различными способами и методами независимо от ее местонахождения), угрозы персоналу объекта (связаны с уменьшением влияния персонала на ситуацию в сфере обеспечения информационной безопасности, с попытками получения конфиденциальной информации¹ от допущенного к ней персонала), угрозы деятельности по обеспечению информационной безопасности (направлены на снижение эффективности или нейтрализацию усилий, предпринимаемых руководством и персоналом объекта безопасности для исключения утечки защищаемых сведений, утраты или хищения носителей; на снижение эффективности мероприятий по защите информации, ослабление системы защиты информации).

При рассмотрении угроз информационной безопасности объекта особое внимание необходимо уделить классификации подлежа­щих защите объектов информационной безопасности предприя­тия. В соответствии с приведенной ранее классификацией угроз по виду объекта воздействия они подразделяются на угрозы соб­ственно информации, угрозы персоналу объекта и угрозы деятельности по обеспечению информационной безопасности объекта.

¹ Здесь и далее под конфиденциальной информацией понимается информа­ция,доступ к которой ограничивается федеральными законами и иныминорма­тивными правовыми актами.

При более детальном рассмотрении угрозы собственно информа­ции можно подразделить на угрозы носителям конфиденциаль­ной информации¹, местам их размещения (расположения), кана­лам передачи (системам информационного обмена), а также соб­ственно информации, хранящейся в документированном (элект­ронном) виде на различных носителях.

Таким образом, можно сделать вывод о том, что действие уг­роз информационной безопасности объекта направлено на созда­ние возможных каналов утечки защищаемой информации (пред­посылок к ее утечке) и непосредственно на утечку информации. Одно из ключевых понятий в оценке эффективности проявления угроз объекту информационной безопасности — ущерб, наноси­мый этому объекту (предприятию) в результате воздействия уг­роз.

По своей сути любой ущерб, его определение и оценка имеют ярко выраженную экономическую основу. Не является исключе­нием и ущерб, наносимый информационной безопасности объекта (предприятия).

С позиции экономического подхода общий ущерб информацион­ной безопасности предприятия складывается из двух составных частей: прямого и косвенного ущерба. Прямой ущерб информацион­ной безопасности предприятия возникает вследствие утечки кон­фиденциальной информации. Косвенный ущерб— потери, которые несет предприятие в связи с ограничениями на распространение информации, в установленном порядке отнесенной к категории конфиденциальной.

Описание ущерба, наносимого предприятию в результате утечки конфиденциальной информации, основывается на его количе­ственных и качественных показателях, которые базируются на одном из принципов засекречивания информации (отнесения ее к категории конфиденциальной) — принципе обоснованности. Он заключается в установлении (путем экспертных оценок) целесо­образности засекречивания конкретных сведений (отнесения со­держащейся в них информации к категории конфиденциальной), а также вероятных последствий этих действий, с учетом решае­мых предприятием задач и поставленных целей.

Введение ограничений на распространение информации (в связи с ее засекречиванием или отнесением к категории конфиденциальной) приводит и к позитивным, и к негативным последстви­ям. К основным позитивным последствиям следует отнести пре­дотвращение возможного прямого ущерба информационной без­опасности предприятия из-за утечки защищаемой информации. Негативные последствия связаны с наличием (вероятным возрас­танием) косвенного ущерба или издержек в виде затрат на защи­ту информации и величины упущенной выгоды, которая может быть получена при ее открытом распространении.

Общий ущерб безопасности предприятия от утечки конфиден­циальной информации определяют следующим образом.

Проводят классификацию всех имеющихся на предприятии сведений по степени их важности. С этой целью методом эксперт­ной оценки с привлечением специалистов структурных подраз­делений предприятия, участвующих в выполнении работ по раз­личным направлениям его деятельности, разрабатывают единую шкалу сведений, содержащих конфиденциальную информацию — так называемый рейтинг важности информации. В рейтинге отра­жаются все сведения, включенные в перечни информации, под­лежащей защите. Методической основой для разработки такого рейтинга служит метод экспертного анализа в совокупности с методом объективного количественного оценивания. На основе рейтинга важности информации сопоставляют (соотносят) вклю­ченные в него сведения с количественными показателями воз­можного ущерба, определяемого расчетным или экспертным пу­тем.

ГЛАВА 3

ОРГАНИЗАЦИОННЫЕ ИСТОЧНИКИ И КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ

3.1. Основы теории информации. Коммуникационный

процесс

Чтобы дать исчерпывающую характеристику реального состоя­ния объекта информационной безопасности в конкретный мо­мент времени, необходимо описать не только сущность, виды и основы формирования угроз его информационной безопасности, но и возможные каналы утечки конфиденциальной информации.

В первую очередь необходимо рассмотреть основные понятия и некоторые основополагающие принципы теории информации.

Теория информации изучает количественные меры информа­ции и способность различных систем передавать, хранить и обра­батывать информацию. Главная задача теории информации зак­лючается в обнаружении математических закономерностей, уп­равляющих системами, разработанными для связи и манипулиро­вания информацией. Сходный круг вопросов исследует теория связи, однако она ориентирована больше на фундаментальные ограничения в области обработки и передачи информации, чем на сущность и порядок функционирования используемых средств и устройств. Теория информации может служить основой для изу­чения коммуникационного процесса с точки зрения различных проявлений негативного воздействия на передаваемую (обраба­тываемую) в рамках этого процесса информацию, в особенности на информацию, подлежащую защите.

Предлагаемые для рассмотрения основные понятия теории информации неразрывно связаны с элементами структуры систе­мы связи, а в некоторых случаях они сами являются этими эле­ментами. Сравнение и сопоставление элементов поможет пред­ставить систему передачи конфиденциальной информации в фор­ме некоторого коммуникационного процесса (рис. 3.1).

Источник информации — объект, осуществляющий выбор из всей совокупности информационных сообщений одного сообще­ния, подлежащего передаче по каналу связи адресату. В нашем случае источником информации может быть сотрудник предприя­тия, в установленном порядке допущенный к конфиденциальной информации, работающий с документами или иными ее носите­лями. В процессе разработки (формирования) документа осуще­ствляется преобразование информации в форму сообщения.

Сообщение — набор знаков (текст документа), с помощью ко­торых сведения могут быть переданы другому объекту и воспри­няты им. В отдельных случаях в целях исключения (существенного уменьшения) вероятности овладения посторонним лицом (зло­умышленником) охраняемой информацией преобразование ин­формации в текст документа осуществляется с использованием криптографических или программно-аппаратных средств защиты.

Отправитель сообщения — объект, осуществляющий непосред­ственную передачу документа, содержащего конфиденциальную информацию, адресату. В роли отправителя документа может вы­ступать сотрудник режимно-секретного подразделения (службы безопасности) предприятия, осуществляющий непосредственную отправку (доставку) документа по назначению (в соответствии с указанным адресом). Также отправителем может быть оператор (сотрудник структурного подразделения), осуществляющий пе­редачу документа с использованием технических средств переда­чи и обработки информации (технических средств связи).

Передатчик — устройство, выполняющее функцию обработки сообщения в соответствии с выбранным алгоритмом и формирования сигнала для непосредственной его передачи по каналу свя­зи (информационному каналу).

Канал распространения (информационный канал или канал связи) — среда, используемая для передачи сообщения (инфор­мации) от передатчика к приемнику. Иными словами, канал пред­ставляет собой пространство между отправителем сообщения и его получателем, характеризуемое определенным расстоянием. При этом информационный канал — среда передачи сообщения в до­кументированном (текстовом) виде, а канал связи служит для обмена информацией, представленной в речевой (звуковой, сим­вольной и т. п.) форме. Во время передачи по каналу связи (ин­формационному каналу) передаваемый сигнал и сообщение, со­держащее конфиденциальную информацию, могут быть подверг­нуты определенному воздействию. На сигнал воздействуют поме­хи, он может искажаться при передаче по каналу связи. Воздей­ствие на сообщение может представлять собой попытки овладе­ния содержащейся в нем информацией со стороны злоумышлен­ника (противника, недоброжелателя, конкурента).

Приемник — элемент, выполняющий функцию, обратную фун­кции передатчика. Иными словами, приемник преобразует при­нятый сигнал и восстанавливает по нему первоначальное сооб­щение. В рамках системы информационного обмена (в том числе документированной информацией) приемник можно представить в форме объекта, выполняющего также функцию доставки сооб­щения его получателю.

Получатель информации — объект (лицо), осуществляющий фактический прием, обработку (приведение к документальному виду) и подготовку сообщения для его непосредственного дове­дения до сведения адресата.

В роли получателя сообщения может выступить работник служ­бы безопасности (режимно-секретного подразделения), функци­онально отвечающий за получение, учет, регистрацию и доведе­ние до сведения конкретного адресата сообщения, преобразован­ного в форму документа.

Адресат — должностное лицо (сотрудник предприятия), для ко­торого предназначается передаваемая и принимаемая информация.

При выполнении элементами коммуникационного процесса своих функций возникают объективные возможности негативно­го воздействия со стороны злоумышленника на передаваемую и принимаемую (обрабатываемую, преобразуемую) информацию. Вследствие этого воздействия появляются каналы утечки конфи­денциальной информации независимо от формы ее представле­ния и состояния (существует ли она в форме сообщения или на­ходится в открытом, уже преобразованном для использования виде, обработана или находится в стадии подготовки для доведения до сведения адресата и т.д.).

3.2. Источники конфиденциальной информации и каналы ее утечки

Основными источниками конфиденциальной информации яв­ляются:

- персонал предприятия, допущенный к конфиденциальной информации;

- носители конфиденциальной информации (документы, из­делия);

- технические средства, предназначенные для хранения и обработки информации;

- средства коммуникации, используемые в целях передачи информации;

- передаваемые по каналам связи сообщения, содержащие конфиденциальную информацию.

Способы обмена конфиденциальной информацией (например, между сотрудниками предприятия) могут носить как непосред­ственный (личный) характер, так и характер передачи формиру­емых на основе информации сообщений посредством техниче­ских средств и средств коммуникаций (различных средств и сис­тем связи).

Из существующих способов обмена конфиденциальной инфор­мацией необходимо выделить организационные каналы передачи и обмена информацией:

- конфиденциальное делопроизводство (защищенный документооборот);

- совместные работы, выполняемые предприятием по направлениям его производственной и иной деятельности;

- совещания (конференции), в ходе которых обсуждаются вопросы конфиденциального характера;

- рекламная и издательская (публикаторская) деятельность;

- различные мероприятия в области сотрудничества с иностранными государствами (их представителями и организациями), связанные с обменом информацией;

- научные исследования, деятельность диссертационных и иных советов учреждений и организаций;

- передача сведений о деятельности предприятия и данных о его сотрудниках в территориальные инспекторские и надзорные органы.

Организационные каналы передачи и обмена конфиденциаль­ной информацией в ходе их функционирования могут быть под­вергнуты негативному воздействию со стороны злоумышленни­ков, направленному на получение этой информации. Данное воз­действие, в свою очередь, может привести к возникновению ка­налов утечки конфиденциальной информации и потребовать от руководства предприятия, руководителей структурных подразделений и персонала принятия мер по защите конфиденциальной информации, направленных на недопущение ее утечки и несанк­ционированного распространения (утраты носителей конфиден­циальной информации).

Для определения необходимых мер по защите информации^. Нужно провести классификацию всех возможных каналов утечки информации в зависимости от направлений и специфики дея­тельности предприятия, видов конфиденциальной информации, особенностей функционирования системы защиты информации ^и иных факторов.

Организационные каналы утечки конфиденциальной информации, возникающие в процессе деятельности предприятия, подразделя­йся следующим образом:

- по источникам угроз защищаемой информации (внешние и утренние);

- по видам конфиденциальной информации или тайн (государственная, коммерческая, служебная или иная тайна; персональные данные сотрудников предприятия);

- По источникам конфиденциальной информации (персонал, носители информации, технические средства хранения и обработки информации, средства коммуникации, передаваемые или
принимаемые сообщения и т.п.);

- По способам или средствам доступа к защищаемой информации (применение технических средств, непосредственная и целее направленная работа с персоналом предприятия, осуществление непосредственного доступа к информации, получение доступа к защищаемой информации агентурным путем);

- По характеру взаимодействия с партнерами (каналы утечки, возникающие в отсутствие взаимодействия, при осуществлении взаимодействия, в условиях конкурентной борьбы);

- По продолжительности или времени действия (каналы утечки постоянного, кратковременного, а также периодического или эпизодического действия);

- По направлениям деятельности предприятия (каналы утечки, возникающие в обычных условиях или при повседневной деятельности предприятия, при выполнении совместных работ, осуществлении международного сотрудничества, проведении совещаний, выезде персонала за границу, в ходе рекламной и публикаторской или издательской деятельности, при проведении научных исследований или командировании сотрудников предприятия);

- По причинам возникновения каналов утечки информации Действия злоумышленников, ошибки персонала, разглашение конфиденциальной информации, случайные обстоятельства);

Далее по тексту термин «защита информации» распространяется только на Формацию, в установленном порядке отнесенную к конфиденциальной информации, если иное не оговорено особо.

- по каналам коммуникации, используемым для передачи, приема или обработки конфиденциальной информации (каналы
утечки, возникающие при хранении, приеме-передаче, обработке или преобразовании информации, а также в канале связи, по
которому передается информация);

- по месту возникновения каналов утечки информации (каналы утечки, возникающие за пределами территории предприятия или на территории предприятия — в служебных помещениях, на объектах информатизации, объектах связи и в других местах);

- по используемым способам и методам защиты информации (каналы утечки, возникающие при нарушении установленных требований по порядку отнесения информации к категории конфиденциальной, обращения с носителями информации, ограничения круга допускаемых к информации лиц, непосредственного доступа к информации персонала предприятия или командированных лиц, а также по причине нарушения требований пропускного или внутриобъектового режимов).

Задачи по исключению возможных каналов утечки конфиден­циальной информации решаются как отдельными должностными лицами (персоналом), так и структурными подразделениями пред­приятия, создаваемыми и функционирующими по различным направлениям защиты информации. Успешное решение этих за­дач невозможно без применения совокупности средств и методов защиты информации. Классификация сил, средств, способов и методов защиты информации, а также порядок их применения (ис­пользования) рассмотрены в соответствующих главах учебника.

Для более полного представления о системе защиты информа­ции предприятия, силах, средствах, способах, методах защиты информации, мероприятиях, планируемых и проводимых в целях обеспечения информационной безопасности, необходимо рассмот­реть основы организационной составляющей системы защиты конфиденциальной информации предприятия как наиболее важ­ного направления деятельности предприятия по защите инфор­мации.

ГЛАВА 4

ОРГАНИЗАЦИОННЫЕ ОСНОВЫ ЗАЩИТЫ ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

4.1. Основные направления, принципы и условия организационной защиты информации

Из упоминавшихся ранее средств и методов обеспечения ин­формационной безопасности особо были выделены организаци­онные, которые в совокупности с другими элементами системы защиты информации на предприятии подробно описаны в после­дующих главах учебника. Для наиболее полного и глубокого ана­лиза происходящих в сфере защиты конфиденциальной инфор­мации процессов, понимания сущности планируемых и проводи­мых в этих целях мероприятий прежде всего необходимо рассмот­реть одно из важнейших направлений защиты конфиденциальной информации — организационную защиту информации.

Организационная защита информации является организаци­онным началом, так называемым «ядром» в общей системе защи­ты конфиденциальной информации предприятия. От полноты и качества решения руководством предприятия и должностными лицами организационных задач зависит эффективность функцио­нирования системы защиты информации в целом. Роль и место организационной защиты информации в общей системе мер, на­правленных на защиту конфиденциальной информации предпри­ятия, определяются исключительной важностью принятия руко­водством своевременных и верных управленческих решений с уче­том имеющихся в его распоряжении сил, средств, методов и спо­собов защиты информации и на основе действующего норматив­но-методического аппарата.

Среди основных направлений защиты информации наряду с организационной выделяют правовую и инженерно-техническую защиту информации. Однако организационной защите информа­ции среди этих направлений отводится особое место.

Организационная защита информации призвана посредством выбора конкретных сил и средств, в том числе правовых и инженер­но-технических, реализовать на практике спланированные руко­водством предприятия меры по защите информации. Эти меры при­нимаются в зависимости от конкретной обстановки на предприятии, связанной с наличием возможных угроз, воздействующих на защищаемую информацию и ведущих к ее утечке.

Роль руководства предприятия в решении задач по защите ин­формации трудно переоценить. Основными направлениями дея­тельности, осуществляемой руководителем предприятия в этой области, являются: планирование мероприятий по защите инфор­мации и персональный контроль за их выполнением, принятие решений о непосредственном доступе к конфиденциальной ин­формации своих сотрудников и представителей других организа­ций, распределение обязанностей и задач между должностными лицами и структурными подразделениями, аналитическая работа и т.д. Цель принимаемых руководством предприятия и должност­ными лицами организационных мер _ исключение утечки ин­формации и, таким образом, уменьшение или полное исключе­ние возможности нанесения предприятию ущерба, к которому эта утечка может привести.

Система мер по защите информации в широком смысле слова должна строиться исходя из тех начальных условий и факторов, которые, в свою очередь, определяются состоянием устремлен­ности разведок противника либо действиями конкурента на рын­ке товаров и услуг, направленными на овладение информацией, подлежащей защите. Это правило действует как на государствен­ном уровне, так и на уровне конкретного предприятия.

Используются два примерно равнозначных определения орга­низационной зашиты информации.

Организационная защита информации _ составная часть систе­мы защиты информации, определяющая и вырабатывающая по­рядок и правила функционирования объектов защиты и деятель­ности должностных лиц в целях обеспечения защиты информа­ции.

Организационная защита информации на предприятии — регла­ментация производственной деятельности и взаимоотношений субъектов (сотрудников предприятия) на нормативно-правовой основе, исключающая или ослабляющая нанесение ущерба дан­ному предприятию.

Первое из приведенных определений в большей степени пока­зывает сущность организационной защиты информации. Второе — раскрывает ее структуру на уровне предприятия. Вместе с тем оба определения подчеркивают важность нормативно-правового ре­гулирования вопросов защиты информации наряду с комплекс­ным подходом к использованию в этих целях имеющихся сил и средств. Основные направления организационной защиты инфор­мации приведены на рис. 4.1.

Основные принципы организационной защиты информации:

принцип комплексного подхода — эффективное использование сил, средств, способов и методов защиты информации для решения поставленных задач в зависимости от конкретной складываю­щейся ситуации и наличия факторов, ослабляющих или усилива­ющих угрозу защищаемой информации;

принцип оперативности принятия управленческих решений (су­щественно влияет на эффективность функционирования и гиб­кость системы защиты информации и отражает нацеленность ру­ководства и персонала предприятия на решение задач защиты информации);

принцип персональной ответственности — наиболее эффектив­ное распределение задач по защите информации между руковод­ством и персоналом предприятия и определение ответственности за полноту и качество их выполнения.

Среди основных условий организационной защиты информа­ции можно выделить следующие:

- непрерывность всестороннего анализа функционирования
системы защиты информации в целях принятия своевременных
мер по повышению ее эффективности;

- неукоснительное соблюдение руководством и персоналом
предприятия установленных норм и правил защиты конфиденциальной информации.

При соблюдении перечисленных условий обеспечивается наи­более полное и качественное решение задач по защите конфиден­циальной информации на предприятии.

4.2. Основные подходы и требования к организации системы защиты информации

Успешное решение комплекса задач по защите информации не может быть достигнуто без создания единой основы, так называемого «активного кулака» предприятия, способного концент­рировать все усилия и имеющиеся ресурсы для исключения утеч­ки конфиденциальной информации и недопущения возможности нанесения ущерба предприятию. Таким «кулаком» призвана стать система защиты информации на предприятии, создаваемая на соответствующей нормативно-методической основе и отражаю­щая все направления и специфику деятельности данного пред­приятия.

Под системой защиты информации понимают совокупность ор­ганов защиты информации (структурных подразделений или дол­жностных лиц предприятия), используемых ими средств и мето­дов защиты информации, а также мероприятий, планируемых и проводимых в этих целях.

Для решения организационных задач по созданию и обеспече­нию функционирования системы защиты информации использу­ются несколько основных подходов, которые вырабатываются на основе существующей нормативно-правовой базы и с учетом ме­тодических разработок по тем или иным направлениям защиты конфиденциальной информации.

Один из основных подходов к созданию системы защиты ин­формации заключается во всестороннем анализе состояния защи­щенности информационных ресурсов предприятия с учетом уст­ремленности конкурирующих организаций к овладению конфи­денциальной информацией и, тем самым, нанесению ущерба предприятию. Важным элементом анализа является работа по оп­ределению перечня защищаемых информационных ресурсов с учетом особенностей их расположения (размещения) и доступа к ним различных категорий сотрудников (работников других пред­приятий).

Работу по проведению такого анализа непосредственно воз­главляет руководитель предприятия и его заместители по направ­лениям деятельности. Изучение защищенности информационных ресурсов основывается на положительном и отрицательном опы­те работы предприятия, накопленном в течение последних не­скольких лет, а также на деловых связях и контактах предприятия с организациями, осуществляющими аналогичные виды деятель­ности.

При создании системы защиты информации, в первую оче­редь, учитываются наиболее важные, приоритетные направления деятельности предприятия, требующие особого внимания. Пред­почтение также отдается новым, перспективным направлениям деятельности предприятия, которые связаны с научными иссле­дованиями, новейшими технологиями, формирующими интел­лектуальную собственность, а также развивающимся международ­ным связям. В соответствии с названными приоритетами форми­руется перечень возможных угроз информации, подлежащей за щите, и определяются конкретные силы, средства, способы и методы ее защиты.

К организации системы защиты информации с позиции сис­темного подхода выдвигается ряд требований, определяющих ее целостность, стройность и эффективность.

Система защиты информации должна быть:

централизованной — обеспечивающей эффективное управление системой со стороны руководителя и должностных лиц, отвечаю­щих за различные направления деятельности предприятия;

плановой — объединяющей усилия различных должностных лиц и структурных подразделений для выполнения стоящих перед пред­приятием задач в области защиты информации;

конкретной и целенаправленной — рассчитанной на защиту аб­солютно конкретных информационных ресурсов, представляю­щих интерес для конкурирующих организаций;

активной — обеспечивающей защиту информации с достаточ­ной степенью настойчивости и возможностью концентрации уси­лий на наиболее важных направлениях деятельности предприя­тия;

надежной и универсальной — охватывающей всю деятельность предприятия, связанную с созданием и обменом информацией.