Система захисту. Захист інформації на підприємстві: методи та засоби реалізації задач Спеціалізовані системи безпеки

Система захисту інформації - це комплекс організаційних та технічних заходів, спрямованих на забезпечення інформаційної безпекипідприємства. Головним об'єктом захисту є дані, що обробляються в автоматизованій системі управління (АСУ) та задіяні під час виконання робочих процесів.

Система захисту інформації (СЗІ) може бути у кращому разі адекватна потенційним загрозам. Тому при плануванні захисту необхідно уявляти, кого і яка саме інформація може цікавити, якою є її цінність і на які фінансові жертви заради неї здатний піти зловмисник.

СЗІ має бути комплексним, тобто використовує як технічні засоби захисту, але й адміністративні і правові. СЗІ повинна бути гнучкою і адаптованою до умов, що змінюються. Головну роль у цьому відіграють адміністративні (або організаційні) заходи, такі, наприклад, як регулярна зміна паролів та ключів, суворий порядок їх зберігання, аналіз журналів реєстрації подій у системі, правильний розподіл повноважень користувачів та багато іншого. Людина, яка відповідає за всі ці дії, має бути не тільки відданим співробітником, а й висококваліфікованим спеціалістом як у галузі технічних засобів захисту, так і в галузі обчислювальних засобів взагалі.

Виділяють такі основні напрями захисту та відповідні їм технічні засоби:

Захист від несанкціонованого доступу (НСД) ресурсів автономно працюючих та мережевих ПК. Ця функція реалізується програмними, програмно-апаратними та апаратними засобами, які будуть розглянуті нижче на конкретних прикладах.

Захист серверів та окремих користувачів мережі Internet від зловмисних хакерів, що проникають ззовні. Для цього використовуються спеціальні міжмережові екрани (брандмауери), які останнім часом набувають все більшого поширення (див. «Світ ПК», №11/2000, с. 82).

Захист секретної, конфіденційної та особистої інформації від читання сторонніми особами та цілеспрямованого її спотворення здійснюється найчастіше за допомогою криптографічних засобів, що традиційно виділяються в окремий клас. Сюди ж можна віднести і підтвердження автентичності повідомлень за допомогою електронної цифрового підпису(ЕЦП). Застосування криптосистем з відкритими ключами та ЕЦП має великі перспективи у банківській справі та у сфері електронної торгівлі. У цій статті цей вид захисту не розглядається.

Досить широкого поширення останніми роками набув захист ПЗ від нелегального копіювання за допомогою електронних ключів. В даному оглядівона також розглянута на конкретних прикладах.

Захист від витоку інформації по побічним каналам (ланцюгам живлення, каналу електромагнітного випромінювання від комп'ютера або монітора). Тут застосовуються такі випробувані засоби, як екранування приміщення та використання генератора шуму, а також спеціальний підбір моніторів та комплектуючих комп'ютера, що володіють найменшою зоною випромінювання в тому частотному діапазоні, який найбільш зручний для дистанційного уловлювання та розшифровки сигналу зловмисниками.

Захист від шпигунських пристроїв, що встановлюються безпосередньо в комплектуючі комп'ютера, так само як і вимірювання зони випромінювання виконується спецорганізаціями, що мають необхідними ліцензіямикомпетентні органи.

Однією з важливих цілей атакуючої сторони в умовах інформаційного конфлікту є зниження показників своєчасності, достовірності та безпеки інформаційного обміну в системі протиборства до рівня, що призводить до втрати управління.

Діяльність “Основні принципи забезпечення інформаційної безпеки під час експлуатації елементів обчислювальних мереж” А.А. Гладких та В.Є. Дементьєва дається структурно-схематичний опис інформаційного протиборства.

Автори пишуть, що зміст інформаційного протиборства включає дві складові, якими охоплюється вся сукупність дій, що дозволяють досягти інформаційної переваги над противником. Першою складовоює протидія інформаційному забезпеченню управління супротивника (інформаційна протидія).

Воно включає заходи щодо порушення конфіденційності оперативної інформації, впровадження дезінформації, блокування добування відомостей, обробки та обміну інформацією (включаючи фізичне знищення носіїв інформації) та блокування фактів впровадження дезінформації на всіх етапах інформаційного забезпечення управління противника. Інформаційна протидія здійснюється шляхом проведення комплексу заходів, що включають технічну розвідку систем зв'язку та управління, перехоплення оперативної інформації, що передається по каналах зв'язку. Наводиться схема (рис. 1.1):

Рис. 1.1. Структура інформаційного протистояння

Другу частину складають заходи щодо захисту інформації, засобів її зберігання, обробки, передачі та автоматизації цих процесів від впливів противника (інформаційний захист), що включають дії з деблокування інформації (у тому числі захист носіїв інформації від фізичного знищення), необхідної для вирішення завдань управління та блокування дезінформації, що розповсюджується та впроваджується в систему управління.

Інформаційний захист не виключає заходів із розвідки, захисту від захоплення елементів інформаційних систем, а також радіоелектронного захисту. Як відомо, атаки можуть здійснюватися як з-за меж мережі (атаки по мережі), так і внутрішніми каналами (фізичні атаки). Тому інформаційний захист також поділяється на два види: зовнішній та внутрішній. Для досягнення своїх цілей атакуюча сторона намагатиметься використовувати обидва види атак.

Сценарій її дій полягає в тому, щоб за допомогою фізичних атак заволодіти деякою інформацією про мережу, а потім за допомогою атак через мережу здійснювати несанкціонований доступ (НСД) до компонентів всієї мережі системи. За даними статистики частка фізичних атак становить 70% від загальної кількостіскоєних атак. На рис.1.2 дано оцінку скоєних НСД в ході фізичних атак на обчислювальні мережі, при цьому для наочності порівняльні дані за різними категоріями порушень наведені до десятибальної шкали. Помітно, що 5 позиція переважає у всіх категоріях.

Найчастішими порушеннями по мережі є: збір імен та паролів, підбір паролів, виконання дій, що призводять до переповнення буферних пристроїв тощо.

Рис. 1.2. Оцінка НСД у ході фізичних атак на обчислювальні мережі за десятибальною системою

Дійсно, у разі отримання доступу до офісної техніки, робочих столів співробітників, комп'ютерних систем та мережевих пристроїв, атакуюча сторона різко підвищує шанси на успіх з метою вивчення вразливих місць у системі захисту та проведення ефективної атаки.

У книзі А.А. Гладких та В.Є. Дементьєва наводиться математичний метод розрахунку коефіцієнта захисту:

Пошук вразливих місць в інформаційно-розрахунковому комплексі (ІРК) займає певний інтервал часу, тоді як атака здійснюється на інтервалі. Тут >> , причому досить мало, а > 0. Визначимо як коефіцієнт захисту. Якщо, ІРК вважається невразливим, при атакуюча сторона використовує апріорну інформацію для подолання захисту та проведення атаки на систему. Будемо вважати, що система захисту носить пасивний характер при ресурсі системи підвищується в раз.

Значення параметра забезпечується за рахунок своєчасної зміни конфігурації захисту або підготовки замість реальних параметрів ІРК неправдивих, обманних. Підготовку таких параметрів доцільно виділити самостійну область захисту, не пов'язуючи її з низкою фонових завдань із забезпечення безпеки ІРК.

Загрози безпеки інформації в комп'ютерних системах та їх класифікація.

Під загрозою безпеки інформації розуміється потенційно можлива подія, процес або явище, що може призвести до знищення, втрати цілісності, конфіденційності чи доступності інформації.

Все безліч потенційних загрозБезпека інформації в автоматизованих інформаційних системах (АІС) або в комп'ютерних системах (КС) може бути розділена на два класи: випадкові загрози та навмисні загрози. Загрози, які пов'язані з навмисними діями зловмисників і реалізуються у випадкові моменти часу, називаються випадковими чи ненавмисними.

До випадкових загроз належать: стихійні лихата аварії, збої та відмови технічних засобів, помилки при розробці АІС або КС, алгоритмічні та програмні помилки, помилки користувачів та обслуговуючого персоналу.

Реалізація загроз цього класу призводить до найбільших втрат інформації (за статистичними даними – до 80% від збитків, які завдають інформаційним ресурсам КС будь-якими загрозами). При цьому може відбуватися знищення, порушення цілісності та доступності інформації. Рідше порушується конфіденційність інформації, проте створюються передумови для зловмисного на інформацію. Згідно з тими самими статистичними даними лише внаслідок помилок користувачів та обслуговуючого персоналу відбувається до 65% випадків порушення безпеки інформації.

Слід зазначити, що механізм реалізації випадкових загроз вивчено досить добре та накопичено значний досвід протидії цим загрозам. Сучасна технологія розробки технічних та програмних засобів, ефективна система експлуатації автоматизованих інформаційних систем, що включає обов'язкове резервування інформації, дають змогу значно знизити втрати від реалізації загроз цього класу.

Загрози, які пов'язані зі зловмисними діями людей, а ці дії мають не просто випадковий характер, а, як правило, непередбачувані, називаються навмисними.

До навмисних загроз належать:

Традиційний або універсальний шпигунство та диверсії,

Несанкціонований доступ до інформації,

Електромагнітні випромінювання та наведення,

Несанкціонована модифікація структур,

Шкідницькі програми.

Як джерела небажаного впливу на інформаційні ресурси, як і раніше, актуальні методи та засоби шпигунства та диверсій. До методів шпигунства та диверсій відносяться: підслуховування, візуальне спостереження, розкрадання документів та машинних носіївінформації, розкрадання програм та атрибутів систем захисту, підкуп та шантаж працівників, збирання та аналіз відходів машинних носіїв інформації, підпали, вибухи, збройні напади диверсійних чи терористичних груп.

Несанкціонований доступ до інформації - порушення правил розмежування доступу з використанням штатних засобів обчислювальної техніки або автоматизованих систем.

Можливий несанкціонований доступ:

За відсутності системи розмежування доступу;

При збої чи відмови у комп'ютерних системах;

У разі помилкових дій користувачів або обслуговуючого персоналу комп'ютерних систем;

При помилках у системі розподілу доступу;

При фальшуванні повноважень.

Процес обробки та передачі інформації технічними засобами комп'ютерних систем супроводжується електромагнітними випромінюваннями в навколишній простір та наведенням електричних сигналів у лініях зв'язку, сигналізації, заземленні та інших провідниках. Все це отримало назву: ”побічні електромагнітні випромінювання та наведення” (ПЕМІН). Електромагнітні випромінювання та наведення можуть бути використані зловмисниками як для отримання інформації, так і для її знищення.

Велику загрозу безпеці інформації в комп'ютерних системах є несанкціонована модифікація алгоритмічної, програмної та технічної структури системи. Одним із основних джерел загроз безпеки інформації в КС є використання спеціальних програм, що отримали назву "шкідницькі програми"

Залежно від механізму дії шкідницькі програми діляться на чотири класи:

- "логічні бомби";

- "хробаки";

- "троянські коні";

- "Комп'ютерні віруси".

Логічні бомби- це програми або їх частини, що постійно знаходяться в ЕОМ або обчислювальних систем (КС) і виконуються лише за умови дотримання певних умов. Прикладами таких умов можуть бути: настання заданої дати, перехід КС у певний режим роботи, настання деяких подій задане число разів тощо.

Черв'яки- це програми, які виконуються щоразу при завантаженні системи, мають здатність переміщатися в обчислювальних системах (ВС) або в мережі та самовідтворювати копії. Лавиноподібне розмноження програм призводить до перевантаження каналів зв'язку, пам'яті та блокування системи.

Троянські коні- це програми, отримані шляхом явної зміни або додавання команд до програм користувача. При подальшому виконанні програм користувача поряд із заданими функціями виконуються несанкціоновані, змінені або якісь нові функції.

Комп'ютерні віруси- це невеликі програми, які після впровадження в ЕОМ самостійно поширюються шляхом створення своїх копій, а при виконанні певних умов негативно впливають на КС.

Усі комп'ютерні віруси класифікуються за такими ознаками:

• по середовищі;
• за способом зараження;
• за ступенем небезпеки шкідницьких впливів;
• за алгоритмом функціонування.

Серед довкілля комп'ютерні віруси поділяються на:

• мережеві;
• файлові;
• завантажувальні;
• комбіновані.

Середовище проживання мережевихВірусами є елементи комп'ютерних мереж. Файловівіруси розміщуються у виконуваних файлах. Завантажувальнівіруси знаходяться в завантажувальних секторах зовнішніх пристроїв, що запам'ятовують. Комбінованівіруси розміщуються в декількох середовищах проживання. Наприклад, завантажувально-файлові віруси.

За способом зараження довкілля комп'ютерні віруси діляться на:

• резидентні;
• нерезидентні.

Резидентні віруси після їх активізації повністю або частково переміщуються з довкілля в оперативну пам'ять комп'ютера. Ці віруси, використовуючи, як правило, привілейовані режими роботи, дозволені тільки операційній системі, заражають довкілля і при виконанні певних умов реалізують шкідницьку функцію.

Нерезидентні віруси потрапляють в оперативну пам'ять комп'ютера тільки на час їхньої активності, протягом якого виконують шкідницьку функцію та функцію зараження. Потім вони повністю залишають оперативну пам'ять, залишаючись у середовищі.

За ступенем небезпеки для інформаційних ресурсів користувача віруси поділяються на:

• нешкідливі;
• небезпечні;
• дуже небезпечні.

Однак такі віруси все-таки завдають певної шкоди:

• витрачають ресурси комп'ютерної системи;
• можуть містити помилки, що спричиняють небезпечні наслідки для інформаційних ресурсів;
• віруси, створені раніше, можуть призводити до порушень штатного алгоритму роботи системи під час модернізації операційної системичи апаратних засобів.

Небезпечні віруси спричиняють суттєве зниження ефективності комп'ютерної системи, але не призводять до порушення цілісності та конфіденційності інформації, що зберігається у пристроях, що запам'ятовують.

Дуже небезпечні віруси мають такі шкідницькі дії:

• викликають порушення конфіденційності інформації;
• знищують інформацію;
• викликають необоротну модифікацію (у тому числі й шифрування) інформації;
• блокують доступ до інформації;
• призводять до відмови апаратних засобів;
• завдають шкоди здоров'ю користувачам.

За алгоритмом функціонування віруси поділяються на:

• не змінюють довкілля за її поширенні;
• що змінюють довкілля за її поширенні.

Організація забезпечення безпеки інформації має носити комплексний характерта ґрунтуватися на глибокому аналізі можливих негативних наслідків. При цьому важливо не прогаяти будь-які суттєві аспекти. Аналіз негативних наслідків передбачає обов'язкову ідентифікацію можливих джерел загроз, факторів, що сприяють їхньому прояву і, як наслідок, визначення актуальних загроз безпеці інформації. У ході такого аналізу необхідно переконатися, що всі можливі джерела загроз ідентифіковані, ідентифіковані та зіставлені з джерелами загроз всі можливі фактори (уразливості), властиві об'єкту захисту, усім ідентифікованим джерелам та факторам зіставлені загрози безпеці інформації.

Банківські безготівкові платежі. У цій частині мова піде про формування вимог до системи інформаційної безпеки (ІБ), що створюється.

• роль забезпечення безпеки у житті комерційної організації;
• місце служби інформаційної безпеки у структурі менеджменту організації;
• практичні аспекти забезпечення безпеки;
• застосування теорії управління ризиками в ІХ;
• основні загрози та потенційні збитки від їх реалізації;
• склад обов'язкових вимог, що пред'являються до системи ІБ банківських безготівкових платежів

Роль забезпечення безпеки у житті комерційної організації

У сучасному російському економічному середовищі існує безліч різних типіворганізацій. Це можуть бути державні підприємства(ФГУП, МУП), громадські фонди та, нарешті, звичайні комерційні організації. Головною відмінністю останніх від усіх інших є те, що їхня основна мета – отримання максимального прибутку, і все, що вони роблять, спрямоване саме на це.

Заробляти комерційна організаціяможе у різний спосіб, але прибуток завжди визначається однаково – це доходи з відрахуванням витрат. При цьому, якщо забезпечення безпеки не є основним видом діяльності компанії, воно не генерує дохід, а раз так, то для того, щоб ця діяльність мала сенс, вона повинна знижувати витрати.

Економічний ефект від безпеки бізнесу полягає в мінімізації або повному усуненні втрат від загроз. Але при цьому також слід враховувати те, що реалізація захисних заходів теж коштує грошей, і тому справжній прибуток від безпеки дорівнюватиме розміру заощаджених від реалізації загроз безпеці коштів, зменшеному на вартість захисних заходів.

Якось між власником комерційного банку та керівником служби безпеки його організації відбулася розмова на тему економічного ефекту від забезпечення безпеки. Суть цієї розмови найбільш точно відображає роль та місце забезпечення безпеки у житті організації:

Безпека не повинна заважати бізнесу.
- Але ж за безпеку треба платити, а за її відсутність розплачуватися.

Ідеальна система безпеки – це золота середина між нейтралізованими загрозами, витраченими на це ресурсами та прибутковістю бізнесу.

Місце служби інформаційної безпеки у структурі менеджменту організації

Структурний підрозділ, що відповідає за забезпечення інформаційної безпеки, може бути по-різному. Це може бути відділ, управління чи навіть департамент ІБ. Далі для уніфікації цей структурний підрозділ називатимемо просто службою інформаційної безпеки (СІБ).

Причини створення СІБ можуть бути різними. Виділимо дві основні:

1. Страх.
   Керівництво компанії усвідомлює, що комп'ютерні атаки або витоку інформації можуть призвести до катастрофічних наслідків, і робить зусилля для їх нейтралізації.
2. Забезпечення відповідності законодавчим вимогам.
   Чинні законодавчі вимогинакладають на організацію зобов'язання щодо формування СІБ, і топ-менеджмент робить зусилля щодо їх виконання.

Щодо кредитних організацій необхідність існування СІБ зафіксована у таких документах:

З погляду підпорядкованості СІБ існує лише одне обмеження, прописане у вищезазначених положеннях ЦБ РФ - «Служба інформаційної безпеки та служба інформатизації (автоматизації) не повинні мати загального куратора», в іншому свобода вибору залишається за організацією. Розглянемо типові варіанти.

Таблиця 1.

Підпорядкованість	Особливості
СІБ у складі IT	1. Організація захисту можлива лише проти зовнішнього зловмисника. Основним можливим внутрішнім зловмисником є ​​співробітник IT. Боротися з ним у складі ІТ неможливо. 2. Порушення вимог Банку Росії. 3. Прямий діалог із IT, просте впровадження систем захисту інформації
СІБ у складі служби безпеки	1. Захист від дій як внутрішніх зловмисників, і зовнішніх. 2. СБ – єдина точка взаємодії топ-менеджменту з будь-яких питань безпеки. 3. Складність взаємодії з IT, оскільки спілкування відбувається на рівні глав IT і СБ, а останній, як правило, має мінімальні знання в IT.
СІБ підпорядковується Голові Правління	1. СІБ має максимальними повноваженнямита власним бюджетом. 2. Для Голови Правління створюється додаткова точка контролю та взаємодії, яка потребує певної уваги. 3. Можливі конфлікти СБ та СІБ щодо зон відповідальності при розслідуванні інцидентів. 4. Окремий СІБ може «політично» врівноважувати повноваження СБ.

При взаємодії з іншими структурними підрозділами та топ-менеджментом банку у СІБ будь-якої організації є одна загальна проблема- Докази необхідності свого існування (фінансування).

Проблема полягає в тому, що розмір заощаджених коштів від нейтралізованих загроз інформаційній безпеці неможливо точно визначити. Якщо загроза не реалізувалася, то й збитків від неї немає, а якщо проблем немає, то й не потрібно їх вирішувати.

Для вирішення цієї проблеми СІБ може діяти двома способами:

1. Показати економічну значущість
   Для цього їй необхідно вести облік інцидентів та оцінювати потенційні збитки від їх реалізації. Сукупний розмір потенційного збитку вважатимуться заощадженими грошима. Для усунення розбіжностей за розміром шкоди, що оцінюється, рекомендується попередньо розробити і затвердити методику його оцінки.
2. Займатися внутрішнім PR-ом
   Пересічні працівники організації зазвичай не знають, чим займається СІБ, і вважають її співробітників неробами та шарлатанами, що заважають працювати, що призводить до непотрібних конфліктів. Тому СІБ має періодично доносити до колег результати своєї діяльності, розповідати про актуальні загрози ІБ, проводити навчання та підвищувати їх обізнаність. Будь-який співробітник компанії повинен відчувати, що, якщо у нього виникне проблема, пов'язана з ІБ, він може звернутися в СІБ, і йому там допоможуть.

Практичні аспекти забезпечення безпеки

Виділимо практичні аспекти забезпечення безпеки, які обов'язково мають бути донесені до топ-менеджменту та інших структурних підрозділів, а також враховані при побудові системи захисту інформації:

1. Забезпечення безпеки – це безперервний безкінечний процес. Ступінь захищеності, що досягається з її допомогою, коливатиметься з часом залежно від шкідливих факторів, що впливають, і зусиль, спрямованих на їх нейтралізацію.
2. Безпеку неможливо забезпечити постфактум, тобто на той момент, коли загроза вже реалізувалася. Щоб нейтралізувати загрозу, процес безпеки повинен розпочатися до спроби її реалізації.
3. Більшість загроз має антропогенний характер, тобто організації тим чи іншим чином загрожують люди. Як кажуть комп'ютерні криміналісти: «Крадять не програми, крадуть люди».
4. У нейтралізації загроз мають брати участь люди, чия безпека забезпечується,
   чи це власники бізнесу чи клієнти.
5. Безпека – це похідна від корпоративної культури. Дисципліна, необхідна реалізації захисних заходів, може бути вище загальної дисципліни під час роботи організації.

Підбиваючи проміжний підсумок під вищесказаним, відзначимо, що створювана система ІБ безготівкових платежів повинна мати практичну спрямованість і бути економічно ефективною. Кращим підмогою у досягненні зазначених властивостей є застосування ризик-орієнтованого підходу.

Управління ризиками (risk management)

Інформаційна безпека - це лише один із напрямів забезпечення безпеки ( економічна безпека, фізична безпека, пожежна безпека, …). Крім загроз інформаційної безпеки, будь-яка організація піддається іншим, не менш важливим загрозам, наприклад, загрозам крадіжок, пожеж, шахрайства з боку несумлінних клієнтів, загрозам порушення обов'язкових вимог (compliance) тощо.

Зрештою для організації все одно, від якої конкретно загрози вона зазнає втрат, чи це крадіжка, пожежа чи комп'ютерний злом. Важливим є розмір втрат (збиток).

Крім розміру шкоди, важливим фактором оцінки загроз є ймовірність з реалізації, яка залежить від особливостей бізнес-процесів організації, її інфраструктури, зовнішніх шкідливих факторів та контрзаходів.

Характеристика, що враховує збитки та ймовірність реалізації загрози, називається ризиком.
Примітка. Наукове визначенняризику можна отримати у ГОСТ Р 51897-2011

Ризик може бути виміряний як кількісно, ​​наприклад, шляхом множення збитків на ймовірність, так і якісно. Якісна оцінка проводиться, коли ні збитки, ні ймовірність кількісно визначено. Ризик у разі може бути виражений як сукупність значень, наприклад, збиток - «середній», ймовірність - «висока».

Оцінка всіх загроз як ризиків дозволяє організації ефективно використовувати наявні в неї ресурси на нейтралізацію саме тих загроз, які для неї найбільш значущі і небезпечні.

Управління ризиками є основним підходом до побудови комплексної економічно-ефективної системи безпеки організації. Більш того, майже всі банківські нормативні документипобудовані на базі рекомендацій щодо управління ризиками Базельського комітету з банківського нагляду.

Основні загрози та оцінка потенційних збитків від їх реалізації

Виділимо основні загрози, притаманні діяльності щодо здійснення банківських безготівкових платежів, та визначимо максимальну можливу шкоду від їх реалізації.

Таблиця 2.

Тут до складу аналізованої діяльності входить сукупність бізнес-процесів:

• реалізація кореспондентських відносин із банками-партнерами та ЦБ РФ;
• проведення розрахунків із клієнтами.

Надалі ми розглядатимемо лише питання забезпечення безпеки кореспондентських відносин із Банком Росії. Проте отримані напрацювання можуть бути використані для забезпечення безпеки та інших видів розрахунків.

Обов'язкові вимоги до системи ІБ безготівкових платежів

Під час розгляду основних загроз ми оцінили їх збитки, але з оцінили ймовірність їх реалізації. Справа в тому, що якщо максимально можлива шкода буде однаковою для будь-яких банків, то ймовірність реалізації загроз відрізнятиметься від банку до банку та залежатиме від застосовуваних захисних заходів.

Одними з основних заходів щодо зниження ймовірності реалізації загроз інформаційній безпеці будуть:

• запровадження передових практик з управління IT та інфраструктурою;
• створення комплексної системи захисту.

Про IT практики тут ми говорити не будемо, торкнемося лише питань забезпечення інформаційної безпеки.

Основним нюансом, який необхідно враховувати у питаннях забезпечення інформаційної безпеки, є те, що даний виддіяльність досить жорстко регулюється з боку держави та Центрального Банку. Як би не оцінювалися ризики, як би не мали ті ресурси, які має банк, його захист повинен задовольняти встановленим вимогам. В іншому випадку він не зможе працювати.

Розглянемо вимоги щодо організації захисту інформації, що накладаються на бізнес-процес кореспондентських відносин з Банком Росії.

Таблиця 3.

Документи, що встановлюють вимоги	Покарання за невиконання
Захист персональних даних. Підстава – у платіжних документах є персональні дані (П.І.Б. платника/одержувача, його адреса, реквізити документа, що засвідчує особу)
Федеральний закон «Про персональні дані» від 27.07.2006 № 152-ФЗ	, - До 75 тис. руб. штраф., – до 2 років позбавлення волі
Постанова Уряду РФ від 01.11.2012 № 1119 "Про затвердження вимог до захисту персональних даних при їх обробці в інформаційних системах персональних даних"
Наказ ФСТЕК Росії від 18.02.2013 № 21 «Про затвердження Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних» (Зареєстровано в Мін'юсті Росії 14.05.2013 N 28375)
Наказ ФСБ Росії від 10.07.2014 № 378 «Про затвердження Складу та змісту організаційних та технічних заходів щодо забезпечення безпеки персональних даних при їх обробці в інформаційних системах персональних даних з використанням засобів криптографічного захисту інформації, необхідних для виконання встановлених Урядом Російської Федераціївимог щодо захисту персональних даних для кожного з рівнів захищеності» (Зареєстровано в Мін'юсті Росії 18.08.2014 N 33620)
Вказівка ​​Банку Росії від 10 грудня 2015 р. № 3889-У "Про визначення загроз безпеки персональних даних, актуальних при обробці персональних даних в інформаційних системах персональних даних"
Забезпечення захисту інформації у національній платіжній системі. Підстава – кредитна організація, яка виконує перекази грошових коштівє частиною національної платіжної системи.
Федеральний закон «Про національну платіжну систему» ​​від 27.06.2011 № 161-ФЗ	п.6 ст. 20 Федерального закону від 02.12.1990 № 395-1 «Про банки та банківську діяльність» – відгук ліцензії
Постанова Уряду РФ від 13.06.2012 № 584 "Про затвердження Положення про захист інформації в платіжній системі"
Положення Банку Росії від 9 червня 2012 р. N 382-П «Про вимоги щодо забезпечення захисту інформації при здійсненні переказів грошових коштів та про порядок здійснення Банком Росії контролю за дотриманням вимог до забезпечення захисту інформації при здійсненні переказів грошових коштів»
Положення Банку Росії від 24 серпня 2016 р. № 552-П «Про вимоги до захисту інформації у платіжній системі Банку Росії»
Експлуатаційна документація на СКЗІ СКАД Сигнатура
Забезпечення безпеки критичної інформаційної інфраструктури Російської Федерації. Підстава – банк з п.8 ст. 2 ФЗ від 26.07.2017 № 187-ФЗ є суб'єктом критичної інформаційної інфраструктури
Федеральний закон від 26.07.2017 № 187-ФЗ «Про безпеку критичної інформаційної інфраструктури Російської Федерації»	– до 8 років позбавлення волі
Постанова Уряду РФ від 08.02.2018 N 127 "Про затвердження Правил категорування об'єктів критичної інформаційної інфраструктури Російської Федерації, а також переліку показників критеріїв значущості об'єктів критичної інформаційної інфраструктури Російської Федерації та їх значень"
Наказ ФСТЕК Росії від 21.12.2017 N 235 «Про затвердження Вимог до створення систем безпеки значущих об'єктів критичної інформаційної інфраструктури Російської Федерації та забезпечення їх функціонування» (Зареєстровано в Мін'юсті Росії 22.02.2018 N 50118)
Наказ ФСТЕК Росії від 06.12.2017 N 227 "Про затвердження Порядку ведення реєстру значущих об'єктів критичної інформаційної інфраструктури Російської Федерації" (Зареєстровано в Мін'юсті Росії 08.02.2018 N 49966)
Указ Президента РФ від 22.12.2017 N 620 «Про вдосконалення державної системи виявлення, попередження та ліквідації наслідків комп'ютерних атак на інформаційні ресурси Російської Федерації»
Вимоги захисту інформації, встановлені договором про обмін електронними повідомленнями при переказі коштів у рамках платіжної системи Банку Росії. Підстава - даний договірукладають усі кредитні організаціїдля електронного обміну платіжними документами із Банком Росії.
Типовий договір обміну ЕС із додатками. Документація на АРМ КБР, УТА (вимоги щодо їх використання відображені у п.1. Додатка 3 до Договору)	п. 9.5.4 Договору – одностороннє розірваннядоговору з ініціативи Банку Росії.

Позначимо також Додаткові вимогиорганізації захисту інформації. Дані вимоги поширюватимуться лише на деякі банки і лише в деяких випадках:

Таблиця 4.

Як бачимо, вимоги АВЗ.1і АВЗ.2говорять про те, що антивірусний захист має бути. Те, як конкретно її налаштовувати, на яких вузлах мережі встановлювати, ці вимоги не регламентують (Лист Банку Росії від 24.03.2014 N 49-Т рекомендує банкам мати на АРМах, на серверах та на шлюзах антивіруси різних виробників).

Аналогічно справи і з сегментацією обчислювальної мережі - вимога ЗІС.17. Документ лише наказує необхідність використання цієї практики для захисту, але не каже, як організація має це робити.

Те, як конкретно налаштовуються засоби захисту інформації, та реалізуються захисні механізми, дізнаються з приватного технічного завданнясистему захисту інформації, сформованого за результатами моделювання загроз інформаційної безпеки.

Таким чином, комплексна система інформаційної безпеки повинна бути набором захисних бізнес-процесів (в англомовній літературі – controls), побудованих з урахуванням виконання обов'язкових вимог, актуальних загроз та практики забезпечення ІБ.

Усі небезпеки тоді реальні, що вони впливають на конкретні об'єкти (об'єкти захисту). Об'єкти захисту, як і джерела небезпек, різноманітні. Кожен компонент навколишнього середовища може бути об'єктом захисту від небезпек. Основний бажаний стан об'єктів захисту є безпечним.

Безпека – стан об'єкта захисту, у якому вплив нею всіх потоків речовини, енергії та інформації вбирається у максимально допустимих значень. Говорячи про реалізацію стану безпеки, необхідно одночасно розглядати об'єкт захисту та сукупність небезпек, що діють на нього. Сьогодні реально існують такі системи безпеки:

система особистої та колективної безпеки людини у процесі її життєдіяльності;

система охорони довкілля(біосфери);

система державної безпеки;

система глобальної безпеки.

Історичний пріоритет має система забезпечення безпеки людини, яка на всіх етапах свого розвитку постійно прагнула до забезпечення комфорту, особистої безпеки та збереження свого здоров'я.

1.4. Принципи та методи забезпечення безпеки

Принцип - Це ідея, думка, основне становище. Метод - Це шлях, спосіб досягнення мети, що виходить зі знання найбільш загальних закономірностей. Принципи та методи забезпечення безпеки відносяться до приватних, спеціальних методів, на відміну від загальних методів, властивих діалектиці та логіці.

Принципи забезпечення безпеки можна поділити на орієнтуючі, технічні, організаційні та управлінські.

До орієнтовних відносяться: принцип активності оператора, гуманізації діяльності, деструкції, заміни оператора, класифікації, ліквідації небезпеки, системності, зниження небезпеки.

До технічних відносяться: принцип блокування, вакуумування, герметизації, захисту відстанню, компресії, міцності, слабкої ланки, флегматизації, екранування.

До організаційних відносяться: принцип захисту часу, інформації, несумісності, нормування, підбору кадрів, послідовності, ергономічності.

До управлінським відносяться: принцип адекватності контролю, зворотний зв'язок, відповідальності, плановості, стимулювання, управління, ефективності.

Пояснимо деякі принципи з прикладами реалізації.

Принцип нормування полягає у встановленні таких параметрів, дотримання яких забезпечує захист людини від небезпеки. Наприклад, ГДК (гранично допустимі концентрації), ПДВ (гранично допустимі викиди), ПДК (гранично допустимі рівні) та ін.

Принцип слабкої ланки полягає в тому, що в систему (об'єкт), що розглядається, з метою забезпечення безпеки вводиться елемент, який влаштований так, що сприймає або реагує на зміну відповідного параметра, запобігаючи небезпечному явищу. Приклад реалізації цього принципу є розривні мембрани, запобіжники та інші елементи.

Принцип інформації полягає у передачі та засвоєнні персоналом відомостей, виконання яких забезпечує відповідний рівень безпеки. Приклади реалізації: навчання, інструктаж, попереджувальні написи та ін.

Принцип класифікації (категорування) полягає у розподілі об'єктів на класи та категорії за ознаками, пов'язаними з небезпеками. Наприклад: санітарно-захисні зони, категорії виробництв із вибухопожежної небезпеки та ін.

Для розгляду методів забезпечення безпеки введемо такі визначення.

Гомосфера - простір ( робоча зона), де перебуває людина у процесі аналізованої діяльності.

Ноксосфера – простір, де постійно існують чи періодично виникають небезпеки.

Поєднання гомосфери та ноксосфери неприпустимо з позицій безпеки.

Безпека забезпечується трьома основними методами: А Б В.

Метод Аполягає у просторовому та (або) тимчасовому поділі гомосфери та ноксосфери. Це досягається засобами дистанційного керування, автоматизації, роботизації та ін.

Метод Бполягає у нормалізації ноксосфери шляхом виключення небезпек. Це – сукупність заходів, що захищають людину від шуму, газу, пилу та ін. засобами колективного захисту.

Метод Вмістить гаму прийомів та засобів, спрямованих на адаптацію людини до відповідного середовища та підвищення його захищеності. Цей методреалізує можливості профвідбору, навчання, психологічного впливу, засобів індивідуального захисту.

У реальних умовах, зазвичай, зазначені методи використовуються спільно чи різних комбінаціях.

Для сучасних підприємств характерний стрімкий розвиток їхнього інформаційного середовища. Постійне накопичення інформації потребує її належної обробки та зберігання.

Через війну роботи з цими важливим завданням є організація захисту на підприємстві.

Якщо правильно не організувати роботу в цьому напрямку, то можна зазнати краху в сучасному економічному середовищі, яке не завжди відрізняється доброзичливою конкуренцією.

Найчастіше все по-іншому, конкуруючі фірми намагаються правильними і неправильними способами отримати інформацію про свого конкурента, щоб випередити його у розвитку та просуванні на ринку.

На сьогодні захист інформації на підприємстві є комплексом заходів, спрямованих на те, щоб зберегти цілісність, уберегти від крадіжки та підміни наступних даних:

1. база даних клієнтів та партнерів;
2. електронний документообіг компанії;
3. технічні аспекти діяльності підприємства;
4. комерційні таємниці.

Для успішного управління величезними потоками перелічених даних підприємство має систему менеджменту інформаційної безпеки.

Способи захисту інформації

Вона повинна безперервно працювати на вирішення завдання захисту важливої ​​інформації та відрізнятися гарним захистом від зовнішніх загроз та атак.

Оцінка ризиків

Система захисту на підприємстві має розроблятися з урахуванням ризиків, які найчастіше зустрічаються в інформаційному середовищі сучасних компаній.

До основних їх слід віднести:

• спроби отримати доступ до даних, які недоступні для неавторизованих користувачів інформаційної системипідприємства;
• несанкціонована зміна та підміна інформації, яка може призвести до втрати підприємствами своєї репутації та іміджу;
• спроби отримання доступу та крадіжки конфіденційної, секретної та технічної інформації.

Виходячи з перелічених ризиків, повинні вибиратися методи та алгоритми захисту важливої ​​для підприємства інформації.

Щоб це завдання вирішити позитивно, на підприємстві має бути розроблена та впроваджена інформаційна політика, згідно з якою проводиться градація даних, які можуть мати відкритий або лише закритий доступ.

Можливі джерела проблем

Щоб правильно вибрати методи захисту інформації на підприємстві та ефективно використовувати їх, слід визначитися з джерелами можливих загроз втрати даних.

До основних із них належать:

1. збої в апаратній системі підприємства, що забезпечує обробку та зберігання даних;
2. шахрайство з метою отримання доступу до інформації;
3. спотворення даних з метою отримання неправомірної вигоди чи заподіяння шкоди компанії;
4. підроблення даних або їх розкрадання за допомогою різних апаратних та програмних засобів;
5. крадіжка інформації за допомогою пристроїв, які використовують для цього електромагнітне випромінювання, акустичні сигнали, візуальне спостереження.

Перелічені загрози можуть виходити як від сторонніх осіб, яким потрібні певні дані компанії в особистих інтересах, конкуруючі фірми або співробітники організацій, які недбало виконують свої функціональні обов'язкиабо вирішили передати важливі дані конкурентам.

Якщо загроза походить від співробітників, то вони, швидше за все, намагатимуться непомітно скопіювати інформацію, скориставшись своїми повноваженнями, і передадуть її третім особам.

Коли дані намагаються отримати сторонні особив основному використовуються різні програмні засоби.

Вони поділяються на:

• спам-розсилку зі шкідливими посиланнями;
• вірусні програми;
• троянські та шпигунські плагіни;
• ігрові закладки із зміненим кодом під вірусний софт;
• хибне програмне забезпечення із зміненими функціями.

Враховуючи перелічені загрози, захист конфіденційної інформації для підприємства має будуватися як у апаратному, і програмному рівні. Тільки у комплексі можна успішно захистити свої дані від кіберзловмисників.

Приклади неправомірних дій

Як приклад неправомірних дій, вкладених у отримання вигоди від підробки, заміни, крадіжки інформації можна навести такі.

1. Зловмисник отримує доступ до даних клієнтів банку. Маючи в наявності інформацію про фізособу, номери її рахунків, платіжних карток, він може підробити документи або банківські картита неправомірно зняти гроші з рахунку іншої людини.
2. Якщо кіберзлочинець отримає доступ до електронних копій документів, він зможе підробити оригінальні документи та оформити кредит на іншу людину.
3. Під час розрахунку в інтернет-магазині, зловмисник, використовуючи спеціальні плагіни, може підмінити реквізити магазину, перевівши гроші покупця на свій рахунок, а не магазин.
4. При передачі важливої ​​технічної інформації каналами зв'язку, кібершпигуни, використовуючи різні засоби стеження та зчитування, можуть просканувати канал, яким передається інформаційний трафік і отримати доступ до технічних секретів підприємства.

Процес організації захисту інформації для підприємства

До основних етапів комплексного захисту інформації на підприємстві належать:

• формування інформаційної політикипідприємства, підприємства;
• створення внутрішнього правового поля використання інформації;
• формування підрозділу інформаційного захистута безпеки.

Захисна діяльність компанії повинна вестись у таких напрямках:

1. захист даних, що обробляються та зберігаються в архівах;
2. виключення ймовірності несанкціонованого проникнення в інформаційне середовище підприємства;
3. правильна робота з персоналом для виключення крадіжок важливих даних працівниками компанії.

Заходи захисту

Для підвищення інформаційної безпеки підприємствами активно вживаються такі заходи безпеки.

Формування системи доступу до даних усередині корпоративної мережі

Підприємствами використовуються різні автоматизовані системи управління доступом до даних згідно з пріоритетами та статусами співробітників компанії.

Це спрощує процедуру відстеження переміщення потоків даних та виявлення витоків інформації.

Антивірусний захист

Використання ефективного антивірусного програмного забезпеченнявиключить можливість крадіжки даних за допомогою спеціального софту.

Він може потрапити в інформаційне середовище компанії через інтернет.

Найчастіше практикується паралельне використання двох програмних продуктів, що відрізняються різними алгоритмами визначення шпигунського та вірусного софту.

Системи виявлення та захисту від кібератак

Подібні системи активно впроваджуються в інформаційні системи підприємств, оскільки дозволяють захистити не тільки від поширення програм зі шкідливим кодом, а й блокують спроби зупинення інформаційної системи підприємства.

Навчання персоналу мережної безпеки

Багато компаній проводять для своїх співробітників семінари та конференції, на яких навчають безпечної поведінкиу локальному та глобальному мережевому середовищі, а також безпечному поводженнюз інформацією під час виконання своїх щоденних функціональних обов'язків.

Це суттєво скорочує ризики, що інформація буде втрачена або передана третім особам через недбалість працівників.

Висновок

Комплексна система захисту інформації для підприємства – це складне завдання, яку підприємству самостійно вирішити досить складно.

Для цього існують спеціалізовані організаціїякі допоможуть сформувати системи інформаційної безпеки для будь-якого підприємства.

Кваліфіковані фахівці вміло створять структуру захисту, концепцію її впровадження у конкретній компанії, а також оберуть відповідні апаратні та програмні засоби для вирішення поставленого завдання.

Також ними проводиться підготовка співробітників компаній, які потім працюватимуть із впровадженою системою безпеки та підтримуватимуть її функціональність на належному рівні.

Відео: Підхід до захисту інформації на сучасному Підприємстві