Основные виды угроз информационной безопасности предприятия

Технологии защиты информации в компании

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

  • Защита конфиденциальности сведений, которые передаются по открытым каналам.
  • Возможность подтверждения подлинности сведений, которые передаются по различным каналам.
  • Обеспечение конфиденциальности сведений в том случае, если они размещены на открытых носителях.
  • Сохранение целостности данных при их передаче и хранении.
  • Подтверждение отправки сообщения с информацией.
  • Защита ПО от несанкционированного применения и копирования.

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Типовые информационные угрозы базам данных CRM-систем и методы защиты от них

Защитите
своих клиентов

от конкурентов

В наш век — век информации — самые страшные угрозы — это угрозы, касающиеся информации. Сегодня поговорим о том, какие существуют угрозы базам данных CRM-систем и как можно с ними бороться.

Часто в компаниях, предоставляющих услуги населению, самым уязвимым местом являются внедренные CRM-системы со всей клиентской базой данных. Как правило, это привлекает конкурирующие компании, которые не всегда ведут честную конкурентную борьбу.

Какие существуют основные угрозы информационной безопасности CRM-системы?

Угроза конфиденциальности – несанкционированный доступ к базам данных с мотивом их хищения.

Угроза целостности – несанкционированная модификация, дополнение или уничтожение данных.

Угроза доступности – ограничение или блокирование доступа к базам данных.

Виды источников угроз

Источники угроз могут быть внешними и внутренними. Внешние – несанкционированный доступ к информации со стороны заинтересованных организаций, компьютерные вирусы и другое вредоносное ПО.

К внутренним источникам угроз будут относиться: ошибки пользователей и сисадминов, ошибки в работе ПО, сбой в работе компьютерного оборудования, нарушение регламентов компании по работе с информацией.

Основные способы защиты информации

Давайте рассмотрим основные способы защиты информации, которые предполагают использование определённого набора средств, например, таких как:

Физические средства – решётки на окнах, прочные двери, надёжные замки/электронные ключи, строгий пропускной режим, противопожарная система.

Технические и аппаратные средства – сигнализации; блоки бесперебойного питания для корректного завершения работы при отключении электричества.

Организационные средства – правила работы, регламенты, законодательные акты в сфере защиты информации, подготовка помещений с компьютерной техникой и прокладка сетевых кабелей с учетом требований по ограничению доступа к информации и пр.

При эффективном использовании организационных средств работники предприятия должны быть хорошо осведомлены о технологии работы с охраняемыми сведениями, четко выполнять свои обязанности и нести ответственность за предоставление недостоверной информации, утечку или потерю данных.

Должен быть подписан договор о неразглашении конфиденциальной информации каждым сотрудником, имеющим доступ к секретным данным компании. Если произойдёт нарушение договора, виновного привлекут либо к административной, либо к уголовной ответственности.

Угрозы базам данных: как бороться?

В компании должны использоваться программные средства, отражающие хакерские атаки, проводящие резервное копирование данных примерно раз в неделю автоматически, а также рекомендуется использовать ПО по восстановлению баз данных. Приветствуется использование шифрования информации с помощью специальных алгоритмов (криптография).

Но, на самом деле, эти методы обеспечения безопасности информации недостаточно эффективны. Причина в том, что выяснить источник утечки информации в максимально быстрые сроки очень сложно и эти меры можно легко обойти…

Что делать? Предлагаю Вам пути их модификации:

Для увеличения уровня безопасности доступа не только к базам данных, но и к компьютерам, необходимо производить вход в систему с помощью индивидуального логина и пароля, последний из которых нужно периодически менять.

С помощью этой функции система будет ограничивать права пользователя согласно его роли в компании. Пароль администратора следует менять раз в неделю, смена всех паролей должна осуществляться после ухода кого-либо из сотрудников, имеющего доступ к системе.

Целесообразно использовать метод двухфакторной аутентификации пользователя в сети. Этот метод сейчас широко используется в интернете, так почему же не добавить это в авторизацию в корпоративных системах? Пользователь вводит логин и пароль, а ему на телефон приходит смс с кодом доступа.

После его корректного ввода осуществляется вход в систему. Этот способ не обязательно использовать для каждого сотрудника, но его рекомендуется применять для авторизации пользователей, у которых открыты большие права в системе.

Для более эффективной защиты информации отлично подойдут подавители сети. При обнаружении попытки взлома можно отключить сети на всём предприятии и не дать злоумышленникам повредить/скопировать оставшуюся часть информации.

Читайте также  Как обезопасить дом от воров?

Возможно использование программного обеспечения, которое будет отслеживать и фиксировать подключения к посторонним сетям, контролировать выгрузку данных в сеть Интернет или на внешние носители.

Если система зафиксирует выгрузку данных, то она может автоматически отправить смс руководству компании и администраторам, которые, в свою очередь, активируют глушители сети и заблокируют все компьютеры в офисе до выявления виновников несанкционированного доступа к базам данных.

А это того стоит?

Несмотря на то, что данные методы защиты повлекут за собой определённые финансовые затраты (как правило — незначительные), эффективность защиты CRM-систем существенно возрастёт.

Таким образом, предложенные методы модификации средств защиты информации помогут усилить степень безопасности конфиденциальной информации организации.

А сталкивались ли Вы с угрозой безопасности Ваших баз данных? Расскажите в комментариях, что это были за угрозы и как Вам удалось с ними справиться.

Как защитить информацию внутри компании: на бумаге или в электронных документах

Одна компания обнаружила, что сотрудница отправляет в соцсети фотографии конфиденциальных документов, и уволила ее. Но суд обязал компанию восстановить сотрудницу и выплатить компенсацию и моральный ущерб.

Другая компания узнала, что работники продают секретную документацию. Суд дал каждому 2 года условно.

Решение суда в таких делах зависит от того, насколько грамотно компания охраняет свои секреты.

Мы запускаем серию статей о том, как правильно защитить информацию внутри компании. Это первая обзорная статья, в ней собрали самое важное по теме.

Выберите информацию, которую стоит защитить

Компании хотят защитить информацию, которая помогает им зарабатывать.

Фирменное блюдо в кафе — салат с уникальным соусом. Посетители становятся в очередь, чтобы его попробовать, за ним приезжают из других городов. Хорошо бы хранить рецепт соуса в секрете: если сотрудник продаст его соседнему кафе, выручка упадет и бизнес серьезно пострадает.

В законе нет исчерпывающего списка сведений, которые можно защищать. Руководитель решает это сам.

Обычно компании защищают технологии производства товара, списки поставщиков и клиентов, условия сделок, финансовую отчетность, планы развития. Такую информацию можно включить в коммерческую тайну.

Есть перечень сведений, которые нельзя скрывать:

  1. Информация, которая разрешает заниматься бизнесом: учредительные документы, данные о регистрации.
  2. Сведения о том, что работа компании не вредит людям: отчеты о загрязнении окружающей среды, противопожарной безопасности компании, санитарно-эпидемиологическом состоянии производства и другие.
  3. Информация, которую законы запрещают держать в секрете: годовая бухотчетность АО, задолженность компании по налогам, потребительская информация о товаре и другие.

В таблице — примеры информации, которую можно и нельзя включить в коммерческую тайну:

— Способы и принципы ценообразования

— Маркетинговые исследования и рекламные кампании

— Технологические сведения о продукции

— Особенности производственных процессов

— Информация о методах управления и внутренней организации предприятия

— Состав и квалификация персонала

— Потребительская информация о товаре — из чего состоит, когда произведен, условия использования и другое

— Задолженность по зарплате

— Список лиц, которые могут представлять организацию без доверенности

Защитите секретную информацию от сотрудников и сторонних партнеров

Чтобы защитить секретные данные, компании нужно пройти четыре шага:

  • Ввести режим коммерческой тайны.
  • Заключить с сотрудниками договоры на создание продуктов.
  • Защитить интеллектуальную собственность.
  • Ввести режим конфиденциальности с внешними партнерами.

Ввести режим коммерческой тайны. Это минимальная мера защиты информации. Она поможет объяснить сотрудникам, чем они не могут делиться и какое наказание будет, если они разболтают коммерческий секрет.

Чтобы ввести режим коммерческой тайны, компании нужно:

  1. Разработать положение о коммерческой тайне и конфиденциальности.
  2. Ознакомить с ним сотрудников под подпись.
  3. Создать условия для хранения секретных документов.
  4. Обозначить всю ценную документацию грифом «Коммерческая тайна».
  5. Вести журнал доступа к конфиденциальным сведениям.

Стоит сделать неправильно — и вы уже не сможете оштрафовать или уволить сотрудника, который передает ценные сведения конкурентам.

Подробнее об этом расскажем в следующих статьях.

Сотрудницу уволили за разглашение коммерческой тайны, но компании пришлось ее восстановить и выплатить зарплату

Компания уволила секретаря за то, что она отправляла в мессенджере фотографии секретных документов. Сотрудница через суд потребовала восстановить ее в должности и компенсировать зарплату и моральный ущерб.

В компании был неправильно введен режим коммерческой тайны: невозможно было доказать, что документы входят в список конфиденциальных сведений, да и грифа «Коммерческая тайна» на них не было. А еще компания не смогла подтвердить, что сотрудница была ознакомлена с положением о коммерческой тайне.

Пришлось восстановить сотрудницу в должности и выплатить ей компенсацию.

Заключить договоры на создание продуктов. Во многих компаниях сотрудники разрабатывают: пишут коды, статьи, создают музыку, придумывают дизайн для сайтов и книг. По общему правилу все, что сотрудник создает в рабочее время и в рамках служебных задач, принадлежит компании. Но ничто не мешает работнику сказать, что он делал проект в свободное время.

Чтобы не оставаться без ценных наработок, когда человек увольняется, пишите технические задания, заключайте договоры на создание продуктов, подписывайте акты приемки-передачи изобретений и оформляйте передачу исключительных прав на служебное произведение от автора к вашей компании. Об этом тоже расскажем подробнее в следующих статьях.

Компания не заключила договор с сотрудником и потеряла разработанный продукт

Сотрудник компании «Амедико» разработал мессенджер для телемедицины. После увольнения он открыл новую компанию — «Телепат», передал этой компании исключительные права на мессенджер и стал его продавать.

«Амедико» обратилась в суд с требованием, чтобы «Телепат» прекратил продажи мессенджера и выплатил компенсацию 5 млн рублей. Но компания не смогла подтвердить, что мессенджер был создан в рабочее время и в рамках служебных обязанностей. Суд отказал в удовлетворении иска.

Защитить интеллектуальную собственность компании. Вы можете защитить:

  • Объекты авторского права: видео- и аудиозаписи, литературные произведения, картины, логотипы, базы данных, программы.
  • Товарные знаки.
  • Промышленную собственность: изобретения, промышленные образцы, полезные модели.
  • Секреты производства (ноу-хау): любые сведения, имеющие потенциальную или действительную коммерческую ценность.

Если интеллектуальную собственность для компании создают сотрудники, главное — договор на создание произведения, о котором мы уже говорили. При работе с подрядчиками тоже важно прописать в договоре, что права на продукт переходят вам.

Если заказываете логотип в дизайнерском бюро, проверьте, чтобы в договоре была прописана передача прав на логотип и авторский гонорар за это. Также в договору должны прилагаться техническое задание и акту приема-передачи.

Ввести режим конфиденциальности с внешними партнерами. Так партнеры не смогут использовать вашу информацию в своей работе. Если это случится, вы сможете потребовать, чтобы партнер прекратил это делать и выплатил компенсацию.

Вы дали разработчику пароль от вашей CRM, а он скачал себе базу клиентов и продал ее конкурентам. Если по договору это была конфиденциальная информация, можно обратиться в суд.

Режим конфиденциальности может сработать и в более мирных условиях.

Владельцу пекарни нужно оборудование на кухню. Он нашел поставщика, который не только привезет нужные приборы, но и установит их. Пекарю важно, чтобы детали сделки оставались в секрете, и он подробно расписал в договоре, что нельзя рассказывать: название оборудования, стоимость, количество и другие детали поставки.

Поставщик привлек подрядчика для установки оборудования и рассказал, что и в каком количестве нужно установить в кафе. В таком случае хозяин пекарни можете подавать на поставщика в суд и требовать штраф: условия конфиденциальности были нарушены.

Без коммерческой тайны ввести режим конфиденциальности нельзя.

Компания дала сотрудникам доступ к личному кабинету партнера и заплатила за это 400 000 ₽

По договору компания «Терминал Сервис» гарантировала компании «Виакард», что логин и пароль от личного кабинета в их системе будут доступны только одному сотруднику в компании. Но фактически логин и пароль были вывешены на сайте «Терминал Сервис» в свободном доступе. Любой мог зайти в личный кабинет.

Суд счел это нарушением конфиденциальности и оштрафовал «Терминал Сервис» на 400 000 ₽.

Когда секретная информация защищена сама по себе

Есть несколько случаев, когда информацию нельзя разболтать или использовать в личных целях, даже если у компании нет режима коммерческой тайны и конфиденциальности:

  • О переговорах — п. 4 ст. 434.1 ГК
  • О НИОКР — ст. 771 ГК
  • О договоре подряда — ст. 727 ГК
  • О корпоративном договоре — п. 4 ст. 67.2 ГК

Переговоры. Если во время переговоров по сделке вы рассказали партнеру секретную информацию, он не имеет права передавать ее или использовать в личных целях, даже если договор в итоге не заключили.

Договор на научно-исследовательские и опытно-конструкторские работы. Если вы заказываете разработку детали для графического планшета, который хотите выпустить на рынок, или строительный план здания, где будет ваш офис, — партнеры обязаны сохранить в тайне предмет договора, особенности рабочего процесса и его результаты.

Договор подряда. Например, вы передали подрядчику конфиденциальную информацию, которая нужна для выполнения работ. Он не имеет права передавать ее кому бы то ни было без вашего разрешения. Даже заключать договор субподряда, раскрывая ключевые сведения вашего соглашения.

Корпоративный договор — это соглашение, которое учредители подписывают, когда открывают компанию. В нем они договариваются, как будут управлять компанией, как распоряжаться имуществом компании и как из нее выйти, прописывают правила приема новых учредителей. По общему правилу все, что написано в корпоративном договоре непубличного общества, конфиденциально.

Наказать за раскрытие коммерческой тайны

Если не спросил разрешения и поделился вашими конфиденциальными сведениями, можно его наказать одним из таких способов:

Читайте также  Сетевой экран в роутере что это?

В зависимости от тяжести проступка, наказание может применить компания — объявить выговор или уволить работника — или назначить суд — штраф или тюремное заключение.

Сотрудники решили продать конфиденциальные сведения и получили по 2 года условно

Сотрудники продавали через интернет отчетность компании по одной из товарных категорий. Во время контрольной закупки их поймали.

Сотрудники пытались оправдаться тем, что все данные из отчетности и так можно было найти на официальном сайте компании, но суд не поверил в эти оправдания. В компании был установлен режим коммерческой тайны, где было четко прописано, какие сведения считаются конфиденциальными.

В итоге обоих сотрудников осудили на 2 года условно и запретили переезжать до окончания наказания.

Партнеров тоже можно привлечь к ответственности. Чаще всего через суд добиваются выплаты компенсации.

ИП нарушил условия агентского договора о конфиденциальности и выплатил штраф

ИП заключил с компанией агентский договор, по которому должен был привлекать клиентов и продавать продукцию компании на определенной территории. Потенциальный клиент обратился в компанию, чтобы купить продукцию. По правилам договора клиент был передан ИП. Но ИП отправил клиенту прайс другого производителя. Это стало известно компании.

Она обратилась в суд, чтобы получить компенсацию от ИП за то, что он нарушил условия агентского договора. По нему ИП не должен пользоваться информацией компании, в том числе данными о клиентах, в личных целях.

Суд принял сторону компании и обязал ИП выплатить штраф 100 000₽ и судебные издержки.

Главное

Защищать можно любую информацию, которая может принести вашей компании прибыль, если это не запрещено законом.

Для защиты ценной информации:

  1. Введите в компании режим коммерческой тайны.
  2. Заключите с сотрудниками договоры, по которым все права на разработанные продукты принадлежат вам.
  3. Защитите право собственности на интеллектуальные объекты: товарный знак, изобретения, компьютерные программы, литературные произведения и другое.
  4. Введите режим конфиденциальности с партнерами.

За незаконное распространение коммерческой информации нарушителя могут уволить, назначить штраф до 1 500 000 ₽ или посадить в тюрьму на срок до 7 лет.

Методы и средства обеспечения информационной безопасности

К методам и средствам защиты информации относят правовые, организационно-технические и экономические мероприятия информационной защиты и меры защиты информации (правовая защита информации, техническая защита информации, защита экономической информации и т.д.).

Они могут представлять отдельные файлы с различной информацией, коллекции файлов, программы и базы данных. В зависимости от этого к ним применяются различные меры, способствующие обеспечению безопасности информационных ресурсов. К основным программно-техническим мерам, применение которых позволяет решать проблемы обеспечения безопасности информационных ресурсов, относят: аутентификацию пользователя и установление его идентичности; управление доступом к базе данных; поддержание целостности данных; протоколирование и аудит; защиту коммуникаций между клиентом и сервером; отражение угроз, специфичных для СУБД и др.

В целях защиты информации в базах данных важнейшими являются следующие аспекты информационной безопасности:

  • доступность — возможность получить некоторую требуемую информационную услугу;
  • целостность — непротиворечивость информации, ее защищённость от разрушения и несанкционированного изменения;
  • конфиденциальность — защита от несанкционированного прочтения.

Эти аспекты являются основополагающими для любого программно-технического обеспечения, предназначенного для создания условий безопасного функционирования данных в компьютерах и компьютерных информационных сетях.

Контроль доступа представляет собой процесс защиты данных и программ от их использования объектами, не имеющими на это права.

Одним из наиболее известных способов защиты информации является ее кодирование (шифрование, криптография).

Криптография — это система изменения информации (кодирования, шифрования) с целью ее защиты от несанкционированных воздействий, а также обеспечения достоверности передаваемых данных.

Код характеризуется: длиной — числом знаков, используемых при кодировании, и структурой — порядком расположения символов, обозначающих классификационный признак.

Средством кодирования служит таблица соответствия. Примером такой таблицы для перевода алфавитно-цифровой информации в компьютерные коды является кодовая таблица ASCII .

Для шифрования информации все чаще используют криптографические методы ее защиты.

Криптографические методы защиты информации содержат комплекс (совокупность) алгоритмов и процедур шифрования и кодирования информации, используемых для преобразования смыслового содержания передаваемых в информационных сетях данных. Они подразумевают создание и применение специальных секретных ключей пользователей.

Общие методы криптографии существуют давно. Она считается мощным средством обеспечения конфиденциальности и контроля целостности информации. Пока альтернативы методам криптографии нет. И хотя криптография не спасает от физических воздействий, в остальных случаях она служит надежным средством защиты данных.

Стойкость криптоалгоритма зависит от сложности методов преобразования. Главным критерием стойкости любого шифра или кода являются имеющиеся вычислительные мощности и время, в течение которого можно их расшифровать. Если это время равняется нескольким годам, то стойкость таких алгоритмов является вполне приемлемой и более чем достаточной для большинства организаций и личностей. Если использовать 256- и более разрядные ключи, то уровень надежности защиты данных составит десятки и сотни лет работы суперкомпьютера. При этом для коммерческого применения достаточно 40-, 44-разрядных ключей.

Для кодирования ЭИР, с целью удовлетворения требованиям обеспечения безопасности данных от несанкционированных воздействий на них, используется электронная цифровая подпись (ЭЦП).

Цифровая подпись для сообщения представляет последовательность символов, зависящих от самого сообщения и от некоторого секретного, известного только подписывающему субъекту, ключа.

Она должна легко проверяться и позволять решать три следующие задачи:

  • осуществлять аутентификацию источника сообщения,
  • устанавливать целостность сообщения,
  • обеспечивать невозможность отказа от факта подписи конкретного сообщения.

Первый отечественный стандарт ЭЦП появился в 1994 году. Вопросами использования ЭЦП в России занимается Федеральное агентство по информационным технологиям (ФАИТ).

Существующий в мире опыт свидетельствует, что строить системы безопасности из отдельных продуктов неэффективно. Поэтому отмечается общая потребность в комплексных решениях информационной безопасности и их сопровождения. При этом специалисты отмечают, что наиболее эффективные меры защиты кроются не в технических средствах, а в применении различных организационных и административных мер, регламентов, инструкций и в обучении персонала.

Технические мероприятия базируются на применении следующих средств и систем: охранной и пожарной сигнализации; контроля и управления доступом; видеонаблюдения и защиты периметров объектов; защиты информации; контроля состояния окружающей среды и технологического оборудования, систем безопасности, перемещения людей, транспорта и грузов; учета рабочего времени персонала и времени присутствия на объектах различных посетителей.

Для комплексного обеспечения безопасности объекты оборудуются системами связи, диспетчеризации, оповещения, контроля и управления доступом; охранными, пожарными, телевизионными и инженерными устройствами и системами; охранной, пожарной сигнализацией, противопожарной автоматикой и др.

Биометрические методы защиты информации. Понятие «биометрия» определяет раздел биологии, занимающийся количественными биологическими экспериментами с привлечением методов математической статистики.

Биометрия представляет собой совокупность автоматизированных методов и средств идентификации человека, основанных на его физиологических или поведенческих характеристик. Биометрическая идентификация позволяет идентифицировать индивида по присущим ему специфическим биометрическим признакам, то есть его статическими (отпечаткам пальца, роговице глаза, генетическому коду, запаху и др.) и динамическими (голосу, почерку, поведению и др.) характеристиками.

Биометрическая идентификация считается одним из наиболее надежных способов. Уникальные биологические, физиологические и поведенческие характеристики, индивидуальные для каждого человека, называют биологическим кодом человека.

Первые биометрические системы использовали рисунок (отпечаток) пальца. Примерно одну тысячу лет до н.э. в Китае и Вавилоне знали об уникальности отпечатков пальцев. Их ставили под юридическими документами. Однако дактилоскопию стали применять в Англии с 1897 года, а в США — с 1903 года.

Считыватели обеспечивают считывание идентификационного кода и передачу его в контроллер. Они преобразуют уникальный код пользователя в код стандартного формата, передаваемый контроллеру для принятия управленческого решения. Считыватели бывают контактные и бесконтактные. Они могут фиксировать время прохода или открывания дверей и др. К ним относят устройства: дактилоскопии (по отпечаткам пальцев); идентификация глаз человека (идентификация рисунка радужной оболочки глаза или сканирование глазного дна); фотоидентификация (сравнение создаваемых ими цветных фотографий (банк данных) с изображением лица индивида на экране компьютера); идентификация по форме руки, генетическому коду, запаху, голосу, почерку, поведению и др.

В различных странах (в том числе в России) включают биометрические признаки в загранпаспорта и другие идентифицирующие личности документы. Преимущество биологических систем идентификации, по сравнению с традиционными (например, PI №-кодовыми, доступом по паролю), заключается в идентификации не внешних предметов, принадлежащих человеку, а самого человека. Анализируемые характеристики человека невозможно утерять, передать, забыть и крайне сложно подделать. Они практически не подвержены износу и не требуют замены или восстановления.

С помощью биометрических систем осуществляются:

  • ограничение доступа к информации и обеспечение персональной ответственности за ее сохранность;
  • обеспечение допуска сертифицированных специалистов;
  • предотвращение проникновения злоумышленников на охраняемые территории и в помещения вследствие подделки и (или) кражи документов (карт, паролей);
  • организация учета доступа и посещаемости сотрудников, а также решается ряд других проблем.

Самой популярной считается аутентификация по отпечаткам пальцев, которые, в отличие от пароля, нельзя забыть, потерять, и заменить. Однако в целях повышения надежности аутентификации и защиты ценной информации лучше использовать комбинацию биометрических признаков. Удачным считается одновременное использование двухфакторной аутентификации пользователя, включающее оптический сканер отпечатков пальцев и картридер для смарт-карты, в которой в защищенном виде хранятся те же отпечатки пальцев.

К новым биометрическим технологиям следует отнести трехмерную идентификацию личности, использующую трехмерные сканеры идентификации личности с параллаксным методом регистрации образов объектов и телевизионные системы регистрации изображений со сверхбольшим угловым полем зрения. Предполагается, что подобные системы будут применяться для идентификации личностей, трехмерные образы которых войдут в состав удостоверений личности и других документов. Сканирование с помощью миллиметровых волн — быстрый метод, позволяющий за две-четыре секунды сформировать трехмерное топографическое изображение, которое можно поворачивать на экране монитора для досмотра предметов, находящихся в одежде и на теле человека. С этой же целью используют и рентгеновские аппараты. Дополнительным преимуществом миллиметровых волн в сравнении с рентгеном является отсутствие радиации — этот вид просвечивания безвреден, а создаваемое им изображение генерируется энергией, отраженной от тела человека. Энергия, излучаемая миллиметровыми волнами, в 10 000 раз слабее излучения от сотового телефона.

Читайте также  Какая доза алкоголя разрешена для водителей?

Защита информации в информационных компьютерных сетях осуществляется с помощью специальных программных, технических и программно-технических средств.

С целью защиты сетей и контроля доступа в них используют:

  • фильтры пакетов, запрещающие установление соединений,
    пересекающих границы защищаемой сети;
  • фильтрующие маршрутизаторы, реализующие алгоритмы
    анализа адресов отправления и назначения пакетов в сети;
  • шлюзы прикладных программ, проверяющие права доступа к
    программам.

В качестве устройства, препятствующего получению злоумышленником доступа к информации, используют Firewalls (рус. «огненная стена» или «защитный барьер» — брандмауэр). Такое устройство располагают между внутренней локальной сетью организации и Интернетом. Оно ограничивает трафик, пресекает попытки несанкционированного доступа к внутренним ресурсам организации. Это внешняя защита. Современные брандмауэры могут «отсекать» от пользователей корпоративных сетей незаконную и нежелательную для них корреспонденцию, передаваемую по электронной почте. При этом ограничивается возможность получении избыточной информации и так называемого «мусора» (спама).

Считается, что спам появился в 1978 г., а значительный его рост наблюдается в 2003 г. Сложно сказать, какой почты приходит больше: полезной или бестолковой. Выпускается много ПО, предназначенного для борьбы с ним, но единого эффективного средства пока нет.

Техническим устройством, способным эффективно осуществлять защиту в компьютерных сетях, является маршрутизатор. Он осуществляет фильтрацию пакетов передаваемых данных. В результате появляется возможность запретить доступ некоторым пользователям к определенному «хосту», программно осуществлять детальный контроль адресов отправителей и получателей. Также можно ограничить доступ всем или определенным категориям пользователей к различным серверам, например ведущим распространение противоправной или антисоциальной информации (пропаганда секса, насилия и т.п.).

Защита может осуществляться не только в глобальной сети или локальной сети организации, но и отдельных компьютеров. Для этой цели создаются специальные программно-аппаратные комплексы.

Защита информации вызывает необходимость системного подхода, т.е. здесь нельзя ограничиваться отдельными мероприятиями. Системный подход к защите информации требует, чтобы средства и действия, используемые для обеспечения информационной безопасности — организационные, физические и программно-технические — рассматривались как единый комплекс взаимосвязанных взаимодополняющих и взаимодействующих мер. Один из основных принципов системного подхода к защите информации — принцип «разумной достаточности», суть которого: стопроцентной защиты не существует ни при каких обстоятельствах, поэтому стремиться стоит не к теоретически максимально достижимому уровню защиты, а к минимально необходимому в данных конкретных условиях и при данном уровне возможной угрозы.

Основные виды угроз информационной безопасности предприятия

Отраслевая специфика банка как посредника на финансовых рынках и доверенного лица своей клиентуры определяет более обширный, чем в других отраслях, перечень возможных угроз его информационной безопасности. Их объектом могут выступать любые конфиденциальные сведения, рассмотренные в п. 1.3.1 настоящего УПП. Однако приоритетным объектом всегда являются сведения, составляющие банковскую тайну, что и определяет главное направление защиты конфиденциальной информации кредитно-финансовых организаций.

Субъектами угроз информационной безопасности банка могут выступать:

§ конкуренты как самого банка, так и его клиентов, пытающиеся улучшить собственные рыночные позиции путем либо опережения, либо компрометации своих противников;

§ криминальные структуры , пытающиеся получить сведения о самом банке или его клиентах для решения разнообразных задач (от подготовки примитивного ограбления, до определения размеров «неформальных пошлин» с рэкетируемых ими предприятий – клиентов банка);

§ индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры) , выполняющие либо заказ соответствующего нанимателя (например, конкурента), либо действующие в собственных целях;

§ собственные нелояльные сотрудники банка, пытающиеся получить конфиденциальные сведения для их последующей передачи (по различным мотивам) сторонним структурам или шантажа своего работодателя;

§ государство в лице фискальных или правоохранительных органов , использующих специальные методы сбора информации для выполнения установленных им контрольных или оперативных функций.

Угрозы информационной безопасности банка могут проявляться в следующих формах:

§ перехват конфиденциальной информации , в результате которого у субъекта угрозы оказывается ее дубликат (особая опасность этой формы угрозы для пострадавшего банка заключается в том, что о самом факте утечки он, чаще всего, узнает лишь после того, когда конечная цель перехвата уже достигнута);

§ хищение конфиденциальной информации , в результате которого субъект угрозы одновременно решает две задачи – приобретает соответствующие сведения и лишает их пострадавший банк;

§ повреждение или уничтожение информации , в результате которого субъектом угрозы достигается лишь задача нанесения ущерба атакуемому банку.

Методы реализации угроз информационной безопасности банка дифференцируются в зависимости:

§ от вида данных, являющихся объектом угрозы;

§ от субъекта угрозы.

При использовании классификации по первому признаку можно отметить, что основной угрозой является несанкционируемый доступ к информации в электронном виде. В отличие от информации, существующей на других носителях, здесь могут быть реализованы все формы угроз (перехват, хищение, уничтожение). Другим отличием является то, что для достижения поставленных целей субъект угрозы вынужден использовать наиболее сложные с технологической точки зрения, следовательно, дорогостоящие методы. Сторонние для банка структуры и индивидуальные злоумышленники используют специальные компьютерные программы, позволяющие преодолеть существующие у любого банка системы защиты баз данных, локальных сетей и иных компьютерных коммуникаций (см. 1.3.3 настоящего УПП). Другим методом является использование специальных сканеров, позволяющих со значительно расстояния перехватывать («снимать») информацию с работающих компьютеров, факсов, модемов. Возможности субъектов угроз по достижению поставленных целей резко возрастают при использовании услуг сотрудников самого банка, особенно из числа лиц, имеющих доступ к защищаемой информации или компьютерным системам защиты.

Для реализации угроз в отношении информации на бумажных носителях субъекты используют такие методы, как копирование (фотографирование), прямое хищение, а при необходимости уничтожения сведений – включение систем самоуничтожения содержимого соответствующих сейфов. Учитывая, что проникновение посторонних лиц в банк всегда достаточно затруднительно, сторонние для него субъекты угроз также стремятся использовать в этих целях собственный персонал кредитно-финансовых организаций.

Наконец, для перехвата информации в устном виде используют разнообразные технические устройства – скрытые магнитофоны, видеокамеры, специальные дальнодействующие сканеры и направленные микрофоны. Они позволяют со значительного расстояния прослушивать устные и телефонные разговоры (включая аппараты сотовой связи), в том числе – в изолированных, но не оборудованных дополнительными средствами защиты помещениях. Основным ограничением выступают здесь финансовые возможности субъекта угрозы и атакуемого банка в части приобретения необходимых технических средств перехвата информации и защиты от него (по некоторым видам устройств цена может достигать нескольких сотен тысяч долларов США).

Классификация по второму признаку позволяет выделить следующие наиболее распространенные методы. Наиболее широкую их номенклатуру потенциально могут использовать конкуренты как самого банка, так и его клиентов. Чаще всего ими применяются:

§ вербовка сотрудников территориальных налоговых органов и учреждений Центрального банка, по долгу службы располагающих конфиденциальными для конкурентов, но не для государства сведениями (что доступно любому конкурирующему банку и особенно распространено в современных отечественных условиях);

§ внедрение своих агентов в атакуемый банк, что доступно лишь для наиболее крупных конкурирующих банков и корпораций, располагающих мощными службами безопасности и специально подготовленными сотрудниками;

§ вербовка сотрудников атакуемого банка с использованием методов подкупа и реже шантажа (см. раздел 1.4 настоящего УПП);

§ использование услуг собственных (в составе специального подразделения службы безопасности) или наемных хакеров;

§ использование разнообразных технических средств перехвата конфиденциальной информации в разовом, регулярном или постоянном режимах.

Криминальные структуры для обеспечения доступа к конфиденциальной информации обычно используют сотрудников атакуемого банка, применяя для этого прямые угрозы, шантаж и, реже, подкуп. Наиболее крупные преступные группировки могут использовать и более сложные методы.

Индивидуальные злоумышленники (в современных условиях – чаще всего наемные хакеры) применяют специальные компьютерные программы собственной или чужой разработки.

Нелояльные сотрудники банка могутдействовать в собственных целях (месть, корыстные интересы) или по поручению сторонних для банка структур. Чаще всего, при реализации рассматриваемых угроз они используют собственное служебное положение, обеспечивающее им доступ к соответствующим конфиденциальным данным. В отдельных случаях они могут выполнять роль резидентов нанявших их сторонних для банка структур. В этом случае, сотрудники могут использовать самые разнообразные методы агентурной работы, например, вербовка информаторов из числа своих коллег, выведывание нужных сведений, установку технических средств перехвата информации, прямое хищение или уничтожение конфиденциальных данных.

Фискальные или правоохранительные органы государство в отличие от конкурентов, чаще используют метод внедрения в контролируемый ими банк собственных сотрудников. Уровень их подготовки обычно очень высок, поскольку осуществляется силами специализированных учебных структур государственных спецслужб. В отношении небольших банков функции этих агентов обычно ограничиваются выполнением конкретного задания (например, получение документальных подтверждений факта сокрытия доходов от налогообложения или сведений о конкретном клиенте из числа представителей теневой экономики). В крупнейшие банки агенты государственных органов могут внедряться на длительный срок, выполняя функции резидентов.