Первый шаг к безопасности

О защите информации на малых и средних предприятиях.

Автомобиль, квартира, дача, офис... Не надо доказывать, как важно обеспечить их безопасность. А вот нужно ли защищать информацию? И как это сделать с наименьшими затратами? Попробуем разобраться на примере организации работ по защите информации на небольшом предприятии.

Всюду — тайны

В Федеральном законе «Об информации, информатизации и защите информации» документированная информация с ограниченным доступом разделена на две большие группы: ту, что представляет собой государственную тайну, и конфиденциальную. О себе власти позаботились — ко времени написания этой статьи государственная тайна единственная охраняется специальным законом. А вот с конфиденциальной информацией ясности меньше — специалисты выделяют более тридцати видов и разновидностей других тайн (рис. 1), которые защищаются многочисленными нормативными актами — от Конституции до писем и инструкций отраслевых министерств и ведомств.

Предоставим юристам разбираться в тонкостях права — ведь, следуя букве закона, необходимо отличать медицинскую тайну от врачебной, а тайну связи — от тайны переписки, телефонных, почтовых, телеграфных и иных сообщений. С уверенностью можно предположить, что любая фирма заинтересована прежде всего в сохранении своей коммерческой и служебной тайны, ответственность за разглашение которых предусмотрена Гражданским и Уголовным кодексами.

Перечень сведений, составляющих коммерческую тайну, утверждается руководителем предприятия. Но не следует впадать в раж и включать в число конфиденциальных все документы. С одной стороны, нормативными актами запрещено относить к коммерческой тайне устав предприятия, его учредительные документы и т. д. А с другой — мало объявить тот или иной документ конфиденциальным, важно на деле обеспечить безопасность содержащейся в нем информации. Здесь поневоле придется экономить, сообразуясь с возможностями фирмы, прежде всего экономическими.

Таким образом, на плечи руководства предприятия ложится организация следующей работы:

• инвентаризация документированной информации с выделением документов, содержащих сведения, составляющие коммерческую или служебную тайну, и последующее ранжирование этих документов по важности;
• определение круга лиц, допущенных к конфиденциальным документам, с установлением их персональной ответственности за соблюдение режима защиты информации;
• ограничение доступа к конфиденциальной информации;
• создание системы защищенного оборота документов, содержащих коммерческую или служебную тайну;
• постоянный контроль за эффективностью мер по защите информации.

Цели защиты

Отраслевой стандарт по информационной безопасности определяет защиту информации как деятельность, направленную на предотвращение утечки информации, несанкционированных и непреднамеренных воздействий на информацию. И если первое направление (предотвращение утечки) должно предупреждать разглашение конфиденциальных сведений, несанкционированный доступ к ним и/или их получение разведками (например, коммерческой разведкой фирм-конкурентов), то два других направления защищают от одинаковых угроз (искажение конфиденциальной информации, ее уничтожение, блокирование доступа и аналогичные действия с носителем информации). Вся разница заключается в наличии или отсутствии умысла в действиях с информацией (рис. 2).

Сразу оговоримся, что за рамками данной статьи остаются угрозы получения конфиденциальных сведений благодаря ведению агентурной работы, перехвату телефонных переговоров, использованию проводных и радиозакладок, побочных электромагнитных излучений и наводок, визуальному наблюдению. Не станем рассматривать и угрозы, порождаемые действием природных и техногенных факторов (наводнений, пожаров, неисправностей сетей электропитания и т. п.), хотя для предприятий, расположенных, к примеру, в зонах возможных землетрясений или в зданиях с изношенной инфраструктурой эти проблемы выходят на первый план. Сосредоточимся на угрозах, порождаемых субъективными причинами, т. е. действиями злоумышленников и неквалифицированных пользователей в отношении информации, обрабатываемой в автоматизированных системах (рис. 3.).

Больше всего угроз по-прежнему создают компьютерные вирусы (в число которых помимо традиционных файловых, загрузочных, макровирусов и т. п. вредоносных программ входят также «трояны», «вандалы», перехватчики паролей и т. д.) и атаки распространителей спама (1)¹. Многие сети годами остаются открытыми для пришельцев из Интернета, и неизвестно, что в этом случае опаснее — сознательный взлом злоумышленником корпоративной сети для съема конфиденциальной информации или же осуществляемая «из любви к искусству» дезорганизация работы сети с помощью атак типа «отказ в обслуживании» (2). Поскольку для малых и средних коммерческих структур создание специально защищенных линий связи невозможно, приходится использовать открытые каналы для обмена кроме прочего и конфиденциальной информацией, а это чревато как перехватом этой информации (3), так и нарушением ее целостности или подменой (6).

Внутри локальной сети актуальна задача надежной аутентификации пользователей: хрестоматийный пример прикрепления к монитору бумажки с записанным логином и паролем навяз в зубах, но, видимо, бессмертен, как птица Феникс (4)... Зачастую не придается значения разграничению доступа между легальными пользователями (5). Здесь можно привести такую аналогию: иерархию кабинетов все сотрудники соблюдают свято, никому не приходит в голову оккупировать стол или комнату начальства, а вот по отношению к конфиденциальной информации действует, так сказать, коммунистический принцип «каждому — по интересам», и сведения, предназначенные двум-трем топ-менеджерам, становятся известны чуть ли не половине фирмы.

Часто к одним и тем же следствиям приводят на первый взгляд совершенно разные причины. Что, казалось бы, роднит забывчивость и «Маски-шоу», за которым все мы время от времени наблюдаем по телевизору? С точки зрения информационной безопасности общее у них то, что и следствием забывчивости пользователя (оставившего, скажем, в аэропорту ноутбук с базой данных о клиентах), и результатом визита людей в камуфляже становится отчуждение носителей конфиденциальной информации (7). В качестве еще одного канала вероятной утечки можно назвать, к примеру, сервис-центры, в которые поступают диски с не уничтоженной должным образом информацией (8). Наконец, не стоит забывать, что в значительном числе случаев пользователи оперируют информацией не только в электронном, но и в бумажном виде (9), и регулярное обследование содержимого мусорных ведер, куда отправляются черновики и наброски, может дать вашим конкурентам больше, чем хитроумные атаки и попытки взлома.

Таким образом, напрашивается вывод: защита информации — одно из ключевых направлений деятельности любой успешной фирмы. Перед специально отобранным для этого сотрудником (или подразделением) стоят следующие задачи:

• анализ угроз конфиденциальной информации, а также уязвимых мест автоматизированной системы и их устранение;
• формирование системы защиты информации - закупка и установка необходимых средств, их профилактика и обслуживание;
• обучение пользователей работе со средствами защиты, контроль за соблюдением регламента их применения;
• разработка алгоритма действий в экстремальных ситуациях ("Маски-шоу", природное бедствие и т. п.) и проведение регулярных "учений";
• разработка и реализация программы непрерывной деятельности автоматизированной системы и плана восстановительных мероприятий (в случае вирусной атаки, сбоя/ошибки/отказа технических средств и т. д.).

Серые кардиналы

Особо нужно рассмотреть роль еще одной силы, о которой нередко и незаслуженно забывают. Сила эта, и немалая, — сотрудники подразделений информационных технологий. Конечно, в компаниях с небольшим штатом они же решают и задачи обеспечения информационной безопасности, но нас интересует случай, когда отделы защиты информации и ИТ существуют автономно.

Собственно говоря, автономия и служит скрытым источником возможных конфликтов — будь то битвы за бюджет, выяснение, «кто главней», или кадровые баталии. К сожалению, зачастую эти сражения заканчиваются патовой ситуацией: одна служба блокирует решения другой или же тормозит выделение финансовых средств.

А ведь по сути «айтишникам» и «защитникам» делить нечего, и их конфликты напоминают раздоры между двумя головами одного дракона. Для подтверждения этой мысли попробуем сформулировать функции подразделения ИT, реализация которых способствовала бы как развитию автоматизированной системы (АС), так и обеспечению информационной безопасности:

• регулярное тестирование компонентов АС и системы в целом;
• использование встроенных в программные продукты и аппаратные средства механизмов защиты (управление правами доступа пользователей, парольная аутентификация, списки контроля доступа маршрутизаторов, системы балансировки нагрузки, управления адресным пространством и т. д.);
• контроль за применяемым пользователями программным обеспечением (с пресечением попыток установки нелицензионного ПО и т. п.);
• повышение технологической культуры пользователей.

Как не попасть в Бермудский треугольник

Итак, можно констатировать, что деятельность по защите информации протекает в рамках четырехугольника «руководство компании — служба защиты информации — департамент ИТ — пользователи», и от доброй воли всех этих сторон зависит, будет ли их сотрудничество эффективным или же указанная геометрическая фигура превратится, почти по Высоцкому, в Бермудский треугольник бесконечных свар и конфликтов.

С какими же проблемами приходится сталкиваться при построении системы защиты информации?

Метод заплаток. «Кусочное» обеспечение информационной безопасности лишь на отдельных направлениях. Следствие — невозможность отразить атаки на незащищенных участках и дискредитация идеи информационной безопасности в целом.

Синдром амебы. Фрагментарное реагирование на каждый новый раздражитель; часто сочетается с применением «метода заплаток». Следствие — запаздывание с отражением новых угроз, усталость от бесконечной гонки по кругу.

Лекарство от всего. Попытки возложить на одно средство защиты информации все функции обеспечения информационной безопасности (например, стремление отождествить аутентификацию и полный комплекс задач защиты от несанкционированного доступа). Следствие — непрерывный переход, миграция от одного средства защиты к другому, «более комплексному», последующее разочарование и паралич дальнейших действий.

Волшебная палочка. Вторая ипостась поисков «универсального лекарства», искреннее непонимание необходимости дополнения технических мер защиты организационными. Следствие — предъявление завышенных требований к системе или средству защиты (вспомним «Женитьбу» Гоголя).

Стремление к экономии. В принципе похвально, однако в крайних формах сводится к желанию построить систему защиты на беззатратной основе. Следствие — применение непроверенных и/или нелицензионных средств защиты, отсутствие поддержки со стороны производителей, постоянные попытки разобраться во всем самостоятельно, неэффективные и разорительные, как и любая самодеятельность.

* * *

Таковы лишь некоторые проблемы, подстерегающие любого, кто сделает первый шаг к информационной безопасности. Что скрывать — путь это трудный и долгий. Есть, конечно, и другие дороги, более легкие, но все они в конечном счете ведут в тупик.

ОБ АВТОРЕ

Игорь Лукашов — менеджер управления по информационной безопасности компании «ЛАНИТ». С ним можно связаться по e-mail: lukashov@lanit.ru.

Тайны в законе

Гражданский кодекс РФ

1. Информация составляет служебную или коммерческую тайну в случае, когда информация имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к ней нет свободного доступа на законном основании и обладатель информации принимает меры к охране ее конфиденциальности. Сведения, которые не могут составлять служебную или коммерческую тайну, определяются законом и иными правовыми актами.
2. Информация, составляющая служебную или коммерческую тайну, защищается способами, предусмотренными настоящим Кодексом и другими законами.

Лица, незаконными методами получившие информацию, которая составляет служебную или коммерческую тайну, обязаны возместить причиненные убытки. Такая же обязанность возлагается на работников, разгласивших служебную или коммерческую тайну вопреки трудовому договору, в том числе контракту, и на контрагентов, сделавших это вопреки гражданско-правовому договору.

Уголовный кодекс РФ

1. Собирание сведений, составляющих коммерческую или банковскую тайну, путем похищения документов, подкупа или угроз, а равно иным незаконным способом в целях разглашения либо незаконного использования этих сведений - наказывается штрафом в размере от ста до двухсот минимальных размеров оплаты труда, в размере заработной платы или иного дохода осужденного за период от одного до двух месяцев либо лишением свободы на срок до двух лет.
2. Незаконные разглашение или использование сведений, составляющих коммерческую или банковскую тайну, без согласия их владельца, совершенные из корыстной или иной личной заинтересованности и причинившие крупный ущерб, - наказываются штрафом в размере от двухсот до пятисот минимальных размеров оплаты труда, в размере заработной платы или иного дохода осужденного за период от двух до пяти месяцев либо лишением свободы на срок до трех лет со штрафом в размере до пятидесяти минимальных размеров оплаты труда или в размере заработной платы или иного дохода осужденного за период до одного месяца либо без такового.

¹ Здесь и далее в круглых скобках даются ссылки на соответствующие фрагменты схемы, представленной на рис. 3, и строки таблицы.