Защита информации: прихоть или необходимость ? Преуспевающий предприниматель приобрел великолепный автомобиль одной из лучших западных фирм. Наряду с различными интересными "примочками" в салоне был установлен высококачественный комплекс аудио аппаратуры. Его включение осуществлялось лишь после набора определенного кода, который устанавливался хозяином автомобиля и хранился в тайне. Наслаждаясь прикрасным звучанием, друзья и знакомые задавали вопрос: " Зачем нужны такие сложности? " Ведь работой устройства защиты управляет специальный процессор, установка которого ведет к увеличению стоимости изделия. Оказывается на Западе хищение аппаратуры, снабженной такого рода устройствами, маловероятно поскольку для злоумышленника, не знающего кода доступа, такая шикарная вещь становится куском ненужного железа (и сам не воспльзуешься, и другому не продашь). Однако это на Западе, а у нас? У нас, пожалуй, все равно заберут, хотя бы для разборки на запасные части. Наши ребята используют безотходные технологии... Какое отношение имеет все это к защите информации? Да никакого. Просто такая ситуация характерезует наши различные подходы к пониманию одних и тех же вещей. В наше сложное время, в нашем интересном государстве предпринимаются попытки, ориентируясь на передовые технологии, любым способом догнать или хотя бы подражать... При этом многие стараются достичь цели, перескакивая через свойственные каждому этапы своего развития. Возможно нет ничего плохого в таком положении дел, на эту тему можно долго спорить, но, к сожалению, не все мы гении. Странным выглядит то, что преуспевающие организации и фирмы, в которых успешно решаются проблемы информатизации и эффективного управления, практически не выделяют средства на разработку и внедрение серьезных систем защиты своей информации. Не понятно. Если они ориентируются на Запад, то там к этим вопросам относятся серьезно. Другое дело, если в решении данной проблемы нет необходимости, так как в нашем обществе "развитой демократии" в условиях гласности нам нечего друг от друга скрывать. Тогда конечно... И все же попробуем поразмышлять в этом направлении. Информация,как совокупность знаний о фактических данных и зависимостях между ними, стала стратегическим ресурсом государства. Эта громкая фраза имеет прямое отношение к любой организации или частной фирме, так как Ваша информация это Ваш стратегический ресурс, Ваши деньги, залог Вашего успеха и процветания. При переходе страны к рыночной экономике информация также становится товаром и должна поэтому подчиняться специфическим законам товарно-рыночных отношений. В этих условиях проблема защиты информации, другими словами коммерческой тайны является весьма актуальной и для организаций любой формы собственности. Специалисты относят к понятию коммерческой тайны любую конфиденциальную управленческую, научно-техническую, торговую и другую информацию, представляющую ценность для предприятия в достижении преимущества над конкурентами и извлечения прибыли, утечка этой информации может нанести ущерб ее владельцам в виде прямых убытков, упущений выгоды и т.п. Ниже приведен приблизительный перечень сведений, которые могут составлять коммерческую тайну с учетом особенностей конкретного предприятия. 1. Сведения о финансовой деятельности: - прибыль, кредиты, товарооборот; - финансовые отчеты и прогнозы; - коммерческие замыслы; - фонд заработной платы; - стоимость основных и оборотных фондов; - кредитные условия платежа; - банковские счета; - плановые отчетные калькуляции. 2. Информация о рынке: - цены, скидки, условия договоров, спецификация продукции; - объем, история, тенденции производства и прогноз для конкретного продукта; - рыночная политика и планы; - маркетинг и стратегия цен; - отношения с потребителями и репутация; - численность и размещение торговых агентов; - каналы и методы сбыта; - политика сбыта; - программа рекламы. 3. Сведения о производстве и продукции. К ним относятся следующие: - сведения о техническом уровне, технико-экономических характеристиках разрабатываемых изделий; - сведения о планируемых сроках создания разрабатываемых изделий; - сведения о планируемых сроках создания разрабатываемых изделий; - сведения о применяемых и перспективных технологиях, технологических процессах, приемах и оборудовании; - сведения о модификации и модернизации ранее известных технологий, процессов, оборудования; - производственные мощности; - состояние основных и оборотных фондов; - организации производства; - размещение и размер производственных помещений и складов; - перспективные планы развития производства; - технические спецификации существующей и перспективной продукции; -схемы и чертежи отдельных узлов, готовых изделий, новых разработок; - сведения о состоянии программного и компьютерного обеспечения; - оценка качества и эффективности; - номенклатура изделий; - способ упаковки; - доставка. 4. Сведения о научных разработках. К ним относятся: - новые технологические методы, новые технические, технологические и физические принципы, планируемые к использованию в продукции предприятия; - программы НИР; - новые алгоритмы; - оригинальные программы. 5. Сведения о системе материально-технического обеспечения: - сведения о составе торговых клиентов, представителей и посредников; - потребности в сырье , материалах, комплектующих узлах и деталях, источники удовлетворения этих потребностей; - транспортные и энергетические потребности. 6. Сведения о персонале предприятия: - численность персонала предприятия; - определение лиц, принимающих решение, и их философия. 7. Сведения о принципах управления предприятием: - сведения о применяемых и перспективных методах управления производством; - сведения о фактах ведения переговоров, предметах и целях совещаний и заседаний органов управления; - сведения о планах предприятия по расширению производства; - условия продажи и слияния фирм. 8. Прочие сведения: - важные элементы систем безопасности, кодов и процедур доступа к информационным сетям и центрам; - принципы организации защиты коммерческой тайны. Приведенный перечень может меняться в зависимости от вида работы или специфики предприятия. Возможно, что в этом списке окажется то, с чем Вам приходится сталкиваться ежедневно, не удивляйтесь. Не секрет, что в настоящее время имеет место целенаправленное комплексное воздействие на такого рода информационные ресурсы со стороны различных заинтересованных лиц с целью подтолкнуть руководство какой-либо организации или фирмы к принятию определенных решений, выгодных этим лицам. Таким образом Вы рискуете сыграть кому-то на руку. Совокупность информации, средств информатизации, информатизационных технологий, предназначенных для достижения таких целей применяются на всех стадиях существования информации (сбор, обработка, распределение, хранение, использование) в виде: - разрушения или искажения существующей информации; - навязывания ложной информации; - навязывания ложных решений. Традиционно важной и имеющейся на всех предприятиях составляющей информационной технологии является работа с документами, письмами, делами и т.д. Опыт защиты коммерческой тайны тайны за рубежом показывает, что утечка информации, составляющей коммерческую тайну, связанная с различного рода документами занимает второе место после утечки информации, в которой источниками являются люди. К этому необходимо добавить, что бурное развитие информационной технологии привело к появлению новых типов документов : распечаток ПК, магнитных носителей информации различных типов и т.д. Не уменьшается значение информационной технологии предприятий и традиционных видов документов: почтовой корреспонденции, документации на продукцию, протоколов совещаний и т.п. Основными возможными каналами утечки информации, составляющей коммерческую тайну, в которых источниками являются документы, могут быть: - пользование документами при посторонних лицах; - получение несанкционированных копий документов; - утраты и хищения документов; - попадание сведений, составляющих коммерческую тайну, в негрифованные документы; - наличие излишней информации в документах. Современный уровень хранения, обработки и передачи информации требует использования средств вычислительной техники. В настоящее время, в качестве базового уровня применяются персональные компьютеры (ПК), а на их основе создаются локальные и распределенные вычислительные сети. Наличие внешних, слабо контролируемых, каналов связи в таких сетях приводит к более высоким требованиям к системе защиты информации. В случае обработки информации на ПК в состав области обращения информации входят: люди, непосредственно выполняющие обработку информации на ПК, документы, включая машинные носители информации всех видов и технические средства из состава ПК. Информация, составляющая коммерческую тайну, при обработке на ПК подлежит защите как от утечки, так и от разрушения. При использовании ПК возможны следующие источники утечки и навязывания информации: - архивы на магнитных и оптических накопителях; - документы, хранящиеся и передаваемые с помощью ПК; - центры распределения информации в распределенных сетях; - каналы связи; - обслуживающий персонал и посетители. Уже знакомые нам ребята, которые, как Вы помните, не отказались от аудио аппаратуры с кодовым замком, кроме безотходных технологий используют и другие приемы, обеспечивающие им безбедное существование за чужой счет. Перечислим некоторые из них для примера: 1. "Уборка мусора" - это метод получения информации, оставленной пользователем в памяти ПК после окончания работы. 2. "Люк" - заранее предусмотренный, или найденный экспериментально, способ разрыва программы в каком - либо месте и внедрение туда собственного набора команд, чтобы выкрасть ключи доступа или получить копию документа, составляющего коммерческую тайну. 3. "Подслушивание" или "подсматривание" - ничем не отличается от обычного подслушивания или подсматривания с целью получения закрытой информации. 4. "Троянский конь" - тайное введение в чужую программу команд, которые позволяют ей осуществлять новые, не планировавшиеся владельцем функции, но одновременно сохранять и прежнюю работоспособность. С помощью "троянского коня" выполняются операции по переносу информации или денег в область доступную преступнику - например на его счет в банке (в случае перечисления денег). 5. "Асинхронная атака" - способ смешивания двух или более различных программ, одновременно выполняемых в памяти компьютера. Позволяет достигать любых целей - заложенных преступником. 6. "Логическая бомба" - тайное встраивание в программу набора команд, которые должны сработать при определенных условиях. Как же противостоть всему этому? В основе организационного аспекта защиты любой информации, в том числе и информации, составляющей коммерческую тайну, лежит принцип правильной организации движения информации, учитывающей методы обработки информации, организационно-управленческие концепции ее формирования и потребления. Прежде всего информация, подлежащая защите (в нашем случае это информация, составляющая коммерческую тайну) должна быть четко выделена из всей остальной. В любом процессе работы с информацией, составляющей коммерческую тайну, возникает область обращения информации, которая представляет собой множество носителей информации, необходимое для обеспечения обработки информации в соответствии с поставленной владельцем информации задачей. Область обращения информации является составной частью принятой информационной технологии. Решение проблемы защиты информации существенно зависит от используемой информационной технологии, которая определяется как сочетание процедур, реализующих функции хранения, обработки и передачи данных на предприятии с использованием выбранного комплекса технических средств. В основе защиты любой информации, в том числе и информации, составляющей коммерческую тайну, лежит принцип правильной организации движения информации, учитывающей методы обработки информации, организационно-управленческие концепции ее формирования и потребления. Прежде всего информация, составляющая коммерческую тайну, должна быть четко выделена из всей остальной. Область обращения информации зависит от принятой на предприятии информационной технологии и состоит из множества носителей информации. Процесс формирования и потребления информации, составляющей коммерческую тайну предприятия, должен быть организован таким образом, чтобы область обращения информации, была бы минимальна и достаточна. В общем случае для предприятия любого направления деятельности в состав области обращения информации могут входить следующие классы носителей информации: - люди; - документы всех видов, включая машинные носители; - материальные элементы ( выпускаемые изделия, сырье, полуфабрикаты и т.п.); - технические средства обработки и передачи информации; - инфраструктура предприятия. Выход информации, составляющей коммерческую тайну, за пределы области ее обращения принято называть утечкой информации, а путь прохождения информации при этом - возможным каналом утечки (ВКУ) информации. На предприятии должна быть проведена работа по выявлению ВКУ всех видов информации, составляющей коммерческую тайну. Для решения перечисленных проблем на предприятии или фирме желательно создание комплексной системы защиты информации (КСЗИ), в которой были бы воплощены все имеющиеся на сегодняшний день наработки в этой области знаний. КСЗИ представляет собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту информации, составляющей коммерческую тайну предприятия, по всем выявленным возможным каналам утечки. Главной функцией КСЗИ является предотвращение утечки информации, составляющей коммерческую тайну, а входящие в нее способы и средства защиты информации должны обеспечивать защиту конкретных ВКУ. Для реализации КСЗИ на предприятии должно быть организовано специальное подразделение по охране коммерческой тайны. Состав и функциональные обязанности такого подразделения должны определяться с точки зрения экономической целесообразности и учитывать реальную ценность информации, составляющей коммерческую тайну конкретного предприятия, и его специфику работ. В случае отсутствия возможности по соображениям экономической целесообразности (малый объем сведений, составляющих коммерческую тайну предприятия, их невысокая ценность, финансовые затруднения и т.д.) для организации такого подразделения на предприятии должно быть выделено лицо, ответственное за защиту коммерческой тайны. Такое лицо назначается приказом по предприятию. В уставе предприятия должно быть указано, что сведения, составляющие коммерческую тайну предприятия являются его собственностью. На предприятии должна быть проведена подготовка персонала в плане обучения исполнению своих обязанностей с одновременным выполнением требований по обеспечению защиты сведений, составляющих коммерческую тайну, и предупреждения об ответственности за несоблюдение указанных требований. Задача защиты информации, составляющей коммерческую тайну, при обработке на ПК является одной из важнейших при построении механизма защиты информации, составляющей коммерческую тайну предприятия, значение которой, учитывая тенденции развития информационной технологии, с течением времени будет возрастать. В настоящее время немалое внимание уделяется применению аппаратных, программных, программно-аппаратных, криптографических, физических и других методов и средств защиты компьютерной информации. При этом не уделяется должного внимания организационному аспекту. Ни в коей мере не отрицая значения этих высокоэффективных методов и средств защиты, следует, однако учитывать, что эффективная защита коммерческой информации в целом может быть обеспечена только при использовании комплексной системы защиты информации, которая объединяет все это в единый механизм, стержнем которого являются организационные меры. В общем случае проблема защиты информации в компьютерных системах включает: - выявление полного множества потенциально возможных каналов утечки информации; - оценку уязвимости информации при имеющемся множестве каналов утечки; - создание средств защиты информации и определения их характеристик ; - разработку способов использования механизма защиты в процессе функционирования информационных систем. Комплексная система защиты информации должна отвечать следующим требованиям: - оперативно реагировать на изменение факторов, определяющих методы и средства защиты информации; - базироваться на лучших алгоритмах закрытия информации, гарантирующих надежную криптографическую защиту; - иметь важнейшие элементы идентификации пользователей и контроля подлинности передаваемой и хранимой информации; - осуществлять защиту от несанкционированного доступа к информации в базах данных, файлах, на носителях информации, а также при передаче ее по линиям связи в локальных и глобальных сетях; - обеспечиваеть режим электронной почты для обмена конфедециальной информацией; - иметь удобную и надежную ключевую систему, обеспечивающую гарантию безопасности при выработке и распределении ключей между пользователями; - обеспечивать различные уровни доступа пользователей к защищаемой информации; Для обеспечения защиты информации, обрабатываемой в компьютерных информационных системах используется целый комплекс мер и методов защиты: - контроль доступа к ПК; - контроль и ограничение доступа к информации; - защита от несанкционированного доступа и модификации информации; - "закрытие на ключ" всех важных документов; - защита информации, передаваемой и принимаемой по каналам связи, от несанкционированного доступа, модификации и навязывания. Широкое распространение однопользовательских, IBM - совместимых персональных компьютеров, работающих под DOS, накладывает определенную специфику на применяемые методы хищения и навязывания информации и соответственно на средства и методы ее защиты. Например, такой метод как "Уборка мусора" - теряет свой смысл при выполнении перезагрузки ПК перед началом работы другого пользователя. Однако, применение всех остальных, из вышеперечисленных, методов хищения или навязывания информации должно подавляться применением специальных средств защиты компьютерной информации. В решении вопросов защиты коммерческой тайны на предприятии должны быть заинтересованны различные специалисты, из которых можно выделить три группы: 1. Специалисты управленческой и административнохозяйственной деятельности; 2. Специалисты по вычислительной технике и автоматизированным системам управления; 3. Специалисты по защите информации. Каждая из этих групп имеет свои приоритетные цели, направления и методы работы. Это приводит к возникновению противоречий. Как правило, специалисты по защите информации накладывают целый ряд ограничений, которые затрудняют эффективное использование систем сбора, обработки и хранения данных. Поэтому явно просматривается необходимость обьединения усилий всех специалистов, которые на основе комплексного подхода занимались бы разработкой путей и методов решения вопросов защиты информации на всех этапах, начиная с постановки задачи на разработку и заканчивая использованием компьютерных информациионных систем. Такой подход дает возможность учитывать пожелания всех заинтересованных сторон, позволяя эффективно использовать выделяемые средства. Содержание специалистов по защите информации, на первый взгляд, представляется дорогой и не нужной прихотью, однако, как уже упоминалось, любому предприятию или фирме предстоит пройти свои этапы развития на пути к процветанию. Не проделав определенную подготовительную работу по организации защиты коммерческой тайны уже сегодня, не стоит расчитывать на быстрое решение этой проблемы в ближайшем будущем, когда информация станет реальным дорогостоящим товаром. Итак, позвольте подвести некоторые итоги: 1. Украина находится на пути к цивилизованным рыночным отношениям; 2. Информация превращается в товар, который, как правило, бесплатно раздавать не принято; 3. По мере роста ценности различного рода данных, возрастает угроза их хищения; 4. В процессе коммерческой деятельности имеет место проблема защиты Ваших конфедециальных сведений; 5. Задачу защиты коммерческой тайны необходимо решать постепенно, начиная с сегодняшнего дня.