предотвращение внедрения в автоматизированные системы программ-вирусов, программных закладок, которое осуществляется как программными, так и организационными средствами.
Таким образом, защита конфиденциальной информации может включать в себя множество аспектов, большая часть из которых не является обязательными, однако они крайне рекомендованы к реализации, так как на их основании выдается аттестат соответствия автоматизированной системы определенному классу защищенности, который может требоваться для выдачи той или иной лицензии, либо для взаимодействия с организациями-партнерами.
.2 Общие рекомендации по защите информации, не составляющей государственную тайну
Для составления более четких рекомендаций по защите информации, не составляющей государственную тайну, следует провести классификацию автоматизированной системы согласно Руководящему Документу Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации". Нужно понимать, что классификации подлежат все введенные в эксплуатацию, либо разрабатываемые автоматизированные системы. В случае, если в одну автоматизированную систему объединяются несколько различных, которые были причислены к различным классам защищенности, объединенная система получает наивысший гриф конфиденциальности, которой был присвоен какой-либо составляющей. Повышение класса защищенности при неизменных условиях эксплуатации возможно при условии обеспечения должного уровня безопасности, однако обратное запрещено.
Лица, допущенные к автоматизированной обработке конфиденциальной информации, должны быть ознакомлены с требованиями СТР-К и других нормативных документов, регулирующих процесс защиты информации, принятых в организации. Следовательно, организация должна иметь специальный перечень, содержащий документы по защите информации, такие как перечень сведений, составляющих служебную тайну, коммерческую тайну, или персональных данных, подлежащих защите.
Согласно положениям рассматриваемого документа, классы автоматизированных систем для обработки информации, составляющих служебную тайну, должны быть не ниже, чем 3Б, 2Б, 1Г. Для персональных данных - 3Б, 2Б, 1Д. На практике чаще всего аттестуют автоматизированные системы по классу 1Г или 1Д, так как стоимость аттестации на другие классы приблизительно одинакова.
В большинстве случаев автоматизированные системы не имеют доступа за пределы контролируемой зоны, однако в случае необходимости передачи информации следует использовать защищенный канал связи, к примеру, организованный при помощи сертифицированных средств криптографической защиты информации.
Также требуется вести учет носителей конфиденциальной информации не зависимо от типа носителя (бумажный, магнитный и т.д.). Уничтожение подобных носителей производится в порядке, установленном на предприятии под определенным грифом конфиденциальности.
По желанию руководителя предприятия возможно дополнительное усиление мер безопасности. В таком случае данные меры также должны быть зафиксированы документально, но на практике подобные ситуации встречаются при незнании специфики данной отрасли и желании организовать требуемы уровень защиты.
В организации может быть введен режим коммерческой тайны, который подразумевает под собой режим, позволяющий её обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.
Для обработки сведений, составляющих коммерческую тайну, в автоматизированных системах следует выполнить дополнительное условие: в организации должен иметься документ «Перечень сведений, составляющих коммерческую тайну», с которым должны быть ознакомлены сотрудники, допущенные к сведениям, указанным в перечне. В остальном оборот сведений, составляющих коммерческую тайну, ничем не отличается от описанных для конфиденциальной информации. Как и в предыдущем случае существует возможность повышения уровня защиты по желанию руководителя предприятия.
Подводя итог, можно сказать, что отличия в защите конфиденциальной информации от коммерческой тайны не существенны. Методы защиты для первой регламентированы, хоть и носят по большой части рекомендательный характер, их выполнение разумно и обосновано. Режим же коммерческой тайны должен включать в себя все пункты из обеспечения безопасности конфиденциальной информации, а также некоторые ужесточения, которые являются опциональными и варьируются от случая к случаю и, зачастую, избыточны.
Глава 2. Защита информации, обрабатываемой в автоматизированных системах
.1 Защита конфиденциальной информации на автоматизированных рабочих местах на базе автономных ПЭВМ
Защита на автоматизированных рабочих местах на базе автономных персональных электронно-вычислительных машин осуществляется при помощи средств защиты информации от несанкционированного доступа, состав и функции которых описаны в Руководящем Документе Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации".
Однако, существует ряд уточнений, которые дополняют меры защиты информации в отношении съемных накопителей большой емкости. При использовании подобных технологий встроенные накопители из электронно-вычислительных машин удаляются.
Данный режим обработки информации позволяет «обойти» ряд требований, предъявляемых к помещению, в которых располагается автоматизированная система, то есть в помещении необязательна пожарно-охранная сигнализация, и требования по разводке сетей электропитания выполнить гораздо проще, в следствие портативности самого средства вычислительной техники. Подобный метод на практике реализуется крайне редко, так как необходимо оформить ряд дополнительной нормативной документации как по обращению с носителями конфиденциальной информации, так и по условиям эксплуатации автоматизированной системы. Однако, частичная реализация подобного метода возможна: снимается накопительный магнитный жесткий диск, на котором хранится вся информация автоматизированной системы, на время, не предусматривающее обработку информации, и перемещается в охраняемое помещение до следующего сеанса работы.
В рассматриваемом документе учтена возможность аппаратного вмешательства в автоматизированную систему, то есть сброс пароля через отключение батареи питания материнской платы. Для устранения возможности несанкционированного доступа к защищаемой информации следует применять специальные защитные знаки, осмотр которых проводится перед каждым сеансом эксплуатации средства вычислительной техники. Отметка о проведенном осмотре должна ставиться в специальном журнале под росписью провеявшего, который понесет ответственность в случае недобросовестного выполнения обязанностей. Данная мера позволяет оперативно проводить расследования случаев осуществления несанкционированного доступа.
Вышеперечисленные меры учитываются в документе, описывающем технологию обработки защищаемой информации, который составляется в сотрудничестве со службой безопасности и согласуется с руководителем организации. С этим документом также обязаны ознакомится все сотрудники, получившие доступ к электронно-вычислительной машине.
Подытоживая, защита конфиденциальной информации на автоматизированных рабочих местах осуществляется в соответствии с Руководящим Документом Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» в сочетании с комплексом организационных мер, которые устанавливаются самим руководством предприятия. Однако, следует понимать, что выполнение минимальных организационных требований, описанных выше, обязательно при любых условиях эксплуатации.
.2 Защита информации при сетевом взаимодействии для автоматизированных рабочих мест на базе автономных ПЭВМ
Так как речь идет о конфиденциальной информации, то без взаимодействия с открытыми сетями процесс обработки в подавляющем большинстве случаев невозможен, например, в банковой сфере, где расчеты могут производится безналично, в сфере здравоохранения, где карточка и история болезни могут храниться на серверах, к котором пациент имеет доступ через сеть Интернет, почтовые сервисы, где вся переписка пользователя хранится не на его персональном компьютере, а на серверах, к которым он получает доступ удаленно. Соответственно, появилась необходимость в ряде рекомендаций для обеспечения безопасности при внутри- и межсетевом взаимодействии автоматизированных систем, обрабатывающих конфиденциальную информацию.
Ключевая проблема информационной безопасности в данной сфере заключается в том, что сложно осуществлять контроль за выполнением норм безопасности со стороны пользователя и состоянием защищенности вычислительной машины в принципе. Эта проблема характерна даже для локальных вычислительных сетей, где контроль осуществим, но шанс реализации уязвимости прямо пропорционален количеству пользователей.
Следовательно, средства защиты информации от несанкционированного доступа должны использоваться на всех узлах локальной вычислительной сети вне зависимости от наличия на этих узлах защищаемой информации, что и указано в требованиях СТР-К, однако, рекомендуется создавать сети, в которых производится обработка защищаемой информации, изолированными от сетей открытого обмена информации (сети Интернет), то есть располагать все элементы сети в пределах контролируемой зоны. В случае, если существует необходимость обмена конфиденциальной информации, следует использовать межсетевые экраны, уровень защищенности которых регламентирован в соответствующем Руководящем Документе Гостехкомиссии России. В качестве способа учета доступа субъектов к защищаемой информации, каждому присваивается уникальный ключ вне зависимости от способа реализации безопасной системы. Например, если речь идет о криптографической защите, каждому пользователю выдается свой уникальный ключ шифрования, а также ключ электронной подписи.
Также в качестве одной из мер защиты используется разделение каналов трафика, протекающего в локальной вычислительной сети, что позволяет избежать потери всей информации в случае осуществлении злоумышленником несанкционированного доступа к одному из узлов сети.
Нужно понимать, что персональный компьютер пользователя защищен гораздо слабее и навязывать строгое выполнение требований данного документа невозможно, ввиду того, что, зачастую, пользователь не разбирается в специфике вопроса. Гораздо проще использовать криптографически защищенные каналы передачи информации, что и указано в качестве возможных мер защиты при выходе конфиденциальных данных за пределы контролируемой зоны в разделе 5.8. данного документа.
Одним из важных объектов обработки конфиденциальной информации является базы данных и их системы управления. Применяется база данных повсеместно: банковская сфера, сфера здравоохранения, в развлекательных сферах и т.д. Отсюда вытекает необходимость в рекомендациях по защите информации при работе с системами управления баз данных, которые указаны в разделе 5.9. СТР-К.
Причиной особого отношения к базам данных является тот факт, что они имеют ряд параметров, которые отличают их от обычных вычислительных сетей:
.в базах данных может накапливаться большой объем информации по различным сферам деятельности, доступ к которым имеют лишь определенные пользователи;
.базы данных могут быть физически распределены по различным устройствам и узлам сети;
.базы данных зачастую содержат информацию различного уровня конфиденциальности;
.система разграничения доступа пользователей к информации любого возможного вида, хранящейся в базах данных, реализуется только лишь средств управления самих баз, если таковые вообще имеются;
.сама же система разграничения доступа к информации базы данных без применения систем управления, то есть на уровне операционной системы или средств защиты информации от несанкционированного доступа, может быть реализована только на файловом уровне;
.осуществление контроля за действиями пользователей над объектами баз данных возможно только при помощи системы управления;
.базы данных могут обеспечивать одновременный множественный доступ пользователей (клиентов) к объектам баз с помощью сетевых протоколов, при этом запросы пользователя обрабатываются удаленно на сервере и результаты обработки направляются пользователям (клиентам).
Исходя из этих особенностей были составлены рекомендации, которые следует учитывать при разработке баз данных:
.при выборе систем управления следует ориентироваться на их защищенности, а также на наличие средств защиты информации от несанкционированного доступа, встроенных или отдельно встраиваемых;
Итак, защита информации при межсетевом взаимодействии осуществляет при помощи организации защищенных каналов связи, которые строятся по принципу невозможности подключения к ним или сокрытия информации, протекающего в открытом канале, если первый метод трудно осуществим и применяется крайне редко, то второй получил широкое распространение, что можно увидеть в сфере криптографической защиты информации. На данный момент существует множество протоколов шифрования и передачи шифрованной информации, стандарты применения которых негласно установлены по всему миру, так как обязать применять тот или иной протокол невозможно. Причина этого заключается во взаимодействии с пользователем системы (клиентом), который выберет наиболее простой метод защиты информации, вне зависимости от уровня безопасности, который он обеспечивает.
Заключение
Из всего вышеперечисленного следует, что защита конфиденциальной информации, осуществляется на основе рекомендаций СТР-К. Представленные в документе положения охватывают большинство необходимых аспектов обеспечения безопасности данных, и выполнение вышеперечисленных рекомендаций позволяет организовать защиту информации на должном уровне.
Следует понимать, что часть рекомендаций не носят обязательный характер, и необходимость тех или иных мер защиты определяет руководство организации. Зачастую конфиденциальная информация фигурирует в сфере частного бизнеса, и предприятия, желающие взаимодействовать между собой, требуют соответствие защиты информации, обрабатываемой на автоматизированных системах партнера, некоторому установленному уровню безопасности, принятому на предприятии. И уже исходя из данных требований, организуется дополнительная защита информации помимо той, что описана в рассматриваемом документе.
Соответственно, необходимо различать грань, отделяющую достаточный уровень защищенности информации от избыточного. И для решения данной проблемы необходимо обращаться к специалистам в сфере информационной безопасности, которые могу дать надлежащие рекомендации, которые помогут избежать как излишних денежных и временных затрат на реализацию мер защиты, определенных главой организации в качестве необходимых, так и проблем, влекущих за собой возможную административную ответственность или, в крайнем случае, отзыв лицензии на деятельность у предприятия, при взаимодействии с контролирующими органами, например, РКН и ФСБ.
Но главная проблема безопасности конфиденциальной информации заключается во взаимодействии с физическими лицами, то есть клиентами, так как им невозможно навязать выполнение всех необходимых требований без риска.
вычислительный автоматизированный вычислительный машина
Список использованной литературы
1.ФЗ «Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 № 195 (ред. от 09.03.2016) (с изм. и доп., вступ. в силу с 20.03.2016);
.Руководящий документ «Автоматизированные системы. Защита от несанкционированного доступа к информации Классификация автоматизированных систем и требования по защите информации», утвержденный решением председателя Государственной технической комиссии при Президенте Российской Федерации от 30 марта 1992 г.;
.Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденный 30.08.2002 приказом Председателя Гостехкомиссии России № 282.
.Положение по аттестации объектов информатизации по требованиям безопасности информации, утверждённое председателем Государственной технической комиссии при Президенте Российской Федерации 25 ноября 1994 г.