Информационные ресурсы ограниченного доступа и угрозы ресурсам

В статье раскрываются основные угрозы информационным ресурсам ограниченного доступа и последствия этих угроз. В ней предлагаются определенные решения позволяющие защитить подобного рода информацию от несанкционированного доступа,    обеспечив ее полную конфиденциальность.

В информационном обществе главным ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность. Информационные ресурсы — это документы и массивы документов, хранящиеся в информационных системах [1, c. 50]. Но не все ресурсы являются общедоступными. Существуют ресурсы ограниченного доступа [2]:

• •    государственная тайна;

• •    конфиденциальная информация;

• •    коммерческая тайна;

• •    профессиональная тайна;

• •    служебная тайна;

• •    персональные данные, личная (персональная) тайна.

Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы безопасности информации ограниченного доступа. Поэтому тема данной статьи является особенно актуальной в настоящее время.

Объектом моего исследования являются информационные ресурсы ограниченного доступа, а предметом — угрозы, возникающие при их использовании.

Цель заключается в выявлении всех разновидностей угроз ресурсам ограниченного доступа и нахождении наиболее эффективных методов защиты подобного рода информации.

Реализация поставленной цели потребовала решения следующих задач:

• •    выявить виды угроз ресурсам ограниченного доступа;

• •    изучить методы защиты данных ресурсов;

• •    оценить эффективность их применения и определить самые

значимые из них;

• •    разработать    рекомендации    по    совершенствованию

государственного регулирования безопасности информационных ресурсов ограниченного применения.

Под информацией, отнесенной законом к категории ограниченного доступа к ним персонала, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и т.п.) текстовая, изобразительная или электронная информация, разглашение которой может нанести ущерб интересам государства или собственника информации. Основным признаком информации ограниченного доступа, т.е. защищаемой информации, являются ограничения, вводимые собственником информации на ее распространение и использование [3, c. 42].

На мой взгляд, самыми    распространенными видами угроз защищаемым информационным ресурсам являются:

• •    кража (хищение), утеря;

• •    копирование, сообщение или прочтение по линиям связи;

• •    подмена с целью сокрытия факта утери, хищения;

• •    тайное ознакомление, перезапись или запоминание информации;

• •    дистанционный просмотр дисплея через технические средства;

• •    ошибочные (умышленные или случайные) действия персонала;

• •    случайное или умышленное уничтожение;

• •    утечка информации по техническим каналам при обсуждении и

• диктовке текста документа, работе с компьютером и другой офисной техникой (угрозы заражения вирусами).

Я думаю, что уязвимым является любой элемент информационных ресурсов и информационных систем. Поэтому защита от несанкционированного доступа к ресурсам компьютера — комплексная проблема, подразумевающая следующие этапы:

• •    идентификация и аутентификация пользователя при входе в

систему;

• •    контроль целостности СЗИ, программ и данных;

• •    разграничение доступа пользователей к ресурсам ПК;

• •    блокировка загрузки ОС с дискеты и CD-ROM;

• •    регистрация действий пользователей и программ.

Центральной проблемой при создании системы защиты информации, составляющей любой вид тайны, в том числе служебной, является формирование разрешительной системы доступа персонала к информационным ресурсам, конфиденциальным сведениям, документам, базам данных и информационным системам, которым лежит в основе обеспечения режима конфиденциальности проводимых работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Мною рекомендуются в целях контроля следующие аналитические действия по отношению к источникам (персоналу, документам, компьютерным системам и др.), которые обладают или могут обладать защищаемой информацией:

• •    классификация информации ограниченного доступа и ее

распределения среди персонала различных категорий;

• •    учет и постоянная актуализация знания состава имеющихся и

• возможных источников (в том числе случайных) ценной информации;

• •    учет и сопоставление состава ценной информации, которой

обладает каждый источник, т.е. знание уровня реальной, персональной осведомленности источника;

• •    наблюдение за степенью эффективности применяемой системы

разбиения между источниками на неконструктивные части знания ими ценной информации;

• •    учет и наблюдение вариаций внутренних и внешних,

потенциальных и реальных (пассивных и активных) угроз источнику, выявление процесса формирования канала разглашения (утечки) ценной информации;

• •    наблюдение за действенностью защитных мер по отношению к

каждому источнику, заблаговременное противодействие злоумышленнику.

Кроме того, необходимо соблюдать общие закономерности работы по организации безопасности:

• •    работа осуществляется под руководством службы безопасности

учреждения в соответствии с законодательными и нормативными документами;

• •    списки сотрудников, баз данных и файлов разрабатываются,

учитываются службой безопасности и утверждаются руководителем учреждения;

• •    проведение службой безопасности периодических проверок;

• •    обновление паролей, кодов и т.п. осуществляется достаточно часто, особенно при частой смене операторского состава и пользователей;

• •    немедленный отказ в допуске в информационную систему сотруднику, отстраненному от работы или заявившему об увольнении;

• •    запрещение пользователям и операторскому составу использовать в работе личные, неутвержденные пароли и коды.

На Российском рынке деятельность в области защиты информации регулируется Гостехкомиссией РФ и ФАПСИ. Продукты, используемые для защиты сетей и компьютеров от проникновения непосредственно на них посторонних пользователей, сертифицируются и называются продуктами для защиты от несанкционированного доступа (НСД). К числу таких продуктов можно отнести «Межсетевые экраны», Прокси сервера и т.д [4, c.347].

Использование таких систем безопасности при правильной их конфигурации позволяет значительно снизить опасность проникновения посторонних к защищаемым ресурсам.

Таким образом, рассмотрев некоторые основные научные и практические проблемы и отдельные вопросы обеспечения информационной безопасности учреждений, организаций и предприятий, а также направления формирования системы защиты информационных ресурсов в этих учреждениях, мы можем обоснованно утверждать о важности затронутой темы, ее актуальности в условиях массовой компьютеризации управленческих процессов.

Защита информационных ресурсов и особенно ресурсов ограниченного доступа, составляющих служебную тайну, включает в себя множество обязательных элементов и процедур, снижающих уязвимость ценной информации. Эти элементы и процедуры формируют реальную систему защиты, они базируются на аналитическом исследовании объективных и субъективных угроз, которым подвергается информация, а также каналов ее распространения, разглашения, утечки и утраты [5, c. 193].

Подводя итоги данного статьи можно с уверенностью сказать, что при решении проблем информационной безопасности учреждения и построении системы защиты информации вопросы регламентации доступа к конфиденциальным сведениям и документам, информационным ресурсам ограниченного распространения являются глобально важными.

В первую очередь одновременно с решением вопросов определения состава конфиденциальных сведений устанавливается жесткая разрешительная (разграничительная) система доступа персонала к этой информации, порядок ее использования и полномочия руководителей по распоряжению этими сведениями. Определяется состав сотрудников, которым эти сведения необходимы для выполнения функциональных обязанностей. Я считаю, стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы.

Принципиально важны вопросы доступа к информации в электронных информационных системах, где наблюдение за соблюдением установленных правил часто технически затруднено.

Просто необходимо формирование иерархической разрешительной системы разграничения доступа персонала к конфиденциальной служебной информации. Для компьютерных информационных технологий система разграничения доступа является краеугольным камнем защиты информационных ресурсов и достижения эффективности информационной безопасности в учреждении.

Также, не следует забывать об очень важной вещи, которая часто выпадает из поля зрения разработчиков систем защиты, – о регламентации защитной технологии доступа, учета, обработки и хранения бумажных и машинных документов на немашинной стадии их существования и активного использования.

Тщательность соблюдения всех вышеперечисленных мной правил позволит обеспечить сохранность и конфиденциальность информации.