Информационные ресурсы ограниченного доступа и угрозы ресурсам

В современном информационном обществе основополагающим ресурсом является информация. Именно на основе владения информацией о самых различных процессах и явлениях можно эффективно и оптимально строить любую деятельность. Информационные ресурсы — это документы и массивы документов, хранящиеся в информационных системах[1, c. 50]. В настоящее время информационные ресурсы делят на ресурсы общего доступа и ресурсы ограниченного доступа[2] (рис. 1). К ресурсам ограниченного доступа относят следующие виды ресурсов: государственная тайна;    конфиденциальная информация;    коммерческая тайна;

ипрофессиональная тайна; служебная тайна; персональные данные, личная (персональная) тайна.

Рисунок 1. – Виды информационных ресурсов

Беспрецедентные темпы развития и распространения информационных технологий, обострение конкурентной борьбы и криминогенной обстановки требуют создания целостной системы безопасности информации ограниченного доступа. Поэтому тема данной статьи является особенно актуальной в настоящее время.

Объектом моего исследования являются информационные ресурсы ограниченного доступа, а предметом —угрозы, возникающие при их использовании.

Цель заключается в выявлении всех разновидностей угроз ресурсам ограниченного доступа и нахождении наиболее эффективных методов защиты подобного рода информации.

Реализация поставленной цели потребовала решения следующих задач:

выявить виды угроз ресурсам ограниченного доступа; изучить методы защиты данных ресурсов;

• •    оценить эффективность их применения и определить самые значимые из них;

• •    разработать рекомендации по совершенствованию государственного регулирования безопасности информационных ресурсов ограниченного применения.

Под информацией, отнесенной законом к категории ограниченного доступа к ним персонала, подразумевается документированная на любом носителе (бумажном, магнитном, фотографическом и т.п.) текстовая, изобразительная или электронная информация, разглашение которой может нанести ущерб интересам государства или собственника информации. Основным признаком информации ограниченного доступа, т.е. защищаемой информации, являются ограничения, вводимые собственником информации на ее распространение и использование[3, c.42].На мой взгляд, самыми распространенными видами угроз защищаемым информационным ресурсам являются:

• •     кража (хищение), утеря;

• •     копирование, сообщение или прочтение по линиям связи;

• •     подмена с целью сокрытия факта утери, хищения;

• •     тайное ознакомление, перезапись или запоминание информации;

• •     дистанционный просмотр дисплея через технические средства;

• •     ошибочные (умышленные или случайные) действия персонала;

• •     случайное или умышленное уничтожение;

• •     утечка информации по техническим каналам при обсуждении и

• •     диктовке текста документа, работе с компьютером и другой

офисной техникой (угрозы заражения вирусами).

Я думаю, что уязвимым является любой элемент информационных ресурсов и информационных систем. Поэтому защита от несанкционированного доступа к ресурсам компьютера - комплексная проблема, подразумевающая следующие этапы:

• •     идентификация и аутентификация пользователя при входе в

систему;

• •     контроль целостности СЗИ, программ и данных;

• •    разграничение доступа пользователей к ресурсам ПК;

• •     блокировка загрузки ОС с дискеты и CD-ROM;

• •    регистрация действий пользователей и программ

Центральной проблемой при создании системы защиты информации, составляющей любой вид тайны, в том числе служебной, является формирование разрешительной системы доступа персонала к информационным ресурсам, конфиденциальным сведениям, документам, базам данных и информационным системам, которым лежит в основе обеспечения режима конфиденциальности проводимых работ. Важно четко и однозначно определить: кто, кого, к каким сведениям, когда и как допускает.

Большинство IT-технологов рекомендуют в целях контроля следующие аналитические действия по отношению к источникам (персоналу, документам, компьютерным системам и др.), которые обладают или могут обладать защищаемой информацией:

• •     классификация информации ограниченного доступа и ее

распределения среди персонала различных категорий;

• •     учет и постоянная актуализация знания состава имеющихся и

• возможных источников ценной информации;

• •     учет и сопоставление состава ценной информации, которой

обладает каждый источник, т.е. знание уровня реальной, персональной осведомленности источника;

• •     наблюдение за степенью эффективности применяемой системы

разбиения между источниками на неконструктивные части знания им и ценной информации;

• •     учет и наблюдение вариаций внутренних и внешних,

потенциальных и реальных угроз источнику, выявление процесса формирования канала разглашения (утечки) ценной информации;

• •     наблюдение за действенностью защитных мер по отношению к

каждому источнику, заблаговременное противодействие злоумышленнику.

Кроме того, необходимо соблюдать общие закономерности работы по организации безопасности:

• •    работа осуществляется под руководством службы безопасности учреждения в соответствии с законодательными и нормативными документами;

• •     списки сотрудников, баз данных и файлов разрабатываются,

учитываются службой безопасности и утверждаются руководителем учреждения;

• •     проведение службой безопасности периодических проверок;

• •     обновление паролей, кодов и т.п. осуществляется достаточно

часто, особенно при частой смене операторского состава и пользователей;

• •     немедленный отказ в допуске в информационную систему

сотруднику, отстраненному от работы или заявившему об увольнении;

• •     запрещение пользователям и операторскому составу

использовать в работе личные, неутвержденные пароли и коды.

На Российском рынке деятельность в области защиты информации регулируется Гостехкомиссией РФ и ФАПСИ. Продукты, используемые для защиты сетей и компьютеров от проникновения непосредственно на них посторонних пользователей, сертифицируются и называются продуктами для защиты от несанкционированного доступа (НСД). К числу таких продуктов можно отнести «Межсетевые экраны», прокси сервера и т.д [4, c.347].Использование таких систем безопасности при правильной их конфигурации позволяет значительно снизить опасность проникновения посторонних к защищаемым ресурсам. Таким образом, рассмотрев некоторые основные научные и практические проблемы и отдельные вопросы обеспечения информационной безопасности учреждений, организаций и предприятий, а также направления формирования системы защиты информационных ресурсов в этих учреждениях, мы можем обоснованно утверждать о важности затронутой темы, ее актуальности в условиях массовой компьютеризации управленческих процессов. Защита информационных ресурсов и особенно ресурсов ограниченного доступа, составляющих служебную тайну, включает в себя множество обязательных элементов и процедур, снижающих уязвимость ценной информации. Эти элементы и процедуры формируют реальную систему защиты, они базируются на аналитическом исследовании объективных и субъективных угроз, которым подвергается информация, а также каналов ее распространения, разглашения, утечки и утраты [5,c. 193]. Подводя итоги данного статьи можно с уверенностью сказать, что при решении проблем информационной безопасности учреждения и построении системы защиты информации вопросы регламентации доступа к конфиденциальным сведениям и документам, информационным ресурсам ограниченного распространения являются глобально важными. В первую очередь одновременно с решением вопросов определения состава конфиденциальных сведений устанавливается жесткая разрешительная (разграничительная) система доступа персонала к этой информации, порядок ее использования и полномочия руководителей по распоряжению этими сведениями. Определяется состав сотрудников, которым эти сведения необходимы для выполнения функциональных обязанностей. Я считаю, стабильность кадрового состава является важнейшей предпосылкой надежной информационной безопасности фирмы. Принципиально важны вопросы доступа к информации в электронных информационных системах, где наблюдение за соблюдением установленных правил часто технически затруднено. Просто необходимо формирование разрешительной системы разграничения доступа конфиденциальной служебной информации. Для иерархической персонала к компьютерных

информационных технологий система разграничения доступа является краеугольным камнем защиты информационных ресурсов и достижения эффективности информационной безопасности в учреждении. Также, не следует забывать об очень важной вещи, которая часто выпадает из поля зрения разработчиков систем защиты, –о регламентации защитной технологии доступа, учета, обработки и хранения бумажных и машинных документов на немашинной стадии их существования и активного использования. Тщательность соблюдения всех вышеперечисленных мной правил позволит обеспечить сохранность и конфиденциальность информации.