Конкурс
|
|
Информационная безопасность
 Консультант рубрикиПоловинкин Сергей Иванович
|
|
Первоапрельские штуки истории |
Первое апреля у всех нас давно ассоциируется с первоапрельскими розыгрышами и весенним настроением. Но, как известно, если первый разыгрывает, то второго явно разыгрывают. Так ли безобиден розыгрыш и каковы его последствия в истории? А может быть иногда само провидение разыгрывает с нами шутку, причём не самую весёлую?
История первая
Весной 1945-го стало ясно, что Советская армия победоносно наступает. Между странами антигитлеровской коалиции разыгралось своеобразное соперничество, суть которого сводилось к одному: кто возьмет столицу фашистской Германии, тот и получит лавры победителя во Второй мировой войне! Американцы решили показать всем, что именно они внесли основной вклад и всеми силами старались опередить наступающие советские войска, развивая своё наступление на Берлин с запада. Началась дипломатическая и военная «игра», в ходе которой Верховный главнокомандующий армии союзников Д. Эйзенхауэр просто засыпал верховного главнокомандующего И.В. Сталина письмами, пытаясь представить Берлин маловажным объектом, нацеливая советскую армию на другие направления. А в это время американские войска рвались к Берлину.
Сталин сделал вид, что не понимает замыслов американцев. Наступило 1 апреля, столь любимое у славян празднество. В этот день И.В. Сталин отправил Д. Эйзенхауэру секретную телеграмму: «Вашу телеграмму от 28 марта 1945 года получил. Ваш план рассечения немецких сил путём соединения советских войск с Вашими войсками вполне совпадает с планом Советского Главнокомандования. Берлин потерял свое прежнее стратегическое значение, поэтому Советское Главнокомандование думает выделить в сторону Берлина второстепенные силы. Начало главного удара советских войск, приблизительно — вторая половина мая».
|
Основные понятия теории информации
Коммуникационный процесс, представляющий собой обмен знаниями, данными, в процессе деятельности любой организации является практически неизбежным. Использование информации возможно с негативной целью - промышленный шпионаж, плагиат и другие подобные проявления.
Для начала полезно прояснить, что собой являет информация и ее конфиденциальность, коммерческая тайна. Понятие информации достаточно абстрактное, под ним понимают совокупность фактов, знаний, ведомостей, которые понятны пользователю, оценены им и могут принести пользу.
Что же касается конфиденциальной информации, то ею является все та же совокупность данных, знаний, ведомостей, но есть одна отличительная черта: доступ к этой информации ограничен, так как она находится во владении, распоряжении и пользовании отдельных юридических либо физических лиц или же государства. Порядок доступа устанавливает владелец.
Коммерческая тайна — это степень конфиденциальности информации, которая позволяет увеличить доходы обладателю, получить коммерческую выгоду, избежав нецелесообразных расходов и сохранив свое положение на рынке работ, товаров, услуг.
Коммуникационный процесс представляет собой прохождение информации через последовательную цепочку, звенья, которой - выполняющие специфические функции объекты.
|
|
Ливия. Информационная война |
О том, какое значение имеет информационная безопасность для бизнеса и отдельно взятого человека, знают довольно многие. Но существует ли понятие близкое к этому в более глобальном масштабе, в таком например, как государство? Ответ очевиден: ДА! И здесь бушуют настоящие баталии. Взяв в руки газету, включив новостной телевизионный канал, открыв страницу интернета, мы оказываемся на линии фронта глобальной информационной войны.
Эта линия ежедневно проходит через нас и откладывает свои зерна недоверия или убеждения в чём-то. На мой взгляд, наиболее яркими примерами информационной войны в последнее время являлось освещение событий на Гренаде, в Югославии и Ираке, в российско-грузинском военном противостоянии. Это же мы наблюдаем при освещении событий в Ливии. Давайте попробуем немного разобраться и проанализировать увиденное и услышанное.
Атака СМИ на Ливию началась вечером 19 февраля с сообщения о том, что армия переходит на сторону «восставших», многие города контролируются оппозицией, идут расстрелы демонстрантов, а 20 февраля прошла масштабная «артподготовка», с рассказами о падении режима и победе восставших. За сутки до начала «восстания»!
Новостное сообщение сетевого издания Газета.Ру говорит о том, что город Эз-Завия атакован наемниками Каддафи. 50 погибших. Откуда цифра?
Газета.Ру приводит не прямую ссылку на конкретное сообщение, а на сам ресурс Рейтер. Если открыть эту ссылку, где есть похожая новость об Эз-Завия, и которой соответствует дата издания Газета.Ру, то там можно прочитать: «Protesters in Zawiyah, an oil refining town on the main coastal highway 50 km (30 miles) west of Tripoli, have fought off government forces for several nights.»
Для не владеющих языком, перевод: «Протестующие в Эз-Завия, городе переработки нефти на главном прибрежном шоссе 50 км (30 миль) к западу от Триполи, отбивали атаки правительственных сил в течение нескольких ночей.»
Теперь чуть яснее — Эз-Завия расположена 50 км западнее Триполи, но о 50 погибших — ни слова. А цифра 50 — это километры. Может, для убедительности просто поменяли километры на трупы?
|
Утечка конфиденциальной информации
Чтобы потерять существенную часть доходов компании, вовсе необязательно допускать стратегические ошибки, иметь плохой бизнес-план или некомпетентных сотрудников, для этого достаточно небрежно относиться к безопасности конфиденциальной информации о делах фирмы. На совещаниях, переговорах, в кабинете директора и конференц-зале буквально каждый кубический сантиметр пространства заполнен важной информацией, утечка или разглашение которой могут нанести серьезный удар по бизнесу. Вы еще даже не успеете представить на рынке новую технологию или товар, разрабатываемый месяцами лучшими специалистами вашей компании, а о нем уже будут знать конкуренты, что автоматически сделает его финансовый потенциал стремящимся к нулю. Почему такое происходит? Вы же уверены в своих сотрудниках, все важные документы хранятся в сейфе, а вопросы, несущие в себе конфиденциальную информацию, вы решаете только при личном общении на вашей территории.
Казалось бы, все тылы защищены, вам нечего опасаться, и вы спокойно, ни о чем не подозревая, ведете переговоры, проводите совещание… Но почему-то, в итоге, события развиваются совсем не по запланированному вами пути, а очень даже наоборот. Важный шаг, который должен был стать для компании серьезным продвижением вперед, становится жестоким разочарованием, способным если не погубить, то серьезно затормозить бизнес.
Технические каналы передачи данных
Несанкционированный доступ к конфиденциальной информации может быть осуществлен при помощи создания взаимоотношений различного вида с компанией или любым из ее сотрудников (устройство на работу, установка личных взаимоотношений, шантаж, подкуп, установка взаимоотношений с фирмой под видом потенциального партнера и т.д.), при помощи проникновения (тайного, по фиктивным, чужим документам) в помещение компании с целью получения документов, информации или же установки устройств для снятия информации, т.д.
|
|
Проведение служебного расследования |
Первые действия руководителя при выявлении утечки информации
При наступлении чрезвычайной ситуации, связанной с разглашением конфиденциальной информации, утратой носителей содержащих конфиденциальную информацию, что являет собой непосредственную угрозу утечки конфиденциальной информации, связанной с деятельностью организации, руководитель любой организации обязан моментально сообщить:
- дирекции;
- органу безопасности;
- режимно-секретному подразделению (при наличии таковой в организации); А так же организовать все возможные мероприятия для способствования локализации потенциально возможного ущерба:
- организовать служебное расследование;
- организовать розыск носителей конфиденциальной информации.
Организация комиссии по проведению служебного расследования.
Для проведения служебного расследования руководитель предприятия назначает комиссию, в состав которой входят не заинтересованные в исходе дела компетентные сотрудники организации либо приглашенные специалисты. Зачастую комиссия состоит из трех-четырех человек, которые имеют отношение к сведениям и допуск к данным.
|
|
Обеспечение информационной безопасности |
Слежка - миф или реальность?
Жизнь современного человека полна проблем и каждый привык решать их по-своему, используя все доступные возможности. И, как зачастую это бывает, когда речь идет о финансовой выгоде, не каждый соблюдает правила игры, некоторые их не просто нарушают, а переписывают под себя. Во времена, когда технологический прогресс идет семимильными шагами для возможности приобретения специальных электронных приспособлений подслушивающих устройств, видеокамер, жучков) нет препятствий. Все эти устройства в ближайшее время могут оказаться в вашей квартире, в вашем авто, в вашем офисе и способствовать передачи информации в чужие руки, краже коммерческой тайны. В ХХI веке необходимо знать методы защиты информации, организовывать систему информационной безопасности для защиты коммерческой тайны.
Последствия утечки информации
С давних времен и до сегодняшних дней непоколебимо остается высказывание «Кто владеет информацией – владеет миром». С помощью приспособлений сбора информации (радиомикрофоны, видеокамеры, диктофоны, устройства записи телефонных переговоров, различных жучков…) ваша информация может попасть в нежелательные руки. Проколы в системе информационной безопасности причиняют финансовый и личный вред, как индивиду, так и целым структурам. Подтверждением незаконного сбора информации подслушивающими устройствами служат регулярные сообщения в прессе в виде скандальных съемок видео с участием в главной роли VIP персон. Незаконно полученная информация, вследствие недочетов информационной безопасности, может применяться по разным направлениям: шантаж, вымогательство, личные мотивы…
Что же это за ловцы конфиденциальной информации? Что раскрывает коммерческую тайну? Это жучки! Жучки бывают разные, среди них можно выделить: прослушки линий стационарных телефонов, прослушки помещения (радиомикрофоны, видеокамеры). Так же имеет место прослушка мобильного телефона. Ну и конечно скрытое видеонаблюдение за перемещениями человека.
|
|
Политика информационной безопасности. |
Необходимость политики информационной безопасности.
На сегодняшний день, информация это ценный ресурс для любой компании и обеспечение информационной безопасности является обязанностью каждого сотрудника.
Политика информационной безопасности определяет основные постулаты защиты информационных ресурсов компании, предостережение от нарушения конфиденциальности, целостности и доступности. Доступность информационных ресурсов определяется объемом необходимым для выполнения сотрудниками своих должностных обязанностей. Политика информационной безопасности устанавливается президентом компании. Все сотрудники обязаны выполнять требования политики информационной безопасности.
Стандарты, статусы политики информационной безопасности.
Политика информационной безопасности реализуется посредством создания, функционирования соответствующих институтов, которые осуществляют свою деятельность на национальном и международных уровнях.
Одним из наиболее известных институтов занимающихся разработкой и реализацией политики информационной безопасности является Организация Аудита и Контроля Информационных Систем (Information Systems Audit and Control Foundation), который разработал стандарт политики информационной безопасности COBIT.
Другим распространенным институтом является ISO (International Standardization Organization). Сфера деятельности ISO касается не только информационной безопасности, а и стандартизации практически во всех областях процедур и регламентов.
Все международные политики информационной безопасности и стандарты разделены по утвержденному классификатору, в их числе стандарты политики информационной безопасности. Например, стандарт политики информационной безопасности ISO серии 27000 разделен по нижеуказанному принципу:
ISO27001 Системы управления информационной безопасностью.
ISO27002 Практические правила управления информационной безопасностью .
ISO27003 Руководство по внедрению системы управления информационной безопасностью.
|
|
Угрозы, методы и средства обеспечения информационной безопасности организации. |
Сегодня нет нужды доказывать, что идущие процессы стремительной информатизации всех направлений деятельности современного мирового сообщества объективно приводят к действительно революционным преобразованиям в жизни человечества.
Различными аспектами этих многоплановых и во многом трудно формализуемых явлений посвящено большое количество работ, причем значительная часть из них уделена вопросам информационной безопасности.
Информационная безопасность - 1) комплекс организационно-технических мероприятий, обеспечивающих целостность данных и конфиденциальность информации в сочетании с ее доступностью для всех авторизованных пользователей; 2) показатель, отражающий статус защищенности информационной системы.
Угроза информационной безопасности - совокупность условий и факторов, создающих потенциальную опасность, связанную с утечкой информации, несанкционированными или преднамеренными воздействиями на неё. Угрозы информационной безопасности можно разделить на внутренние и внешние.
Внутренние угрозы:
- Неквалифицированная внутренняя политика по организации информационных технологий и управлению безопасностью;
- Отсутствие соответствующей квалификации персонала по обеспечению деятельности и управлению объектом защиты;
- Преднамеренные и непреднамеренные действия персонала по нарушению безопасности;
- Предательство персонала;
- Техногенные аварии и разрушения, пожары.
|
|
Амальгама - шпионские игрушки или необходимость? |
В мире, где на каждого человека приходится по несколько компьютеров, когда электроника стала неотъемлема от замысла личности, гораздо больше информации можно почерпнуть, контролируя компьютеры, а не только людей.
Компьютеру человек доверяет больше, чем другому человеку, именно с помощью компьютера производится множество составляющих злых умыслов - от пересылки вредной информации, подделки бухгалтерских отчетов до печатанья денег. Как минимум в половине случаев следы любого преступления можно найти на персональном компьютере. Как известно: спрос пораждает предложение. Спрос был, вот и предложение не заставило себя ждать, а заявило о себе системой АМАЛЬГАМА. Так что же это такое? Какой принцип работы? Какие положительные моменты может получить пользователь этой системы?
Система АМАЛЬГАМА предлагает не только поиск информации об уже совершившихся фактах, но и отслеживание опасных замыслов. Ей не нужны пароли, чтобы залезть в самое "тайное". При этом сочетаются видео, аудио, охранный и другие виды широко известного экрана мониторов. АМАЛЬГАМА - видеоконтроль без видеокамер.
АМАЛЬГАМА - это распределенный сетевой комплекс, способный собирать всю информацию с удалённых компьютеров, полностью документируя все действия пользователя. С помощью этой системы руководитель может контролировать работу всего предприятия в режиме реального времени, а также посмотреть видеозапись деятельности любого из сетевых компьютеров. При этом вывести параллельный просмотр видео, прослушивание аудио и динамику сработки датчиков/ключей. Видеоаналитика помогает вычислять отличительные особенности той или иной деятельности: игры, порно видео, финансовые документы, текстовые комбинации клавиш, даже направление перемещения курсора "мышки". Кроме того, эта система записывает каждое действие пользователей, она позволяет самостоятельно изучить содержимое их файлов. В ней реализована функция дистанционного управления.
Очень важно использование такой системы в крупных компаниях. И вот почему - система дает следующие положительные моменты для своих пользователей:
|
|
Информационная безопасность предприятия. Почему это важно? |
В процессе внутреннего пользования информационными ресурсами предприятия часто возникают ситуации с возможными угрозами для предприятия открыть коммерческую информацию, сделать её достоянием конкурентов и общественности.
Несмотря на это до последнего времени отношение первых руководителей к системе информационной безопасности предприятия было достаточно скептичным. Правильно, это дополнительная ниша в бюджете предприятия, неприбыльное звено, которое не приносит коммерческого результата.
Только необходимо понимать, что отсутствие потерь – это косвенный доход предприятия, т.к. убытки при распространении коммерческой информации могут быть настолько велики, что затраты на содержание системы информационной безопасности окупятся в десятки или стони раз.
Обычный пример: предприятие покупает дорогостоящий технологический процесс, разрабатывает совершенно новый и уникальный продукт, проводит исследования, готовит рекламную компанию, нанимает несколько сотен человек персонала под проект – всё для вывода нового продукта на рынок в ожидании «снятия сливок». Но вот беда – благодаря слабой защите каналов передачи информации о новом продукте узнаёт конкурент. Первое действие конкурента – защитная реакция – наследование идеи продукта для одновременного вывода на рынок. Если учесть, что продукт становится не уникальным, то «снятие сливок» отменяется. В итоге: все затраты на разработку, исследования и внедрение технологии (а это могут быть миллиарды долларов) с большой степенью вероятности даже не окупятся.
Задача системы информационной безопасности предприятия – сохранение информации, которая носит коммерческий характер.
|
|
|
|
|
<< Первая < Предыдущая 1 2 3 Следующая > Последняя >>
|
|
Страница 2 из 3 |
|
|
Информационная безопасность
