Для динамичного развития современного общества большое значение имеет информация, а именно - ее актуальность и точность. Разглашение или утечка конфиденциальной информации могут негативно отразиться на имидже различных структур, а также повлечь прямые финансовые убытки или же сыграть решающую роль в кризисных ситуациях. Развитие информационных технологий уже сейчас привело к тому, что компьютерные системы различных организаций и структур стали практически их точной копией. Другими словами, все без исключения процессы функционирования большинства организаций находят свое отражение в информационной системе.

Пристальный интерес к теме информационной безопасности, а также большое количество разнообразных публикаций по этой тематике могут подвести к мысли о том, что основную угрозу конфиденциальным документам и информации, хранящейся на различных носителях, представляют злоумышленники из "внешней среды" (хакеры, почтовые вирусы и др.). Сейчас же большинство современных устройств доступа к компьютерным сетям различного уровня, в том числе и к вездесущему интернету, имеют встроенные средства защиты, такие, как межсетевые экраны, трансляция адресов, элементы адаптивной безопасности. Все эти устройства обеспечивают базовый уровень защиты, который достаточно эффективно защищает от непрофессионалов, компьютерных хулиганов и т.п. Если же в вычислительной системе установлены специальные средства защиты и квалифицированно сконфигурировано общесистемное программное обеспечение, то задача проникновения в систему усложняется во много раз.

Совершенно очевидно, что для получения необходимой информации злоумышленнику проще всего осуществить взлом информационной системы через интернет или использовать какого-либо сотрудника интересующей организации путем его подкупа или шантажа. Анализ причин потери или искажения информации показывает, что на первом месте стоят ошибки пользователей и администраторов систем. Непреднамеренные ошибки пользователей при вводе, модификации и обработке информации приносят организациям дополнительные сложности. Особенно опасны для крупных компьютерных систем ошибки администраторов, так как администратор, как правило, имеет максимум привилегий и возможностей по случайному искажению или удалению информации. Неправильная настройка программного обеспечения и оборудования влечет за собой нарушение технологии работы, последовательности операций вплоть до полной парализации работы организации.

На второе место следует поставить хищения физических носителей информации, "бумажных" документов, а также утечку информации через персонал. На третьем - по ущербу, наносимому информации и системам ее обработки, следует отнести всевозможные стихийные бедствия (пожары, аварии систем отопления, сбои электропитания и т.д.). И только после этого - угрозу похищения информации через общедоступные сети и интернет.

Атаки, идущие из интернета, достаточно разнообразны. Так, например, для информационных серверов, новостных каналов, серверов известных фирм, ориентированных на широкий круг пользователей, основным типом атак является нарушение доступа к серверам. Наиболее сложные и трудно контролируемые каналы - это "утечка" информации через персонал, так как пока еще отсутствуют формальные методы отслеживания внешних контактов сотрудников организаций, перемещения дискет, CD-дисков, бумаг и т.п. В большинстве организаций существует проблема неформализованности должностных обязанностей сотрудников. Как правило, один сотрудник выполняет целый ряд задач. Кроме того, иногда возникает необходимость подменить того или иного сотрудника по причине болезни, командировки. Складывается ситуация, когда "все занимаются всем", следовательно, все сотрудники потенциально имеют доступ ко всей информации, проходящей через подразделение. А через некоторые подразделения, как, например, бухгалтерия, проходит вообще вся коммерческая и другая конфиденциальная информация. В этом случае при утечке очень трудно выяснить, где же она произошла.

В условиях преобладания бумажного документооборота многие организации не могут отслеживать четкие маршруты прохождения документов, а также ранжировать поступающие документы по степени конфиденциальности. Конфиденциальный документ, проходя согласование, визирование у многих руководителей и во многих подразделениях, оказывается в руках большого числа посторонних людей - секретарей, заместителей, помощников руководителей, не имеющих к нему прямого отношения. Сегодня в большинстве крупных организаций, и это хотелось бы констатировать как факт, практически не упорядочен электронный документооборот. Все документы хранятся на рабочих станциях, отсутствует система разграничения доступа, нет системы резервного копирования. Как правило, сотрудники, сидящие в одной комнате, знают пароли соседей и могут беспрепятственно входить и в компьютер, и в сеть с рабочей станции своего коллеги.

Это лишь некоторые из возможных каналов утечки информации из организаций через персонал. К сожалению, полностью исключить такие угрозы невозможно. Необходим комплекс административных, процедурных и программно-аппаратных мер, направленных на минимизацию утечки информации через сотрудников: сократить количество людей, допущенных к конкретной информации, до минимально необходимого, жестко разграничивать доступ к хранилищам информации, контролировать, кто получил информацию, и защищать процесс ее передачи. Административные и процедурные меры защиты должны структурировать и максимально формализовать отношения между подразделениями, документальные потоки между ними, правила общения отделов, правила передачи информации между ними, т.е. основная задача - ограничить круг лиц, имеющих доступ к каждому виду информации (и электронной, и бумажной), зафиксировать тех, кто может иметь к ней доступ, упорядочить места ее хранения, ввести правила обращения с конфиденциальными документами. На такую структурированную систему уже достаточно просто накладывать защитные механизмы. На основе этого будут формироваться политика безопасности и конфигурации, закладываемые в программно-аппаратные средства защиты.

Одним из основных принципов создания систем информационной безопасности является удобство работы сотрудников. Поэтому в архитектуру системы информационной безопасности следует закладывать средства защиты не конкретных сотрудников, а локализованных замкнутых групп пользователей, внутри которых информационный обмен не формализован, а передача информации наружу контролируется средствами защиты.

К функциям программно-аппаратных средств защиты информации можно отнести разграничение доступа между подсетями различных подразделений, выделение сильно защищенных контуров, обрабатывающих строго конфиденциальную информацию; защиту каналов связи между различными отделами организаций, между отдельными подразделениями или сотрудниками; защиту рабочих станций пользователей от непосредственного доступа к ним других сотрудников; строгое разграничение доступа к архивам документов, рабочей информации; протоколирование действий сотрудников организаций с конфиденциальной информацией; резервное копирование архивов документов и др.

Средствами, способными обеспечить выполнение этих функций, являются межсетевые экраны, средства создания виртуальных защищенных сетей (VPN-технология), антивирусные программы, средства адаптивной безопасности и др. Среди актуальных проблем, касающихся организации информационной безопасности, является проблема хранения паролей и парольной защиты в целом. В Российской Федерации, например, начали появляться технологии, способствующие эффективному решению данной проблемы. Это технологии биометрической аутентификации пользователей (пользователь для получения доступа к персональному компьютеру, сетевому ресурсу или архиву документов предъявляет системе свой отпечаток пальца, тем самым избавляя себя от необходимости запоминать пароли и хранить их). За счет установки таких средств система дорожает не более чем на 100-150 долларов на одно рабочее место. Эти решения хорошо встраиваются в корпоративную информационную систему, подменяя собой все другие механизмы аутентификации. Таким образом, проблема утечки информации через персонал и защиты информации от внутренних угроз является частью общей проблемы информационной безопасности организации. Ее решение наиболее эффективно только в комплексе организационных и процедурных мероприятий по защите информации, которые должны поддерживаться единым комплексом программно-технических средств защиты.

Отметим, что справиться с этой проблемой можно только при эффективном взаимодействии с руководством организации, при его поддержке и активном участии.

Ю.Е.КУЛЕШОВ,
О.Г.ГЕЛИВЕР