Информационная безопасность систем автоматизированного проектирования

       Обеспечение информационной безопасности является одним из необходимых аспектов ведения  бизнеса в условиях агрессивной  рыночной экономики.  В современном деловом мире происходит процесс миграции материальных активов в сторону информационных. По мере развития организации усложняется ее информационная система, основной задачей которой является обеспечение максимальной эффективности ведения бизнеса в постоянно меняющихся условиях конкуренции на рынке.

       Понятие информационной безопасности (англ. information security) включает в себя все аспекты, связанные с определением, достижением и поддержанием конфиденциальности, целостности, доступности, подотчетности, аутентичности и достоверности информации или средств её обработки. Безопасность информации (данных) определяется отсутствием недопустимого риска, связанного с утечкой информации по техническим каналам, несанкционированными и непреднамеренными воздействиями на данные и (или) на другие ресурсы автоматизированной информационной системы, используемые при применении информационной технологии.

       Рассматривая  информацию как товар, можно сказать, что информационная безопасность в  целом может привести к значительной экономии средств, в то время как  ущерб, нанесенный ей, приводит к материальным затратам. Например, раскрытие технологии изготовления оригинального продукта приведет к появлению аналогичного продукта, но от другого производителя, и как следствие нарушения  информационной безопасности, владелец технологии, а может быть и автор, потеряют часть рынка и т.д. С  другой стороны, информация является субъектом  управления, и ее изменение может  привести к катастрофическим последствиям в объекте управления.

       Защита  информации каждого отдельного субъекта связана с общей концепцией его  безопасности и с тем, как выстроены  взаимоотношения внутри компании, а  также с общественностью и  средствами массовой информации.

       В данной работе рассматриваются основные аспекты вопросов обеспечения информационной безопасности систем автоматизированного производства (САПР).

Нормативно-правовые аспекты обеспечения  ИБ.

   Современный этап развития общества  характеризуется возрастающей ролью  информационной сферы, представляющей  собой совокупность информации, информационной инфраструктуры, субъектов,  осуществляющих сбор, формирование, распространение и использование  информации, а также системы регулирования  возникающих при этом общественных  отношений. Информационная сфера,  являясь системообразующим фактором  жизни общества, активно влияет  на состояние политической, экономической,  оборонной и других составляющих  безопасности Российской Федерации.  Национальная безопасность Российской  Федерации существенным образом  зависит от обеспечения информационной  безопасности, и в ходе технического  прогресса эта зависимость будет  возрастать. Для обеспечения защиты  информационных ресурсов от несанкционированного  доступа, безопасности информационных  и телекоммуникационных систем, как уже развернутых, так и  создаваемых на территории Росси,  необходимо:

• повысить безопасность информационных систем, включая сети связи;
• интенсифицировать развитие отечественного производства аппаратных и программных средств защиты информации и методов контроля за их эффективностью;
• обеспечить защиту сведений, составляющих государственную тайну;
• расширять международное сотрудничество Российской Федерации в области развития и безопасного использования информационных ресурсов, противодействия угрозе развязывания противоборства в информационной сфере.

  За  последние годы в Российской Федерации  реализован комплекс мер по совершенствованию  обеспечения информационной безопасности страны. Начато формирование базы правового обеспечения информационной безопасности. Приняты Закон Российской Федерации «О государственной тайне», Основы законодательства Российской Федерации об Архивном фонде Российской Федерации и архивах, федеральные законы «Об информации, информатизации и защите информации», «Об участии в международном информационном обмене», ряд других законов, развернута работа по созданию механизмов их реализации, подготовке законопроектов, регламентирующих общественные отношения в информационной сфере. 

  Важнейшими документами, определяющими основные понятия в сфере защиты информации и обеспечения информационной безопасности, являются  Руководящие документы Федеральной службы по техническому и экспортному контролю (ФСТЭК России). Согласно «Руководящему документу. Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования к защите информации» существует 9 классов защищенности АС (автоматизированных систем) от НСД (несанкционированного доступа) к информации, каждый из которых характеризуется определенной минимальной совокупностью требований по защите. К числу определяющих признаков, по которым производится группировка АС в различные классы, относится наличие в АС информации различного уровня конфиденциальности и уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации. Классы подразделяются на 3 группы, отличающиеся особенностями обработки информации в АС (см. Рис.1).

  Рис. 1. Группы АС согласно РД ФСТЭК РФ. 

  К основным нормативно-правовым актам, определяющим законодательную базу России в области  обеспечения информационной безопасности, относят:

• Федеральный закон № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
• Федеральный закон №149-ФЗ от 8 июля 2006 года «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон № 98-ФЗ от 28 июля 2004 года «О коммерческой тайне»;
• ГОСТ 51583-2000 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении».

  Помимо  отечественных нормативных документов, существуют также международные стандарты защиты информации, такие как:

• BS 7799 Security Standard (минимизация рисков и принятие управленческих решений);
• ISO 17799 (разработан ISO (the International Organization for Standartization) и IEC (the International Electrotechnical Commission) и является официальным документом, регламентирующим все вопросы информационной безопасности и определяющим методы и средства обеспечения безопасности), а также другие стандарты, разработанные этими компаниями в области обеспечения защиты информации;
• Basel II( требования к укреплению надежности и стабильности международной банковской системы на основе внедрения передовой практики управления рисками)
• IPO Sarbanes-Oxley Act (положения этого закона определяют требования к документообороту и финансовой отчетности компаний).

  Все указанные выше правовые документы, отечественные государственные  и международные стандарты защиты информации регламентируют действия специалиста в области безопасности данных по решению ряда задач:

• формирование модели угроз персональным данным;
• создание системы технической защиты персональных данных в соответствии с требованиями законодательных актов и нормативных документов;
• разработка внутренних организационно-распорядительные документы предприятия, обеспечивающих защиту персональных данных;
• подготовка  уведомлений в уполномоченный орган по защите прав субъектов персональных данных и др.

 Основные угрозы информационной безопасности.

    Эффективная работа любой автоматизированной системы  невозможна без обеспечения защиты данных, так как информация, хранящаяся, скажем, в PLM-системе, является критически важным для бизнеса ресурсом, потому что содержит важные промышленные секреты, позволяет дифференцироваться от конкурентов и, самое главное, позволяет быть конкурентоспособным. Таким образом, для решения задач обеспечения защиты данных любой автоматизированной системы необходимо в первую очередь рассмотреть и проанализировать все факторы представляющие угрозу информационной безопасности.

    Под угрозой информационной безопасности в компьютерной системе обычно понимают потенциально возможное событие, действие, процесс или явление, которое может оказать нежелательное воздействие на систему и информацию, которая в ней хранится и обрабатывается. Такие угрозы, воздействуя на информацию через компоненты системы, могут привести к уничтожению, искажению, копированию, несанкционированному распространению информации, к ограничению или блокированию доступа к ней.

      Все множество потенциальных угроз безопасности информации в компьютерной системе  может быть разделено на 2 основных класса (см. Рис.2).

    Рис.2. Угрозы безопасности в компьютерных системах. 

    Угрозы, которые не связаны с преднамеренными  действиями злоумышленников и реализуются  в случайные моменты времени, называют случайными или непреднамеренными. Механизм реализации случайных угроз  в целом достаточно хорошо изучен, накоплен значительный опыт противодействия  этим угрозам.

    Стихийные бедствия и аварии чреваты наиболее разрушительными последствиями  для компьютерных систем, так как последние подвергаются физическому разрушению, информация утрачивается или доступ к ней становится невозможен. Сбои и отказы сложных систем неизбежны. В результате сбоев и отказов нарушается работоспособность технических средств, уничтожаются и искажаются данные и программы, нарушается алгоритм работы устройств. Ошибки при разработке систем, алгоритмические и программные ошибки приводят к последствиям, аналогичным последствиям сбоев и отказов технических средств. Кроме того, такие ошибки могут быть использованы злоумышленниками для воздействия на ресурсы системы. В результате ошибок пользователей и обслуживающего персонала нарушение безопасности происходит в 65% случаев. Некомпетентное, небрежное или невнимательное выполнение функциональных обязанностей сотрудниками приводит к уничтожению, нарушению целостности и конфиденциальности информации.

    Преднамеренные  угрозы связаны с целенаправленными  действиями нарушителя. Данный класс  угроз изучен недостаточно, очень  динамичен и постоянно пополняется  новыми угрозами. Методы и средства шпионажа и диверсий чаще всего используются для получения сведений о системе защиты с целью проникновения в компьютерную систему, а также для хищения и уничтожения информационных ресурсов. К таким методам относят подслушивание, визуальное наблюдение, хищение документов и машинных носителей информации, хищение программ и атрибутов системы защиты, сбор и анализ отходов машинных носителей информации, поджоги. Несанкционированный доступ к информации происходит обычно с использованием штатных аппаратных и программных средств компьютерной системы, в результате чего нарушаются установленные правила разграничения доступа пользователей или процессов к информационным ресурсам. Под правилами разграничения доступа понимается совокупность положений, регламентирующих права доступа лиц или процессов к единицам информации. Наиболее распространенными нарушениями являются:

• перехват паролей – осуществляется специально разработанными программами;
• “маскарад” – выполнение каких-либо действий одним пользователем от имени другого;
• незаконное использование привилегий – захват привилегий законных пользователей нарушителем.

    Процесс обработки и передачи информации техническими средствами компьютерной системы сопровождается электромагнитными излучениями в окружающее пространство и наведением электрических сигналов в линиях связи. Они получили названия побочных электромагнитных излучений и наводок. С помощью специального оборудования сигналы принимаются, выделяются, усиливаются и могут либо просматриваться, либо записываться в запоминающихся устройствах. Электромагнитные излучения используются злоумышленниками не только для получения информации, но и для ее уничтожения.

    Большую угрозу безопасности информации в компьютерной системе представляет несанкционированная модификация алгоритмической, программной и технической структур системы, которая получила название “закладка”. Как правило, “закладки” внедряются в специализированные системы и используются либо для непосредственного вредительского воздействия на систему, либо для обеспечения неконтролируемого входа в нее.

    Одним из основных источников угроз безопасности является использование специальных  программ, получивших общее название “вредительские программы”. К таким  программам относятся:

• “компьютерные вирусы” – небольшие программы, которые после внедрения в ЭВМ самостоятельно распространяются путем создания своих копий, а при выполнении определенных условий оказывают негативное воздействие на компьютерную систему;
• “черви” – программы, которые выполняются каждый раз при загрузке системы, обладающие способностью перемещаться в компьютерной системе или сети и самовоспроизводить копии. Лавинообразное размножение программ приводит к перегрузке каналов связи, памяти, а затем к блокировке системы;
• “троянские кони” – программы, которые имеют вид полезного приложения, а на деле выполняют вредные функции (разрушение программного обеспечения, копирование и пересылка злоумышленнику файлов с конфиденциальной информацией и т.п.).

    Кроме указанных выше угроз безопасности, существует также угроза утечки информации, которая с каждым годом становится все более значимой проблемой  безопасности. На четыре основных типа утечек приходится подавляющее большинство (84%) инцидентов, причем половина этой доли (40%) приходится на самую популярную угрозу – кражу носителей. 15% составляет инсайд. К данной категории относятся инциденты, причиной которых стали действия сотрудников, имевших легальный доступ к информации. Например, сотрудник не имел права доступа к сведениям, но сумел обойти системы безопасности. Или инсайдер имел доступ к информации и вынес ее за пределы организации. На хакерскую атаку также приходится 15% угроз. В эту обширную группу инцидентов попадают все утечки, которые произошли вследствие внешнего вторжения. Не слишком высокая доля хакерских вторжений объясняется тем, что сами вторжения стали незаметнее. 14% составила веб-утечка. В данную категорию попадают все утечки, связанные с публикацией конфиденциальных сведений в общедоступных местах, например, в Глобальных сетях. 9% - это бумажная утечка. По определению бумажной утечкой является любая утечка, которая произошла в результате печати конфиденциальных сведений на бумажных носителях. 7% составляют другие возможные угрозы. В данную категорию попадают инциденты, точную причину которых установить не удалось, а также утечки, о которых стало известно постфактум, после использования персональных сведений в незаконных целях.