- •Организации защиты информации в современных условиях
- •1. Факторы, оказывающие влияние на состав защищаемой информации и систему ее защиты в политической, военной и экономических сферах деятельности государства
- •2. Общие подходы и требования к организации защиты конфиденциальной информации
- •3. Организация защиты служебной тайны
- •4. Организация защиты персональных данных
- •5. Ответственность за разглашение конфиденциальной информации
- •5.1. Выписки из Уголовного кодекса Российской Федерации
- •5.2. Выписки из Кодекса Российской Федерации об административных правонарушениях
- •5.3.Выписки из Трудового кодекса
- •6. Законопроекты в области защиты информации
- •7. Проблемы правового обеспечения информационной безопасности
- •8.Проблемы защиты конфиденциальной информации от средств технической разведки в XXI веке
- •8.1.Роль средств технической разведки в XXI веке
- •8.2.Защита от утечек конфиденциальной информации в центрах обработки и хранилищах данных
- •8.3. Защита конфиденциальных данных
- •8.4. Проблема инсайдеров
- •7.5. Проблема защиты от администраторов и разработчиков
- •7.6. Защита баз данных
8.2.Защита от утечек конфиденциальной информации в центрах обработки и хранилищах данных
Современное состояние информационных технологий характеризуется некоторыми важными тенденциями.
Происходит концентрация больших объемов критически значимой информации в базах данных, центрах обработки. Трудности организации безопасной компьютерной обработки на рабочих станциях пользователей и повышение объемов обрабатываемой информации (ее количество в среднем удваивается каждый год) породили желание собирать и обрабатывать данные централизованно внутри хорошо защищаемого периметра. Широкое распространение получила концепция электронных хранилищ данных. Информация аккумулируется в мощных, надежных и максимально защищенных серверных ресурсах для хранения, обработки и анализа.
Растет зависимость бизнеса от степени удобства, надежности и безопасности организации работы информационных служб. В базах данных и хранилищах скапливается самая разная информация, позволяющая обеспечивать поддержку бизнес-решений. Автор концепции электронных хранилищ данных Билл Инмон определил их как «предметно ориентированные, интегрированные, неизменчивые, поддерживающие хронологию наборы данных, организованные с целью поддержки управления». На рынке появился целый спектр программных решений корпоративного уровня, позволяющий собирать и анализировать данные в электронных хранилищах.
В последнее время информационная безопасность выходит на принципиально иной уровень как по значению для бизнеса, так и по используемым технологиям. Если лет 15 назад беспокойство вызывало то, что хакеры могут изменить содержимое web-страницы или вывести из строя компьютер, то сейчас основной проблемой стали вопросы утечек критически важных данных и вопросы защиты от инсайдеров. То есть злоумышленники перестали просто хулиганить, а начали зарабатывать деньги на использовании информации плохо защищаемых ИТ-ресурсов. При этом акцент на то, кого именно считают основными возможными злоумышленниками, все больше смещается от внешних хакеров к внутренним администраторам.
Руководство организаций уже интересуют более глубокие вопросы безопасности:
имеет ли администратор СУБД доступ к конфиденциальной информации?
есть ли уверенность в том, что сотрудники имеют доступ только к необходимой им информации?
имеются ли детальные отчеты о том, кто, когда и к какой информации имел доступ?
есть ли уверенность в своевременном обнаружении попыток несанкционированного доступа к информации в базах данных?
защищена ли информация на физических носителях и в резервных копиях?
Для того чтобы понять важность подобного подхода к информационной безопасности, достаточно вспомнить некоторые из числа крупных нашумевших скандалов последних лет с утечками данных из самых, казалось бы, защищенных и уважаемых организаций (Центрального Банка Российской Федерации, ЦРУ и т. д.), посмотреть, какие базы данных можно легко купить на черном рынке.
Сегодня на компьютерную безопасность тратится неизмеримо больше денег, чем несколько лет назад. И подталкивают к этому не только желание оградить свой бизнес от возможных проблем, не только стремление защититься от «своих», от тех, кто изнутри компании имеет полномочия на доступ к информации (или желает таковые иметь), но и все возрастающее давление нормативных актов.