ЗАЩИТА ИНФОРМАЦИИ. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.

План:

2.1.  Доступность, целостность, конфиденциальность

2.2.  Уровни защиты

2.3.  Оценка положения дел в информационной безопасности России

3.1.  Комплексный подход

3.2.  Усугубление проблем безопасности при удаленном доступе

3.3.  Пакетная фильтрация

3.4.  Серверы-посредники

3.5.  Технологии защищенного канала

3.6.  Интегральный подход

3.7.  Использование людей как источник информации.

4. Экономический аспект

5. Заключение

Введение

Последние двадцать - тридцать лет, можно сказать, стали вехой в плане ранжирования приоритетов и ценностей. На авансцену вышла её Величество Информация. Обладатели ценных знаний могут управлять значительными процессами на нашей планете. Но существуют незыблемые законы конкуренции: имеешь силу и власть – можешь быстро ты пропасть. И в точном соответствии с концепцией войны мы оберегаем свои силы, чтобы в решающей битве низвергнуть врага. Кто-то прячет ножи, кто-то автоматы, кто-то химгородки, а некоторые камуфлируют свои ядерные запасы под заводы по изготовлению мороженного.

Информационная безопасность является одним из важнейших аспектов интегральной безопасности, на каком бы уровне мы ни рассматривали последнюю — национальном, отраслевом, корпоративном или персональном. Для иллюстрации этого положения ограничимся одним примером.

Согласно распоряжению президента США Клинтона (15 июля 1996 года, номер 13010) была создана Комиссия по защите критически важной инфраструктуры как от физических угроз, так и от атак, проводимых с помощью информационного оружия. В начале октября 1997 года, при завершении подготовки доклада президенту, Роберт Марш, глава вышеупомянутой комиссии, заявил, что в настоящее время ни правительство, ни частный сектор не располагают средствами защиты от компьютерных атак, способных вывести из строя коммуникационные сети и сети энергоснабжения.

На наш взгляд, нет оснований предполагать, что Россия обладает большей защищенностью.

В данной работе мы попытаемся составить карту, характеризующую состояние основных аспектов информационной безопасности в России. Нас будут интересовать как уже освоенные области, так и "белые пятна", незаслуженно обойденные вниманием.

При анализе проблематики, связанной с информационной безопасностью, необходимо учитывать ее специфику, состоящую в том, что информационная безопасность есть составная часть информационных технологий — области, развивающейся беспрецедентно высокими темпами. Здесь важны не столько отдельные решения (законы, регламенты, учебные курсы, программно-технические изделия), находящиеся на современном уровне, сколько механизмы генерации новых решений, позволяющие жить в темпе технического прогресса.

Многогранная информация

Сначала обратимся к основным определениям терминов, используемых в этой работе.

Под информационной безопасностью понимается защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Таким образом, правильный с методологической точки зрения подход к проблемам информационной безопасности начинается с выявления субъектов информационных отношений и интересов этих субъектов, связанных с использованием информационных систем. Из этого довольно очевидного положения можно вывести два важных для нас следствия:

Трактовка проблем, связанных с информационной безопасностью, для разных категорий субъектов может существенно различаться. Для иллюстрации достаточно сопоставить режимные государственные организации и учебные институты. Информационная безопасность не сводится исключительно к защите информации, это принципиально более широкое понятие. Субъект информационных отношений может пострадать (понести материальные и/или моральные убытки) не только от несанкционированного доступа к информации, но и от поломки системы, вызвавшей перерыв в работе. Более того, для многих открытых организаций (например, учебных) собственно защита информации стоит по важности отнюдь не на первом месте.

Информационная безопасность — многогранная, можно сказать, многомерная область деятельности, в которой успех может принести только систематический, комплексный подход. В этом разделе мы укажем важнейшие на наш взгляд грани.

Спектр интересов субъектов, связанных с использованием информационных систем, можно подразделить на следующие основные категории:

доступность (возможность за приемлемое время получить требуемую информационную услугу); целостность (актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения); конфиденциальность (защита от несанкционированного ознакомления).

Рассмотри эти категории.

Информационные системы создаются (приобретаются) для получения определенных информационных услуг (сервисов). Если по тем или иным причинам получение этих услуг пользователями становится невозможным, это, очевидно, наносит ущерб всем субъектам информационных отношений. Поэтому, не противопоставляя доступность остальным аспектам, мы выделяем ее как важнейший элемент информационной безопасности.

Особенно ярко ведущая роль доступности проявляется в разного рода системах управления — производством, транспортом и т. п. Внешне менее драматичные, но также весьма неприятные последствия — и материальные, и моральные — может иметь длительная недоступность информационных услуг, которыми пользуется большое количество людей. Имеются в виду продажа железнодорожных и авиабилетов, банковские услуги и т. п.

Важность доступности как аспекта информационной безопасности находится в разительном противоречии с тем вниманием, которое уделяют данному аспекту потенциально заинтересованные стороны. Если вопросы защиты от несанкционированного доступа (то есть обеспечение конфиденциальности и целостности информации) курирует Гостехкомиссия России, а криптографические средства (что опять-таки связано с обеспечением конфиденциальности и целостности) — ФАПСИ, то доступностью на государственном уровне не занимается пока никто. На законодательном уровне вопросы доступности затрагиваются только в новой редакции Уголовного кодекса (раздел IX — "Преступления против общественной безопасности", глава 28 — "Преступления в сфере компьютерной информации", статья 274 — "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети").

Авторам не известны отечественные аппаратно-программные продукты общего назначения, повышающие доступность систем (равно как и организации, занимающиеся разработкой таких продуктов). Имеющиеся зарубежные решения не везде применимы и весьма дороги, что существенно сужает круг возможных российских покупателей.

Целостность

Целостности повезло больше, чем доступности. Как уже отмечалось, различные аспекты целостности курируют ФАПСИ и Гостехкомиссия. Вышеупомянутая глава 28 УК предусматривает наказания за нарушение целостности. Есть отечественные продукты, обеспечивающие или контролирующие целостность.

В то же время, положение дел с целостностью далеко от идеала. Целостность можно подразделить на статическую (понимаемую как неизменность информационных объектов) и динамическую (относящуюся к корректному выполнению сложных действий (транзакций)). Практически все нормативные документы и отечественные разработки относятся к статической целостности, хотя динамический аспект не менее важен. Пример области применения средств контроля динамической целостности — анализ потока финансовых сообщений с целью выявления кражи, переупорядочения или дублирования отдельных сообщений.

Конфиденциальность

Конфиденциальность — самый проработанный у нас в стране аспект информационной безопасности. На страже конфиденциальности стоят законы, нормативные акты, многолетний опыт соответствующих служб. Отечественные аппаратно-программные продукты позволяют закрыть практически все потенциальные каналы утечки информации.

К сожалению, практическая реализация мер по обеспечению конфиденциальности современных информационных систем наталкивается на серьезные трудности. Во-первых, сведения о технических каналах утечки информации являются закрытыми, так что большинство пользователей лишено возможности составить полное представление о потенциальных рисках и степени их серьезности. Во-вторых, авторам не известны отечественные аппаратные реализации шифраторов с достаточным быстродействием, что накладывает ограничения на виды и объемы шифруемой информации. Программные разработки охватывают лишь часть распространенных компьютерных платформ.

Для защиты интересов субъектов информационных отношений необходимо сочетать меры следующих уровней:

законодательного (законы, нормативные акты, стандарты и т. п.); административного (действия общего характера, предпринимаемые руководством организации); процедурного (конкретные меры безопасности, имеющие дело с людьми); программно-технического (конкретные технические меры).

Законодательный уровень

Законодательный уровень является важнейшим для обеспечения информационной безопасности. Большинство людей не совершают противоправных действий не потому, что это технически невозможно, а потому, что это осуждается и/или наказывается обществом, потому, что так поступать непринято.

Мы будем различать на законодательном уровне две группы мер:

меры, направленные на создание и поддержание в обществе негативного (в том числе карательного) отношения к нарушениям и нарушителям информационной безопасности; направляющие и координирующие меры, способствующие повышению образованности общества в области информационной безопасности, помогающие в разработке и распространении средств обеспечения информационной безопасности.

К первой группе следует отнести в первую очередь главу 28 ("Преступления в сфере компьютерной информации") раздела IX новой редакции Уголовного кодекса. Эта глава достаточно полно охватывает основные угрозы информационным системам, однако обеспечение практической реализуемости соответствующих статей пока остается проблематичным.

Закон "Об информации, информатизации и защите информации" можно причислить к этой же группе. Правда, положения этого закона носят весьма общий характер, а основное содержание статей, посвященных информационной безопасности, сводится к необходимости использовать исключительно сертифицированные средства, что, в общем, правильно, но далеко не достаточно.

Насколько можно судить по планам Государственной Думы, готовятся законы "О праве на информацию", "О коммерческой тайне", "О персональных данных". Это, безусловно, шаги в правильном направлении, так как делается попытка охватить все категории субъектов информационных отношений.

К группе направляющих и координирующих законов и нормативных актов относится целая группа документов, регламентирующих процессы лицензирования и сертификации в области информационной безопасности. Главная роль здесь отведена Федеральному агентству правительственной связи и информации (ФАПСИ) и Государственной технической комиссии (Гостехкомиссии) при Президенте Российской Федерации.

В области информационной безопасности законы реально преломляются и работают через нормативные документы, подготовленные соответствующими ведомствами. В этой связи очень важны Руководящие документы Гостехкомиссии, определяющие требования к классам защищенности средств вычислительной техники и автоматизированных систем. Особенно выделим утвержденный в июле 1997 года Руководящий документ по межсетевым экранам, вводящий в официальную сферу один из самым современных классов защитных средств.

Как уже указывалось, самое важное на законодательном уровне — создать механизм, позволяющий согласовать процесс разработки законов с реалиями и прогрессом информационных технологий. Конечно, законы не могут опережать жизнь, но важно, чтобы отставание не было слишком большим, так как на практике, помимо прочих отрицательных моментов, это ведет к снижению информационной безопасности. Пока, пожалуй, только Гостехкомиссия России демонстрирует способность динамично развивать нормативную базу.

В современном мире глобальных сетей нормативно-правовая база должна быть согласована с международной практикой. Мы хотели бы обратить особое внимание на желательность приведения российских стандартов и сертификационных нормативов в соответствие с международным уровнем информационных технологий вообще и информационной безопасности в частности. Есть много причин, по которым это должно быть сделано. Одна из них — необходимость защищенного взаимодействия с зарубежными организациями и зарубежными филиалами российских организаций. Вторая (более существенная) — доминирование аппаратно-программных продуктов зарубежного производства.

На законодательном уровне должен получить реалистичное решение вопрос об отношении к таким изделиям. Здесь необходимо разделить два аспекта: независимость в области информационных технологий и информационную безопасность. Использование зарубежных продуктов в некоторых критически важных системах (в первую очередь военных) в принципе может представлять угрозу национальной безопасности (в том числе информационной), поскольку нельзя исключить вероятности встраивания закладных элементов. В то же время, в подавляющем большинстве случаев потенциальные угрозы информационной безопасности носят исключительно внутренний характер. В таких условиях незаконность использования зарубежных разработок (ввиду сложностей с их сертификацией) при отсутствии отечественных аналогов затрудняет (или вообще делает невозможной) защиту информации без серьезных на то оснований.

Проблема сертификации аппаратно-программных продуктов зарубежного производства действительно является сложной, однако, как показывает опыт европейских стран, она может быть успешно решена. Сложившаяся в Европе система сертификации по требованиям информационной безопасности позволила оценить операционные системы, системы управления базами данных и другие разработки американских компаний. Вхождение России в эту систему и участие российских специалистов в сертификационных испытаниях в состоянии снять имеющееся противоречие между независимостью в области информационных технологий и информационной безопасностью без какого-либо снижения национальной безопасности.

Главное же, чего, на наш взгляд, не хватает современному российскому законодательству (и что можно почерпнуть из зарубежного опыта), это позитивной (не карательной) направленности. Информационная безопасность — это новая область деятельности, здесь важно научить, разъяснить, помочь, а не запретить и наказать. Общество должно осознать важность данной проблематики, понять основные пути решения соответствующих задач, должны быть скоординированы научные, учебные и производственные планы. Государство может сделать это оптимальным образом. Здесь не нужно больших материальных затрат, требуются интеллектуальные вложения.

Пример позитивного законодательства — Британский стандарт BS 7799:1995, описывающий основные положения политики безопасности (в следующем разделе мы разъясним этот термин). Более 60% крупных организаций используют этот стандарт в своей практике, хотя закон, строго говоря, этого не требует. Еще один пример — Computer Security Act (США), возлагающий на конкретные государственные структуры ответственность за методическую поддержку работ в области информационной безопасности. Со времени вступления этого закона в силу (1988 год) действительно было разработано много важных и полезных документов.

Подводя итог, можно наметить следующие основные направления деятельности на законодательном уровне:

разработка новых законов с учетом интересов всех категорий субъектов информационных отношений; ориентация на созидательные, а не карательные законы; интеграция в мировое правовое пространство; учет современного состояния информационных технологий.

Административный уровень

Основой мер административного уровня, то есть мер, предпринимаемых руководством организации, является политика безопасности.

Под политикой безопасности понимается совокупность документированных управленческих решений, направленных на защиту информации и ассоциированных с ней ресурсов.

Политика безопасности определяет стратегию организации в области информационной безопасности, а также ту меру внимания и количество ресурсов, которую руководство считает целесообразным выделить.

Стандарт BS 7799:1995 рекомендует включать в документ, характеризующий политику безопасности организации, следующие разделы:

вводный, подтверждающий озабоченность высшего руководства проблемами информационной безопасности; организационный, содержащий описание подразделений, комиссий, групп и т. д., отвечающих за работы в области информационной безопасности; классификационный, описывающий имеющиеся в организации материальные и информационные ресурсы и необходимый уровень их защиты; штатный, характеризующий меры безопасности, применяемые к персоналу (описание должностей с точки зрения информационной безопасности, организация обучения и переподготовки персонала, порядок реагирования на нарушения режима безопасности и т. п.); раздел, освещающий вопросы физической защиты; управляющий раздел, описывающий подход к управлению компьютерами и компьютерными сетями; раздел, описывающий правила разграничения доступа к производственной информации; раздел, характеризующий порядок разработки и сопровождения систем; раздел, описывающий меры, направленные на обеспечение непрерывной работы организации; юридический раздел, подтверждающий соответствие политики безопасности действующему законодательству.

Политика безопасности строится на основе анализа рисков, которые признаются реальными для информационной системы организации. Когда риски проанализированы и стратегия защиты определена, составляется программа, реализация которой должна обеспечить информационную безопасность. Под эту программу выделяются ресурсы, назначаются ответственные, определяется порядок контроля выполнения программы и т. п.

Административный уровень — белое пятно в отечественной практике информационной безопасности. Нет законов, обязывающих организации иметь политику безопасности. Ни одно из ведомств, курирующих информационную безопасность, не предлагает типовых разработок в данной области. Ни одно учебное заведение не готовит специалистов по составлению политики безопасности. Мало кто из руководителей знает, что такое политика безопасности, еще меньшее число организаций такую политику имеют. В то же время, без подобной основы прочие меры информационной безопасности повисают в воздухе, они не могут быть всеобъемлющими, систематическими и эффективными. Например, меры защиты от внешних хакеров и от собственных обиженных сотрудников должны быть совершенно разными, поэтому в первую очередь необходимо определиться, какие угрозы чреваты нанесением наибольшего ущерба. (Отметим в этой связи, что по статистике наибольший ущерб происходит от случайных ошибок персонала, обусловленных неаккуратностью или некомпетентностью, поэтому в первую очередь важны не хитрые технические средства, а меры обучения, тренировка персонала и регламентирование его деятельности.)

Разработка политики безопасности требует учета специфики конкретных организаций. Бессмысленно переносить практику режимных государственных организаций на коммерческие структуры, учебные заведения или персональные компьютерные системы. В этой области целесообразно предложить, во-первых, основные принципы разработки политики безопасности, а, во-вторых, — готовые шаблоны для наиболее важных разновидностей организаций.

Анализ ситуации на административном уровне информационной безопасности еще раз показывает важность созидательного, а не карательного законодательства. Можно потребовать от руководителей наличия политики безопасности (и в перспективе это правильно), но сначала нужно разъяснить, научить, показать, для чего она нужна и как ее разрабатывать.

Процедурный уровень

К процедурному уровню относятся меры безопасности, реализуемые людьми. В отечественных организациях накоплен богатый опыт составления и реализации процедурных (организационных) мер, однако проблема состоит в том, что они пришли из докомпьютерного прошлого, и поэтому нуждаются в существенном пересмотре.

Можно выделить следующие группы процедурных мер, направленных на обеспечение информационной безопасности:

управление персоналом; физическая защита; поддержание работоспособности; реагирование на нарушения режима безопасности; планирование восстановительных работ.

Управление персоналом в контексте информационной безопасности является в России белым пятном. Во-первых, для каждой должности должны существовать квалификационные требования по информационной безопасности. Во-вторых, в должностные инструкции должны входить разделы, касающиеся информационной безопасности. В-третьих, каждого работника нужно научить мерам безопасности теоретически и оттренировать выполнение этих мер практически (и проводить подобные тренировки дважды в год).

Без всякого преувеличения, нужна информационная гражданская оборона. Спокойно, без нагнетания страстей, нужно разъяснять обществу не только преимущества, но и опасности, вытекающие из использования информационных технологий. Акцент, на наш взгляд, следует делать не на военной или криминальной стороне дела, а на чисто гражданских аспектах, связанных с поддержанием нормального функционирования аппаратного и программного обеспечения, то есть концентрироваться на вопросах доступности и целостности данных.

Разумеется, разделы, касающиеся информационной безопасности, должны стать частью школьных и, тем более, ВУЗовских курсов информатики.

Меры физической защиты, известные с давних времен, нуждаются в доработке в связи с распространением сетевых технологий и миниатюризацией вычислительной техники. Прежде всего, следует защититься от утечки информации по техническим каналам. Этим занимается Гостехкомиссия России.

Поддержание работоспособности — еще одно белое пятно, образовавшееся сравнительно недавно. В эпоху господства больших ЭВМ удалось создать инфраструктуру, способную обеспечить по существу любой наперед заданный уровень работоспособности (доступности) на всем протяжении жизненного цикла информационной системы. Эта инфраструктура включала в себя как технические, так и процедурные регуляторы (обучение персонала и пользователей, проведение работ в соответствии с апробированными регламентами и т. п.). При переходе к персональным компьютерам и технологии клиент/сервер инфраструктура обеспечения доступности во многом оказалась утраченной, однако важность данной проблемы не только не уменьшилась, но, напротив, существенно возросла. Перед государственными и коммерческими организациями стоит задача соединения упорядоченности и регламентированности, присущих миру больших ЭВМ, с открытостью и гибкостью современных систем.

Реагирование на нарушения информационной безопасности — снова белое пятно. Допустим, пользователь или системный администратор понял, что имеет место нарушение. Что он должен делать? Попытаться проследить злоумышленника? Немедленно выключить оборудование? Позвонить в милицию? Проконсультироваться со специалистами ФАПСИ или Гостехкомиссии? Ни одно ведомство, причастное к информационной безопасности, не предложило регламента действий в подобной экстремальной ситуации или своей консультационной помощи. Необходимо организовать национальный центр информационной безопасности, в круг обязанностей которого входило бы, в частности, отслеживание современного состояния этой области знаний, информирование пользователей всех уровней о появлении новых угроз и мерах противодействия, оперативная помощь организациям в случае нарушения их информационной безопасности.

Планирование восстановительных работ и вся проблематика, связанная с восстановлением работоспособности после аварий, также является белым пятном. А ведь ни одна организация от таких нарушений не застрахована. Здесь необходимо отработать действия персонала во время и после аварий, заранее позаботиться об организации резервных производственных площадок, отработать процедуру переноса на эти площадки основных информационных ресурсов, а также процедуру возвращения к нормальному режиму работы. Подчеркнем, что подобный план нужен не только сверхважным военным организациям, но и обычным коммерческим компаниям, если они не хотят понести крупные финансовые потери.

Программно-технический уровень

Львиная доля активности в области информационной безопасности приходится на программно-технический уровень. Если иметь в виду зарубежные продукты, здесь существует полный спектр решений. Если ограничиться разработками, имеющими российские сертификаты по требованиям безопасности, картина получается существенно более разреженной.

Согласно современным воззрениям, в рамках информационных систем должны быть доступны по крайней мере следующие механизмы безопасности:

идентификация и проверка подлинности (аутентификация) пользователей; управление доступом; протоколирование и аудит; криптография; (межсетевое) экранирование; обеспечение высокой доступности.

Кроме того, информационной системой в целом и механизмами безопасности в особенности необходимо управлять. И управление, и механизмы безопасности должны функционировать в разнородной, распределенной среде, построенной, как правило, в архитектуре клиент/сервер. Это означает, что упомянутые средства должны:

опираться на общепринятые стандарты; быть устойчивыми к сетевым угрозам; учитывать специфику отдельных сервисов.

В соответствии с действующим в России порядком, за идентификацию/аутентификацию, управление доступом, протоколирование/аудит отвечает Гостехкомиссия России, за криптографию — ФАПСИ, межсетевое экранирование является спорной территорией, доступностью не занимается никто.

На сегодняшний день подавляющее большинство разработок ориентировано на платформы Intel/DOS/Windows. В то же время, наиболее значимая информация концентрируется на иных, серверных платформах. В защите нуждаются не отдельные персональные компьютеры, не только локальные сети на базе таких компьютеров, но, в первую очередь, существенно более продвинутые современные корпоративные системы. Пока для этого почти нет сертифицированных средств.

Рассмотрим типичную государственную организацию, имеющую несколько производственных площадок, на каждой из которых могут находиться критически важные серверы, в доступе к которым нуждаются работники, базирующиеся на других площадках, и мобильные пользователи. В число поддерживаемых информационных сервисов входят файловый и почтовый сервисы, системы управления базами данных (СУБД), Web-сервис и т. д. В локальных сетях и при межсетевом доступе основным является протокол TCP/IP. Схематически информационная система такой организации представлена на Рис. 1.

Рисунок 1. Информационная система типичной государственной организации.

Для построения эшелонированной обороны подобной информационной системы необходимы по крайней мере следующие защитные средства программно-технического уровня:

межсетевые экраны (разграничение межсетевого доступа); средства поддержки частных виртуальных сетей (реализация защищенных коммуникаций между производственными площадками по открытым каналам связи); средства идентификации/аутентификации, поддерживающие концепцию единого входа в сеть (пользователь один раз доказывает свою подлинность при входе в сеть организации, после чего получает доступ ко всем имеющимся сервисам в соответствии со своими полномочиями); средства протоколирования и аудита, отслеживающие активность на всех уровнях — от отдельных приложений до сети организации в целом, оперативно выявляющие подозрительную активность; комплекс средств централизованного администрирования информационной системы организации; средства защиты, входящие в состав приложений, сервисов и аппаратно-программных платформ.

На данный момент из интересующего нас спектра продуктов были сертифицированы по требованиям безопасности для применения в госорганизациях ряд межсетевых экранов, операционных систем и реляционных СУБД. Даже если включить в этот перечень продукты, сертифицированные ФАПСИ для применения в коммерческих организациях (систему "ШИП", поддерживающую виртуальные частные сети, и средства криптографической защиты семейства "Верба"), большинство рубежей остается без защиты.

Таким образом, на сегодняшний день государственная организация не может получить современную информационную систему, защищенную сертифицированными средствами.

Коммерческие структуры, в отличие от госорганизаций, в определенной степени свободнее в своем выборе защитных средств. Тем не менее, в силу целого ряда обстоятельств (необходимость взаимодействия с госструктурами, расширительная трактовка понятия гостайны — "гостайна по совокупности", необходимость получения лицензии на эксплуатацию криптосредств, ограничения на импорт криптосредств) эта свобода не слишком велика. Практически на все категории субъектов информационных отношений перенесен подход, рассчитанный на госструктуры.

Таковы два основных, на мой взгляд, измерения, задающие систему координат в пространстве информационной безопасности. У информационной безопасности есть и другие грани, но, чтобы чрезмерно не усложнять карту, мы оставим ее двумерной.

Мы описали двумерное пространство информационной безопасности. Представим результаты наших рассмотрений в наглядной форме, расставив оценки (от 0 до 5), показывающие степень освоенности различных областей в соответствии с современными требованиями и действующим законодательством

Оценка положения дел в информационной безопасности России.

Информационная безопасность в России развивается крайне неравномерно. Есть давно освоенные области (законодательство о лицензировании и сертификации, программно-технические меры обеспечения конфиденциальности и статической целостности), но большая часть областей, в том числе критически важных, остается белым пятном. Даже на освоенных областях пока не удалось достичь соответствия современным требованиям. Все это позволяет оценить ситуацию с информационной безопасностью в России как крайне тяжелую. Позитивные перемены происходят очень медленно, так что общее отставание от современного уровня продолжает накапливаться.

В то же время, при правильной организации дела положение можно кардинально улучшить в короткие сроки. Объективно все заинтересованные стороны выиграют от проведения комплексного, современного подхода. Необходима, однако, государственная программа самого высокого уровня, координирующая, направляющая и контролирующая ход работ в области информационной безопасности.

Способы защиты информации

Нет необходимости долго говорить о том, какой непоправимый вред может причинить утечка информации и чьи-то возможности узнавать не от вас содержание ваших бесед, телефонных разговоров, переписки, влиять на работу используемой вами техники, аппаратуры и т. д. События в политической и экономической сферах современной России ежедневно иллюстрируют эту опасность.

  Обладая доступом к источникам информации, злоумышленнику не обязательно следить за вами. Сегодня имеется широкий выбор технических средств несанкционированного съема и уничтожения информации, позволяющих решать самые сложные задачи.

  В обычной обстановке офиса или квартиры вряд ли найдется лучший способ получения первичной информации о помещениях, их техническом оснащении и персонале, чем прослушивание. Наиболее часто для контроля отдельных мероприятий (совещаний, переговоров и т. п.) используют микрофоны с передачей информации по радиоканалу. Чтобы разместить радиомикрофон (РМ), нужно только под любым предлогом проникнуть в помещение и дождаться ослабления внимания присутствующих... Установить РМ можно всего за 2-3 секунды: прикрепить его к крышке стола, сидению стула или кресла, подоконнику, забросить на шкаф и т. п. Если РМ закамуфлирован под безобидный предмет, он может быть оставлен открыто и даже подарен. РМ-разведчик способен транслировать из помещения на расстояние до 1000 м от нескольких часов до десятков дней. Если "подарок" питается от электросети или телефонной линии, то время работы РМ не ограничено. Организованный таким образом канал утечки может существовать годы, функционируя непрерывно. Точно так же могут быть установлены мини-радиоретрансляторы на телефонные линии, использующие ее как источник питания и информации.

  Разговор по комнатному радиотелефону с открытым каналом может быть прослушан с помощью широкодиапазонного цифрового приемника на расстоянии, существенно превышающем радиус действия самого радиотелефона. То же самое относится и к аппаратам сотовой связи открытых аналоговых стандартов, средств транковой связи и т. д.

  Дополнительный канал утечки информации дают самые обычные электроприборы, подключенные к линиям электропитания, сигнализации, трансляции и связи.

  Способов получения информации и влияния на электронные приборы, находящиеся в пользовании персонала любой организации, можно назвать множество.

  Однако достаточно снизить уровень электромагнитных излучений на 10-20 дБ (т. е. в десятки-сотни раз), как чувствительные и "капризные" РМ и др. передатчики не смогут в полном объеме выполнять "порученные им обязанности". Повышая коэффициент экранирования, можно добиться результата, при котором КПД "заброшенного" передатчика будет равен нулю.

  (Подробная статья об экранировании электромагнитных волн была опубликована в журнале "Мир и безопасность" №1`2000 г.).

  Теперь необходимо особо остановиться на проблеме, которой сегодня не уделяют должного внимания, а возможные в ближайшее время "глобальные неприятности", связанные с ней, принимают за сюжеты научно-фантастических романов.

  Современный уровень развития общества предполагает тотальное обеспечение всех видов деятельности компьютерными системами.

  Серьезно отстав в области массового производства компьютерной техники и программного обеспечения, наша страна тем самым не только предоставила зарубежным производителям огромную "нишу" на российском рынке, но и создала "зияющую брешь" в системе безопасности государства в целом. Компьютеризация органов управления, военных организаций, органов безопасности и государственной власти также проводится на базе импортных программно-технических средств и комплектующих.

  Как свидетельствует мировая практика, программное обеспечение зачастую содержит недокументированные возможности по нелегальному доступу. Это - "потайные" или "черные" ходы, средства уничтожения систем и данных (в виде "зашитых" вирусов), средства идентификации пользователя ПК или автора документа (при вхождении в глобальную сеть аппаратное компьютерное средство сообщает свои уникальные номера, те же номера несанкционированно записываются "в тело" исходящего документа) и многое другое.

  Использование импортных ТС и их комплектующих также несет целый ряд потенциальных опасностей: с учетом достижений микро - и наноэлектроники ПК стали "черными" ящиками для пользователя. Так, например, экспертиза ряда технических средств показала, что побочные электромагнитные излучения и сигналы, исходящие от ТСПК и принимаемые ими, во много раз превышают принятые для работы ПК стандартные нормы излучения.

  Провести детальную проверку технического средства, комплектующих к нему и программного обеспечения не представляется возможным, т. к. разработчики указанной продукции зачастую не предоставляют полных исходных текстов и чертежей.

  В сложившейся ситуации является очевидным тот факт, что каждая "умная машина" в той или иной степени находится под контролем у "разработчика" технических средств или программного обеспечения, и "диспетчер" может в любой момент дать команду, о содержании которой пользователь узнает только после того, как она будет выполнена, или не узнает совсем.

  Существует версия, что микроисполнительные устройства при подключении ПК к электропитанию начинают принимать кодированные сигналы и передавать служебную информацию "заказчику", используя коммуникационные системы или радиосигналы. Эту версию не делает беспочвенной и тот факт, что с начала девяностых годов США проводят широкомасштабную программу по расширению влияния на системы и сети телефонной, телевизионной, компьютерной связи. Для этого на "низкие" околоземные орбиты, выводятся все новые и новые так называемые "спутники связи". Каждую "точку" поверхности Земли сегодня "контролируют" 2-3 таких спутника.

  Эффективность действия этих спутников проявилась в ряде региональных военных конфликтов, когда из строя выводились отдельные информационные сети, программно-технические комплексы и даже целые автоматизированные системы управления, созданные на незащищенных компонентах иностранного производства (подавляющее большинство - производства США). Достаточно вспомнить "внезапную неэффективную работу" систем ПВО Ирака и Югославии.

  Причины организации столь сложных технических мероприятий и огромных финансовых вложений в их внедрение довольно очевидны - "разработчики" имеют возможность расшифровки любого документа в удобное для себя время, а также контроль и влияние над системами информации в целом.

  Как говорится: игра стоит свеч.

  Принимая во внимание тот факт, что при нынешнем уровне развития отечественного производства компьютерной техники мы не можем полностью отказаться от использования импортной продукции или "подчинить" ее себе, мы должны сделать это оборудование хотя бы не опасным для нас.

Конечно же, необходимо определится со стратегией защиты, а затем приступать к тактике.

 
Комплексный подход - необходимое условие надежной защиты корпоративной сети

Построение и поддержка безопасной системы требует системного подхода. В соответствии с этим подходом прежде всего необходимо осознать весь спектр возможных угроз для конкретной сети и для каждой из этих угроз продумать тактику ее отражения. В этой борьбе можно и нужно использовать самые разноплановые средства и приемы - организационные и законодательные, административные и психологические, защитные возможности программных и аппаратных средств сети.
 
Законодательные средства защиты - это законы, постановления правительства и указы президента, нормативные акты и стандарты, которыми регламентируются правила использования и обработки информации ограниченного доступа, а также вводятся меры ответственности за нарушения этих правил.
 
Административные меры - это действия общего характера, предпринимаемые руководством предприятия или организации. Администрация предприятия должна определить политику информационной безопасности, которая включает ответы на следующие вопросы:

·  какую информацию и от кого следует защищать;

·  кому и какая информация требуется для выполнения служебных обязанностей;

·  какая степень защиты требуется для каждого вида информации;

·  чем грозит потеря того или иного вида информации;

·  как организовать работу по защите информации.

К организационным (или процедурным) мерам обеспечения безопасности относятся конкретные правила работы сотрудников предприятия, например, строго определенный порядок работы с конфиденциальной информацией на компьютере.
 
К морально-этическим средствам защиты можно отнести всевозможные нормы, которые сложились по мере распространения вычислительных средств в той или иной стране (например, Кодекс профессионального поведения членов Ассоциации пользователей компьютеров США).
 
К физическим средствам защиты относятся экранирование помещений для защиты от излучения, проверка поставляемой аппаратуры на соответствие ее спецификациям и отсутствие аппаратных "жучков" и т. д.
 
К техническим средствам обеспечения информационной безопасности могут быть отнесены:

·  системы контроля доступа, включающие средства аутентификации и авторизации пользователей;

·  средства аудита;

·  системы шифрования информации;

·  системы цифровой подписи, используемые для аутентификации документов;

·  средства доказательства целостности документов (использующие, например, дайджест-функции);

·  системы антивирусной защиты;

·  межсетевые экраны.

Все указанные выше средства обеспечения безопасности могут быть реализованы как в виде специально разработанных для этого продуктов (например, межсетевые экраны), так и в виде встроенных функций операционных систем, системных приложений, компьютеров и сетевых коммуникационных устройств.
 
Усугубление проблем безопасности при удаленном доступе. Защитные экраны - firewall'ы и proxy-серверы

Обеспечение безопасности данных при удаленном доступе - проблема если и не номер один, то, по крайней мере, номер два, после проблемы обеспечения приемлемой для пользователей пропускной способности. А при активном использовании транспорта Internet она становится проблемой номер один.
 
Неотъемлемым свойством систем удаленного доступа является наличие глобальных связей. По своей природе глобальные связи, простирающиеся на много десятков и тысяч километров, не позволяют воспрепятствовать злонамеренному доступу к передаваемым по этим линиям данным. Нельзя дать никаких гарантий, что в некоторой, недоступной для контроля точке пространства, некто, используя, например, анализатор протокола, не подключится к передающей среде для захвата и последующего декодирования пакетов данных. Такая опасность одинаково присуща всем видам территориальных каналов связи и не связана с тем, используются ли собственные, арендуемые каналы связи или услуги общедоступных территориальных сетей, подобные Internet.
 
Однако использование общественных сетей (речь в основном идет об Internet) еще более усугубляет ситуацию, хотя бы потому, что в такой сети для доступа к корпоративным данным в распоряжении злоумышленника имеются более разнообразные и удобные средства, чем выход в чистое поле с анализатором протоколов. Кроме того, огромное число пользователей увеличивает вероятность попыток несанкционированного доступа.
 
Безопасная система - это система, которая, во-первых, надежно хранит информацию и всегда готова предоставить ее своим пользователям, а во-вторых, система, которая защищает эти данные от несанкционированного доступа.
 
Межсетевой экран (firewall, брандмауэр) - это устройство, как правило, представляющее собой универсальный компьютер с установленным на нем специальным программным обеспечением, который размещается между защищаемой (внутренней) сетью и внешними сетями, потенциальными источниками опасности. Межсетевой экран контролирует все информационные потоки между внутренней и внешними сетями, пропуская данные, в соответствии с заранее установленными правилами. Эти правила являются формализованным выражением политики безопасности, принятой на данном предприятии.
 
Межсетевые экраны базируются на двух основных приемах защиты:

·  пакетной фильтрации;

·  сервисах-посредниках (proxyservices).

Эти две функции можно использовать как по отдельности, так и в комбинации.
 
Пакетная фильтрация. Использование маршрутизаторов в качестве firewall
 
Фильтрация осуществляется на транспортном уровне: все проходящие через межсетевой экран пакеты или кадры данных анализируются, и те из них, которые имеют в определенных полях заданные ("неразрешенные") значения, отбрасываются.
 
Пропуск во внутреннюю сеть пакетов сетевого уровня или кадров канального уровня по адресам (MAC-адреса, IP-адреса, IPX-адреса) или номерам портов TCP, соответствующих приложениям. Например, для того, чтобы трафик telnet не пересекал границу внутренней сети, межсетевой экран должен отфильтровывать все пакеты, в заголовке TCP которых указан адрес порта процесса-получателя, равный 23 (этот номер зарезервирован за сервисом telnet). Сложнее отслеживать трафик FTP, который работает с большим диапазоном возможных номеров портов, что требует задания более сложных правил фильтрации.
 
Конечно, для фильтрации пакетов может быть использован и обычный маршрутизатор, и действительно, в Internet 80% пакетных фильтров работают на базе маршрутизаторов. Однако маршрутизаторы не могут обеспечить ту степень защиты данных, которую гарантируют межсетевые экраны.
 
Главные преимущества фильтрации межсетевым экраном по сравнению с фильтрацией маршрутизатором состоят в следующем:
 
межсетевой экран обладает гораздо более развитыми логическими способностями, поэтому он в отличие от маршрутизатора легко может, например, обнаружить обман по IP-адресу;
 
у межсетевого экрана большие возможности аудита всех событий, связанных с безопасностью.
 
Сервисы - посредники (Proxy-services)
 
Сервисы-посредники не допускают возможности непосредственной передачи трафика между внутренней и внешней сетями. Для того, чтобы обратиться к удаленному сервису, клиент-пользователь внутренней сети устанавливает логическое соединение с сервисом-посредником, работающим на межсетевом экране. Сервис-посредник устанавливает отдельное соединение с "настоящим" сервисом, работающим на сервере внешней сети, получает от него ответ и передает по назначению клиенту - пользователю защищенной сети.
 
Для каждого сервиса необходима специальная программа: сервис-посредник. Обычно, защитный экран включает сервисы-посредники для FTP, HTTP, telnet. Многие защитные экраны имеют средства для создания программ-посредников для других сервисов. Некоторые реализации сервисов-посредников требуют наличия на клиенте специального программного обеспечения. Пример: Sock - широко применяемый набор инструментальных средств для создания программ-посредников.
 
Сервисы-посредники не только пересылают запросы на услуги, например, разработанный CERN сервис-посредник, работающий по протоколу HTTP, может накапливать данные в кэше межсетевого экрана, так что пользователи внутренней сети могут получать данные с гораздо меньшим временем доступа.
 
Журналы событий, поддерживаемые сервисами-посредниками, могут помочь предупредить вторжение на основании записей о регулярных неудачных попытках. Еще одним важным свойством сервисов-посредников, положительно сказывающимся на безопасности системы, является то, что при отказе межсетевого экрана защищаемый посредником сервис-оригинал остается недоступным.
 
Трансляция сетевых адресов - новый вид сервиса-посредника. Трансляторы адресов заменяют "внешние" IP-адреса серверов своих сетей на "внутренние". При таком подходе топология внутренней сети скрыта от внешних пользователей, вся сеть может быть представлена для них одним-единственным IP-адресом. Такая непрозрачность сети усложняет задачу несанкционированного доступа. Кроме этого, трансляция адресов дает еще одно преимущество - позволяет иметь внутри сети собственную систему адресации, не согласованную с Internet, что снимает проблему дефицита IP-адресов.
 
Сервисы-посредники намного надежнее фильтров, однако они снижают производительность обмена данными между внутренней и внешней сетями, они также не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для фильтров.
 
Использование сертификатов для аутентификации массовых пользователей при ведении бизнеса через Internetи другие публичные сети

Обеспечение безопасности при работе в Internet стало особенно важной проблемой в условиях массового интереса к построению частных виртуальных сетей с использованием транспортных средств Internet, а также использования методов Internet для хранения, представления и поиска информации в локальных сетях предприятий. Все это можно назвать одним словом - intranet. Специфика Internet сказывается и на используемых средствах обеспечения безопасности. Остановимся на некоторых из них.
 
При организации доступа к некоторым ресурсам Internet все чаще возникает необходимость во введении некоторых ограничений. Это означает, что среди множества пользователей Internet, владелец ресурса должен определить некоторые правила определения тех, кому доступ разрешен, и предоставить им способ, с помощью которого они могли бы доказывать свою принадлежность к легальным пользователям. Следовательно, необходима процедура аутентификация, пригодная для использования в Internet.
 
Аутентификация с применением сертификатов является альтернативой использованию паролей и представляется естественным решением в условиях, когда число пользователей сети измеряется миллионами, что мы имеем в Internet. В таких обстоятельствах процедура предварительной регистрации пользователей, связанная с назначением и хранением их паролей становится крайне обременительной, опасной, а иногда и просто нереализуемой. При использовании сертификатов сеть, которая дает пользователю доступ к своим ресурсам, не хранит никакой информации о своих пользователях - они ее предоставляют сами в своих запросах в виде сертификатов, удостоверяющих личность пользователей. Сертификаты выдаются специальными уполномоченными организациями - центрами сертификации. Поэтому задача хранения секретной информации (закрытых ключей) возлагается теперь на самих пользователей, что делает это решение гораздо более масштабируемым, чем вариант с использованием паролей.
 
Аутентификация личности на основе сертификатов происходит примерно так же, как на проходной большого предприятия. Вахтер пропускает людей на территорию на основании пропуска, который содержит фотографию и подпись сотрудника, удостоверенных печатью предприятия и подписью лица, выдавшего пропуск. Сертификат является аналогом пропуска и выдается по запросам специальными сертифицирующими центрами при выполнении определенных условий. Он представляет собой электронную форму, в которой имеются такие поля, как имя владельца, наименование организации, выдавшей сертификат, открытый ключ владельца. Кроме того, сертификат содержит электронную подпись выдавшей организации - зашифрованные закрытым ключом этой организации все остальные поля сертификата.
 
Использование сертификатов основано на предположении, что сертифицирующих организаций немного, и их открытые ключи могут быть всем известны каким-либо способом, например, с помощью тех же публикаций в журналах.
 
Когда пользователь хочет подтвердить свою личность, он предъявляет свой сертификат в двух формах - открытой, то есть такой, в которой он получил его в сертифицирующей организации, и в зашифрованной с применением своего закрытого ключа. Сторона, проводящая аутентификацию, берет из открытого сертификата открытый ключ пользователя и расшифровывает с помощью него зашифрованный сертификат. Совпадение результата с открытым сертификатом подтверждает факт, что предъявитель действительно является владельцем закрытого ключа, парного с указанным открытым.
 
Затем с помощью известного открытого ключа указанной в сертификате организации проводится расшифровка подписи этой организации в сертификате. Если в результате получается тот же сертификат с тем же именем пользователя и его открытым ключом - значит он действительно прошел регистрацию в сертификационном центре, является тем, за кого себя выдает, и указанный в сертификате открытый ключ действительно принадлежит ему.
 
Сертификаты можно использовать не только для аутентификации, но и для предоставления избирательных прав доступа. Для этого в сертификат могут вводиться дополнительные поля, в которых указывается принадлежность его владельца к той или иной категории пользователей. Эта категория указывается сертифицирующей организацией в зависимости от условий, на которых выдается сертификат. Например, организация, поставляющая через Internet на коммерческой основе информацию, может выдавать сертификаты определенной категории пользователям, оплатившим годовую подписку на некоторый бюллетень, а Web-сервер будет предоставлять доступ к страницам бюллетеня только пользователям, предъявившим сертификат данной категории.
 
При использовании сертификатов отпадает необходимость хранить на серверах корпораций списки пользователей с их паролями, вместо этого достаточно иметь на сервере список имен и открытых ключей сертифицирующих организаций. Может также понадобится некоторый механизм отображений категорий владельцев сертификатов на традиционные группы пользователей для того, чтобы можно было использовать в неизменном виде механизмы управления избирательным доступом большинства операционных систем или приложений.
 
Механизм получения пользователем сертификата хорошо автоматизируется в сети в модели клиент-сервер, когда браузер выполняет роль клиента, а в сертифицирующей организации установлен специальный сервер выдачи сертификатов. Браузер вырабатывает для пользователя пару ключей, оставляет закрытый ключ у себя и передает частично заполненную форму сертификата серверу. Для того, чтобы неподписанный еще сертификат нельзя было подменить при передаче по сети, браузер зашифровывает сертификат выработанным закрытым ключом. Сервер сертификатов подписывает полученный сертификат, фиксирует его в своей базе данных и возвращает его каким-либо способом владельцу. Очевидно, что при этом может выполняться еще и неформальная процедура подтверждения пользователем своей личности и права на получение сертификата, требующая участия оператора сервера сертификатов. Это могут быть доказательства оплаты услуги, доказательства принадлежности к той или иной организации - все случаи жизни предусмотреть и автоматизировать нельзя.
 
После получения сертификата браузер хранит его вместе с закрытым ключом и использует при аутентификации на тех серверах, которые поддерживают такой процесс.
 
В настоящее время существует уже большое количество протоколов и продуктов, использующих сертификаты. Например, компания NetscapeCommunications поддерживает сертификаты стандарта X.509 в браузерах NetscapeNavigator и своих информационных серверах, а также выпустила сервер сертификатов, который организации могут у себя устанавливать для выпуска своих собственных сертификатов. Microsoft реализовала поддержку сертификатов в версии InternetExplorer 3.0 и в сервере InternetInformationServer.
 
Технологии защищенного канала

Технология защищенного канала призвана обеспечивать безопасность передачи данных по открытой транспортной сети, например, по сети Internet. Защищенный канал включает в себя выполнение трех основных функций:

·  взаимная аутентификация абонентов;

·  защита передаваемых по каналу сообщений от несанкционированного доступа;

·  подтверждение целостности поступающих по каналу сообщений.

Взаимная аутентификация обеих сторон при установлении соединения может быть выполнена, например, путем обмена сертификатами.
 
Секретность может быть обеспечена каким-либо методом шифрации, например, передаваемые сообщения шифруются с использованием симметричных сессионных ключей, которыми стороны обмениваются при установлении соединения. Сессионные ключи передаются также в зашифрованном виде, при этом они шифруются с помощью открытых ключей. Использование для защиты сообщений симметричных ключей связано с тем, что скорость процессов шифрации и дешифрации на основе симметричного ключа существенно выше, чем при использовании несимметричных ключей.
 
Целостность передаваемых сообщений достигается за счет того, что к сообщению (еще до его шифрации сессионным ключом) добавляется дайджест, полученный в результате применения односторонней функции к тексту сообщения.
 
Защищенный канал в публичной сети часто называют также виртуальной частной сетью - VirtualPrivateNetwork, VPN. Существует два способа образования VPN:

·  с помощью специального программного обеспечения конечных узлов;

·  с помощью специального программного обеспечения шлюзов, стоящих на границе между частной и публичной сетями.

В первом случае, программное обеспечение, установленное на компьютере удаленного клиента, устанавливает защищенный канал с сервером корпоративной сети, к ресурсам которого клиент обращается. Преимуществом этого подхода является полная защищенность канала вдоль всего пути следования, а также возможность использования любых протоколов создания защищенных каналов, лишь бы на конечных точках канала поддерживался один и тот же протокол. Недостатки заключаются в избыточности и децентрализованности решения. Избыточность состоит в том, что уязвимыми для злоумышленников обычно являются сети с коммутацией пакетов, а не каналы телефонной сети или выделенные каналы. Поэтому установка специального программного обеспечения на каждый клиентский компьютер и каждый сервер корпоративной сети не является необходимой. Децентрализация процедур создания защищенных каналов не позволяет вести централизованное управление доступом к ресурсам сети. В большой сети необходимость отдельного администрирования каждого сервера и каждого клиентского компьютера с целью конфигурирования в них средств защиты данных - это трудоемкая процедура.
 
Во втором случае клиенты и серверы не участвуют в создании защищенного канала - он прокладывается только внутри публичной сети с коммутацией пакетов, например внутри Internet. Канал создается между сервером удаленного доступа провайдера услуг публичной сети и пограничным маршрутизатором корпоративной сети. Это хорошо масштабируемое решение, управляемого централизованно как администратором корпоративной сети, так и администратором сети провайдера. Для клиентских компьютеров и серверов корпоративной сети канал прозрачен - программное обеспечение этих конечных узлов остается без изменений. Реализация этого подхода сложнее - нужен стандартный протокол образования защищенного канала, требуется установка программного обеспечения, поддерживающего такой протокол, у всех провайдеров, необходима поддержка протокола производителями серверов удаленного доступа и маршрутизаторов.

И всё-таки главную роль я отвожу интегральному подходу к защите информации – давайте глубже взглянем на этот вариант.

Интегральный подход к обеспечению информационной безопасности предполагает в первую очередь выявление возможных угроз, включая каналы утечки информации. Реализация такого подхода требует объединения различных подсистем безопасности в единый комплекс, оснащенный общими техническими средствами, каналами связи, программным обеспечением и базами данных. Поэтому при выявлении технических каналов утечки информации рассматриваются основное оборудование технических средств обработки информации (ТСОИ), оконечные устройства, соединительные линии, распределительные и коммутационные системы, оборудование электропитания, схемы заземления и т. п. Наряду с основными необходимо учитывать и вспомогательные технические средства и системы (ВТСС), например устройства открытой телефонной, факсимильной, громкоговорящей связи, радиофикации, часовые механизмы, электробытовые приборы и т. п. Анализ материалов отечественной и зарубежной печати позволил систематизировать возможные каналы утечки и несанкционированного доступа к информации (рис.). Рассмотрим подробнее их особенности (для наглядности цифрами в круглых скобках обозначаются каналы утечки в соответствии со схемой).

В зависимости от способов перехвата информации, физической природы возбуждения сигналов, а также среды их распространения можно выделить технические каналы утечки, каналы перехвата при передаче информации системами связи, утечки акустической и видовой информации, компьютерные методы съема информации. В свою очередь технические каналы утечки информации можно разделить на электромагнитные, электрические и параметрические.

Схема возможных каналов утечки и несанкционированного доступа к информации в типовом одноэтажном офисе

Электромагнитные каналы утечки

формируются в результате побочного электромагнитного излучения:

·  элементов ТСОИ (18, 21), сигнал которых (ток, напряжение, частота и фаза) изменяется так же, как и информационный;

·  ВЧ-генераторов ТСОИ и ВТСС (14), которое может непреднамеренно модулироваться электрическим сигналом, наведенным информационным;

·  НЧ-усилителей технических средств передачи информации (ТСПИ) (27) в результате случайного преобразования отрицательной обратной связи в паразитную положительную, что может привести к самовозбуждению и переходу усилителя из режима усиления в режим автогенерации сигналов, модулированных информационным сигналом.

Электрические каналы утечки появляются вследствие наводки:

·  электромагнитного излучения, возникающего при передаче информационных сигналов элементами ТСОИ, а также из-за наличия гальванической связи между соединительными линиями ТСОИ и другими проводниками или линиями ВТСС (23);

·  информационных сигналов в цепи электропитания (29) вследствие магнитной связи между выходным трансформатором усилителя и трансформатором системы электропитания, а также неравномерной нагрузки выпрямителя, приводящей к изменению потребляемого тока в соответствии с изменениями информационного сигнала;

·  информационных сигналов в цепи заземления (25) за счет гальванической связи с землей различных проводников (в том числе нулевого провода сети электропитания, экранов) и металлических конструктивных элементов, выходящих за пределы контролируемой зоны безопасности.

Кроме того, электрические каналы утечки могут возникать в результате съема информации с помощью различных автономных аппаратных или так называемых закладных устройств, например мини-передатчиков (5). Излучение этих устройств, устанавливаемых в ТСОИ, модулируется информационным сигналом и принимается специальными устройствами за пределами контролируемой зоны.

Возможно применение специального "ВЧ-облучения", электромагнитное поле которого взаимодействует с элементами ТСОИ и модулируется информационным сигналом. Это параметрический канал утечки.

Особый интерес представляет перехват информации при передаче по каналам связи (24), поскольку в этом случае возможен свободный несанкционированный доступ к передаваемой информации. В зависимости от системы связи каналы перехвата информации можно разделить на электромагнитные, электрические и индукционные. Каналы утечки первого типа образуются при перехвате сигналов передатчиков систем связи стандартными техническими средствами, широко используемыми для прослушивания телефонных разговоров по разнообразным радиоканалам (сотовым, радиорелейным, спутниковым) (24). Во втором случае перехват информации, передаваемой по кабельным линиям связи, предполагает подключение к ним телефонных закладок, оснащенных радиопередатчиками (19). Однако из-за того, что закладки могут стать компрометирующим фактором, чаще используют индукционный канал перехвата. По данным открытой печати, современные индукционные датчики способны снимать информацию не только с изолированных кабелей, но и с кабелей, защищенных двойной броней из стальной ленты и стальной проволоки.

Среди каналов утечки акустической информации различают воздушные, вибрационные, электроакустические, оптоэлектронные и параметрические. В широко распространенных воздушных каналах для перехвата информации используются высокочувствительные и направленные акустические закладки, например микрофоны (15), соединенные с диктофонами (12) или специальными мини-передатчиками (5). Перехваченная закладками акустическая информация может передаваться по радиоканалам, сети переменного тока, соединительным линиям, проложенным в помещении проводникам, трубам и т. п. Для приема информации, как правило, используются специальные устройства. Особый интерес представляют закладные устройства, устанавливаемые либо непосредственно в корпус телефонного аппарата, либо подключаемые к линии в телефонной розетке. Подобные приборы, в конструкцию которых входят микрофон и блок коммутации, часто называют "телефонным ухом" (19). При поступлении в линию кодированного сигнала вызова или при дозвоне к контролируемому телефону по специальной схеме блок коммутации подключает клинии микрофон и обеспечивает передачу информации (обычно речевой) на неограниченное расстояние.

В вибрационных (или структурных) каналах среда распространения информации — конструктивные элементы зданий (стены, потолки, полы и др.), а также трубы водо - и теплоснабжения, канализации (1, 30). Для перехвата акустических сигналов в данном случае обычно применяют контактные, электронные (с усилителем) и радиостетоскопы.

Электроакустические каналы формируются в результате преобразования акустических сигналов в электрические путем "высокочастотного навязывания" или перехвата с помощью ВТСС. Канал утечки первого типа возникает в результате несанкционированного ввода сигнала ВЧ-генератора в линии, функционально связанные с элементами ВТСС, и модуляции его информационным сигналом. В этом случае для перехвата разговоров, ведущихся в помещении, чаще всего используют телефонный аппарат с выходом за пределы контролируемой зоны (10). Кроме того, некоторые ВТСС, например датчики систем противопожарной сигнализации (28), громкоговорители ретрансляционной сети (27) и т. п., могут и сами содержать электроакустические преобразователи. Перехватить акустические сигналы очень просто: подключив такие средства к соединительной линии телефонного аппарата с электромеханическим звонком, можно при не снятой с рычага трубке прослушивать разговоры, ведущиеся в помещении (так называемый "микрофонный эффект").

Облучая лазерным пучком вибрирующие в акустическом поле тонкие отражающие поверхности (стекла окон, зеркала, картины и т. п.), можно сформировать оптозлектронный (лазерный) канал утечки акустической информации (7). Отраженное лазерное излучение, модулированное акустическим сигналом по амплитуде и фазе, демодулируется приемником, который и выделяет речевую информацию. Средства перехвата — локационные системы, работающие, как правило, в ИК-диапазоне и известные как "лазерные микрофоны". Дальность их действия — несколько сотен метров.

При воздействии акустического поля на элементы ВЧ-генераторов и изменении взаимного расположения элементов систем, проводов, дросселей и т. п. передаваемый сигнал модулируется информационным. В результате формируется параметрический канал утечки акустической информации. Модулированные ВЧ-сигналы перехватываются соответствующими средствами (14). Параметрический канал утечки создается и путем "ВЧ-облучения" помещения, где установлены полуактивные закладные устройства, параметры которых (добротность, частота и т. п.) изменяются в соответствии с изменениями акустического (речевого) сигнала.

По каналам утечки акустической информации могут перехватываться не только речевые сигналы. Известны случаи статистической обработки акустической информации принтера или клавиатуры с целью перехвата компьютерных текстовых данных (20). Такой способ позволяет снимать информацию и по системе централизованной вентиляции (6).

В последнее время большое внимание уделяется каналам утечки видовой информации, по которым получают изображения объектов или копий документов. Для этих целей используют оптические приборы (бинокли, подзорные трубы, телескопы, монокуляры) (11), телекамеры, приборы ночного видения, тепловизоры и т. п. Для снятия копий документов применяют электронные и специальные закамуфлированные фотоаппараты, а для дистанционного съема видовой информации — видеозакладки (3). Наиболее распространены такие методы и средства защиты от утечки видовой информации, как ограничение доступа, техническая (системы фильтрации, шумоподавления) и криптографическая защита, снижение уровня паразитных излучений технических средств, охрана и оснащение средствами тревожной сигнализации.

Весьма динамично сейчас развиваются компьютерные методы съема информации. Хотя здесь также применяются разнообразные закладные устройства, несанкционированный доступ, как правило, получают с помощью специальных программных средств (компьютерных вирусов, логических бомб, "троянских коней", программных закладок и т. п.) (9). Особенно много неприят ностей в последнее время доставляют компьютерные вирусы, которых сегодня известно свыше трех тысяч. Поэтому весьма актуальна информация о возможных последствиях их вторжения и методах защиты. К счастью, большую группу реальных вирусов составляют "безобидные", не нарушающие режим работы компьютера. Как правило, их авторы — школьники старших классов, студенты и те, кто стремится повысить свою квалификацию в области программирования. Среди вирусов, нарушающих режим функционирования компьютера, есть неопасные (не повреждающие файловую структуру), опасные (повреждающие эту структуру) и очень опасные (повреждающие аппаратуру и влияющие на здоровье оператора) (табл. 1). Эти вирусы в большинстве своем конструируются профессионалами.

Таблица 1

Классификация компьютерных вирусов, потенциально опасных с точки зрения несанкционированного доступа к информации

Как видно из табл. 1, наибольший вред с точки зрения утечки информации наносят криптовирусы, способные пробить брешь даже в таком мощном средстве обороны, как криптозащита. В момент ввода электронной подписи криптовирусы перехватывают секретные ключи и копируют их в заданное место. Более того, при проверке электронной подписи они могут вызвать команду подтверждения подлинности заведомо неправильной подписи. И даже при вводе в систему лишь один раз, в момент генерации ключей, криптовирус приводит к созданию слабых ключей. Например, при формировании ключа на основе датчика случайных чисел с использованием встроенного таймера криптовирус может вызвать изменение показаний таймера с последующим возвратом в исходное состояние. В результате ключи легко вскрыть. Сегодня практически единственная защита от таких криптовирусов — загрузка информации с чистой дискеты и использование "чистого" (фирменного) программного продукта.

Все рассмотренные выше каналы утечки информации по сути являются внешними по отношению к источнику. Однако нельзя забывать и о так называемых внутренних каналах, которым обычно не придается должного значения, что нередко приводит к потере информации. Такие каналы утечки (16), как правило, связаны с администрацией и обслуживающим персоналом. В первую очередь это хищение носителей информации (13), съем информации с ленты принтера и плохо стертых дискет (2), с производственных и технологических отходов (8), визуальный съем информации с экрана дисплея и принтера (22), несанкционированное копирование (17).

В табл. 2 на основе анализа рассмотренных каналов утечки обобщены возможные методы и средства съема и защиты информации в типовых ситуациях (табл. 2). В табл. 3 приведены сравнительные характеристики современных электронных средств съема информации, которые могут послужить основой при выборе оптимальных методов и средств ее защиты.

Эффективность активных и пассивных устройств защиты зависит от методов и средств получения информации. Например, для предотвращения съема информации при помощи микрофона с автономным питанием необходимо осуществить одну или несколько из перечисленных мер: провести визуальный поиск, обеспечить экранирование, установить генераторы шума и радиопомех, селекторы сигналов, детекторы электромагнитного поля и излучения, нелинейные локаторы, устройства воздействия на микрофон (табл. 4).

Таблица 2

Основные методы и средства получения и защиты информации

Таблица 3

Характеристики современных электронных средств
съема информации

Примечание. Качество перехвата всех электронных средств, за исключением миниатюрной камеры с передачей изображения по сети питания, хорошее. Труднее всего обнаружить радиомагнитофоны с цифровой передачей и кодированием, особенно устройства с записью и сбросом информации в случае необходимости

Соотношение методов и средств защиты и добывания

Методы и средства защиты выбираются в зависимости от реальных возможностей и обстоятельств, а также с учетом важности информации. Но наиболее эффективны интегральные системы, позволяющие преобразовывать исходные данные в цифровой вид и обрабатывать их программно-аппаратными методами. Возможности таких систем значительно расширились с использованием в них ПК, к которым могут быть подключены различные устройства связи и терминалы на базе печатных плат. Такая многофункциональная система способна не только заменить множество отдельных технических средств связи и обработки информации, но и выполнять ряд новых функций.

Господа, техника техникой, а про людей забывать не стоит.

Люди

В ряду источников конфиденциальной информации люди занимают особое место, ибо способны выступать не только обладателями конфиденциальной информации, но и субъектами злонамеренных действий. Люди являются обладателями и распространителями информации в рамках своих функциональных обязанностей. Помимо обладания сведениями, люди способны их анализировать, обобщать, делать выводы, а также при определенных условиях скрывать, воровать, продавать информацию и совершать иные криминальные действия вплоть до вступления в преступные связи со злоумышленниками.

Крайне редко специалист по промышленному шпионажу взламывает замок и под покровом ночи проникает в фирму с целью установить подслушивающие устройство. Так работают только спецслужбы, имеющие легальное прикрытие и начитавшиеся книжек новички. Опытный человек, понимая чем он рискует, старается либо легально проникнуть в интересующее его помещение (устроившись на работу, нанесение делового визита, с бригадой ремонтников и т. д.), либо завербовать агента из числа служащих и обслуживающего персонала.

Достаточно сложный процесс - выявление кандидата в агенты, т. е. деятельность, направленная на поиски потенциальных агентов и выявление их потенциальных возможностей. Далее идет разработка и оценка кандидата, под чем понимается изучение его личных качеств и способностей, а также определение способов его наиболее эффективного использования. После решения о использовании человека в качестве агента производится вербовка на почве шантажа, подкупа, идейных соображений, личного неприятия руководства компании и т. д.

Очень часто агенту неизвестно, на кого он работает, либо ему дается неправильная информация. Позднее, когда приобретут силу финансовые и другие средства контроля, завербованному раскрывают имя истинного хозяина. В ЦРУ считают, что более эффективного контроля над агентами можно добиться путем убеждения, а не угроз, и оперативные работники стремятся развивать дружеские отношения с ним.

У каждой организации своя тактика работы. Так, активно работающая на российском рынке британская фирма "Секъюрикор", как утверждал ее руководитель Джордж Бланш, "засылает" своего человека в компанию в качестве помощника менеджера. Ему приходится довольно тщательно выполнять свои служебные функции до тех пор, пока он не решит поставленной перед ним задачи, иначе его быстро разоблачат. Когда возникает вопрос, как его убрать, то инсценируется арест, или просто симулируют болезнь или увольнение. Этот прием особенно хорош, когда в компании идет борьба между несколькими кланами, или необходимо контролировать часть своих служащих.

Очень часто по такой достаточно длительной по времени схеме в России не работают. В основном в ход идет прямой подкуп или шантаж. Дело в том, что как правило проводятся разовые операции, и до дальнейшей судьбы агента дела никому нет. Однако, в случае, когда идет речь о систематическом контроле за деятельностью фирмы важно иметь дело с постоянно работающим агентом.

Большинство агентов не обладают всей полнотой информации, особенно обслуживающий персонал. В этом случае их используют для легального проникновения в помещение и установки подслушивающих устройств, изучения содержания мусорных корзин и т. д. Понятно что лучше все-таки поручить сбор сведений специалистам в интересующей области, как поступал, например, доктор Бредли. Будучи профессором Бруклинского политехнического института, он подбирал наиболее способных студентов и помогал им устраиваться в ведущие корпорации. Те не теряли связей со своим шефом и поставляли ему необходимую информацию, которую он сбывал с большой для себя выгодой. Кроме того, он постоянно настаивал на том, чтобы его студенты писали свои научные работы на базе анализа производственных процессов на реальных химических предприятиях. Многие американские компании, тщательно оберегавшие секреты от конкурентов, охотно знакомили студентов Бредли с технологиями своего производства, надеясь на хорошее паблисити и на возможность привлечь в свои лаборатории наиболее одаренных выпускников.

Красивые, обаятельные женщины в руках экономических шпионов - непереходящая ценность. Те, кого нельзя споить, подкупить или припугнуть, выбалтывают секреты своим очаровательным партнершам. Как бы не банален был трюк с подставной женщиной, при определенной подготовке он всегда срабатывает безотказно. Этим оружием будут пользоваться еще очень долго, а если и оно не помогает, то остается одно: технические средства разведки.

И в финале хотелось бы затронуть экономический аспект средств информационной безопасности.

Как же формируются цены на рынке сбыта средств и систем безопасности? Почему они растут и как они образуются? Вот главные вопросы, которые интересуют покупателей, когда они приходят в фирмы, специализирующиеся на продаже специальных средств и систем обеспечения безопасности личности, собственности и информации.

  Исторический опыт прошлого и практика настоящего свидетельствуют о том, что непосредственно в процессе формирования цены участвуют лишь два важнейших фактора - спрос и предложение. Другие политические и социально-экономические, научно-технические причины, участвующие в ценообразовании, следует рассматривать как факторы не прямого, а косвенного воздействия. К ним можно отнести: уровень развития производственных сил; научно-технический прогресс; государственное регулирование; состояние ресурсной базы; уровень процветания коррупции, рэкета, криминала и правонарушений в информационной области и, прежде всего, рост компьютерных преступлений и других видов нарушений информационной безопасности, а также состояние валютно-финансовой системы и структурных явлений в ней; тенденция развития мирового хозяйства и мировых товарных рынков сбыта спецтехники по безопасности; вовлечение России в международное разделение труда и даже здоровье ее политических лидеров, и многое другое.

  В то же время в практике маркетинга предпочтительнее считается использование многофакторных функций спроса, зависящих от опосредственных величин спроса, которые и будут являться базисной функцией спроса на потребительском рынке. Они впрямую математически зависят от: цены на средства и системы безопасности; цены на средства (системы) подобного рода или средства (системы) их замещающие; дохода покупателя (предполагаемый); уровня активности рекламной деятельности на рынке продажи данных средств и систем безопасности; уровня общего количества покупателей; ставки процентов по потребительским кредитам и характеристики вкусов покупателей.

  Очевидно, что эти функции спроса могут служить практическим инструментом обоснования ценовых решений лишь в том случае, если продавцам (поставщикам) спецтехники удается на ее основе добиться определенного снижения цены.

  Современные поставщики и продавцы спецтехники по обеспечению безопасности, т. е. менеджеры, убеждаются в том, что количество средств, покупаемых для организации личной безопасности, всегда зависит только от цены: чем выше цена товара, тем меньше его покупают, и чем ниже его рыночная цена, тем будет куплено больше единиц спецтехники при прочих равных условиях.

  Таким образом, между рыночной ценой средств и систем безопасности, как на любой другой товар, на который предъявляется спрос, и его количеством, всегда существует определенное соотношение. Эта взаимосвязь между ценой и количеством покупаемого товара (средства) называется формулой спроса.

  Такова роль рыночных отношений и знаковая зависимость спроса и цены на средства безопасности, как и на любой другой товар. А какова же реальная рыночная цена современных средств и систем безопасности, какова их ценовая привлекательность и из чего слагается их себестоимость (ценообразование)? На эти вопросы попытаемся ответить в настоящей статье.

  II. Для того, чтобы установить, как определяется рыночная цена на средства и системы безопасности, нужно объединить анализ спроса с анализом предложений. Это необходимо для того, чтобы математически определить, до какого уровня может цена дойти в действительности и когда уравновешенная цена находится в той точке, в которой спрос равен предложению. Любое понижение цены приведет к тому, что спрос будет превышать предложения и, наоборот, при любом повышении цены количество предложений будет больше спроса. Обобщение практики современной конкуренции на рынке безопасности позволяет выделить пять базовых направлений тактики ценообразования, на основании которых реализуются конкурентные отношения в России.

  Во-первых, тактика снижения себестоимости продукции средств и систем безопасности. Стимулом для использования этой тактики является значительная экономия на масштабах производства и привлечение большого числа потребителей, для которых цена является определяющим фактором при покупке, а также уменьшение затрат и издержек, связанных с процессом производства, сбыта и продажи.

  Во-вторых, тактика дифференциации средств технической защиты и безопасности. Она заключается в том, что все категории видов и предметов безопасности относятся к специальным техническим средствам, и поэтому их дифференциация основывается на специализации в изготовлении этой особой, иногда необычной, продукции, которая, как правило, является лишь модификацией какого-то стандартного изделия. Она будет являться основным направлением в сфере выбора стратегии конкуренции. Обособление средств и систем безопасности, как специального товара на рынке, а в более широком научном смысле - дифференциация ее коммерческих характеристик, может проводиться за счет создания средств безопасности с более совершенными, чем стандартные изделия, техническими параметрами, качеством исполнения, на базе обеспечения более широкого выбора услуг при их реализации и эксплуатации, на основе привлекательности реальной цены. Таким образом, основная идея дифференциации состоит в сосредоточении усилий на производстве и продаже пользующихся ограниченным спросом средств безопасности, что позволяет уклониться от ценовой политики и, в то же время, дает возможность конкурировать с ним за специфическую группу потребителей. Часто наиболее привлекательным способом дифференциации продукции является использование приемов, менее всего похожих на приемы конкурентов. В том числе, за счет:

 увеличения роста объема продажи и получения сверхприбыли с помощью завоевания предпочтений различных групп потребителей на базе превосходства в технологии, качестве, а также обеспечения более широкого выбора моделей спецтехники или их привлекательности путем установления низких цен;

 разрушения стратегии конкурентов в области снижения себестоимости средств безопасности и локализации рынка с помощью разнообразия предлагаемой спецтехники и лояльности к ней вероятных потребителей;

 уничтожения входного барьера для рынка сбыта и продажи спецтехники путем формирования у потребителей (пользователей) предпочтений в их приобретении;

 гарантированного получения прибыли от внедрения спецтехники фирмами, пользующимися услугами данной компании;

 вытеснения товаров-заменителей путем укрепления связи с производителями;

 создания имиджа добросовестного и надежного партнера, заботящегося о различных потребителях и их специфических запросах.

  В-третьих, тактика сегментирования рынка безопасности. Если представленная выше тактическая направленность конкуренции основывается на обслуживании всего рынка, то тактика сегментации направлена на обеспечение преимуществ над конкурентами в обособленном и, часто, единственном сегменте рынка, выделяемом на основе его географических или психографических особенностей, т. е. с учетом той специфики, которой и определяется современный рынок продажи средств и систем безопасности.

  В-четвертых, тактика внедрения новшеств в области защиты и обеспечения безопасности личности, информации и собственности. Современный мировой опыт конкуренции неопровержимо доказывает, что абсолютное большинство монополий, образовавшихся в последнее время, возникло на базе открытий, изобретений и др. новшеств, позволяющих создать новый, до этого не известный рынок с широкими возможностями и перспективой ускоренного развития, в т. ч. такого специфического, как торговля средствами и системами безопасности.

  В-пятых, тактика немедленного реагирования на потребности рынка в области обеспечения безопасности. Наличие платежеспособного спроса на конкретный вид продукции лишь в теории автоматически создает его предложение. На практике большинство современных предприятий не в состоянии обеспечить быстрый переход на выпуск новой необходимой продукции. Сегодня только предприятие, нацеленное на быстрое реагирование к немедленному переориентированию своей деятельности, а также к изменению своих масштабов по производству или сбыту в целях получения максимальной прибыли в короткий промежуток времени, способно выжить на рынке конкуренции. Главный критерий выбора такой тактики - адаптация своих возможностей к конкретным условиям рынка.

  В то же время хотелось бы отметить, что только через ценовую конкуренцию продавцы современных средств и систем безопасности влияют на их спрос, при увеличении которого и решается вопрос изменения их цены. Ценовая конкуренция минимизирует цену как фактор потребительского спроса, выделяя эту цену посредством совершенствования процесса продвижения (товародвижения), упаковки, поставки, сервиса, доступности и осуществления др. маркетинговых принципов. Чем уникальнее предложение производителя средств и систем безопасности с точки зрения ее технического совершенства и их ценовой привлекательности, тем больше у маркетологов свободы в установлении цены выше, чем у конкурентов. При этом: техническое совершенство средств обеспечения безопасности личности, собственности и информации можно измерить с помощью оценки их технического уровня исполнения относительно образца (аналога, идеального прообраза изделия), в т. ч.: показателя назначения; показателя надежности; показателя транспортабельности; эргономических и эстетических показателей, показателя безопасности в вопросах технической, экологической и других видов опасностей.

  Ценовая привлекательность средств безопасности измеряется на основе осуществления процесса сопоставления и может быть уточнена в ходе сравнения показателей коммерческих характеристик этих средств по сравнению с другими: качества, упаковки, марки, условий обслуживания и т. д. При сопоставлении условий реализации (товародвижения) средств безопасности на рынке необходимо принимать во внимание условия авансирования скидки по цене, условия платежа (предоплата), сроки поставки, гарантии и т. д.

  При этом каждый участник товародвижения средств и систем безопасности будет стремиться играть важную роль в установлении цены в целях увеличения собственного объема реализации, получения достаточной доли прибыли, создания подходящего образа, способствующего осуществлению повторных покупок или достижению специально поставленных целей. Если фирма в качестве своей основной цели выбирает максимизацию объема прибыли, то ее коммерческая политика определяется тем, насколько она может формировать цену реализации средств безопасности. Если фирма не является максималистом и должна исходить из неизменности цены на средства и системы безопасности, то она будет добиваться максимизации прибыли за счет варьирования объемом этой спецтехники. В зависимости от позиции, занимаемой той или иной фирмой в вопросах получения прибыли, их можно условно разделить на две группы:
  1. Фирмы, компании по производству, сбыту и продаже средств и систем безопасности личности, собственности и информации, формирующие цену на них (ценоискатели). Они обладают рыночной силой, достаточной, чтобы устанавливать свою объективную цену, отличной от цены конкурента. Такие ситуации характерны для рынков - монополистов конкуренции.
  2. Фирмы, компании, предприятия по сбыту и продаже средств и систем безопасности, следующие рыночным ценам (ценополучатели). Они обладают малой властью на рынке, чтобы проявлять собственную ценовую политику, и им не остается ничего иного, как продажа спецтехники по цене, сложившейся на рынке. Такие ситуации характерны для рынков, где не существует конкуренция и где доминируют фирмы-лидеры.

  Таким образом, можно констатировать, что фирмы первой группы могут и должны разрабатывать собственную ценовую политику, тогда как для фирм второй группы эта задача не актуальна.

  Вывод средств и систем безопасности в сферу реализации, сопровождаемый специальными маркетинговыми способами по товародвижению, во многом определяется объемом будущих продаж или поставок. В связи с этим представляется важным обоснование возможной стратегии позицирования средств безопасности, как и любого современного товара. Принципиальной основой для этого служит способ оценки вида ''цена - маркетинговые затраты'', которая включает в себя:

  1. Интенсивный маркетинг, который наиболее эффективен, если:

 покупатели в своей массе не осведомлены о спецтехнике, но те, кто знает о ней, не стоят за ценой;

 необходимо противостоять конкуренции и вырабатывать у потенциальных покупателей предпочтительное отношение к приобретению их средств безопасности.
В этом случае фирма (компания) устанавливает более высокую цену на эти средства и расходует больше финансов на стимулирование сбыта (продажи). Высокой ценой обеспечивается значительная прибыль, а большие усилия по стимулированию сбыта или продажи позволяют быстро проникнуть на рынок.

  2. Выборочное проникновение на рынок. Используется, когда:

 емкость рынка невелика;

 средства и системы безопасности большинству покупателей известны;

 покупатели готовы платить высокую цену за средства безопасности;

 интенсивность конкуренции невысока.
В данном случае цена устанавливается выше, чем в среднем у конкурентов при низких затратах на маркетинг.

  3. Широкое проникновение на рынок. Имеет смысл, когда:

 емкость рынка велика;

 покупатели плохо осведомлены о технических возможностях средств и систем безопасности;

 высокая цена неприемлема для большинства покупателей (пользователей, потребителей).
На рынке существует жесткая конкуренция, сопровождаемая постоянным увеличением масштабов производства этих систем и средств безопасности, из-за чего уменьшаются издержки и затраты.
Предпочтение в рамках данной стратегии отдается низкой цене и высоким затратам на маркетинг. Они наиболее успешны для быстрого выхода на рынок и захвата максимально возможной его доли (ниши). Что и произошло в России в середине 1996 года, когда средства и системы безопасности обрели свой реальный сектор на экономическом рынке.

  4. Пассивный маркетинг. Используется, если:

 емкость рынка велика;

 существует хорошая осведомленность о характере и технических возможностях средств (систем) безопасности;

 покупатель отказывается приобретать дорогие средства и системы безопасности;

 интенсивность конкуренции незначительна.
В этом случае низкая цена и незначительные расходы на стимулирование сбыта или продажи являются наиболее приемлемой альтернативой. К чему и должны стремиться современные фирмы России, чтобы освоить рынок реализации этих средств и систем безопасности, а также чтобы успешно решать задачи по охране и защите интеллектуальной собственности субъектов хозяйственной деятельности, исходя из оценки их реальных финансово-экономических возможностей.

  III. Традиционные методы анализа движения цен, используемые в ходе оценки фактических результатов реализации средств и систем безопасности личности, собственности и информации, необходимых для проведения гибкой ценовой политики, часто оказываются непригодными, когда необходимо предвидеть то или иное изменение цены. Главным препятствием для осуществления этого является наличие большого количества внешних факторов, определяющих цену и ее динамику, а также отсутствие точной информации о ценовой политике конкурентов. И тем не менее, применяя современные маркетинговые приемы, можно значительно снизить степень риска при принятии решений о величине и динамике цены конкретных видов (типов, моделей) средств и систем безопасности. Вот некоторые из них:

  1. Постоянное обобщение практики изменения цены, при которой динамика цен во многом будет определяться выработанной стратегией ценообразования, изложенной вкратце в разделе II настоящей статьи. В то же время стабилизация рынка, уменьшение восприимчивости потребителей к ценам могут быть достигнуты за счет: повышения их покупательской способности; поддержания лидерства в ценах; ''обескураживания'' новичков; борьбы с конкурентами, имеющими цены с низкой нормой прибыли; создания комфортных условий для среднестатистического покупателя; стимулирования интереса со стороны покупателей относительно предлагаемых средств защиты и безопасности; создания лояльного образа по отношению к конкурентам. Все это в конечном итоге позволит уточнить общие принципы ценовой политики с аналитической точки зрения. Однако на практике этого не всегда достаточно для определения направлений в изменении цен, т. к. главным в этом процессе является отсутствие необходимой информации о конкретных приемах и методах реализации целевых установок.

  2. Анализ неблагоприятных рыночных ситуаций, которые создаются из-за проблем формирования ценообразования и которые позволяют более полно решать поставленную задачу. Для этого реализуются и обобщаются конкретные рыночные ситуации и обстоятельства, являющиеся причиной серьезных экономических потерь: уменьшение объема продаж, прибыли, доли на рынке и т. п. Основными индикаторами подобных ситуаций могут быть:

 высокая инфляция, падение платежеспособности граждан и т. д.;

 цены занижены относительно цен конкурентов на аналогичные средства и системы безопасности, относительно реальной их стоимости и т. п.;

 цены чрезвычайно занижены, что приносит значительные убытки;

 предприятие выглядит как эксплуататор потребителей и надежный продавец;

 изменение цены происходит очень часто или очень редко и не учитывает изменения, происходящие на рынке;

 предприятие-производитель или оптовики перекладывают значительные финансовые сложности на его розничных покупателей;

 цена товара отражается негативно на репутации предприятия-производителя или на фирме-посреднике;

 цена средств и систем безопасности представляется большинству покупателей намного выше, чем они могут заплатить за них;

 ценовая политика не привлекает потребителей, для которых проектировался данный вид средств безопасности.
Обобщение реакций на вышеперечисленные ситуации должно служить основой для определения характера предстоящих изменений цен на реализуемую продукцию в области защиты информации.

  3. Изучение тактики предоставления скидок дает важную информацию о чувствительности потребителей и цены.
Состав, объем и условия предоставления скидок должны быть объектом постоянного внимания. Наиболее часто пользуются следующими скидками с цены:

 скидка на приобретаемое количество средств безопасности (оптовая скидка), которая производится за счет экономии на производственной себестоимости, расходов на складирование, транспортировку и продажу. На величину такой скидки оказывает влияние множество факторов. Наиболее существенные из них: объем разовой покупки (средств безопасности), скорость и объем капиталооборота по данному средству. Скидки на количество могут достигать 40-50%.

 бонусные скидки;

 персональные скидки;

 текущие скидки;

 вынужденные скидки, осуществляемые для уменьшения убытков, как правило, за счет складирования средств безопасности.

  В то же время если исходить из того, что цель конкурентной борьбы за рынок реализации средств безопасности в конечном итоге сводится к извлечению максимальной прибыли, а источником этой прибыли являются доходы потребителей (пользователей) этих средств и систем, то положение о том, что конкурентная борьба ведется за доходы потребителей, имеет практический смысл.

  Дело в том, что динамика доходов потребителей оказывает существенное влияние на спрос и предложения, в результате чего фирмы - продавцы спецтехники оказываются в ситуации, когда при прочих равных условиях только доходы основных пользователей (потребителей) определяют цены и объемы их реализации.

  При этом производитель средств и систем безопасности может получить больший контроль над ценой путем:

 использования системы монопольного товародвижения или минимизации сбыта через розничного продавца, продающего эти средства по сниженным ценам;

 заранее установленной и записанной в договоре цены на производимые средства и системы безопасности;

 открытия собственной специализированной розничной торговой сети магазинов;

 поставки средств безопасности на условиях консигнации;

 обеспечения достаточной доли прибыли для участников канала сбыта и реализации;

 представления приемлемых скидок для оптовых и розничных торговцев, а также потребителей (пользователей).

  Оптовые и розничные фирмы, занимающиеся реализацией средств безопасности и являющиеся участниками канала их сбыта, могут добиваться большего контроля над ценами с помощью реализации следующих мер:

 подчеркивая производителю свою важность как потребителя его продукции;

 связывая поддержку перепродажи (персональный сбыт) с долей высокой прибыли;

 отказываясь реализовывать невыгодные средства (системы) безопасности за счет их высокой себестоимости;

 сбывая конкурирующую продукцию и разрабатывая сильную дилерскую сеть.

  Далее необходимо отметить также то, что представленные направления по контролю изменения цен на средства и системы безопасности не исключают необходимость постоянной оценки фактической динамики изменения цен, происходящих вне рынка сбыта и реализации. Для принятия своевременных и адекватных решений в области ценообразования нужно обладать точной информацией, данными для которой могут являться:
1. Динамика объема продажи в натуральных и стоимостных измерениях, в т. ч. в сравнении с предыдущим годом, в сравнении с различными сегментами рынка и каналами реализации.
2. Изменение цен у конкурентов на различные типы средств (систем) безопасности.
3. Объем продаж по сниженным ценам, измеренный как процент от общей продажи или измеренный как процент от продажи по полной (реальной) цене.
4. Сегмент потребителей, получающих наибольший выигрыш от снижения цены.
5. Динамика затрат на маркетинг.
6. Мнение потенциальных покупателей по поводу продаваемых средств и систем безопасности.
7. Недовольство предлагаемой ценой со стороны потребителей или со стороны продавцов.
8. Изменение позиции потребителей (пользователей) относительно фирмы-конкурента и его цены.
9. Количество потерянных потребителей в сравнении с предыдущим периодом.

  Главным результатом анализа этой информации о ценах, получаемой из независимых источников и обрабатываемой с помощью различного инструментария, должно быть повышение эффективности ценовой политики за счет сокращения потерь, вызываемых ценовыми факторами, с одной стороны, и качеством информирования потребителей (пользователей) об этом - с другой стороны. В то же время, после того как ценовая стратегия начнет претворяться в жизнь на каналах реализации средств и систем безопасности, она, обычно, требует постоянной и точной ''подстройки'' для учета возникающих изменений в издержках, конкуренции и спросе. Цены могут приспосабливаться посредством изменений в прейскурантах (прайс-листах) в виде оговорок, наценок, дополнительных надбавок, скидок или компенсаций. Важно, чтобы цена использовалась как адекватный механизм воздействия на рынок сбыта и реализации, о чем и должен знать каждый продавец.

  В некоторых случаях издержки и экономические условия настолько динамичны, что нельзя эффективно печатать и распространять прейскуранты. В этих условиях могут использоваться оговорки о росте цен или наценки. При помощи оговорки фирма может определять свои продажные цены и на момент поставки. Наценки представляют собой общее публикуемое увеличение цен, которое дополняет прейскурант. Они часто используются с каталогами в силу своей простоты (вместе с каталогом распространяется специальный вкладыш или прайс-лист).

  В тех случаях, когда не используются справочные цены, дополнительные надбавки могут использоваться для повышения обычных розничных цен из-за неожиданного высокого спроса или роста издержек.

  В то время как производители спецтехники представляют скидки оптовой и розничной торговле на регулярной основе, они также могут периодически давать компенсацию наличными покупателю (пользователю), чтобы стимулировать реализацию этих средств и систем или отдельных их видов (типов). Компенсация носит гибкий характер, не меняет базисных справочных цен и увеличивает прямую связь между потребителями и производителями (продавцами). Во всех случаях, когда необходимо изменение цены, участники каналов реализации средств (систем) безопасности личности, собственности и информации должны взаимодействовать друг с другом для определения роли в этом процессе каждого из них. Повышение или понижение цены не должно вводиться в одностороннем порядке.

  При определении уровня цены покупатель средств или систем безопасности обычно должен ориентироваться на два вида цен: публикуемые и расчетные. Публикуемые цены - это цены, сообщаемые в специальных источниках. Они, как правило, отражают уровень мировых цен. Мировая цена, объективно отражающая стоимость товара, в том числе и средств (систем) безопасности, характеризуется следующими признаками:

 это цена, по которой осуществляются крупные экспортные и импортные сделки на условиях, обычных для большинства товарных рынков;

 это цена, используемая в регулярных сделках на важнейших ценовых или товарных рынках;

 это цена средств (систем) в таких сделках платежей, которые ведутся в твердой свободноконвертируемой валюте.

  Практически, мировые цены - это экспортные цены основных продавцов или поставщиков средств (систем) безопасности в важнейших центрах импорта этих средств (систем).

  К публикуемым ценам относятся:

 Справочные цены, биржевые котировки, цены акционеров, цены, приводимые в общих статистических справочниках, цены фактических сделок, ценовые предложения производителей. Под справочными ценами понимаются цены во внутренней ценовой или внешней торговле, публикуемые в различных печатных изданиях (в т. ч. компанией ''Гротек'', осуществляющей издание каталога современных средств и систем безопасности).

 Расчетные цены - это второй вид цены. Они применяются в контрактах на поставку нестандартного оборудования, каковыми и являются средства (системы) безопасности. Поэтому цены на них рассчитываются и обосновываются производителями и поставщиками для каждого конкретного заказа с учетом технических и коммерческих условий данного заказа и, прежде всего, с учетом всех возникающих затрат, а также кредитной составляющей цены. Покупатель (потребитель, пользователь) должен знать, что при множественности методов учета затрат, определяющих цену средства (системы) безопасности как в отечественной, так и в зарубежной практике их производства, можно выделить наиболее встречаемое деление затрат (издержек, расходов) на условно-постоянные и условно-переменные.

  К первым относятся те, сумма затрат (издержек, расходов) которых не изменяется или изменяется в неадекватной степени по мере увеличения или уменьшения объема производства и реализации средств (систем) безопасности на рынке сбыта. К их числу относятся затраты на освоение и наладку производства изделий спецтехники, научно-исследовательские и опытно-конструкторские работы, управленческие расходы, затраты на рекламу и т. д. Условно-переменные расходы (затраты, издержки) включают стоимость используемого сырья и материалов, энергетических и других ресурсов, производственного оборудования, заработной платы или оплаты труда рабочих, транспортные расходы и т. д. Эти материальные и нематериальные затраты (расходы, издержки) оцениваются в соответствии с ''Положением о составе затрат по производству и реализации продукции, включаемых в себестоимость продукции (работ, услуг)'', утвержденным приказом Министра финансов РФ от 5 августа 1992 года № 000. Примерная структура издержек может выглядеть так:

  1. Материальные и нематериальные затраты на производство:

 прямые затраты, в том числе: на сырье, материалы, комплектующие, заработную плату, упаковку;

 другие расходы и затраты:

 амортизация основных материальных фондов; реклама; выплата процентов по кредитам и др. операционные, управленческие и торгово-административные издержки.
  2. Цена производителя.
  3. НДС.
  4. Цена с НДС.
  5. Средняя наценка в оптовой торговле.
  6. Средняя оптовая цена.
  7. Средняя наценка в розничной торговле.
  8. Средняя розничная цена.

  Все вышеперечисленное и определяет порядок формирования реальной себестоимости (ценообразования) современных средств и систем безопасности личности, собственности и информации.

  IV. Увеличение объема производства и реализации средств (систем) безопасности не вызывает изменения условно-постоянных затрат (расходов, издержек), которые остаются практически неизменными, условно-переменные затраты при этом постоянно повышаются. Но так как со временем повышается и количество производимых средств (систем), то на их производимую единицу падает меньшая доля условно-постоянных затрат, что приводит к снижению общего уровня издержек на единицу такой продукции. Этому же способствует и возможность применения более эффективной технологии, специального оборудования и оснастки. В результате повышается рентабельность производства и сбыта, что обеспечивает фирме-продавцу дополнительный резерв для снижения цены в виде скидки с нее на объем поставки (торговли). Чем выше в структуре затрат удельный вес условно-постоянных расходов, тем больше количественная зависимость уровня издержек производства (продажи) единицы продукции и ее цены от изменения масштаба производства и объема реализации.

  В то же время все виды затрат (издержек, расходов), влияющих на себестоимость (цену) средств и систем безопасности, можно условно разделить на три группы:

 затраты, связанные с производством;

 затраты, связанные с закупкой у производителя (поставщика);

 затраты, связанные с распределением (сбытом, реализацией).

  В случае, когда сравнительный анализ издержек (расходов, затрат) показывает превосходство конкурентов по каким-то видам (типам) средств безопасности, фирмой-продавцом должны быть разработаны меры по снижению этих затрат. Так, если фирма (поставщик) занимается сбытом средств и систем безопасности личности, собственности и информации, для нее наибольшее значение приобретает снижение затрат, связанных с их закупкой у производителей (продавца), и эта задача может решаться по следующим направлениям:

 переговоры с производителями или поставщиками о более приемлемых ценах, оказание им помощи для снижения их издержек;

 вертикальная интеграция как способ установления контроля над издержками (затратами, расходами);

 экономия транспортных расходов на доставку сырья, материалов и самих средств безопасности на рынок сбыта и реализации;

 экономия по другим группам затрат для снижения общих издержек, если невозможно снижение затрат по одной из групп;

 экономия по всем функциональным бюджетам фирм-производителей или продавцов спецтехники, в т. ч. на маркетинге, менеджменте, инженерном мониторинге, некоторых видах НИОКР, зарплате персонала и т. п.;

 повышение производительности труда в сфере производства или торговли;

 поиск возможной кооперации, которая позволила бы снизить издержки по сравнению с изготовлением и реализацией средств (систем) безопасности собственными силами;

 модификация производимых средств (систем) безопасности для снижения затрат по их производству или переход на новую технологию.

  И наконец, если наибольшее значение приобретает снижение затрат в сфере коммерческого распределения и сбыта средств безопасности, тогда должны быть рассмотрены следующие направления деятельности:

 установление более благоприятных взаимоотношений с участниками каналов реализации продукции средств и систем безопасности;

 переход к более экономичной стратегии реализации, включая возможность вертикальной интеграции;

 экономия по другим видам затрат для снижения разницы в общих издержках.

  В заключение хотелось бы отметить, что своевременное и качественное применение в своей деятельности сравнительного анализа возникновения издержек (расходов, затрат) поможет и производителям, и посредникам, и покупателям средств (систем) безопасности определить те статьи и группы затрат, которые имеют наибольшее значение для реализации стратегии обеспечения безопасности, а также наметить конкретные шаги по созданию конкурентных преимуществ или по ликвидации преимущества предприятия-конкурента в этой области деятельности.

Заключение

Для эффективного функционирования системы информационной безопасности необходима организационная структура, которая нацелена в будущее. С ее помощью компании, простые люди, общественные организации смогут сделать безопасность одним из компонентов общей стратегии и планирования деятельности, эффективно управлять средствами и ресурсами и повышать доверие друзей, партнёров, клиентов, инвесторов, врагов, и других человеческих особей.

P. S. В общем, отсюда можно сделать два вывода: либо информация нас погубит, либо о ней надо меньше думать