Информационная безопасность и библиотеки

Генова А.С., ведущий библиотекарь отдела информационного сопровождения интернет-портала РНТБ

В настоящее время человечество уверенно вступило в новую высокотехнологичную «информационную эру», характеризующуюся тотальным господством цифровых технологий, невероятно динамичным развитием информационно-коммуникационной сферы и всеобъемлющей информатизацией повседневной деятельности человека (компьютеры, мобильная связь, Интернет, социальные медиа, «умные» дома и города и пр.).

Однако развитие Интернета, открывшего для человечества невиданные ранее возможности в сфере информации и коммуникаций, сопровождается также невиданными ранее рисками, угрозами и вызовами. Основные из них – это появление информационного криминала (киберпреступности), противоправные действия по отношению к объектам информационной инфраструктуры, хакерство, информационный вандализм и терроризм на внутригосударственном и международном уровнях.

Таким образом, массовая цифровизация повлекла за собой начало так называемой «эпохи информационных войн» и появление новых технобиосоциальных угроз, на фоне чего все больше возрастает потребность в защите информации. Любая организация постоянно накапливает определенный объем всевозможной конфиденциальной информации – о своих продуктах, клиентах, сотрудниках, научных исследованиях и др. Попадание этих данных в руки конкурентов или киберпреступников может повлечь для организации и ее клиентов далекоидущие юридические последствия, а также финансовые и репутационные потери.

Поэтому организации, в силу высокой ценности информации для их функционирования, должны применять на практике политику информационной безопасности, а в идеале и нанимать в штат сотрудников – специалистов по данному профилю. Их задача – обезопасить все технологии от вредоносных кибератак, нацеленных на хищение значимой конфиденциальной информации или на перехват управления внутренними системами организации.

Ввиду этого информационная безопасность как сфера деятельности в последние годы стала чрезвычайно актуальной и продолжает свое дальнейшее стремительное развитие.

Библиотечные учреждения не исключение. Более того, они имеют самое прямое отношение к соблюдению сохранности огромных объемов важных объектов информации. Они собирают, систематизируют информацию и обеспечивают ее сохранность, организовывают доступ к накопленным информационным ресурсам и навигацию в них.

Двигаясь в ногу с цифровым прогрессом, сегодня библиотека осознанно выходит за свои физические границы – из реального пространства в виртуальное. С одной стороны, она создает электронные информационные ресурсы (базы и банки данных, коллекции оцифрованных документов, все виды архивов, веб-сайты и веб-порталы), доступные за ее физическими стенами. С другой – предлагает доступ к информационным ресурсам, принадлежащим другим субъектам информационного пространства, в том числе представленным в сети Интернет. Наконец, библиотека активно предоставляет виртуальные услуги по поиску информации и необходимых знаний.

Изменилась и технология работы современной библиотеки: она не отстает от мировых процессов по внедрению цифровых технологий в свою работу и уже превратилась в сложную автоматизированную систему. Модернизация, информатизация и автоматизация становятся неотъемлемыми условиями ее функционирования, для чего, соответственно, необходимо привлечение специалистов в области информационно-коммуникационных технологий и компьютерной техники.

Основу информационного пространства библиотек составляют различные информационные ресурсы: базы и банки данных, информационные продукты, услуги и др.

Наряду с этим библиотека в полной мере испытывает «обратную сторону автоматизации» – потери и уничтожение важных данных, которые связаны с недостаточным вниманием к вопросам информационной безопасности.

Следовательно, деятельности по обеспечению защиты этой информации – принятию комплексных мер по защите данных, а также правил построения эффективной политики безопасности – в библиотеке должно уделяться особое внимание.

Возможные причины повреждения данных: неумышленная ошибка человека – в 52 % случаев, умышленные действия человека – в 10 % случаев, отказ техники – в 10 % случаев, повреждения в результате пожара – в 15 % случаев, повреждения водой – в 10 % случаев.

Из данной статистики следует, что каждый десятый случай повреждения данных связан с вопросами информационной безопасности.

Разберемся в сути самого понятия «информационная безопасность».

Информационная безопасность (англ. information security) – это практика предотвращения несанкционированного доступа, использования, раскрытия, искажения, изменения, исследования, записи или уничтожения информации. Важно понимать, что организация информационной безопасности – это не единичное действие и не набор действий, а постоянный и непрерывный процесс.

В основе информационной безопасности лежит деятельность по защите информации – обеспечению ее конфиденциальности, доступности и целостности данных, а также недопущению какой-либо компрометации в критической ситуации.

Конфиденциальность – это обеспечение доступа к информации только авторизованным пользователям. Ее нарушение называется хищением либо раскрытием информации.

Целостность – это обеспечение достоверности и полноты информации и методов ее обработки, гарантия того, что информация существует в ее исходном виде, то есть при ее хранении или передаче не было произведено несанкционированных изменений. Ее нарушение называется фальсификацией.

Доступность – это обеспечение доступа к информации авторизованных пользователей по мере необходимости. Ее нарушение – это копирование, утрата (неумышленная потеря, утечка) или блокирование информации.

Деятельность библиотек сопряжена с циркуляцией больших объемов данных, которые производятся широким кругом лиц. Защита этих данных от несанкционированного доступа (взлома) является одной из приоритетных задач при проектировании любой информационно-вычислительной системы.

Взлом – это неразрешенное вмешательство в работу информационной инфраструктуры. Результатом взлома становится искажение информации. Это может быть загрузка на атакуемые ЭВМ новой информации или программного обеспечения, изменение данных и программного обеспечения, копирование на информационные носители данных с ЭВМ жертвы, уничтожение информации на ЭВМ жертвы, отказ в обслуживании (произведение действий, в результате которых ЭВМ жертвы не сможет выполнять возложенных задач).

Все вторжения можно разделить на пять основных классов в зависимости от цели нападения.

• Аппаратные средства. Рабочие станции, серверы, принтеры, дисковые накопители, сетевые кабели и другие сетевые устройства: мосты, маршрутизаторы, коммутаторы и пр.
• Программное обеспечение. Любое программное обеспечение, работающее на компьютере в сети, обладает потенциальной возможностью получения данных для злоумышленника, поэтому операционные системы и программы нуждаются в регулярной установке обновлений и исправленных версий.
• Данные, которые создаются или используются в сети. Их разглашение может нанести определенный ущерб для библиотеки.
• Люди. В группу риска входят все пользователи, имеющие доступ к сети библиотеки, к любому подключенному к ней компьютеру или устройству.
• Документы. Пароли доступа записываются на бумажках; отчеты, содержащие конфиденциальную информацию, распечатываются, а потом используются для черновиков. Лучше измельчить эти бумаги на мелкие кусочки или сделать их нечитаемыми другим способом и только потом выбросить.

Предотвращение неавторизованного доступа к сетевым ресурсам означает невозможность физического доступа к компонентам информационно-вычислительной системы – рабочим станциям, серверам, сетевым устройствам и т.п. Оборудование в помещении библиотеки должно находиться под пристальным наблюдением. Когда сетевое соединение выходит за пределы организации (например, в точке подключения к внешнему провайдеру Интернета), то физический контроль за сетью теряется. Тогда остается полагаться на методы шифрования и туннелирования данных.

На заметку: от угроз вторжения нельзя защититься даже оффлайн. Существуют и активно применяются методы взлома и оффлайн-машин.

Как ни странно, но один из верных способов противостояния несанкционированному доступу – это обычный дверной замок. Серверы с важными данными, маршрутизаторы, концентраторы, коммутаторы не должны стоять открыто на столе или в незапертой комнате, куда может зайти кто-то помимо ответственного за них сотрудника. Кабинеты с рабочими компьютерами аналогично должны закрываться на замок или находиться под постоянным наблюдением. В идеале доступ в подобные помещения должен контролироваться путем регистрации в журнале.

Это же касается и технологии резервирования данных. Такие объекты, как резервные носители, ленты или перезаписываемые компакт-диски, должны быть защищены так же, как и исходные данные. Нельзя допускать хранения резервных копий данных на сервере (рабочей станции) в открытой папке, в виде физических носителей на столе или в незапертом ящике.

Необходимо ограничивать программный доступ к сети. Независимо от того, насколько хорошо налажен контроль доступа к сети, всегда найдется человек, который нарушит эту защиту. Поэтому необходимо иметь возможность проследить сетевые события и определить по ним, не пытался ли кто-то вторгнуться в сеть и насколько ему это удалось.

Следует в обязательном порядке придерживаться базовых правил по защите данных:

• необходимо делать копии важной информации (копий рабочих данных должно быть не менее 2-х, критических данных – не менее 4-х);
• обязательно устанавливать антивирусное программное обеспечение (ПО), но при этом не стоит забывать, что предел возможностей антивирусов хронологически и функционально ограничен, и они не могут на 100 % защитить компьютер от всех угроз;
• целесообразно закрывать доступ к общим папкам и разграничивать сети, т.к. многие вирусы могут атаковать через сеть и через общедоступные ресурсы;
• на компьютерах должно быть установлено минимальное количество ПО. Неуязвимого ПО нет, и чем меньше «софта», тем меньше потенциальных проблем (этот же принцип касается служб, запущенных на компьютерах, – только необходимые для работы);
• регулярно проводить профилактические работы.

Политика информационной безопасности данных библиотеки – это не просто комплекс средств, но и комплекс мер, направленных на предотвращение потерь данных и защиту информационных процессов, включающий в себя определенные требования к персоналу, пользователям и техническим службам.

Обеспечение информационной безопасности требует постоянной работы и пристального внимания. В обычной обстановке эта работа заключается в предсказании возможных действий злоумышленников, планировании мер защиты и постоянном обучении пользователей. Если же вторжение состоялось, то ответственный за безопасность должен обнаружить брешь в системе защиты, ее причину и метод вторжения.

Защита информационных ресурсов должна четко соответствовать международным, национальным, корпоративным и методическим требованиям. Во многих библиотеках сегодня применяются дорогостоящие технические решения и реализуются регламентированные организационные мероприятия. Однако всегда нужно анализировать, насколько предлагаемое или уже реализованное решение хорошо, какова его планируемая или реальная эффективность.

Грамотной практикой, зарекомендовавшей себя наравне с инструктажем по технике безопасности на рабочем месте, является регулярное повторное ознакомление сотрудников библиотеки с данной политикой. В этом случае сотрудники будут осознавать, что с правом доступа к информационно-вычислительной системе учреждения на них возлагается и строгая ответственность.

Нельзя обеспечить необходимый уровень защиты данных, реализуя мероприятия по информационной безопасности бессистемно. Чтобы сотрудники осознали приоритетность мероприятий по повышению уровня безопасности, необходимо разработать механизм управления рисками информационной безопасности, что позволит направить все усилия на защиту от наиболее опасных угроз и минимизацию затрат.

Формируя политику обеспечения безопасности, ответственный сотрудник прежде всего проводит инвентаризацию ресурсов, защита которых планируется. Затем он идентифицирует пользователей, которым требуется доступ к каждому из этих ресурсов, и устанавливает наиболее вероятные источники опасности для каждого из этих ресурсов.

Располагая этой информацией, можно приступать к построению политики обеспечения информационной безопасности, которую пользователи будут обязаны выполнять.

Политика обеспечения информационной безопасности обычно включает в себя следующие элементы:

Оценка риска. Что именно защищается и от кого? Нужно идентифицировать информационные ресурсы и возможные источники проблем.

Ответственность. Необходимо указать ответственных за принятие тех или иных мер по обеспечению информационной безопасности, начиная от утверждения новых учетных записей пользователей и заканчивая расследованием нарушений.

Правила пользования информационно-вычислительными ресурсами. Должно быть прямо сказано, что пользователи не имеют права использовать информацию не по назначению, а также намеренно причинять ущерб размещенной в сети информации.

Юридические аспекты. Необходимо проконсультироваться с юристом и выяснить все вопросы, которые могут иметь отношение к хранящимся или циркулирующим в сети данным, и включить эти сведения в документы.

Процедуры по восстановлению системы защиты. Следует указать, что должно быть сделано в случае нарушения системы защиты и какие действия будут предприняты против тех, кто стал причиной такого нарушения.

Разработка политики информационной безопасности завершается ее утверждением в администрации библиотеки и детальным документированием. Затем должна следовать активная реализация всех указанных в плане составляющих. Для напоминания пользователям о важности обеспечения информационной безопасности можно разослать копии этого документа по всей библиотеке, чтобы установленные правила всегда были перед глазами сотрудников.

Все пользователи (сотрудники библиотек, читатели) обязаны использовать информационно-вычислительные ресурсы квалифицированно, эффективно, придерживаясь норм этики и соблюдая правила политики информационной безопасности, где бы эти пользователи ни находились. Нарушение этой политики влечет за собой дисциплинарные взыскания, вплоть до привлечения к административной или уголовной ответственности.

Администрация библиотеки имеет право проверять любую или все составляющие информационно-вычислительной и компьютерной системы, в том числе электронную почту, с целью гарантии соблюдения политики безопасности.

Пользователям следует руководствоваться мерами предосторожности в отношении всех компьютерных и телекоммуникационных ресурсов и служб, которые включают в себя (но не ограничиваются ими): серверы, рабочие станции, мобильные компьютеры, программное обеспечение, внутренние и внешние сети связи (Интернет, коммерческие интерактивные службы и системы электронной почты).

Пользователи должны соблюдать условия всех программных лицензий, авторское право и законы, касающиеся интеллектуальной собственности.

Запрещается пересылать по электронной почте или с помощью других средств электронной связи, а также отображать и хранить на ресурсах библиотеки неверные, навязчивые, непристойные, клеветнические, оскорбительные, угрожающие или противозаконные материалы, а также разрушительные программы (вирусы, самовоспроизводящиеся коды). Не разрешается устанавливать на компьютерах и в сети библиотеки программное обеспечение без разрешения системного администратора. Пользователи, заметившие или получившие подобные материалы, непременно должны сообщить об этом инциденте сотруднику библиотеки либо своему руководителю.

Пользователям запрещается изменять и копировать любые файлы, принадлежащие другим пользователям, без разрешения владельцев файлов.

Пользователь несет ответственность за сохранность своих паролей для входа в информационную систему библиотеки. Запрещается распечатывать, хранить в сети или передавать другим лицам индивидуальные пароли, поскольку пользователи несут ответственность за все транзакции, которые кто-либо совершит с помощью их пароля.

Необходимо подчеркнуть, что во многих библиотеках системы информационной безопасности строятся по принципу «все запретить», но это также неконструктивное решение, так как вызывает неудобства в работе сотрудников и читателей и, поскольку данные и знания перестают быть доступными, может стать тормозом развития. Необходимо стремиться к оптимальному сочетанию ограничений и свободы обмена информацией внутри и вне библиотеки.

Незыблемые постулаты обеспечения информационной безопасности:

1. Абсолютную защиту создать нельзя.
2. Система защиты данных должна быть комплексной.
3. Система защиты данных должна быть адаптируемой к изменяющимся условиям.

В заключение следует отметить, что построение эффективной системы информационной безопасности в библиотеке – это сложный и непрерывный процесс, от которого зависит наличие тех или иных ресурсов и их работа. Чтобы построить такую систему грамотно, надо привлекать к участию в ее создании много разных специалистов: администрацию, сотрудников, консультантов по данному вопросу, технических экспертов. Создание эффективного механизма управления информационной безопасностью позволит принимать обоснованные решения и поддерживать бесперебойное функционирование ресурсов библиотеки.

Список использованных источников

1. Википедия – свободная энциклопедия [Электронный ресурс]. – Режим доступа: https://ru.wikipedia.org/wiki/Информационная_безопасность. – Дата доступа: 16.09.2021.
2. Гендина, Н. И. Интернет и библиотеки: апокалипсис или ренессанс? [Электронный ресурс] / Н. И. Гендина // Унив. кн. – 2015. – №. 3. – С. 50-55. – Режим доступа: http://www.unkniga.ru/biblioteki/bibdelo/4277-internet-i-biblioteki-apokalipsis-ili-renessans.html. – Дата доступа: 17.09.2021.
3. Карауш, А. С. Сервер – под замок, или Как минимизировать риски [Электронный ресурс] / А. С. Карауш // Библ. дело. – 2007. – №. 2 (50). – Режим доступа: http://www.bibliograf.ru/issues/2007/2/66/0/655/. – Дата доступа: 16.09.2021.
4. Колин, К. К. Гуманитарные проблемы информационной эпохи: новые угрозы и вызовы для человека и общества / К. К. Колин // Сборник материалов XVI конференции «Наука. Философия. Религия»: Человек перед вызовом новейших информационных и коммуникативных технологий (г. Дубна, 21-22 октября 2013 г.). – М., 2014. – С. 30-41.
5. Нестеров, С. А. Основы информационной безопасности : учеб. пособие / С. А. Нестеров. – Изд. 4-е, стер. – СПб. [и др.] : Лань, 2018. – 321 с. : ил., табл., схемы. – (Учебники для вузов. Специальная литература) (Библиотека высшей школы). – Библиогр.: с. 319-321 (31 назв.).
6. Свергунова, Н. М. Информационная безопасность библиотек [Электронный ресурс] / Н. М. Свергунова // Научная библиотека Орловского государственного университета имени И. С. Тургенева : сайт. – Режим доступа: http://library.oreluniver.ru/docs/publ_sotr/Informacionnay%20bezopasnosti.pdf. – Дата доступа: 16.09.2021.