(принцип непрерывности функционирования системы защиты)
Защита информации - не разовое мероприятие, а непрерывный целенаправленный процесс, предполагаемый принятие соответствующих мер на всех этапах жизненного цикла защиты системы. Разработка системы защиты должна начинаться с момента проектирования системы, а ее адаптация и доработка - на протяжении всего времени функционирования системы.
4.Системность организационная
Единство организации всех работ по защите информации и их управления.
Комплексность подхода
Комплексное использование широкого спектра мер, методов и средств защиты информационных систем предполагает согласованное применение разнородных средств защиты при обеспечении информационной безопасности. Данный принцип предполагает учет всей совокупности возможных угроз при реализации систем защиты.
Принцип разумной достаточности
Создать абсолютно непреодолимую системы защиты принципиально невозможно. Поэтому при проектировании системы безопасности имеет смысл вести речь о некотором ее приемлемом уровне. При этом необходимо понимать, что высокоэффективная система защиты дорого стоит, может существенно снижать производительность защищаемого объекта и создавать ощутимые неудобства для пользователя. Важно правильно выбрать тот уровень защиты, при котором затраты, риск взлома и размер возможного ущерба были бы приемлемыми.
Принцип разумной избыточности
Особенностью функционирования системы защиты является уровень защищенности непрерывно снижается в процессе функционирования системы. Это вызвано тем, что любая атака на систему (как успешная, так и нет) дает информацию злоумышленнику. Накопление информации приводит к успешной атаке. Данное утверждение находятся в противоречии с принципом разумной достаточности. Выход в компромиссе: на этапе разработки системы защиты в нее должна закладываться некая избыточность, которая позволила бы увеличить срок ее жизнеспособности.
Принцип гибкости управления и применения (адаптивность)
Как правило, система защиты проектируется в условиях большой неопределенности. Поэтому устанавливаемые средства защиты могут обеспечивать как чрезмерный, так и достаточный уровень защищенности. В связи с этим должны быть реализованы принципы гибкости управления, обеспечивающие возможность настройки механизмов в процессе функционирования системы.
Открытость алгоритмов и механизмов защиты
Суть состоит в том, что защита не должна обеспечиваться только за счет секретности структурной безопасности и алгоритмов функционирования ее подсистемы. Знание алгоритмов работы системы защиты не должно давать возможность преодоления этой системы.
Простота применения защиты, средств и мер
Механизмы защиты должны быть интуитивно понятны и просты в использовании. Они должны обладать интуитивно понятным интерфейсом, автоматической и автоматизированной настройкой. Система защиты должна по возможности минимально мешать работе пользователей, поэтому должна функционировать в «фоновом» режиме, быть незаметной и ненавязчивой.
Унификация средств защиты
Современные системы защиты отличаются высоким уровнем сложности, что требует высокой квалификации обслуживающего персонала. С целью упрощения администрирования систем безопасности целесообразно стремиться к их унификации по крайней мере в пределах предприятия.
Понятие защищенности в автоматизированных системах
Защищенность является одним из важнейших показателей эффективности функционирования автоматизированных систем обработки данных (АСОД) наряду с такими показателями как производительность, надежность, отказоустойчивость и т.п.
Под защищенностью АСОД будем понимать степень адекватности реализованных в ней механизмов защиты информации, существующей в данной среде функционирования, связанной с осуществлением угроз безопасности информации.
На практике всегда существует большое количество не поддающихся точной оценке возможных путей осуществления угроз безопасности в отношении ресурсов АСОД. В идеале каждый путь осуществления угрозы должен быть перекрыт соответствующим механизмом защиты. Данное условие является первым фактором, определяющим защищенность АСОД.
Вторым фактором является прочность существующего механизма защиты, характеризующаяся степенью сопротивляемости этих механизмов попыткам их обхода или преодоления.
Третий фактор - величина ущерба, наносимого владельцу АСОД в случае успешного осуществления угроз безопасности.
Меры и средства защиты информации
На настоящий момент меры защиты информации можно разделить на следующие виды:
1.Правовые (законодательные). Определяются законодательными актами страны, которыми регламентируется правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Применительно к России: Конституция, доктрина информационной безопасности, кодексы, законы, указы президента, постановления правительства, ГОСТы в области защиты информации.
2.Морально-этические. К ним относятся нормы поведения, которые традиционно сложились по мере распространения сетевых и информационных технологий.
3.Организационные (административные). Представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации аппаратуры телекоммуникаций для обеспечения защиты информации.
4.Технические. Реализуются в виде механических, электрических и электронных устройств, предназначенных для препятствования проникновению и доступу потенциального нарушителя к компонентам защиты.
5.Программные. Представляют из себя программное обеспечение, предназначенное для выполнения функций защиты информации.
Правовое обеспечение информационной безопасности
Как сфера правового регулирования информационная сфера представляет собой совокупность субъектов, осуществляющих информационную деятельность, объектов права, по отношению к которым или в связи с которыми эта деятельность осуществляется и социальных отношений, регулируемых правом или подлежащих правовому регулированию.
1.Формирование правосознания граждан по обязательному соблюдению правил защиты конфиденциальной информации.
2.Определение мер ответственности за нарушение правил защиты информации.
.Придание юридической силы технико-математическим решениям в вопросах организационно-правового обеспечения защиты информации.
.Придание юридической силы процессуальным процедурам разрешения ситуаций, складывающихся в процессе функционирования системы защиты.
К правовым мерам относят нормы законодательства, касающиеся вопросов обеспечения безопасности информации. В отрасль законодательства, регулирующую информационные отношения, включаются:
1.Законодательство об интеллектуальной собственности.
2.Законодательство о средствах массовой информации.
.Законодательство о формировании информационных ресурсов и предоставлении информации из них
.Законодательство о реализации права на поиск, получение и использование информации.
.Законодательство о создании и применении информационных технологий и средств их обеспечения.
В отрасли права, акты которых включают информационно-правовые нормы, входят конституционного право, административное право, гражданское право, уголовное право и предпринимательское право.
В соответствии с действующим законодательством информационные правоотношения - это отношения, возникающие при:
1.При формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации.
2.При создании и использовании информационных технологий и средств их обеспечения.
.При защите информации и прав субъектов, участвующих в информационных процессах и информатизации.
Основы законодательства РФ в области информационной безопасности и защиты информации
Федеральный закон «Об информации, информационных технологиях и о защите информации» классифицирует информацию в зависимости от категорий доступа к ней и от порядке ее предоставления или распространения. В соответствии с ней по порядку предоставления или распространения информация подразделяется на:
1.Свободно распространяемую.
2.Предоставляемую по соглашению лиц, участвующих в соответствующих отношениях.
.Подлежащую предоставлению или распространению в соответствии с федеральными законами (например, сведения об имущественном положении кандидата в депутаты).
.Ограничиваемую или запрещаемую к распространению в Российской Федерации.
По категориям доступа информация подразделяется на общедоступную информацию и информацию ограниченного доступа, т.е. такую информацию, доступ к которой ограничен федеральными законами. Информация ограниченного доступа подразделяется на сведения, представляющие собой:
.Государственную тайну
2.Коммерческую тайну
.Служебную тайну
.Профессиональную тайну
.Персональные данные граждан (физических лиц)
Упомянутый федеральный закон также определяет перечень сведений, доступ к которым не может быть ограничен:
1.Нормативные правовые акты, затрагивающие права, свободы и обязанности человека и гражданина, а также устанавливающие правовое положение организаций и полномочия государственных органов, а также органов местного самоуправления.
2.Информацию о состоянии окружающей среды
.Информацию о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных средств за исключением сведений, составляющих государственную или служебную тайну.
.Информацию, накапливаемую в открытых фондах библиотек, музеях и архивах, а также в государственных муниципальных и иных информационных системах, созданных или предназначенных для обеспечения граждан и организаций такой информацией.
.Иную информацию, недопустимость ограничения доступа к которой установлена федеральными законами.
Важным элементом информационных ресурсов является государственная тайна, отнесенная по условиям правового режима к документированной информации ограниченного распространения. Термин «документальная информация» означает зафиксированную на материальном носителе путем документирования информацию с реквизитами, позволяющими определить такую информацию или в установленных законодательством РФ случаях ее материальный носитель. Понятие «документированная информация» основано на двуединстве информации, т.е. сведений и материального носителя, на котором она отражена в виде символов, знаков, букв, волн или других способов отображения.
По сути, документированная информация представляет собой обыкновенные данные, а подход, отождествляющий информацию и данные, носит название «техноцентрический».
Государственная тайна в соответствии с законом РФ «О государственной тайне» это защищаемые государством сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности РФ.
Режим защиты государственной тайны - важнейший элемент системы государственного управления. Правовой институт государственной тайны - это признанный всеми странами институт регулирования информационных и общественных отношений. Последний имеет три составляющие:
1.Сведения, относимые к определенному типу данных, а также принципы и критерии, по которым сведения классифицируются как тайна.
2.Режим секретности (конфиденциальности). Это механизм ограничения доступа к указанным сведениям, т.е. механизм защиты.
.Санкции за неправомерное получение и/или распространения этих сведений.
Модель определения государственных секретов обычно включает в себя следующие существенные признаки:
.Предметы, явления, события, области деятельности, составляющие государственную тайну
2.Противник (данный или потенциальный), от которого в основном осуществляется защита государственной тайны
.Указания в законе перечня инструкций и сведений, составляющих государственную тайну
.Наносимый ущерб обороне, внешней политике, экономике, научно-техническому прогрессу страны и т.п. в случае разглашения или утечки сведений, составляющих государственную тайну.
Важным признаком государственной тайны является степень секретности сведений, составляющих государственную тайну. Принята следующая система обозначения сведений: «Особой важности», «Совершенно секретно», «Секретно». Содержащиеся под этими грифами сведения являются государственной тайной.
К сведениям особой важности следует относить такие сведения, распространение которых может нанести ущерб интересам РФ в одной или нескольких областях деятельности.
К совершенно секретным сведениям следует относить такие сведения, распространение которых может нанести ущерб интересам министерства, ведомства или отраслям экономики РФ в одной или нескольких областях деятельности.
К секретным сведениям следует относить все иные из числа сведений, составляющих государственную тайну. В данном случае ущерб может быть нанесен интересам предприятия, учреждения или организации.
Понятие «режим секретности» тесно связано с понятием защиты информации и является реализацией системы защиты информации для конкретного объекта или одного из его структурных подразделений или конкретной работы.
Под системой защиты государственной тайны понимается совокупность органов защиты государственной тайны, используемых ими средств и методов защиты сведений, составляющих государственную тайну и их носителей, а также мероприятий, проводимых в этих целях.
Конфиденциальная информация и ее защита
С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации приобретают все большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Федеральный закон «Об информации, информационных технологиях и о защите информации» не определяет ни виды конфиденциальной информации, ни перечень сведений, которые могут составлять конфиденциальную информацию. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством РФ.
Коммерческая тайна
Правовой основой охраны сведений, составляющих коммерческую тайну, является федеральный закон «О коммерческой тайне» и гражданский кодекс РФ. Признаки информации, которая может составлять коммерческую тайну, послужили основой для разработки положений федерального закона О коммерческой тайне»:
1.Действительная или потенциальная коммерческая ценность в силу неизвестности ее третьим лицам
2.Отсутствие к ней свободного доступа на законном основании
.Принятие обладателем информации надлежащих мер по ее охране
Коммерческая информация, циркулирующая в организации, подразделяется на техническую, организационную, финансовую, рекламную, информацию о спросе и предложении, конкурентах и т.д. Ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала ее подразделений, а также при их сотрудничестве с работниками других организаций.
Служебная тайна
Можно выделить основные признаки информации, составляющей служебную тайну:
1.К служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, если ограничение на распространяемые таким образом сведения установлено законом или диктуется служебной необходимостью.
2.Служебную тайну могут составлять сведения, являющиеся конфиденциальной информацией других лиц, но ставшие известными представителями государственных органов или органов местного самоуправления в силу исполнения ими служебных обязанностей.
Таким образом, возникает определение служебной тайны. Служебная тайна - это защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом.
Профессиональная тайна
К профессиональной тайне может быть отнесена информация, полученная гражданами при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности.
Профессиональная тайна подлежит защите в случае, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. В соответствии с действующим законодательством к профессиональной тайне отнесена информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, ЗАГСов, учреждений страхования.
Персональные данные
В Российском законодательстве персональные данные подразделяются на следующие виды:
1.Общедоступные персональные данные. Это персональные данные, доступ к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
а) если субъект персональных данных в письменной форме дает свое согласие;
б) если обработка персональных данных необходима в связи с осуществлением правосудия;
в) если обработка персональных данных осуществляется в соответствии с законодательством РФ «О безопасности», «Об оперативно-розыскной деятельности», а также в соответствии с уголовно-исполнительным законодательством РФ.
3.Биометрические персональные данные. Это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. К таким данным относятся, в частности, доктиоскопическая информация.
Лицензирование и сертификация в области обеспечения безопасности информации
безопасность защита информационная лицензирование
Действенными инструментами государственного регулирования отношений в области защиты информации являются процессы лицензирования и сертифицирования.
Лицензирование - это процедура выдачи на определенный срок специальных разрешений на ведение соответствующих видов деятельности. В области защиты информации обязательному лицензированию подлежат следующие виды деятельности:
1.Разработка и производство шифровальных (криптографических) средств, шифровальных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств.
2.Деятельность по распространению шифровальных (криптографических) средств.
.Деятельность по техническому обслуживанию шифровальных (криптографических) средств.
.Предоставление услуг в области шифровальной информации.
.Деятельность по выявлению элементарных устройств, предназначенных для негласного получения информации в помещениях и технических средствах.
.Деятельность по разработке и/или производству средств защиты конфиденциальной информации.
.Деятельность по технической защите конфиденциальной информации.
.Разработка, производства, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации.
Еще одним высокоэффективным средством государственного контроля является сертификация. Это подтверждение соответствия продукции, процессов производства, эксплуатации, работ, услуг или иных объектов, установленных требованиями (технические регламенты, стандарты, условия договора и пр.). Законодательно установлены два вида подтверждения соответствия: добровольное и обязательное.
Процедура сертификации осуществляет независимая от изготовителя, продавца, исполнителя и потребителя организация (орган по сертификации), т.е. юридическое лицо, аккредитованное в установленном порядке для выполнения работ по сертификации. Правила выполнения работ по сертификации и правила функционирования всей системы в целом образует систему сертификации.
Организационное обеспечение информационной безопасности
Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. Такая деятельность относится к организационным методам защиты информации.
Организационные (административные) средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые должностными лицами в процессе создания и эксплуатации АСОД и аппаратуры телекоммуникаций для обеспечения заданного уровня безопасности информации.
Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла. Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования системы защиты включают:
1.Разовые мероприятия. Однократно проводимые мероприятия и повторяемые только при полном пересмотре принятых решений.
2.Мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АСОД или внешней среде (мероприятия, проводимые по необходимости).
.Периодически проводимые мероприятия
.Постоянно проводимые мероприятия
К разовым мероприятиям относят:
1.Общесистемные мероприятия по созданию научно-технических и методологических основ защиты АСОД.
2.Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АСОД.
.Мероприятия, осуществляемые при разработке и вводе в эксплуатацию технических средств и программного обеспечения.
.Проведение проверок всех применяемых в АСОД средств вычислительной техники и проведение мероприятий по защите информации от утечки по каналам побочных излучений.
.Разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности.
К периодически проводимым мероприятиям относят:
1.Распределение реквизитов разграничения доступа (пароли, ключи шифрования и т.д.).
2.Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы.
.Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации.
.Периодическое осуществление анализа состояния и оценки эффективности, мер и применяемых средств защиты с привлечением сторонних специалистов.
.Мероприятия по пересмотру состава и построения системы защиты.
К мероприятиям, проводимым по необходимости, относят:
1.Мероприятия, осуществляемые при кадровых изменениях в составе персонала системы.
2.Мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения.
Постоянно проводимые мероприятия включают:
1.Мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АСОД (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности средств вычислительной техники, носителей информации и т.п.).
2.Мероприятия по непрерывной поддержке функционирования и управления используемыми средствами защиты.
.Явный и скрытый контроль за работой персонала системы.
.Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в эксплуатацию и функционирования АСОД.
.Постоянно и периодически осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты.
Технические средства обеспечения информационной безопасности
К техническим средствам передачи, обработки, хранения и отображения информации ограниченного доступа (ТСПИ) относятся технические средства автоматизированных систем управления, именуемые средствами вычислительной техники (СВТ), средства изготовления и размножения документов, аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода, системы внутреннего телевидения, системы видеозаписи и воспроизведения видео, системы оперативно-командной связи, системы внутренней автоматической телефонной связи, включая и соединительные линии перечисленного выше оборудования, и т.д. Данные технические средства и системы в ряде случаев именуются основными техническими средствами и системами (ОТСС). Совокупность средств и систем обработки информации, а также помещений или объектов (зданий, сооружений технических средств), в которых они установлены, составляет объект ТСПИ, который в некоторых документах называется объектом информатизации.
Наряду с техническими средствами и системами, обрабатывающими информацию ограниченного доступа, на объектах ТСПИ также устанавливаются вспомогательные технические средства и системы (ВТСС), непосредственно не участвующие в ее обработке. К ним относятся системы и средства городской автоматической телефонной связи, системы и средства передачи данных в системе радиосвязи, системы и средства охранной и пожарной сигнализации, контрольно-измерительная аппаратура, системы и средства кондиционирования, системы и средства проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электрической оргтехники, системы и средства электрогазофикации и иные технические средства и системы. В некоторых документах ВТСС называются средствами обеспечения объекта информатизации.
Через помещения, в которых установлены ТС обработки информации ограниченного доступа как правило проходят провода и кабели, не относящиеся к ТСПИ и ВТСС, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции, которые называются посторонними проводниками. Ряд соединительных линий ВТСС, а также посторонних проводников могут выходить за пределы не только объекта ТСПИ, но и контролируемой зоны (КЗ), под которой понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. Границей КЗ могут являться периметр охраняемой территории организации, а также ограждающие конструкции охраняемого здания или части охраняемого здания, если оно размещено на неохраняемой территории, т.о. при рассмотрении объекта ТСПИ как объекта разведки, его необходимо рассматривать как систему, включающую:
1.Технические средства и системы, непосредственно обрабатывающие информацию ограниченного доступа вместе с их соединительными линиями (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами)
2.Вспомогательные технические средства и системы вместе с их соединительными линиями
.Посторонние проводники
.Систему электропитания объекта
.Систему заземления объекта
Для добывания информации, обрабатываемой техническими средствами, «противник» (лицо или группа лиц, заинтересованных в получении этой информации) может использовать широкий арсенал портативных технических средств разведки (ТСР). Совокупность объекта разведки (в данном случае - объекта ТСПИ), технических средств разведки, с помощью которых добывается информация и физической среды, в которой распространяется информационный сигнал, называется техническим каналом утечки информации.
При работе технических средств возникают информативные электромагнитные излучения, а в соединительных линиях ВТСС и посторонних проводниках могут появляться наводки информационных сигналов. Поэтому технические каналы утечки информации можно разделить на электромагнитные и электрические.
Электромагнитные каналы утечки информации
В электромагнитных каналах утечки информации носителем информации являются различные виды побочного излучения (ЛЭМИ). Они возникают из:
1.Побочные ЭМ-излучения, возникающие вследствие протекания по элементам ТСПИ и их соединительным линиям переменного электрического тока.
2.