Правовое обеспечение защиты информации

Размещено на http://www.allbest.ru/

1. Защита информации и информационная безопасность

1.1 Основные понятия и терминология

информационный преступление правовой законодательство

Информационная безопасность -- это процесс обеспечения конфиденциальности, целостности и доступности информации. В законодательном порядке защиту информации обеспечивает «Закон об информации, информационных технологиях и защите информации» от 27.07.2006 г. глава 16 «Защита информации». Основные пункты информационной безопасности в законе можно выделить следующим образом:

· Предотвращение хищения, утраты, утечки, искажения, подделки информации;

· Предотвращение несанкционированных действий по уничтожению, модификации, подделки, копированию, блокированию информации и персональных данных;

· Предотвращение угроз информационной безопасности личности (персональные данные), общества, государства;

· Предотвращение других форм незаконного вмешательства в информационные системы и информационные ресурсы;

· Защита конституционных прав граждан на сохранение в тайне персональных данных и личной тайны.

Одним из результатов обсуждения понятия информационной безопасности является обобщённая схема направлений информационных угроз, представленная на рис 1.1.

Очень часто пытаются получить информацию непосредственно у владельца (а). Однако, в ряде случаев это проще сделать на каналах информационной связи (б) или в местах получения информации пользователем (в).



Рис. 1.1 Обобщенная схема информационных угроз

Безопасность информации (данных) -- состояние защищённости информации (данных), при котором обеспечиваются её (их) конфиденциальность, доступность и целостность. Информация - понятие далеко не абстрактное. Она всегда имеет конкретную физическую форму своего проявления в зависимости от того, каким органом чувств воспринимает её человек: органом слуха; органом зрения; органом обоняния и пр. Применение технических средств не меняет при этом сути, однако значительно расширяет пределы её регистрации.

В интересах защиты ценной (полезной) информации ее владелец (государство, организация, физическое лицо) наносит на носитель условный знак полезности содержащейся на нем информации, - гриф секретности или конфиденциальности. Гриф секретности информации, владельцами которой является государство (государственные органы), устанавливается на основании закона “О государственной тайне” и ведомственных перечней сведений, составляющих государственную и военную тайну. В соответствии с постановлением Правительства РФ №870 от 4 сентября 1995 г. информации секретной, совершенно секретной и особой важности относится информация, несанкционированное распространение которой может нанести ущерб соответственно государственной организации (предприятию, учреждению), отрасли (ведомству, министерству) и РФ в целом. Для несекретной конфиденциальной информации вводят гриф “для служебного пользования”.

Для обозначения конфиденциальности коммерческой и личной информации применяют различные шкалы ранжирования. Распространена шкала: “коммерческая тайна - строго конфиденциально” (КТ-СК), “коммерческая тайна - конфиденциально” (КТ-К), «коммерческая тайна» (КТ). Известна шкала: “строго конфиденциально-особый контроль”, строго конфиденциально”, “конфиденциально”. Предлагается также двухуровневая шкала ранжирования коммерческой информации: “коммерческая тайна” и “ для служебного пользования”.

В качестве подхода для определения грифа конфиденциальности информации могут служить результаты прогноза последствий попадания информации к конкуренту или злоумышленнику, в том числе:

- величина наносимого экономического и морального ущерба организации;

- реальность создания предпосылок для катастрофических последствий в деятельности организации (предприятия), в том числе для банкротства.

Т.к. в дальнейшем будет уделяться большое внимание защите конфиденциальной информации коммерческих предприятий, поэтому ее структура м.б. представлена на рис. 1.2

Рис. 1.2 Вариант структуры конфиденциальной информации



Ценность большинства видов информации, циркулирующей в обществе, со временем уменьшается - информация стареет. Старение информации Си в первом приближении можно аппроксимировать выражением вида :

С_и(ф) = С_оехр(-2.3ф/ф_жц),

где Со - ценность информации в момент ее возникновения (создания);

ф - время от момента возникновения информации до момента ее использования;

ф_жц - продолжительность жизненного цикла информации (от момента возникновения до момента устаревания).

В соответствии с этим выражением за время жизненного цикла ценность информации уменьшается до 0,1 первоначальной величины.

В зависимости от продолжительности жизненного цикла коммерческая информация классифицируется следующим образом:

- оперативно-тактическая, теряющая ценность примерно по 10% в день (например, информация выдачи краткосрочного кредита, предложения по приобретению товара в срок до одного месяца и др.);

- стратегическая информация, ценность которой убывает примерно 10% в месяц (сведения о партнерах, о долгосрочном кредите, развитии и т. д.).

Рассмотрим основные понятия и термины науки о защите информации.

Под информацией будем понимать сведения о лицах, предметах, фактах, событиях, явлениях и процессах.

Информация может существовать в виде бумажного документа, физических полей и сигналов (электромагнитных, акустических, тепловых и т.д.), биологических полей (память человека). В дальнейшем будем рассматривать информацию в документированной (на бумаге, дискете и т. д.) форме и в форме физических полей (радиосигналы, акустические сигналы). Среду, в которой информация создается, передается, обрабатывается или хранится, будем называть информационным объектом.

Под безопасностью информационного объекта понимается его защищенность от случайного или преднамеренного вмешательства в нормальный процесс его функционирования.

Природа воздействия на информационный объект может быть двух видов:

-- непреднамеренной (стихийные бедствия, отказы оборудования, ошибки персонала и т.д.);

-- преднамеренной (действия злоумышленников).

Все воздействия могут привести к последствиям (ущербу) трех видов: нарушению конфиденциальности, целостности, доступности.

Нарушение конфиденциальности -- нарушение свойства информации может быть известной только определенным субъектам.

Нарушение целостности -- несанкционированное изменение, искажение, уничтожение информации.

Нарушение доступности (отказ в обслуживании) -- нарушаются доступ к информации, работоспособность объекта, доступ в который получил злоумышленник.

В отличие от разрешенного (санкционированного) доступа к информации в результате преднамеренных действий злоумышленник получает несанкционированный доступ. Суть несанкционированного доступа состоит в получении нарушителем доступа к объекту в нарушение установленных правил.

Под угрозой информационной безопасности объекта будем понимать возможные воздействия на него, приводящие к ущербу.

Некоторое свойство объекта, делающее возможным возникновение и реализацию угрозы, будем называть уязвимостью.

Действие злоумышленника, заключающееся в поиске и использовании той или иной уязвимости, будем называть атакой.

Целью защиты информационного объекта является противодействие угрозам безопасности.

Защищенный информационный объект -- это объект со средствами защиты, которые успешно и эффективно противостоят угрозам безопасности.

Комплексная защита информационного объекта -- совокупность методов и средств (правовых, организационных, физических, технических, программных).

Политика безопасности -- совокупность норм, правил, рекомендаций, регламентирующих работу средств защиты информационного объекта от заданного множества угроз безопасности.

1.2 Классификация угроз

Физическая форма проявления информации является основным первичным признаком классификации информации. Наиболее часто на практике встречаются две физические формы проявления информации: акустическая (речевая), воспринимаемая органом слуха, и зрительная (сигнальная), воспринимаемая органом зрения человека. Второй вид очень обширен, целесообразно дальнейшее его видовое дробление- на объёмно-видовую и аналого-цифровую (рис. 1.3).

Примерами первой являются случаи непосредственного зрительного восприятия человеком окружающей обстановки как с использованием наблюдательных приборов, так и без них; чтение чертежей и документов на различных носителях. и др. Значительно более широкой является подгруппа аналого-цифровой информации, где участие органа зрения человека может носить выборочные контрольные функции. Примерами являются сигналы в телекоммуникационных сетях, символьно-цифровая информация компьютерных сетей и пр. Говоря о шпионаже, подразумевается несанкционированное получение конфиденциальной информации.



Рис. 1.3 Акустическая и зрительная формы проявления информации

Информационная угроза - это способ получения конфиденциальной информации в конкретной физической форме её проявления. Таким образом, речь идёт при этом не об информации вообще, а только той её части, которая представляет собой коммерческую или государственную тайну в определённой физической форме проявления. Конкретную реализацию информационной угрозы с указанием необходимых специальных технических средств (СТС) часто называют сценарием.

Так, например, акустический (речевой) контроль помещений может осуществляться путём использования вносимых радиомикрофонов, специальных проводных систем с выносным микрофоном, стетоскопов, вносимых диктофонов и т.п. Всё это - различные сценарии акустической (речевой) угрозы. Информационная угроза, как уже отмечалось, имеет векторный характер, она направлена на определённые места и цели. Как правило, это объекты концентрации конфиденциальной информации, т.е. помещения, где ведутся важные разговоры; архивы хранения информации; линии внешней и внутриобъектовой кабельной и беспроводной связи; места обработки (в т.ч. компьютерной) информации; служащие с высоким должностным положением и т.п. Совокупность целей информационных угроз образует пространство информационных угроз. Физическая форма проявления информации и пространство информационных угроз с его типовыми составляющими (помещения, каналы связи, служащие) определяют сложившуюся к настоящему времени тактическую классификацию специальных технических средств (СТС). Основных видов СТС - 10 . Перечень их утверждён Постановлением Правительства РФ №770 от 1 июля 1996 г. (рис. 1.4). Дадим короткую характеристику каждому из тактических видов СТС.

Рис. 1.4 Перечень специальных технических средств, утверждённых Постановлением Правительства РФ №770 от 1 июля 1996 г.



К настоящему времени известно большое количество угроз. Приведем их классификацию:

По виду:

-- физической и логической целостности (уничтожение или искажение информации);

-- конфиденциальности (несанкционированное получение);

-- доступности (работоспособности);

-- права собственности;

По происхождению:

-- случайные (отказы, сбои, ошибки, стихийные явления);

-- преднамеренные (злоумышленные действия людей);

По источникам:

-- люди (персонал, посторонние);

-- технические устройства;

-- модели, алгоритмы, программы;

-- внешняя среда (состояние атмосферы, побочные шумы, сигналы и наводки).

Рассмотрим более подробно перечисленные угрозы.

Случайные угрозы обусловлены недостаточной надежностью аппаратуры и программных продуктов, недопустимым уровнем внешних воздействий, ошибками персонала. Методы оценки воздействия этих угроз рассматриваются в других дисциплинах (теории надежности, программировании, инженерной психологии и т. д.).

Преднамеренные угрозы связаны с действиями людей (работники спецслужб, самого объекта, хакеры). Огромное количество разнообразных информационных объектов делает бессмысленным перечисление всех возможных угроз для информационной безопасности, поэтому в дальнейшем при изучении того или иного раздела мы будем рассматривать основные угрозы для конкретных объектов. Например, для несанкционированного доступа к информации вычислительной системы злоумышленник может воспользоваться:

-- штатными каналами доступа, если нет никаких мер защиты;

-- через терминалы пользователей;

-- через терминал администратора системы;

-- через удаленные терминалы,

или нештатными каналами доступа:

-- побочное электромагнитное излучение информации с аппаратуры системы;

-- побочные наводки информации по сети электропитания и заземления;

-- побочные наводки информации на вспомогательных коммуникациях;

-- подключение к внешним каналам связи.

1.3 Демаскирующие признаки информационных объектов

Технические средства, системы и другие объекты защиты обладают определенными характерными для них свойствами, а их функционирование сопровождается различными процессами. Выявление и анализ таких свойств и процессов позволяет получить представление о самом объекте защиты и об информации, циркулирующей в его элементах. Среди сведений, получаемых об объекте защиты при ведении разведки, могут быть так называемые охраняемые сведения, т.е. сведения, содержащие государственную тайну или отнесенные к другой категории конфиденциальной информации.

Источниками информации об охраняемых сведениях могут быть различные характеристики объектов защиты, их элементов и создаваемых ими физических полей. С учетом доступности этих характеристик вводят понятие демаскирующих признаков.

Демаскирующие признаки (ДП) -- это характеристики любого рода, поддающиеся обнаружению и анализу с помощью разведывательной аппаратуры и являющиеся источниками информации для разведки противника об охраняемых сведениях. Демаскирующие признаки делятся на первичные и вторичные.

Первичные ДП представляют собой физические характеристики объектов и среды, непосредственно регистрируемые специальной аппаратурой и содержащие информацию об охраняемых сведениях. Примером первичных демаскирующих признаков могут служить напряженность и поляризация электромагнитного поля, амплитуда, частота и фаза переменного электрического тока, уровень радиационного излучения, процентное содержание химического вещества в среде, сила и частота звуковых колебаний, яркость и длина волны светового излучения объекта и т.п.

Очевидно, что именно первичные ДП являются источниками информации, получаемой с помощью технических средств разведки. Общее количество информации об объекте, получаемой с помощью TCP, принципиально не может превышать количества информации, содержащейся во всех первичных ДП, характерных для этого объекта. Вместе с тем в ряде случаев именно первичные ДП содержат всю информацию об охраняемых сведениях. Поэтому их знание, имеет первостепенное самостоятельное значение для противодействия ТСР.

Вторичные ДП -- это признаки, которые могут быть получены путем накопления и обработки первичных ДП. Примерами могут служить различного рода образцы (изображения сооружений и военной техники, диаграммы первичного и вторичного излучения объекта, амплитудно-частотные спектры излучений, химический состав вещества и т.д.), процессы (радиосигнал, акустический сигнал, зависимость какого-либо первичного ДП от времени и т.д.) и ситуации, т.е. сочетания различных образцов и процессов, связанные с охраняемыми сведениями об объекте разведки.

Для разработки и реализации эффективных мероприятий по защите информации необходим учет всех без исключения возможностей TCP, а это предполагает наличие максимально достоверных перечней охраняемых сведений и их демаскирующих признаков.

1.4 Классификация методов защиты информации

Все методы защиты информации по характеру проводимых действий можно разделить на:

-- законодательные (правовые);

-- организационные;

-- технические;

-- комплексные.

Для обеспечения защиты объектов информационной безопасности должны быть соответствующие правовые акты, устанавливающие порядок защиты и ответственность за его нарушение. Законы должны давать ответы на следующие вопросы: что такое информация, кому она принадлежит, как может с ней поступать собственник, что является посягательством на его права, как он имеет право защищаться, какую ответственность несет нарушитель прав собственника информации.

Установленные в законах нормы реализуются через комплекс организационных мер, проводимых прежде всего государством, ответственным за выполнение законов, и собственниками информации. К таким мерам относятся издание подзаконных актов, регулирующих конкретные вопросы по защите информации (положения, инструкции, стандарты и т. д.), и государственное регулирование сферы через систему лицензирования, сертификации, аттестации.

Правовое обеспечение включает в себя:

1. Нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области информационной безопасности;

2. Исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации, защиты информации органами государственной власти и управления, организация (юридическими лицами), гражданами.

Нормотворческая деятельность:

1. Оценка состояния действующего законодательства и разработка программы его совершенствования;

2. Создание организационно_правовых механизмов обеспечения информационной безопасности;

3. Формирование правового статуса всех субъектов в системе информационной безопасности и определение их ответственности за обеспечение информационной безопасности;

4. Разработку организационно_правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех категорий информации;

5. Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействий угроз, восстановление права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность:

1. Разработка процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией;

2. Разработка составов правонарушений с учетом специфики уголовной, гражданской, административной и дисциплинарной ответственности.

Деятельность по правовому обеспечению информационной безопасности строится на трех фундаментальных положениях:

1. Соблюдение законности (предполагает наличие законов и иных нормативных документов, их применение и исполнение субъектами права в области информационной безопасности);

2. Обеспечение баланса интересов отдельных субъектов и государства (предусматривает приоритет государственных интересов как общих интересов всех субъектов. Ориентация на свободы, права и интересы граждан не принижает роль государтсва в обеспечении национальной безопасности в целом и в области информационной безопасности в частности);

3. Неотвратимость наказания (выполняет роль важнейшего профилактического инструмента в решении вопросов правового обеспечения).

Общегосударственные документы:

1. Законы, кодексы;

2. Указы Президента;

3. Постановления Совета Министров.

Ведомственные документы:

1. Межведомственные;

2. Внутриведомственные.

К руководящим документам вышестоящих организаций в области защиты информации относятся: «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895; Федеральный закон от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации»; Федеральный закон от 16.02.95 г. № 15-ФЗ «О связи»; Федеральный закон от 26.11.98 г. № 178-ФЗ «О лицензировании отдельных видов деятельности»; Указ Президента Российской Федерации от 19.02.99 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации»; Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. № 24; Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».

К нормативно-методическим документам вышестоящих организаций относятся: Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти»; Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением); Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 «О лицензировании отдельных видов деятельности»; «Сборник руководящих документов по защите информации от несанкционированного доступа» Гостехкомиссия России, Москва, 1998 г.; ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»; ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»; ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний»; ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах»; ГОСТ Р ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»; ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»; ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»; РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения»; ГОСТ 28195-89 «Оценка качества программных средств. Общие положения»; ГОСТ 28806-90 «Качество программных средств. Термины и определения»; ГОСТ 2.111-68 «Нормоконтроль»; ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации»; РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», Москва, 1999 г.; РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», Москва, 2000 г.; ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания»; ГОСТ 29216-91 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний»; ГОСТ 22505-83 «Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно-модулированных сигналов в диапазоне УКВ. Нормы и методы измерений»; ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний».

Руководствуясь положениями вышеперечисленных документов Гостехкомиссия России разработала свои нормативно-методические документы. К ним относятся: ряд методик по оценке защищенности основных технических средств и систем; защищённости информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации; защищенности помещений от утечки речевой информации по акустическому и виброакустическому каналам; по каналам электроакустических преобразований. Приняты: решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам»; решение Гостехкомиссии России от 03.10.95 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте» и ряд других документов.

На базе этих документов разрабатываются необходимые руководящие и нормативно-методические документы в организациях.

Однако в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации, установка дополнительного оборудования, изготовление оснастки - специфических средств производства, необходимых для реализации технологических процессов), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.

На каждом этапе и стадии к работе могут подключаться новые люди, разрабатываться новые документы, создаваться узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.

Для защиты информации об изделии на каждом этапе его создания должна разрабатываться соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации.

Другие нормативные документы определяют максимально допустимые значения уровней полей с информацией и концентрации демаскирующих веществ на границах контролируемой зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур.

Организационная защита информации - это регламентация производственной деятельности и взаимоотношений исполнителей на нормативно-правовой основе, исключающей или существенно затрудняющей неправомерное овладение конфиденциальной информацией, и включает в себя организацию режима охраны, организацию работы с сотрудниками, с документами, организацию использования технических средств и работу по анализу угроз информационной безопасности.

Контроль доступа на предприятие- охрана, кодовые замки, видеонаблюдение, журналы выдачи секретной информации

Обеспечение защиты средств обработки информации и автоматизированных рабочих мест от несанкционированного доступа достигается системой разграничения доступа субъектов к объектам. Данная система реализуется в программно-технических комплексах, в рамках операционной системы, систем управления базами данных или прикладных программ, в средствах реализации ЛВС, в использовании криптографических преобразований, методов контроля доступа.

Защита информации организационными средствами предполагает защиту без использования технических средств. Иногда, задача решается простым удалением ОТСС от границы контролируемой зоны на максимально возможное расстояние. Так же возможен вариант размещения, например, трансформаторной подстанции и контура заземления в пределах контролируемой зоны. К организационно-техническим можно отнести так же удаление ВТСС, линии которых выходят за пределы контролируемой зоны, запрещение использования ОТСС с паразитной генерацией для обработки информации, проведение специальных проверок технических средств на отсутствие закладочных устройств. Необходимо помнить, что организационно-технические меры требуют выполнения комплекса мер, предписанных нормативными документами. Для реализации мер защиты конфиденциальной информации должны применяться сертифицированные в установленном порядке технические средства защиты информации. Организационные меры характеризуются относительной дешевизной по отношению к техническим мерам защиты информации

Поскольку в настоящее время основное количество информации генерируется, обрабатывается, передается и хранится с помощью технических средств, то для конкретной ее защиты в информационных объектах необходимы технические устройства. В силу многообразия технических средств нападения приходится использовать обширный арсенал технических средств защиты. Наибольший положительный эффект достигается в том случае, когда все перечисленные способы применяются совместно, т.е. комплексно.

1.5 Критерий выбора средств защиты информации

Принципиальным вопросом при определении уровня защищенности объекта является выбор критериев. Рассмотрим один из них _ широко известный критерий "эффективность - стоимость".

Пусть имеется информационный объект, который при нормальном (идеальном) функционировании создает положительный эффект (экономический, политический, технический и т.д.). Этот эффект обозначим через Е₀. Несанкционированный доступ к объекту уменьшает полезный эффект от его функционирования (нарушается нормальная работа, наносится ущерб из-за утечки информации и т.д.) на величину Е. Тогда эффективность функционирования объекта с учетом воздействия несанкционированного доступа. Будем считать, что установка на объект средств защиты информации уменьшает негативное действие несанкционированного доступа на эффективность функционирования объекта. Обозначим снижение эффективности функционирования объекта при наличии средств защиты через Е_3, а коэффициент снижения негативного воздействия несанкционированного доступа на эффективность функционирования объекта _ через К, который принимает значение равное 1 при максимальной потери информации, т.е. наиболее «успешной» работе злоумышленника.

Рис. 1.5 Зависимость расходов на информацию от затрат на ее защиту

Несмотря на кажущуюся простоту классической постановки задачи, на практике воспользоваться приведенными результатами удается редко. Это объясняется отсутствием зависимостей K = f(C) и особенно ущерба от несанкционированного доступа. И если зависимость коэффициента защищенности от стоимости средств защиты можно получить, имея технические и стоимостные характеристики доступных средств защиты, то оценить реальный ущерб от несанкционированного доступа чрезвычайно трудно, так как этот ущерб зависит от множества трудно прогнозируемых факторов: наличия физических каналов несанкционированного доступа, квалификации злоумышленников, их интереса к объекту, последствий несанкционированного доступа и т.д.



2. Правовые методы защиты информации

Правовое обеспечение включает в себя:

1. Нормотворческую деятельность по созданию законодательства, регулирующего общественные отношения в области информационной безопасности;

2. Исполнительную и правоприменительную деятельность по исполнению законодательства в области информации, информатизации, защиты информации органами государственной власти и управления, организация (юридическими лицами), гражданами.

Нормотворческая деятельность:

1. Оценка состояния действующего законодательства и разработка программы его совершенствования;

2. Создание организационно_правовых механизмов обеспечения информационной безопасности;

3. Формирование правового статуса всех субъектов в системе информационной безопасности и определение их ответственности за обеспечение информационной безопасности;

4. Разработку организационно_правового механизма сбора и анализа статистических данных о воздействии угроз информационной безопасности и их последствиях с учетом всех категорий информации;

5. Разработку законодательных и других нормативных актов, регулирующих порядок ликвидации последствий воздействий угроз, восстановление права и ресурсов, реализации компенсационных мер.

Исполнительная и правоприменительная деятельность:

1. Разработка процедур применения законодательства и нормативных актов к субъектам, совершившим преступления и проступки при работе с закрытой информацией;

2. Разработка составов правонарушений с учетом специфики уголовной, гражданской, административной и дисциплинарной ответственности.

Деятельность по правовому обеспечению информационной безопасности строится на трех фундаментальных положениях:

1. Соблюдение законности (предполагает наличие законов и иных нормативных документов, их применение и исполнение субъектами права в области информационной безопасности);

2. Обеспечение баланса интересов отдельных субъектов и государства (предусматривает приоритет государственных интересов как общих интересов всех субъектов. Ориентация на свободы, права и интересы граждан не принижает роль государтсва в обеспечении национальной безопасности в целом и в области информационной безопасности в частности);

3. Неотвратимость наказания (выполняет роль важнейшего профилактического инструмента в решении вопросов правового обеспечения).

Общегосударственные документы:

1. Законы, кодексы;

2. Указы Президента;

3. Постановления Совета Министров.

Ведомственные документы:

1. Межведомственные;

2. Внутриведомственные.

К руководящим документам вышестоящих организаций в области защиты информации относятся: «Доктрина информационной безопасности Российской Федерации», утверждена Президентом Российской Федерации 9.09.2000 г. № Пр.-1895; Федеральный закон от 20.02.95 г. № 24-ФЗ «Об информации, информатизации и защите информации»; Федеральный закон от 16.02.95 г. № 15-ФЗ «О связи»; Федеральный закон от 26.11.98 г. № 178-ФЗ «О лицензировании отдельных видов деятельности»; Указ Президента Российской Федерации от 19.02.99 г. № 212 «Вопросы Государственной технической комиссии при Президенте Российской Федерации»; Указ Президента Российской Федерации от 17.12.97 г. № 1300 «Концепция национальной безопасности Российской Федерации» в редакции указа Президента Российской Федерации от 10.01.2000 г. № 24; Указ Президента Российской Федерации от 06.03.97 г. № 188 «Перечень сведений конфиденциального характера».

2.1 Правовое обеспечение защиты информации

К нормативно-методическим документам вышестоящих организаций относятся: Постановление Правительства Российской Федерации от 03.11.94 г. № 1233 «Положение о порядке обращения со служебной информацией ограниченного распространения в федеральных органов исполнительной власти»; Решение Гостехкомиссии России и ФАПСИ от 27.04.94 г. № 10 «Положение о государственном лицензировании деятельности в области защиты информации» (с дополнением); Постановление Правительства Российской Федерации от 11.04.2000 г. № 326 «О лицензировании отдельных видов деятельности»; «Сборник руководящих документов по защите информации от несанкционированного доступа» Гостехкомиссия России, Москва, 1998 г.; ГОСТ Р 51275-99 «Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения»; ГОСТ Р 50922-96 «Защита информации. Основные термины и определения»; ГОСТ Р 51583-2000 «Порядок создания автоматизированных систем в защищенном исполнении»; ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытаний»; ГОСТ 12.1.050-86 «Методы измерения шума на рабочих местах»; ГОСТ Р ИСО 7498-1-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 1. Базовая модель»; ГОСТ Р ИСО 7498-2-99 «Информационная технология. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура защиты информации»; ГОСТ 34.003-90 «Информационная технология. Комплекс стандартов на автоматизированные системы. Автоматизированные системы. Термины и определения»; РД Госстандарта СССР 50-682-89 «Методические указания. Информационная технология. Комплекс стандартов и руководящих документов на автоматизированные системы. Общие положения»; ГОСТ 28195-89 «Оценка качества программных средств. Общие положения»; ГОСТ 28806-90 «Качество программных средств. Термины и определения»; ГОСТ 2.111-68 «Нормоконтроль»; ГОСТ Р 50739-95 «Средства вычислительной техники. Защита от несанкционированного доступа к информации»; РД Гостехкомиссии России «Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля недекларированных возможностей», Москва, 1999 г.; РД Гостехкомиссии России «Средства защиты информации. Специальные общие технические требования, предъявляемые к сетевым помехоподавляющим фильтрам», Москва, 2000 г.; ГОСТ 13661-92 «Совместимость технических средств электромагнитная. Пассивные помехоподавляющие фильтры и элементы. Методы измерения вносимого затухания»; ГОСТ 29216-91 «Совместимость технических средств электромагнитная. Радиопомехи индустриальные от оборудования информационной техники. Нормы и методы испытаний»; ГОСТ 22505-83 «Радиопомехи индустриальные от приемников телевизионных и приемников радиовещательных частотно-модулированных сигналов в диапазоне УКВ. Нормы и методы измерений»; ГОСТ Р 50628-93 «Совместимость электромагнитная машин электронных вычислительных персональных. Устойчивость к электромагнитным помехам. Технические требования и методы испытаний».

Руководствуясь положениями вышеперечисленных документов Гостехкомиссия России разработала свои нормативно-методические документы. К ним относятся: ряд методик по оценке защищенности основных технических средств и систем; защищённости информации, обрабатываемой основными техническими средствами и системами, от утечки за счет наводок на вспомогательные технические средства и системы и их коммуникации; защищенности помещений от утечки речевой информации по акустическому и виброакустическому каналам; по каналам электроакустических преобразований. Приняты: решение Гостехкомиссии России от 14.03.95 г. № 32 «Типовое положение о Совете (Технической комиссии) министерства, ведомства, органа государственной власти субъекта Российской Федерации по защите информации от иностранных технических разведок и от ее утечки по техническим каналам»; решение Гостехкомиссии России от 03.10.95 г. № 42 «Типовые требования к содержанию и порядку разработки Руководства по защите информации от технических разведок и ее утечки по техническим каналам на объекте» и ряд других документов.

На базе этих документов разрабатываются необходимые руководящие и нормативно-методические документы в организациях.

К руководящим документам, разрабатываемым в организациях, относятся:

* руководство (инструкция) по защите информации в организации;

* положение о подразделении организации, на которое возлагаются задачи по обеспечению безопасности информации;

* инструкции по работе с грифованными документами;

* инструкции по защите информации о конкретных изделиях.

В различных организациях эти документы могут иметь разные наименования, отличающиеся от перечисленных выше. Но сущность этих документов остается неизменной, так как их наличие в организации объективно.

Порядок защиты информации в организации определяется соответствующим руководством (инструкцией). Руководство должно состоять из следующих разделов:

* общие положения;

* охраняемые сведения об объекте;

* демаскирующие признаки объекта и технические каналы утечки информации;

* оценка возможностей технических разведок и других источников угроз безопасности информации (возможно, спецтехника, используемая преступными группировками);

* организационные и технические мероприятия по защите информации;

* оповещение о ведении разведки (раздел включается в состав Руководства при необходимости);

* обязанности и права должностных лиц;

* планирование работ по защите информации и контролю;

* контроль состояния защиты информации;

* аттестование рабочих мест;

* взаимодействие с другими предприятиями (учреждениями, организациями).

Однако в данном руководстве нельзя учесть всех особенностей защиты информации в конкретных условиях. В любой организации постоянно меняется ситуация с источниками и носителями конфиденциальной информации, угрозами ее безопасности. Например, появлению нового товара на рынке предшествует большая работа, включающая различные этапы и стадии: проведение исследований, разработка лабораторных и действующих макетов, создание опытного образца и его доработка по результатам испытаний, подготовка производства (документации, установка дополнительного оборудования, изготовление оснастки - специфических средств производства, необходимых для реализации технологических процессов), изготовление опытной серии для выявления спроса на товар, массовый выпуск продукции.

На каждом этапе и стадии к работе могут подключаться новые люди, разрабатываться новые документы, создаваться узлы и блоки с информативными для них демаскирующими признаками. Созданию каждого изделия или самостоятельного документа сопутствует свой набор информационных элементов, их источников и носителей, угроз и каналов утечки информации, проявляющихся в различные моменты времени.

Для защиты информации об изделии на каждом этапе его создания должна разрабатываться соответствующая инструкция. Инструкция должна содержать необходимые для обеспечения безопасности информации сведения, в том числе: общие сведения о наименовании образца, защищаемые сведения и демаскирующие признаки, потенциальные угрозы безопасности информации, замысел и меры по защите, порядок контроля (задачи, органы контроля, имеющие право на проверку, средства контроля, допустимые значения контролируемых параметров, условия и методики, периодичность и виды контроля), фамилии лиц, ответственных за безопасность информации.

Основным нормативным документом при организации защиты информации является перечень сведений, составляющих государственную, военную, коммерческую или любую другую тайну. Перечень сведений, содержащих государственную тайну, основывается на положениях закона «О государственной тайне». Перечни подлежащих защите сведений, изложенных в этом законе, конкретизируются ведомствами применительно к тематике конкретных организаций.

Перечни сведений, составляющих коммерческую тайну, составляются руководством фирмы при участии сотрудников службы безопасности.

Другие нормативные документы определяют максимально допустимые значения уровней полей с информацией и концентрации демаскирующих веществ на границах контролируемой зоны, которые обеспечивают требуемый уровень безопасности информации. Эти нормы разрабатываются соответствующими ведомствами, а для коммерческих структур, выполняющих негосударственные заказы, - специалистами этих структур.

Размещено на Allbest.ru

...