ВКР. Фгбоу во Сыктывкарский государственный университет им. Питирима Сорокина Колледж экономики, права и информатики
 Скачать 1.78 Mb.
|
Теоретические сведения о утечках информации, каналах утечки информации, методах и средствах по выявлению каналов утечки информацииПонятие утечки информацииПод термином «утечка информации» — подразумевается незаконное получение, либо передача защищенных сведений (таких, как персональные данные, коммерческая, государственная тайна и пр.). Утечка информации может быть как умышленной, так и непредумышленной (случайной), что не отменяет вины лица или группы лиц, причастных к этому. Чтобы дать исчерпывающую характеристику реального состояния объекта информационной безопасности в конкретный момент времени, необходимо описать не только сущность, виды и основы формирования угроз его информационной безопасности, но и возможные каналы утечки конфиденциальной информации. Согласно законодательству, конфиденциальная информация —документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации. Конфиденциальной информацией считается такая информация, разглашение которой может нанести ущерб интересам организации. Комплекс проблем, связанных с информационной безопасностью, включает в себя не только технические, программные и технологические аспекты защиты информации, но и вопросы защиты прав на нее. Таким образом, информация может рассматриваться как объект права собственности. С этой точки зрения можно выделить следующие особенности информационной собственности: информация не является материальным объектом; информация копируется с помощью материального носителя, т. е. является перемещаемой; информация является отчуждаемой от собственника. Право собственности на информацию включает правомочия собственника, составляющие содержание (элементы) права собственности, к которым относятся: право распоряжения; право владения; право пользования. В рассматриваемом случае информационной собственности закон должен регулировать отношения субъектов и объектов права собственности на информацию в целях защиты информационной собственности от разглашения, утечки и несанкционированной обработки. Правовое обеспечение защиты информации включает: правовые нормы, методы и средства защиты охраняемой информации в Российской Федерации; правовые основы выявления и предупреждения утечки охраняемой информации; правовое регулирование организации и проведения административного расследования к фактам нарушения порядка защиты информации [1, С. 15]. Существует ряд документов, которые регламентируют информацию в качестве объекта права. В первую очередь здесь следует указать на первую часть Гражданского кодекса Российской Федерации (ст. 18, 128, 139, 209). Среди законов Российской Федерации, относящихся к рассматриваемой проблеме, можно выделить Федеральный закон от 27 июля 2006 г. № 149 – ФЗ «Об информации, информатизации и защите информации», закон Российской Федерации от 06 октября 1997 г. № 131 – ФЗ «О государственной тайне», а также Федеральный закон от 27 июля 2006 г. № 152 – ФЗ «О персональных данных» и постановление Правительства Российской Федерации от 01 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных». Каналы утечки информацииИнтегральная защита — монолитная непроницаемая защита. Аналогом ее может служить монолитные забор по периметру зоны безопасности. В реальной же жизни обычно строятся мощные ворота на дорогах, объехать которые по бездорожью «нет проблем». Реальная система безопасности сегодняшнего дня больше напоминает изгородь на отдельных участках с сияющими в ней дырами. Ярким примером подобной реальной системы безопасности может служить, например, организация с мощной системой контроля доступа, системой видеонаблюдения, криптозащитой и т. п., но без блокирования каналов утечки, например за счет побочных излучений мониторов компьютеров. В этом случае все конкуренты, расположенные в радиусе до 1,5 км, имеют реальную возможность, использовать соответствующие технические средства, читать всю информацию с экрана дисплеев конкурентов, не покидая своих офисов. При интегральном подходе к созданию системы безопасности подобные казусы исключены. Одним из основных требований интегральной защиты является системный подход, поэтому при выявлении технических каналов утечки информации необходимо рассматривать всю совокупность элементов защиты, включающую основное оборудование ТСОИ, соединительные линии, распределительные и коммуникационные устройства, системы электропитания, системы заземления и т. п. Наряду с основными техническими средствами, непосредственно связанными с обработкой и передачей конфиденциальной информации, необходимо учитывать и ВТСиС, такие, как технические средства открытой телефонной, факсимильной, громкоговорящей связи, системы охранной о пожарной сигнализации, радиофикации, электробытовые приборы и другое [12, С. 54]. В качестве каналов утечки большой интерес представляют вспомогательные средства, выходящие за пределы контролируемой зоны, а также посторонние провода и кабели, к ним не относящиеся, но проходящие через помещение, где установлены основные и вспомогательные технические средства, металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции. В зависимости от способа перехвата, от физической природы возникновения сигналов, а также среды их распространения технические каналы утечки информации можно разделить на: электромагнитные; электрические; параметрические. К более узкой классификации каналов утечки конфиденциальной информации можно отнести следующее 3 группы: материально – вещественные; визуальные и визуально – оптические; технические; информационные. В большинстве случаев утечки происходят именно через технические (в том числе и потому что это самая многочисленная группа). Но и про первые две группы также забывать не стоит [12, С. 35]. |