привет. Лекция №4. Информационная безопасность

безопасности РФ. Владельцем государственной тайны является само государство.
Требования по защите этой информации и контроль за их соблюдением регламентируются законом РФ «О государственной тайне». В нем законодательно установлен Перечень сведений, сопоставляющих государственную тайну, и круг сведений, не подлежащих к отнесению к ней. Предусмотрена судебная защита прав граждан в связи с необоснованным засекречиванием. Определены органы защиты государственной тайны:
- межведомственная комиссия по защите государственной тайны;
- федеральные органы исполнительной власти, уполномоченные в области:
- обеспечения безопасности - Федеральная служба по техническому и экспортному контролю (ФСТЭК);
- обороны – Министерство обороны;
- внешней разведки – Федеральная служба безопасности (ФСБ обеспечивает, в т.ч. криптографическую защиту);
- противодействия техническим разведкам и технической защиты информации – ФСТЭК;
- другие органы.
Конфиденциальная информация – документированная информация, правовой режим которой установлен специальными нормами действующего законодательства в области государственной, коммерческой, промышленной и другой общественной деятельности.
Этой информацией владеют различные учреждения, организации и отдельные индивидуумы. В Указе Президента РФ «Перечень сведений конфиденциального характера» конфиденциальная информация разбита на семь видов:
- персональные данные;
- тайна следствия и судопроизводства;
- служебная тайна - служебная информация ограниченного распространения о госорганах или подведомственных им организациях, а также информация, получаемая из внешних источников работниками госорганов при исполнении обязанностей;
- профессиональная тайна - информация, полученная гражданами (физическими лицами) при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
- коммерческая тайна - научно-техническая, технологическая, производственная, финансово-экономическая или иная информация, в том числе составляющая секреты производства (ноу-хау), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности её третьим лицам;
- сведения о сущности изобретения, полезной модели или промышленного образца по официальной публикации информации о них;
- сведения, содержащиеся в личных делах осужденных, а также сведения о принудительном исполнении судебных актов.
Под персональными данными понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на то, что это информация ограниченного доступа, она является полностью открытой для субъекта персональных данных. Только сам субъект решает вопрос о передаче, обработке и использовании своих персональных данных, а также определяет круг субъектов, которым эти данные могут быть сообщены. Некоторая часть персональных данных может не иметь режима защиты, являясь общеизвестными
(например, фамилия, имя и отчество). В Законе РФ «О персональных данных» выделены следующие права субъектов персональных данных (кроме некоторых категорий граждан: владеющих государственной тайной, осужденных и т.д.):
- информационное самоопределение;
- доступ к своим персональным данным;
- внесение изменений в свои персональные данные;

- блокирование персональных данных;
- обжалование неправомерных действий в отношении персональных данных;
- возмещение ущерба.
В статье 24 Конституции РФ предусмотрена защита некоторой части персональных данных - «1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются».
Государственные органы и организации, органы местного самоуправления имеют право на работу с персональными данными в пределах своей компетенции, установленной действующим законодательством, или на основании лицензии. В последнем случае с ними могут работать также негосударственные юридические и физические лица.
В статье 7 Закона РФ «О государственной тайне» определен перечень сведений, не подлежащих отнесению к государственной тайне и засекречиванию (информация без
права ограничения):
- о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан, и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;
- о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;
- о привилегиях, компенсациях и социальных гарантиях, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;
- о фактах нарушения прав и свобод человека и гражданина;
- о размерах золотого запаса и государственных валютных резервах Российской Федерации;
- о состоянии здоровья высших должностных лиц Российской Федерации;
- о фактах нарушения законности органами государственной власти и их должностными лицами.
Должностные лица, принявшие решения о засекречивании перечисленных сведений либо о включении их в этих целях в носители сведений, составляющих государственную тайну, несут уголовную, административную или дисциплинарную ответственность в зависимости от причиненного обществу, государству и гражданам материального и морального ущерба. Граждане вправе обжаловать такие решения в суд.
В ряде статей Конституции РФ также прописан беспрепятственный доступ граждан и их объединений к общественно значимой информации:
- статья 24 - «2. Органы государственной власти и органы местного самоуправления, их должностные лица обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом»;
- статья 42 - «Каждый имеет право на благоприятную окружающую среду, достоверную информацию о ее состоянии и на возмещение ущерба, причиненного его здоровью или имуществу экологическим правонарушением».
Информация, запрещенная к распространению, определена в многочисленных нормативных документах. В частности:
- статья 29 Конституции РФ - «2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства»;
- Кодекс Российской Федерации об административных правонарушениях:
- статья 5.61 «Оскорбление»;
- статья 5.62 «Дискриминация»;
- статья 6.13 «Пропаганда наркотических средств, психотропных веществ или их прекурсоров, растений, содержащих наркотические средства или психотропные вещества либо их прекурсоры, и их частей, содержащих наркотические средства или психотропные вещества либо их прекурсоры, новых потенциально опасных психоактивных веществ;

- статья 6.17 «Нарушение законодательства Российской Федерации о защите детей от информации, причиняющей вред их здоровью и (или) развитию»;
- статья 6.21 «Пропаганда нетрадиционных сексуальных отношений среди несовершеннолетних»;
- статья 6.26 «Организация публичного исполнения произведения литературы, искусства или народного творчества, содержащего нецензурную брань, посредством проведения театрально-зрелищного, культурно-просветительного или зрелищно-развлекательного мероприятия»;
- статья 14.48 «Представление недостоверных результатов исследований (испытаний)»;
- статья 17.9 «Заведомо ложные показание свидетеля, пояснение специалиста, заключение эксперта или заведомо неправильный перевод»;
- статья 20.3 «Пропаганда либо публичное демонстрирование нацистской атрибутики или символики, либо атрибутики или символики экстремистских организаций, либо иных атрибутики или символики, пропаганда либо публичное демонстрирование которых запрещены федеральными законами»;
- статья 20.29 «Производство и распространение экстремистских материалов»;
- и другие;
- Уголовный кодекс Российской Федерации:
- статья 110 «Доведение до самоубийства» - «д) в публичном выступлении, публично демонстрирующемся произведении, средствах массовой информации или информационно- телекоммуникационных сетях (включая сеть "Интернет")»;
- статья 119 «Угроза убийством или причинением тяжкого вреда здоровью»;
- статья 128.1 «Клевета»;
- статья 142 «Фальсификация избирательных документов, документов референдума»;
- статья 155 «Разглашение тайны усыновления (удочерения)»;
- статья 172.1 «Фальсификация финансовых документов учета и отчетности финансовой организации»;
- статья 205.2 «Публичные призывы к осуществлению террористической деятельности, публичное оправдание терроризма или пропаганда терроризма»;
- статья 207 «Заведомо ложное сообщение об акте терроризма»;
- статья 217.2 «Заведомо ложное заключение экспертизы промышленной безопасности»;
- статья 242 «Незаконные изготовление и оборот порнографических материалов или предметов»;
- статья 280 «Публичные призывы к осуществлению экстремистской деятельности»;
- статья 303 «Фальсификация доказательств и результатов оперативно-розыскной деятельности»;
- статья 306 «Заведомо ложный донос»;
- статья 307 «Заведомо ложные показание, заключение эксперта, специалиста или неправильный перевод»;
- статья 319 «Оскорбление представителя власти»;
- статья 354 «Публичные призывы к развязыванию агрессивной войны»;
- статья 354.1 «Реабилитация нацизма»;
- и другие.
Основными носителями информации являются:
- открытая печать (газеты, журналы, отчеты, реклама и т.д.);
- люди;
- средства связи (радио, телевидение, телефон, пейджер и т.д.);
- документы (официальные, деловые, личные и т.д.);
- электронные, магнитные и другие носители, пригодные для автоматической обработки данных.

Угрозы информации
Угроза информации–возможность возникновения на каком-либо этапе жизнедеятельности системы такого явления или события, следствием которого могут быть нежелательные воздействия на информацию.
1. Виды угроз. Основные нарушения:
1.Физической целостности (уничтожение, разрушение элементов).
2. Логической целостности (разрушение логических связей).
3.Содержания (изменение блоков информации, внешнее навязывание ложной информации).
4.Конфиденциальности (разрушение защиты, уменьшение степени защищенности информации).
5.Прав собственности на информацию (несанкционированное копирование, использование).
Три наиболее выраженные угрозы:
1)подверженность физическому искажению или уничтожению;
2)возможность несанкционированной
(случайной или злоумышленной) модификации;
3)опасность несанкционированного (случайного и преднамеренного) получения информации лицами, для которых она не предназначена.
2. Характер происхождения угроз
Умышленные факторы:
✓ хищение носителей информации;1
✓
.подключение к каналам связи;
✓ перехват ЭМИ;
✓ несанкционированный доступ;
✓ разглашение информации;
✓ копирование данных.
Естественные факторы:
✓ несчастные случаи (пожары, аварии, взрывы);
✓ стихийные бедствия (ураганы, наводнения, землетрясения);
✓ ошибки в процессе обработки информации (ошибки пользователя, оператора, сбои аппаратуры).
Источники угроз
Понимается непосредственный исполнитель угрозы в плане ее негативного воздействия на информацию - люди; технические устройства; модели, алгоритмы, программы; технологические схемы обработки; внешняя среда.
Предпосылки появления угроз
-объективные (количественная или качественная недостаточность элементов системы) —
причины, не связанные непосредственно с деятельностью людей и вызывающие случайные по характеру происхождения угрозы;
-субъективные —причины, непосредственно связанные с деятельностью человека и вызывающие как преднамеренные (деятельность разведок иностранных государств, промышленный шпионаж, деятельность уголовных элементов и недобросовестных сотрудников), так и непреднамеренные (плохое психофизиологическое состояние, недостаточная подготовка, низкий уровень знаний) угрозы информации.
Несанкционированный доступ—получение лицами в обход системы защиты с помощью программных, технических и других средств, а также в силу случайных обстоятельств доступа к обрабатываемой и хранимой на объекте информации. Разглашение информации ее обладателем есть умышленное или неосторожное действие должностных лиц и граждан, которым соответствующие сведения в установленном порядке были доверены по работе, приведшие к не вызванному служебной необходимостью оглашению охраняемых сведений, в также передача таких сведений по открытым техническим каналам

или обработка на некатегорированных ЭВМ. Утечку информации в общем плане можно рассматривать как бесконтрольный и неправомерный выход конфиденциальной информации за пределы организации или круга лиц, которым эта информация была доверена. Система защиты информации—совокупность взаимосвязанных средств, методов и мероприятий, направленных на предотвращение уничтожения, искажения, несанкционированного получения конфиденциальных сведений, отображенных полями, электромагнитными, световыми и звуковыми волнами или вещественно-материальными носителями в виде сигналов, образов, символов, технических решений и процессов.
Средства защиты информации
Принято различать следующие средства защиты:
Классификация средств защиты
I. Формальные средства защиты – выполняют защитные функции строго по заранее предусмотренной процедуре без участия человека.
Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно от информационных систем, создавая различного рода препятствия на пути дестабилизирующих факторов (замок на двери, жалюзи, забор, экраны).
Аппаратные средства - механические, электрические, электромеханические, электронные, электронно-механические, оптические, лазерные, радиолокационные и тому подобные устройства, встраиваемые в информационных системах или сопрягаемые с ней специально для решения задач защиты информации.
Программные средства - пакеты программ, отдельные программы или их части, используемые для решения задач защиты информации. Программные средства не требуют специальной аппаратуры, однако они ведут к снижению производительности информационных систем, требуют выделения под их нужды определенного объема ресурсов и т.п.
К специфическим средствам защиты информации относятся криптографические методы. В информационных системах криптографические средства защиты информации могут использоваться как для защиты обрабатываемой информации в компонентах системы, так и для защиты информации, передаваемой по каналам связи. Само преобразование информации может осуществляться аппаратными или программными средствами, с помощью механических устройств, вручную и т.д.
II. Неформальные средства защиты – регламентируют деятельность человека.
Законодательные средства – законы и другие нормативно-правовые акты, с помощью которых регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил. Распространяются на всех субъектов информационных отношений. В настоящее время отношения в сфере информационной безопасности регулируются более чем 80 законами и нормативными документами, иногда достаточно противоречивыми.
Организационные средства - организационно-технические и организационно- правовые мероприятия, осуществляемые в течение всего жизненного цикла защищаемой

информационной системы (строительство помещений, проектирование информационных систем, монтаж и наладка оборудования, испытания и эксплуатация информационных систем). Другими словами – это средства уровня организации, регламентирующие перечень лиц, оборудования, материалов и т.д., имеющих отношение к информационным системам, а также режимов их работы и использования. К организационным мерам также относят сертификацию информационных систем или их элементов, аттестацию объектов и субъектов на выполнение требований обеспечения безопасности и т.д.
Морально-этические средства - сложившиеся в обществе или в данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение приравнивается к несоблюдению правил поведения в обществе или коллективе, ведет к потере престижа и авторитета. Наиболее показательные пример – кодекс профессионального поведения членов Ассоциации пользователей ЭВМ США.
Организационно-технические и режимные меры и методы
Для описания технологии защиты информации конкретной информационной системы обычно строится так называемая Политика информационной безопасности или
Политика безопасности рассматриваемой информационной системы.
Политика безопасности (информации в организации) (англ. Organizational security
policy) — совокупность документированных правил, процедур, практических приёмов или руководящих принципов в области безопасности информации, которыми руководствуется организация в своей деятельности.
Политика безопасности информационно-телекоммуникационных технологий
(англ. ІСТ security policy) — правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и её информационно-телекоммуникационных технологий управлять, защищать и распределять активы, в том числе критичную информацию.
Для построения Политики информационной безопасности рекомендуется отдельно рассматривать следующие направления защиты информационной системы:
•
Защита объектов информационной системы;
•
Защита процессов, процедур и программ обработки информации;
•
Защита каналов связи (акустические, инфракрасные, проводные, радиоканалы и др.), включая защиту информации в локальных сетях;
•
Подавление побочных электромагнитных излучений;
•
Управление системой защиты.
При этом по каждому из перечисленных выше направлений Политика информационной безопасности должна описывать следующие этапы создания средств защиты информации:
✓
Определение информационных и технических ресурсов, подлежащих защите;
✓
Выявление полного множества потенциально возможных угроз и каналов утечки информации;
✓
Проведение оценки уязвимости и рисков информации при имеющемся множестве угроз и каналов утечки;
✓
Определение требований к системе защиты;
✓
Осуществление выбора средств защиты информации и их характеристик;
✓
Внедрение и организация использования выбранных мер, способов и средств защиты;
✓
Осуществление контроля целостности и управление системой защиты.
Политика информационной безопасности оформляется в виде документированных требований на информационную систему. Документы обычно разделяют по уровням описания (детализации) процесса защиты.
Документы верхнего уровня Политики информационной безопасности отражают позицию организации к деятельности в области защиты информации, её стремление соответствовать государственным, международным требованиям и стандартам в этой области. Подобные документы могут называться «Концепция ИБ», «Регламент управления

ИБ», «Политика ИБ», «Технический стандарт ИБ» и т. п. Область распространения документов верхнего уровня обычно не ограничивается, однако данные документы могут выпускаться и в двух редакциях — для внешнего и внутреннего использования.
Согласно ГОСТ Р ИСО/МЭК 17799—2005, на верхнем уровне Политики информационной безопасности должны быть оформлены следующие документы:
«Концепция обеспечения ИБ», «Правила допустимого использования ресурсов информационной системы», «План обеспечения непрерывности бизнеса».
К среднему уровню относят документы, касающиеся отдельных аспектов информационной безопасности. Это требования на создание и эксплуатацию средств защиты информации, организацию информационных и бизнес-процессов организации по конкретному направлению защиты информации. Например: Безопасности данных,
Безопасности коммуникаций, Использования средств криптографической защиты,
Контентная фильтрация и т. п. Подобные документы обычно издаются в виде внутренних технических и организационных политик (стандартов) организации. Все документы среднего уровня политики информационной безопасности конфиденциальны.
В политику информационной безопасности нижнего уровня входят регламенты работ, руководства по администрированию, инструкции по эксплуатации отдельных сервисов информационной безопасности.