Объектов информатизации

2.
Виды и свойства защищаемой информации
К защищаемой информации относят:
– секретные сведения, содержащие государственную тайну;
– конфиденциальную информацию, содержащую коммерческую тайну;
– персональные данные о личной жизни или деятельности граждан.
Таким образом, под защищаемой информацией понимают сведения, ис- пользование и распространение которых ограничены их собственниками, т.е. субъектами информационных отношений.
Под субъектами информационных отношений понимают:
– государство в целом или его отдельные органы и организации;
– общественные или коммерческие организации и предприятия (юриди- ческие лица);
– отдельные лица (физические лица).
В процессе работы субъекты производственно-хозяйственных отношений вступают друг с другом в информационные отношения, связанные с получени- ем, хранением, обработкой, распределением и использованием информации и рассчитывают при этом на соблюдение своих законных прав и интересов.
Различные субъекты по отношению к определенной информации могут выступать в качестве: источников, пользователей, собственников (владельцев) информации; физических и юридических лиц; владельцев систем сбора и обра- ботки информации, а также участников процессов обработки и передачи ин- формации и т.д.
Для удовлетворения законных прав и интересов субъектов информацион- ных отношений необходимо постоянно поддерживать следующие основные свойства информации: доступность, целостность и конфиденциальность.
Доступность информации – возможность за разумное время получить тре- буемую информационную услугу при наличии соответствующих полномочий;
Целостность информации – неизменность вида и качества информации в условиях случайных или преднамеренных искажений или разрушающих воз- действий;
Конфиденциальность информации – известность информации только прошедшим проверку (авторизованным) субъектам.
В случае нарушения этих свойств, субъектам информационных отноше- ний может быть нанесен значительный материальный или моральный ущерб.
11

Защищаемую информацию можно классифицировать по трем основным признакам: 1) принадлежности; 2) степени секретности; 3) содержанию.
Признак принадлежности определяет собственников (владельцев) защи- щаемой информации, которыми могу быть:
– государство и его структуры. В этом случае к защищаемой информации относятся сведения, представляющие собой государственную или служебную тайну (в их числе могут быть и сведения, являющиеся коммерческой тайной);
– предприятия, акционерные общества, товарищества и другие образова- ния, обладающие сведениями, составляющими коммерческую тайну;
– общественные организации (партии, фонды, партнерства)
, в которых также может существовать государственная или коммерческая тайна;
– граждане государства, заинтересованные в сохранении тайны перепис- ки; телефонных и телеграфных сообщений; врачебной и семейной тайн и др.
Признак степени секретности подразделяет защищаемую информацию по уровням ее важности и секретности для собственника.
По уровню важности информация может быть:
– жизненно важная незаменимая информация, наличие которой необхо- димо для функционирования организации;
– важная – информация, которая может быть заменена или восстановлена, но процесс восстановления очень труден и связан с большими затратами;
– полезная – информация, которую трудно восстановить, однако органи- зация может эффективно существовать и без нее;
– несущественная – информация, которая больше не нужна организации.
На практике отнесение информации к одной из категорий важности осложняется субъективизмом в ее оценке. Важность информации, как и ее цен- ность, обычно изменяется со временем и зависит от степени отношения к ней различных групп потребителей и потенциальных нарушителей.
Ценность информации может рассматриваться с 2-х позиций: ценность для получателя по отношению к будущей прибыльности (потребительская цен- ность) и ценность с точки зрения понесенных затрат. Информация, в отличие от товара, при передаче остается у источника (продавца).
По уровню секретности информация может быть: особой важности, со- вершенно секретной, секретной, для служебного пользования, несекретной.
Признак содержания позволяет подразделять защищаемую информацию на политическую, экономическую, военную, разведывательную (контрразведы- вательную), научно-техническую, технологическую, деловую и коммерческую.
12

3.
Факторы, воздействующие на защищаемую информацию
Под факторами, воздействующими на защищаемую информацию,подра- зумеваютявления, действия или процессы, результатом которых могут быть утечка, искажение, уничтожение защищаемой информации или блокирование доступа к ней.
Различают объективные и субъективные факторы и в каждом классе вы- деляют внешние и внутренние факторы. Подробный перечень факторов можно найти в ГОСТ Р 51275-2006 (взамен ГОСТ Р 51275-99) [6], который распро- страняется на требования по организации ЗИ при создании и эксплуатации объ- ектов информатизации, используемых в различных областях деятельности
(обороны, экономики, науки и других областях).
Значение некоторых используемых терминов:
побочное электромагнитное излучение – излучение, возникающее при работе технических средств обработки информации;
паразитное электромагнитное излучение – излучение, вызванное пара- зитной генерацией в электрических цепях технических средств обработки ин- формации;
«
маскарад» – маскировка под зарегистрированного пользователя.
В приведенной ниже таблице перечислены наиболее существенные фак- торы, воздействующие на защищаемую информацию.
Выявление и учет факторов, воздействующих или могущих воздейство- вать на защищаемую информацию в конкретных условиях, составляют основу для планирования и проведения эффективных мероприятий, направленных на
ЗИ на ОИ.
Полнота и достоверность выявленных факторов достигаются путем рас- смотрения полного множества факторов, воздействующих на все элементы ОИ
(технические и программные средства обработки информации, средства обес- печения ОИ и т.д.) и на всех этапах обработки информации
Выявление факторов, воздействующих на защищаемую информацию, должно осуществляться с учетом следующих требований:
- достаточности уровней классификации факторов, воздействующих на защищаемую информацию, позволяющих формировать их полное множество;
- гибкости классификации, позволяющей расширять множества класси- фицируемых факторов, группировок и признаков, а также вносить необходи- мые изменения без нарушения структуры классификации
13

Факторы, воздействующие на защищаемую информацию
О
бъ
ект
ив
ные
Внутренние Передача сигналов по проводным и оптико-волоконным линиям связи
Излучения акустических, речевых и неречевых сигналов
Излучения в радио- и оптическом диапазонах
Побочное и паразитное электромагнитные излучения
Различные наводки
Дефекты, сбои, отказы, аварии ТС, систем и ПО
Внешние
Явления техногенного характера.
Электромагнитные и радиационные облучения
Сбои, отказы и аварии систем обеспечения ОИ
Природные явления, стихийные бедствия
Термические (пожары и т.д.)
Климатические (наводнения и т.д.)
Механические (землетрясения и т.д.)
Электромагнитные (грозовые разряды и т.д.)
Биологические (микробы, грызуны и т.д.)
Химические факторы (химически агрессивные среды и т.д.)
С
уб
ъе
кт
ив
ные
Внутренние Разглашение информации, опубликование в СМИ
Передача, утрата, хищение, копирование носителей ин- формации
Несанкционированные доступ, изменение, копирование
Несанкционированное использование ПО («маскарад», использование дефектов, применение вирусов)
Неправильная организация ЗИ (ошибки в задании требо- ваний, в организации контроля, несоблюдение требова- ний)
Ошибки обслуживающего персонала (при эксплуатации
ТС/ПС/средств и систем ЗИ)
Внешние
Доступ к защищаемой информации с применением техни- ческих средств разведки (радио- и оптико-электронной, фото, визуальной, гидроакустической, компьютерной) и
съема информации
Несанкционированное подключение к ТС и системам
Использование ПО ТС ОИ
(«маскарад», использование дефектов, применение вирусов)
Несанкционированный физический доступ на ОИ, хище- ние носителя
Блокирование доступа к защищаемой информации
Преступные действия и диверсии в отношении ОИ
14

4.
Сущность и задачи комплексной системы защиты информации
Современные предприятия представляют собой сложные системы. Их от- личительными особенностями являются: сложная организационная структура; многофункциональность; высокая техническая оснащённость; большие объемы поступающей информации, требующие современных методов передачи, хране- ния и обработки; обширные внешние связи; работа в условиях самых разнооб- разных угроз информационной безопасности.
Обеспечение безопасности функционирования таких предприятий требу- ет привлечения всего арсенала имеющихся средств защиты во всех структур- ных подразделениях производственной системы и на всех этапах технологиче- ского цикла обработки информации. Наибольший эффект может быть достиг- нут только в том случае, когда все используемые средства, методы и меры объ- единяются в единый целостный механизм – комплексную систему защиты ин- формации. При этом функционирование системы должно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.
Комплексная система защиты информации (КСЗИ) – это совокупность организационно-правовых и инженерно-технических мероприятий, направлен- ных на обеспечение защиты информации от разглашения, утечки и несанкцио- нированного доступа.
Организационно-правовые мероприятия включают в себя создание кон- цепции информационной безопасности, а также:
– составление должностных инструкций для пользователей и обслужива- ющего персонала;
– создание правил администрирования компонент информационной си- стемы, учета, хранения, размножения, уничтожения носителей информации, идентификации пользователей;
– разработку планов действий в случае выявления попыток несанкцио- нированного доступа к информационным ресурсам системы, выхода из строя средств защиты, возникновения чрезвычайной ситуации;
–
обучение правилам информационной безопасности пользователей.
В случае необходимости, в рамках проведения организационно-правовых мероприятий может быть создана служба информационной безопасности, ре- жимно-пропускной отдел, проведена реорганизация системы делопроизводства и хранения документов.
15

Инженерно-технические мероприятия – это совокупность специальных технических средств и их использование для защиты информации. Выбор ин- женерно-технических мероприятий зависит от уровня защищенности информа- ции, который необходимо обеспечить.
Инженерно-технические мероприятия, проводимые для защиты инфор- мационной инфраструктуры организации, могут включать использование за- щищенных подключений, межсетевых экранов, разграничение потоков инфор- мации между сегментами сети, использование средств шифрования и защиты от несанкционированного доступа.
В случае необходимости, в рамках проведения инженерно-технических мероприятий, может осуществляться установка в помещениях систем охранно- пожарной сигнализации, систем контроля и управления доступом.
Отдельные помещения могут быть оборудованы средствами защиты от утечки акустической (речевой) информации.
Комплексный (системный) подход – это принцип рассмотрения проекта, при котором анализируется система в целом, а не ее отдельные части. Его зада- ча – оптимизация всей системы.
Комплексный подход к построению любой системы включает в себя:
– постановку задачи (проблемы): определение объекта исследования, по- становку целей, задание критериев для изучения объекта и управления им;
– очерчивание границ изучаемой системы и ее первичную структуриза- цию. На этом этапе вся совокупность объектов и процессов, имеющих отноше- ние к поставленной цели, разбивается на два класса – собственно изучаемая си- стема и внешняя среда как источник угроз безопасности;
– составление математической модели изучаемой системы: параметриза- ция системы, задание области определения параметров, установление зависи- мостей между введенными параметрами;
– исследование построенной модели: прогноз развития изучаемой систе- мы на основе ее модели, анализ результатов моделирования, оценку экономи- ческой целесообразности;
– выбор оптимального управления для приведения системы в желаемое
(целевое) состояние.
Задачи КСЗИ
Основными задачами, которые должны решаться комплексной системой защиты информации, являются:
16

– управление доступом пользователей к ресурсам АС с целью ее защиты от неправомерного случайного или умышленного вмешательства в работу си- стемы и несанкционированного (с превышением предоставленных полномо- чий) доступа к ее информационным, программным и аппаратным ресурсам со стороны посторонних лиц, а также лиц из числа персонала организации и поль- зователей;
– защита данных, передаваемых по каналам связи;
– регистрация, сбор, хранение, обработка и выдача сведений обо всех со- бытиях, происходящих в системе и имеющих отношение к ее безопасности;
– контроль работы пользователей системы со стороны администрации и оперативное оповещение администратора безопасности о попытках несанкцио- нированного доступа к ресурсам системы;
– контроль и поддержание целостности критичных ресурсов системы за- щиты и среды исполнения прикладных программ;
– обеспечение замкнутой среды проверенного ПО с целью защиты от бес- контрольного внедрения в систему потенциально опасных программ и средств преодоления системы защиты, а также от внедрения и распространения компь- ютерных вирусов;
– управление средствами системы защиты.
5.
Принципы организации КСЗИ
Построение современных систем защиты информации и их функциони- рование должны осуществляться в соответствии со следующими принципами
[15, 21, 26]:
–
законность: предполагает осуществление защитных мероприятий и разработку системы безопасности информации АС организации в соответствии с действующим законодательством;
–
системность: системный подход к построению системы защиты ин- формации предполагает учет всех взаимосвязанных, взаимодействующих и из- меняющихся во времени элементов, условий и факторов, существенных для понимания и решения проблемы обеспечения безопасности информации;
–
комплексность: комплексное использование методов и средств защиты компьютерных систем предполагает согласованное применение разнородных средств при построении целостной системы защиты, перекрывающей все суще- ственные (значимые) каналы реализации угроз и не содержащей слабых мест на
17

стыках отдельных ее компонентов, защита должна строиться эшелонировано.
Принцип эшелонированной (многоуровневой) защиты предполагает создание ряда последовательных уровней защиты, что обеспечивает ограничение в рам- ках каждого уровня (эшелона) последствий вероятных отказов ТС и ошибок персонала;
–
централизованность управления: связана с необходимостью проведения единой политики в области безопасности информационных ресурсов;
–
унифицированность: использование стандартных компонент при созда- нии блочной архитектуры КСЗИ;
–
непрерывность защиты: непрерывный, целенаправленный процесс, предполагающий принятие соответствующих мер на всех этапах жизненного цикла АС;
–
своевременность: предполагает упреждающий характер мер для обес- печения безопасности информации;
–
преемственность и совершенствование: предполагают постоянное со- вершенствование мер и средств защиты информации по мере совершенствова- ния информационных технологий и увеличения числа пользователей;
–
разумная достаточность (экономическая целесообразность): предпо- лагает соответствие уровня затрат на обеспечение безопасности информации ценности информационных ресурсов и величине возможного ущерба;
–
персональная ответственность: предполагает возложение ответствен- ности за обеспечение безопасности информации и системы ее обработки на каждого сотрудника в пределах его полномочий;
–
минимизации полномочий: означает предоставление пользователям ми- нимальных прав доступа в соответствии с производственной необходимостью;
–
гибкость системы защиты: для обеспечения возможности варьирова- ния уровня защищенности при изменении внешних условий и требований с те- чением времени средства защиты должны обладать определенной гибкостью;
–
открытость алгоритмов и механизмов защиты: суть данного принци- па состоит в том, что защита не должна обеспечиваться только за счет секрет- ности структурной организации и алгоритмов функционирования ее подсистем.
Знание алгоритмов работы системы защиты не должно давать возможности ее преодоления (даже авторам). Однако это не означает, что информация о кон- кретной системе защиты должна быть общедоступна;
18

–
простота применения средств защиты: механизмы защиты должны быть интуитивно понятны и просты в использовании, без привлечения значи- тельных дополнительных трудозатрат;
–
научная обоснованность и техническая реализуемость: информацион- ные технологии, технические и программные средства, средства и меры защиты информации должны быть реализованы на современном уровне развития науки и техники, научно обоснованы с точки зрения достижения заданного уровня безопасности информации и должны соответствовать установленным нормам и требованиям по безопасности информации;
–
обязательность контроля: предполагает обязательность и своевремен- ность выявления и пресечения попыток нарушения установленных правил обеспечения безопасности;
–
специализация и профессионализм: предполагает привлечение к разра- ботке средств и реализаций мер защиты информации специализированных ор- ганизаций, имеющих опыт практической работы и государственную лицензию на право оказания услуг в этой области. Реализация административных мер и эксплуатация средств защиты должна осуществляться профессионально подго- товленными специалистами;
–
взаимодействие и сотрудничество: предполагает создание благоприят- ной атмосферы в коллективах подразделений;
–
дружественность интерфейса: для обеспечения удобства использова- ния на уровне ассоциативного мышления пользователя.