Информационная безопасность и защита информации - StudentLib. Введение в информационную безопасность Информационная сфера (среда)
Скачать 416.21 Kb.
|
Конфиденциальная информация и ее защита С развитием информационного общества проблемы, связанные с защитой конфиденциальной информации приобретают все большее значение. В настоящее время в российском законодательстве данные вопросы полно и системно не решены. Федеральный закон «Об информации, информационных технологиях и о защите информации» не определяет ни виды конфиденциальной информации, ни перечень сведений, которые могут составлять конфиденциальную информацию. Отнесение информации к конфиденциальной осуществляется в порядке, установленном законодательством РФ. Коммерческая тайна Правовой основой охраны сведений, составляющих коммерческую тайну, является федеральный закон «О коммерческой тайне» и гражданский кодекс РФ. Признаки информации, которая может составлять коммерческую тайну, послужили основой для разработки положений федерального закона “О коммерческой тайне»: 1. Действительная или потенциальная коммерческая ценность в силу неизвестности ее третьим лицам 2. Отсутствие к ней свободного доступа на законном основании . Принятие обладателем информации надлежащих мер по ее охране Коммерческая информация, циркулирующая в организации, подразделяется на техническую, организационную, финансовую, рекламную, информацию о спросе и предложении, конкурентах и т.д. Ограничения, вводимые на использование сведений, составляющих коммерческую тайну, направлены на защиту интеллектуальной, материальной, финансовой собственности и других интересов, возникающих при формировании трудовой деятельности организации, персонала ее подразделений, а также при их сотрудничестве с работниками других организаций. Служебная тайна Можно выделить основные признаки информации, составляющей служебную тайну: 1. К служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, если ограничение на распространяемые таким образом сведения установлено законом или диктуется служебной необходимостью. 2. Служебную тайну могут составлять сведения, являющиеся конфиденциальной информацией других лиц, но ставшие известными представителями государственных органов или органов местного самоуправления в силу исполнения ими служебных обязанностей. Таким образом, возникает определение служебной тайны. Служебная тайна - это защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом. Профессиональная тайна К профессиональной тайне может быть отнесена информация, полученная гражданами при исполнении ими профессиональных обязанностей или организациями при осуществлении ими определенных видов деятельности. Профессиональная тайна подлежит защите в случае, если на эти лица федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации. В соответствии с действующим законодательством к профессиональной тайне отнесена информация, связанная со служебной деятельностью медицинских работников, нотариусов, адвокатов, частных детективов, священнослужителей, работников банков, ЗАГСов, учреждений страхования. Персональные данные В Российском законодательстве персональные данные подразделяются на следующие виды: 1. Общедоступные персональные данные. Это персональные данные, доступ к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности. 2. Специальные категории персональных данных. Это персональные данные, касающиеся расовой или национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья. Обработка таких данных возможна только в случаях, прямо указанных в законе, в частности: а) если субъект персональных данных в письменной форме дает свое согласие; б) если обработка персональных данных необходима в связи с осуществлением правосудия; в) если обработка персональных данных осуществляется в соответствии с законодательством РФ «О безопасности», «Об оперативно-розыскной деятельности», а также в соответствии с уголовно-исполнительным законодательством РФ. 3. Биометрические персональные данные. Это сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность. К таким данным относятся, в частности, доктиоскопическая информация. Лицензирование и сертификация в области обеспечения безопасности информации безопасность защита информационная лицензирование Действенными инструментами государственного регулирования отношений в области защиты информации являются процессы лицензирования и сертифицирования. Лицензирование - это процедура выдачи на определенный срок специальных разрешений на ведение соответствующих видов деятельности. В области защиты информации обязательному лицензированию подлежат следующие виды деятельности: 1. Разработка и производство шифровальных (криптографических) средств, шифровальных и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств. 2. Деятельность по распространению шифровальных (криптографических) средств. . Деятельность по техническому обслуживанию шифровальных (криптографических) средств. . Предоставление услуг в области шифровальной информации. . Деятельность по выявлению элементарных устройств, предназначенных для негласного получения информации в помещениях и технических средствах. . Деятельность по разработке и/или производству средств защиты конфиденциальной информации. . Деятельность по технической защите конфиденциальной информации. . Разработка, производства, реализация и приобретение в целях продажи специальных технических средств, предназначенных для негласного получения информации. Еще одним высокоэффективным средством государственного контроля является сертификация. Это подтверждение соответствия продукции, процессов производства, эксплуатации, работ, услуг или иных объектов, установленных требованиями (технические регламенты, стандарты, условия договора и пр.). Законодательно установлены два вида подтверждения соответствия: добровольное и обязательное. Процедура сертификации осуществляет независимая от изготовителя, продавца, исполнителя и потребителя организация (орган по сертификации), т.е. юридическое лицо, аккредитованное в установленном порядке для выполнения работ по сертификации. Правила выполнения работ по сертификации и правила функционирования всей системы в целом образует систему сертификации. Организационное обеспечение информационной безопасности Законы и нормативные акты исполняются только в том случае, если они подкрепляются организаторской деятельностью соответствующих структур, создаваемых в государстве, ведомствах, учреждениях и организациях. Такая деятельность относится к организационным методам защиты информации. Организационные (административные) средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые должностными лицами в процессе создания и эксплуатации АСОД и аппаратуры телекоммуникаций для обеспечения заданного уровня безопасности информации. Организационные мероприятия охватывают все структурные элементы аппаратуры на всех этапах их жизненного цикла. Основные организационные и организационно-технические мероприятия по созданию и поддержанию функционирования системы защиты включают: 1. Разовые мероприятия. Однократно проводимые мероприятия и повторяемые только при полном пересмотре принятых решений. 2. Мероприятия, проводимые при осуществлении или возникновении определенных изменений в самой защищаемой АСОД или внешней среде (мероприятия, проводимые по необходимости). . Периодически проводимые мероприятия . Постоянно проводимые мероприятия К разовым мероприятиям относят: 1. Общесистемные мероприятия по созданию научно-технических и методологических основ защиты АСОД. 2. Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров и других объектов АСОД. . Мероприятия, осуществляемые при разработке и вводе в эксплуатацию технических средств и программного обеспечения. . Проведение проверок всех применяемых в АСОД средств вычислительной техники и проведение мероприятий по защите информации от утечки по каналам побочных излучений. . Разработка и утверждение функциональных обязанностей должностных лиц службы компьютерной безопасности. К периодически проводимым мероприятиям относят: 1. Распределение реквизитов разграничения доступа (пароли, ключи шифрования и т.д.). 2. Анализ системных журналов и принятие мер по обнаруженным нарушениям правил работы. . Мероприятия по пересмотру правил разграничения доступа пользователей к информации в организации. . Периодическое осуществление анализа состояния и оценки эффективности, мер и применяемых средств защиты с привлечением сторонних специалистов. . Мероприятия по пересмотру состава и построения системы защиты. К мероприятиям, проводимым по необходимости, относят: 1. Мероприятия, осуществляемые при кадровых изменениях в составе персонала системы. 2. Мероприятия, осуществляемые при ремонте и модификациях оборудования и программного обеспечения. Постоянно проводимые мероприятия включают: 1. Мероприятия по обеспечению достаточного уровня физической защиты всех компонентов АСОД (противопожарная охрана, охрана помещений, пропускной режим, обеспечение сохранности и физической целостности средств вычислительной техники, носителей информации и т.п.). 2. Мероприятия по непрерывной поддержке функционирования и управления используемыми средствами защиты. . Явный и скрытый контроль за работой персонала системы. . Контроль за реализацией выбранных мер защиты в процессе проектирования, разработки, ввода в эксплуатацию и функционирования АСОД. . Постоянно и периодически осуществляемый анализ состояния и оценка эффективности мер и применяемых средств защиты. Технические средства обеспечения информационной безопасности К техническим средствам передачи, обработки, хранения и отображения информации ограниченного доступа (ТСПИ) относятся технические средства автоматизированных систем управления, именуемые средствами вычислительной техники (СВТ), средства изготовления и размножения документов, аппаратура звукоусиления, звукозаписи, звуковоспроизведения и синхронного перевода, системы внутреннего телевидения, системы видеозаписи и воспроизведения видео, системы оперативно-командной связи, системы внутренней автоматической телефонной связи, включая и соединительные линии перечисленного выше оборудования, и т.д. Данные технические средства и системы в ряде случаев именуются основными техническими средствами и системами (ОТСС). Совокупность средств и систем обработки информации, а также помещений или объектов (зданий, сооружений технических средств), в которых они установлены, составляет объект ТСПИ, который в некоторых документах называется объектом информатизации. Наряду с техническими средствами и системами, обрабатывающими информацию ограниченного доступа, на объектах ТСПИ также устанавливаются вспомогательные технические средства и системы (ВТСС), непосредственно не участвующие в ее обработке. К ним относятся системы и средства городской автоматической телефонной связи, системы и средства передачи данных в системе радиосвязи, системы и средства охранной и пожарной сигнализации, контрольно-измерительная аппаратура, системы и средства кондиционирования, системы и средства проводной радиотрансляционной сети и приема программ радиовещания и телевидения, средства электрической оргтехники, системы и средства электрогазофикации и иные технические средства и системы. В некоторых документах ВТСС называются средствами обеспечения объекта информатизации. Через помещения, в которых установлены ТС обработки информации ограниченного доступа как правило проходят провода и кабели, не относящиеся к ТСПИ и ВТСС, а также металлические трубы систем отопления, водоснабжения и другие токопроводящие металлоконструкции, которые называются посторонними проводниками. Ряд соединительных линий ВТСС, а также посторонних проводников могут выходить за пределы не только объекта ТСПИ, но и контролируемой зоны (КЗ), под которой понимается пространство (территория, здание, часть здания), в котором исключено неконтролируемое пребывание сотрудников и посетителей организации, а также транспортных средств. Границей КЗ могут являться периметр охраняемой территории организации, а также ограждающие конструкции охраняемого здания или части охраняемого здания, если оно размещено на неохраняемой территории, т.о. при рассмотрении объекта ТСПИ как объекта разведки, его необходимо рассматривать как систему, включающую: 1. Технические средства и системы, непосредственно обрабатывающие информацию ограниченного доступа вместе с их соединительными линиями (совокупность проводов и кабелей, прокладываемых между отдельными ТСПИ и их элементами) 2. Вспомогательные технические средства и системы вместе с их соединительными линиями . Посторонние проводники . Систему электропитания объекта . Систему заземления объекта Для добывания информации, обрабатываемой техническими средствами, «противник» (лицо или группа лиц, заинтересованных в получении этой информации) может использовать широкий арсенал портативных технических средств разведки (ТСР). Совокупность объекта разведки (в данном случае - объекта ТСПИ), технических средств разведки, с помощью которых добывается информация и физической среды, в которой распространяется информационный сигнал, называется техническим каналом утечки информации. При работе технических средств возникают информативные электромагнитные излучения, а в соединительных линиях ВТСС и посторонних проводниках могут появляться наводки информационных сигналов. Поэтому технические каналы утечки информации можно разделить на электромагнитные и электрические. Электромагнитные каналы утечки информации В электромагнитных каналах утечки информации носителем информации являются различные виды побочного излучения (ЛЭМИ). Они возникают из: 1. Побочные ЭМ-излучения, возникающие вследствие протекания по элементам ТСПИ и их соединительным линиям переменного электрического тока. 2. ПЭМИ на частотах работы высокочастотных генераторов, входящих в состав ТСПИ. . ПЭМИ, возникающие вследствие паразитной генерации в элементах ТСПИ. 1. Побочные электромагнитные излучения ТСПИ В некоторых ТСПИ носителем информации является электрический ток, параметры которого изменяются по закону изменения информационного речевого сигнала. При протекании электрического тока по токоведущим элементам ТСПИ и их соединительным линиям в окружающем пространстве возникает переменное электрическое и магнитное поля. Поэтому элементы ТСПИ можно рассматривать как излучение электромагнитного поля, модулированного по закону изменения информационного сигнала. 2. Побочные электромагнитные излучения на частотах работы высокочастотных генераторов ТСПИ Во время работы в АСОД происходят сложные информационные и физические процессы. При этом наряду с функционированием основных (предусмотренных по конструкции каналов, обеспечивающих обработку информации) существуют побочные каналы из-за неидеальности процессов формирования и передачи сигналов (носителей информации). С точки зрения утечки информации наибольшую опасность представляют побочные каналы, определяющую роль играют побочные электромагнитные излучения и наводки (ПЭМИН). В состав ТСПИ могут входить различного рода высокочастотные генераторы, к ним можно отнести генераторы тактовой частоты, генераторы стирания и подмагничивания магнитофонов, генераторы измерительных приборов и т.д. В результате внешних воздействий информационного сигнала (например, электромагнитных колебаний) на элементах высокочастотных генераторов наводятся электрические сигналы. Приемником магнитного поля могут быть катушки индуктивности, колебательные контуры и т.д. Приемником электрического поля являются провода высокочастотных линий и др. Наведенные сигналы могут вызвать непреднамеренную модуляцию собственных высокочастотных генераторов, которые излучаются в окружающее пространство. 3. Паразитная генерация (побочные электромагнитные излучения, возникающие вследствие паразитной генерации в элементах ТСПИ) Паразитная генерация в элементах ТСПИ возможна за счет случайных преобразований отрицательных обратных связей (индуктивных или емкостных) в паразитные положительные, что приводит к переводу усилителя из режима усиления в режим автогенерации сигналов. Частота автогенерации лежит в пределах рабочих частот нелинейных элементов усилителей (например, полупроводниковых приборов, электровакуумных ламп и т.п.). Сигнал на частотах автогенерации оказывается как правило модулированным информационным сигналом. ПЭМИ возникают при следующих режимах обработки информации средствами вычислительной техники: 1) вывод информации на экраны мониторов; 2) ввод данных с клавиатуры; ) чтение и запись информации с или на накопители на магнитных носителях; ) передача данных в каналы связи; ) вывод данных на периферийные печатные устройства; ) запись данных со сканера на магнитный носитель. Для перехвата ПЭМИ ТСПИ могут использоваться как обычные средства радиотехнической разведки, так и специальные средства, которые называются технические средства разведки побочных электромагнитных излучений и наводок (ТСР ПЭМИН). Как правило полагается, что ТСП ПЭМИН располагаются за пределами КЗ объекта. Качество обнаружения сигнала средствами разведки характеризуется вероятностями правильного обнаружения (P0) сигнала и ложной тревоги (PЛТ). Обычно предполагается, что в средствах разведки используется оптимальные для перехватываемых видов сигналов приемные устройства. Наиболее часто в них реализуется алгоритм обработки сигналов Неймана-Пирсона, прим котором минимальная ошибка второго рода при условии, что вероятность ошибки первого рода (ложная тревога) не больше некоторой заданной величины (порог α). Наиболее распространенным видом помех являются внутренние шумы приемного устройства, которые суммируются с принимаемым сигналом (аддитивные шумы). Зная уровень шума приемного устройства, легко рассчитать уровень сигнала на входе приемного устройства, при котором вероятность его правильного обнаружения будет равна допустимому значению (нормировано!) - P0 ДОП, которое обычно называют чувствительностью приемного устройства. Для обеспечения требуемого уровня ЗИ допустимое значение вероятности правильного обнаружения сигнала - 0,1-0,7 при вероятности ложной тревоги PЛТ = 10-3. Используя характеристики премного устройства и антенной системы средства разведки можно рассчитать допустимое значение напряженности электромагнитного поля в точке размещения средства разведки, при котором отношение «информационный сигнал - помеха» на входе приемного устройства будет равно некоторому P0 ДОП, при котором еще возможно или обнаружение средством разведки информационных сигналов с требуемой вероятностью, или измерение их параметров с допустимыми ошибками, а значит - выделение полезной информации. Пространство вокруг ТСПИ, в пределах которого напряженность электромагнитного поля превышает допустимое значение, называется зоной R2. Фактически R2 - зона, в пределах которой невозможен перехват средством разведки ПЭМИ ТСПИ с требуемым качеством. Зона R2 определяется экспериментально-расчетным методом при проведении специальных исследований технических средств на ПЭМИН и указывается в предписании на их эсплуатацию или в сертификации соответствия. Т.о. по электромагнитным каналам утечки информации перехват информации осуществляется путем приема и детектирования средством разведки ПЭМИ, возникающих при работе ТСПИ. Наряду с пассивными способами перехвата информации, обрабатываемой ТСПИ возможно использование и активных способов, в частности, способов высокочастотного облучения. ТСПИ облучается мощным высокочастотным сигналом. При взаимодействии облучающего электромагнитного поля с элементами ТСПИ происходит его переизлучение, на нелинейных элементах ТСПИ происходит модуляция вторичного излучения информационным сигналом. Переизлученный сигнал принимается приемным устройством, средством разведки и детектируется для перехвата информации, обрабатываемой ТСПИ. Также возможно использование электронных устройств перехвата информации (закладных устройств), скрыто внедряемых в технические средства и системы. Они представляют собой миниатюрные датчики, излучения задающих генераторов которых модулируется информационным сигналом. Перехваченная с помощью закладных устройств информация или непосредственно передается по радиоканалу, или сначала записывается в специальные запоминающие устройства и затем по каналу управления передается к приемнику радиосигнала. |