Что является выходами системы защиты информации?

Основные понятия в области технической защиты информации

В современном обществе в связи с бурной информатизацией всё более актуальной становится проблема защиты информации. Но прежде чем говорить о защите информации, важно определить понятие информации, которое само по себе является первичным в данной области. Существует множество определений информации, которые варьируются в зависимости от контекста. В данном курсе под информацией мы будем подразумевать сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления [1.1]. По Ожегову С.И. сведения — это знания [1.2].

Следовательно, в общем случае информация — это знания в самом широком понимании этого слова. То есть это не только образовательные или научные знания, а любые сведения и данные, которые присутствуют повсеместно. Защите подлежит конфиденциальная информация и секретная информация , к которой относится государственная тайна . Под конфиденциальной информацией подразумевается информация ограниченного доступа , не содержащая государственную тайну .

В общем случае защита информации представляет собой противостояние специалистов по информационной безопасности и злоумышленников. Злоумышленник – это субъект, который незаконным путем пытается добыть, изменить или уничтожить информацию законных пользователей.

Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов решения, и характеризуется следующим:

  • большое количество факторов, влияющих на построение эффективной защиты;
  • отсутствие точных исходных входных данных;
  • отсутствие математических методов получения оптимальных результатов по совокупности исходных данных.

В основе решения слабоформализуемых задач лежит системный подход. То есть для решения задачи защиты информации необходимо построить систему защиты информации, представляющую собой совокупность элементов, функционирование которых направлено на обеспечение безопасности информации . Входами любой системы являются воздействия, меняющие состояние системы . Для системы защиты информации входами являются угрозы, как внутренние, так и внешние. Угроза безопасности информации — совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации . Атакой называется попытка реализации угрозы, а тот, кто предпринимает такую попытку, — злоумышленником. Источник угрозы безопасности информации — субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации [1.3]. Источниками угроз могут быть злоумышленники, технические средства внутри организации, сотрудники организации, побочные физические явления и пр. Выходами системы являются реакции системы на различные значения входов. Выходами системы защиты информации являются меры защиты. К параметрам системы защиты информации можно отнести следующее:

  • цели и задачи;
  • входы и выходы системы;
  • процессы внутри системы, которые преобразуют входы в выходы.

Цель – это желаемый результат построения системы защиты, задачи – то, что надо сделать для достижения цели. Целью защиты информации является обеспечение информационной безопасности. Понятие информационной безопасности не менее многогранно, чем понятие самой информации, и зависит от контекста, в котором применяется. В ходе данного курса под информационной безопасностью мы будем понимать защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести неприемлемый ущерб субъектам информационных отношений , в том числе владельцам и пользователям информации и поддерживающей инфраструктуры [1.4]. То есть информационная безопасность – это безопасность не только информации, но и поддерживающей инфраструктуры . Если рассматривать только информацию, то безопасность информации — состояние защищенности информации, при котором обеспечиваются ее конфиденциальность , доступность и целостность .

Конфиденциальность , доступность и целостность представляют собой три наиболее важных свойства информации в рамках обеспечения ее безопасности:

  • конфиденциальность информации — состояние информации, при котором доступ к ней осуществляют только субъекты, имеющие на него право;
  • целостность информации — состояние информации, при котором отсутствует любое ее изменение либо изменение осуществляется только преднамеренно субъектами, имеющими на него право;
  • доступность информации — состояние информации, при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно [1.5].

К правам доступа относятся: право на чтение , изменение, копирование , уничтожение информации, а также право на изменение, использование, уничтожение ресурсов.

Более детально цели защиты информации перечислены в Федеральном законе «Об информации, информатизации и о защите информации»:

  • предотвращение утечки, хищения, утраты, искажения, подделки информации;
  • предотвращение угроз безопасности личности, общества, государства;
  • предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
  • защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных , имеющихся в информационных системах;
  • сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
  • обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения [1.1]

Важно понимать, что система защиты информации не может обеспечить стопроцентную защиту. Задается определенный уровень информационной безопасности, который отображает допустимый риск ее хищения, уничтожения или изменения.

Все меры защиты информации по способам осуществления подразделяются на:

  • правовые (законодательные);
  • морально-этические;
  • технологические;
  • организационные (административные и процедурные);
  • физические;
  • технические (аппаратурные и программные).

Среди перечисленных видов защиты базовыми являются правовая, организационная и техническая защита информации .

Правовая защита — защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением[1.3]. К правовым мерам защиты относятся законы РФ, указы и другие нормативно-правовые акты. На законодательном уровне происходит регламентация правил обращения с информацией, определяются участники информационных отношений, их права и обязанности, а также ответственность в случае нарушения требований законодательства. В некотором роде эту группу мер можно отнести к профилактическим. Их основной функцией является упреждение потенциальных злоумышленников, ведь в большинстве случаев именно страх наказания останавливает от совершения преступления. Достоинствами правовых мер защиты является их универсальность в плане применения ко всем способам незаконной добычи информации. Более того, в некоторых случаях они являются единственно применимыми, как, например, при защите авторского права в случае незаконного тиражирования.

К морально-этическим мерам относятся устоявшиеся в обществе нормы поведения. В отдельных случаях они могут быть оформлены в письменном виде, например, уставом или кодексом чести организации. Соблюдение морально-этических норм не является обязательным и носит скорее профилактический характер.

Организационные меры защиты – меры организационного характера, предназначенные для регламентации функционирования информационных систем, работы персонала, взаимодействия пользователей с системой. Среди базовых организационных мер по защите информации можно выделить следующее:

  • Формирование политики безопасности ;
  • Регламентация доступа в помещения;
  • Регламентация допуска сотрудников к использованию ресурсов информационной системы и др.
  • Определение ответственности в случае несоблюдения требований информационной безопасности.

Организационные меры сами по себе не могут решить задачу обеспечения безопасности. Они должны работать в комплексе с физическими и техническими средствами защиты информации в части определения действий людей.

Физическая защита представляет собой совокупность средств, препятствующих физическому проникновению потенциального злоумышленника в контролируемую зону. Ими могут быть механические, электро- или электронно-механические устройства различного типа. Чаще всего, именно с построения физической защиты начинается обеспечение безопасности в организации, в том числе информационной.

Последним и самым обширным по своему составу эшелоном системы защиты является техническая защита информации . Именно этому виду защиты посвящен данный курс.

Техническая защита информации — защита информации , заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств [1.3]. Важно обратить внимание, что техническая защита – это не только защита от утечки информации по техническим каналам утечки, но и защита от НСД, от математического воздействия, от вредоносных программ и т.п. Объектами технической защиты информации могут быть:

  • объект информатизации ;
  • информационная система;
  • ресурсы информационной системы;
  • информационные технологии;
  • программные средства;
  • сети связи.

С позиции системного подхода система защиты информации должна удовлетворять ряду принципов, основными из которых являются:

Система защиты информации

Система защиты информации (СЗИ) в самом общем виде может быть определена как организованная совокупность всех средств, методов и мероприятий, выделяемых (предусматриваемых) в АСОД для решения в ней выбранных задач защиты. Введением понятия СЗИ постулируется тот факт, что все ресурсы, выделяемые для защиты информации, должны объединяться в единую, целостную систему, которая является функционально самостоятельной подсистемой АСОД.

Помимо общего концептуального требования к СЗИ предъявляется еще целый ряд более конкретных, целевых требований, которые могут быть разделены на функциональные, эргономические, экономические, технические и организационные.

Сформированная к настоящему времени система включает следующий перечень общеметодологических принципов: концептуальное единство; адекватность требованиям; гибкость (адаптируемость); функциональная самостоятельность; удобство использования; минимизация предоставляемых прав; полнота контроля; адекватность реагирования; экономичность.

Полнота контроля предполагает, что все процедуры автоматизированной обработки защищаемой информации должны контролироваться системой защиты в полном объеме, причем основные результаты контроля должны фиксироваться в специальных регистрационных журналах.

Активность реагирования означает, что СЗИ должна реагировать на любые попытки несанкционированных действий. Характер реагирования может быть различным и включать: просьбу повторить действие; задержку в выполнении запросов; отключение структурного элемента, с которого осуществлено несанкционированное действие; исключение нарушителя из числа зарегистрированных пользователей; подача специального сигнала и др.

Под организационным построением понимается общая организация системы, адекватно отражающая концептуальные подходы к ее созданию. В соответствии с изложенной концепцией защиты информации в современных АСОД организационное построение СЗИ может быть представлено так, как показано на рисунке. Как следует из приведенной схемы, организационно СЗИ состоит из трех частей: механизмов обеспечения защиты информации, механизмов управления механизмами защиты и механизмов общей организации работы системы.

Совокупность требований к системе зашиты информации в АСОД

В механизмах обеспечения защиты выделяются два организационных компонента: постоянные механизмы и переменные механизмы. При этом под постоянными понимаются такие механизмы, которые встраиваются в компоненты АСОД в процессе создания СЗИ и находятся в рабочем состоянии в течение всего времени функционирования соответствующих компонентов. Переменные же механизмы являются автономными, использование их для решения задач защиты информации предполагает предварительное осуществление операций ввода в состав используемых механизмов.

Организационное построение системы защиты информации

В организационном построении СЗИ должны быть, предусмотрены подсистемы защиты на объектах (структурных компонентах) АСОД и некоторое управляющее звено, которое в специальных публикациях получило название ядра СЗИ.

Ядро системы защиты есть специальный компонент, предназначенный для объединения всех подсистем СЗИ в единую целостную систему организации, обеспечения и контроля ее функционирования.

СЗИ является автоматизированной системой, ее структурное построение может быть определено по аналогии с структурным построением АСОД. Сформированная таким образом структурная схема СЗИ представлена на рисунке.

Общая структурная схема системы защиты информации

Человеческий компонент составляют те лица (или группы лиц, коллективы, подразделения), которые имеют непосредственное отношение к защите информации в процессе функционирования АСОД. К ним должны быть отнесены:

  • 1) пользователи АСОД, имеющие доступ к ее ресурсам и участвующие в обработке информации;
  • 2) администрация АСОД, обеспечивающая общую организацию функционирования системы обработки, в том числе и СЗИ;
  • 3) диспетчеры и операторы АСОД, осуществляющие прием информации, подготовку ее к обработке, управление средствами ВТ в процессе обработки, контроль и распределение результатов обработки, а также некоторые другие процедуры, связанные с циркуляцией информационных потоков;
  • 4) администраторы банков данных, отвечающие за организацию, ведение и использование баз данных АСОД;
  • 5) обслуживающий персонал, обеспечивающий работу технических средств АСОД, в том числе и средств СЗИ;
  • 6) системные программисты, осуществляющие управление программным обеспечением АСОД;
  • 7) служба защиты информации, специально создаваемая для организации и обеспечения защиты информации. Эта служба играет ведущую роль в защите информации.

Если служба защиты в виде самостоятельного подразделения не создается, то ее функции должны быть возложены на администрацию банков данных с соответствующим изменением ее организационно-правового статуса. Ресурсы информационно-вычислительной системы, необходимые для создания и поддержания функционирования СЗИ, как и любой другой автоматизированной системы, объединяются в техническое, математическое, программное, информационное и лингвистическое обеспечение. Состав и содержание перечисленных видов обеспечения определяются следующим образом:

  • 1) техническое обеспечение — совокупность технических средств, необходимых для технической поддержки решения всех тех задач защиты информации, решение которых может потребоваться в процессе функционирования СЗИ. В техническое обеспечение СЗИ, естественно, должны быть включены все технические средства защиты, которые могут оказаться необходимыми в конкретной СЗИ. Кроме того, к ним относятся те технические средства, которые необходимы для решения задач управления механизмами защиты информации;
  • 2) математическое обеспечение — совокупность математических методов, моделей и алгоритмов, необходимых для оценок уровня защищенности информации и решения других задач защиты;
  • 3) программное обеспечение — совокупность программ, реализующих программные средства защиты, а также программ, необходимых для решения задач управления механизмами защиты. К ним должны быть отнесены также сервисные и вспомогательные программы СЗИ;
  • 4) информационное обеспечение — совокупность систем классификации и кодирования данных о защите информации, массивы данных СЗИ, а также входные и выходные документы СЗИ;
  • 5) лингвистическое обеспечение — совокупность языковых средств, необходимых для обеспечения взаимодействия компонентов СЗИ между собой, с компонентами АСОД и с внешней средой.

Типизация и стандартизация систем защиты информации, как и любых других систем, имеет важное значение как с точки зрения обеспечения надежности, так и экономичности защиты.

Типизация в самом общем виде определяется как разработка типовых конструкций или технологических процессов на основе общих для ряда изделий (процессов) технических характеристик. Типизация рассматривается как один из методов стандартизации.

По уровню обеспечиваемой защиты все СЗИ целесообразно разделить, например, на следующие четыре категории:

  • 1) системы слабой защиты — рассчитанные на такие АСОД, в которых обрабатывается информация, имеющая низкий уровень конфиденциальности;
  • 2) системы сильной защиты — рассчитанные на АСОД, в которых обрабатывается информация, подлежащая защите от несанкционированного ее получения, но объемы этой информации не очень велики, и обрабатывается она эпизодически;
  • 3) системы очень сильной защиты — рассчитанные на АСОД, в которых регулярно обрабатываются большие объемы конфиденциальной информации, подлежащей защите;
  • 4) системы особой защиты — рассчитанные на АСОД, в которых регулярно обрабатывается информация повышенной секретности.

По второму критерию, т.е. по активности реагирования СЗИ на несанкционированные действия, все системы защиты можно разделить на следующие три типа:

  • 1) пассивные СЗИ, в которых не предусматривается ни сигнализация о несанкционированных действиях, ни воздействие системы защиты на нарушителя;
  • 2) полуактивные СЗИ, в которых предусматривается сигнализация о несанкционированных действиях, но не предусмотрено воздействие системы на нарушителя;
  • 3) активные СЗИ, в которых предусматривается как сигнализация о несанкционированных действиях, так и воздействие системы на нарушителя.

Тогда организационное построение СЗИ в самом общем случае может быть представлено совокупностью следующих рубежей защиты:

  • 1) территории, занимаемой АСОД;
  • 2) зданий, расположенных на территории;
  • 3) помещений внутри здания, в которых расположены ресурсы АСОД и защищаемая информация;
  • 4) ресурсы, используемые для обработки и хранения информации, и самой защищаемой информации;
  • 5) линий связи, проходящих в пределах одного и того же здания;
  • 6) линий (каналов) связи, проходящих между различными зданиями, расположенными на одной и той же охраняемой территории;
  • 7) линий (каналов) связи, проходящих по неконтролируемой территории.

При этом под рубежом защиты понимается организованная совокупность всех средств, методов и мероприятий, используемых на соответствующем элементе для защиты информации в АСОД. Проектирование СЗИ может осуществляться в различных условиях, причем на различие этих условий определяющее влияние оказывают следующие два параметра:

  • 1) состояние той АСОД, для которой разрабатывается СЗИ;
  • 2) уровень затрат, которые могут быть допущены на создание СЗИ.

Что касается первого параметра, то, очевидно, можно выделить три различных состояния АСОД: система функционирует, имеется готовый проект системы, система еще только проектируется. Затраты на СЗИ либо могут быть заданы (т.е. ограничены определенным уровнем), либо определяться в процессе проектирования СЗИ и поэтому с точки зрения проектирования будут неограниченными.

Введение в специальность

Лекция 7

ТЕМА 6. ОРГАНИЗАЦИОННЫЕ ОСНОВЫ И МЕТОДОЛОГИЧЕСКИЕ ПРИНЦИПЫ ЗАЩИТЫ ИНФОРМАЦИИ

Лекция 7. КАНАЛЫ УТЕЧКИ И СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ

1.Понятие технической защиты информации.

2.Каналы утечки информации.

3.Средства технической и инженерно-технической защиты информации

Введение

Существующие информационные системы реализуются на цифровых электронных системах, основу которых составляют компьютерные системы и сети передачи информации и, соответственно, средства обработки представляют программно- аппаратные системы на базе инфокоммуникационных систем. В современном понимании информационная технология относится ко всем видам деятельности человека, т. е. относится ко всем обрабатываемым видам информации. Сюда будет относиться и речевая информация, документация, видео материалы и т.п. Собственно это «полная» информационная система в которой человек представляет неотъемлемую часть, элемент системы. Информационную систему (ИС) следует рассматривать как человеко-машинную. Классическое понимание информационной технологии включало только компьютерную систему и сеть.

В ИТ необходимо включать подсистемы обработки и «человеческой» информации, например, речевую (аудио), видео и т.п. Все это составляет единое целое, интегрированную систему, в которую включается подсистема техническая система. Общую структуру ИС можно условно представить следующем виде рис.0.1.

Рис. 0.1 Структура информационной системы

Из рис.0.1. видно, что технические средства , носители информации занимаю значительную долю из всех видов. Естественно, что в этом случае в систему защиты ИС должна включаться подсистема технической защиты информации (ТЗИ). В настоящее время для ТЗИ приняты стандартизованные, через Федеральную службу технического экспорта и контроля (ФС ТЭК), определения. Приведем основные из них.

Техническая защита информации] (Р 50.1.056 – 2005): деятельность, направленная на обеспечение некриптографическими методами безопасности информации (данных), подлежащей защите в соответствии с действующим законодательством, с применением технических, программных и программ- но-технических средств .

Техническая защита информации (Р 50.1.053 – 2005): Обеспечение защиты некриптографическими методами информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращение ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию и носители информации в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации.

Включением понятия «некриптографическими» фактически признается, что основным носителем информации в технических подсистемах ИС будет сигнал (рис.0.1).

Естественно, что при передаче информации носителями информации становятся сигналы различного рода. Угрозу нелегального снятия информации создают их демаскирующие признаки, в том числе случайно возникающие в результате побочных излучений и наводок.

Если сигналы содержат защищаемую информацию, то они относятся к опасным.

Таким образом, имеется возможность несанкционированного получения информации, за счет утечки, по некоторым техническим каналам.

С точки зрения информационного процесса под утечкой информации понимается несанкционированный процесс переноса информации от источника к злоумышленнику.

Под техническим каналом утечки информации понимают совокупность источника информации, линии связи (физической среды), по которой распространяется информационный сигнал, шумов, препятствующих передаче сигнала в линии связи, и технических средств перехвата информации.

Способы получения информации из технических подсистем ИС можно условно представить как в Табл. 0.1.

Табл.0.1. Способы несанкционированного доступа к источникам информации

В целом способы нелегального получения информации достаточно разнообразны. В технически системах ИС источником информации для злоумышленников являются каналы утечки информации. Имеются устоявшиеся понятия каналов утечки и определения зафиксированные в стандартах.

Технический канал утечки информации – совокупность объекта технической разведки, физической среды и средств технической разведки, которыми добываются разведывательные данные. Этим каналам уделяется большое внимание.

Если рассматривать комплекс защиты информации в ИС, то в систему защиты должны входить все методы и средства такой защиты: «человеко – машинной» защиты информации, который и в дальнейшем будет называться инженерно-технической защитой информации (ИТЗИ).

Техническая система информации может представлять самостоятельную, автономную, систему, например, такую как системы обеспечения переговоров, проведения конференций и прочие, в которых информация имеет некоторую степень конфиденциальности.

Отметим, что аналогично строятся системы обеспечивающие охрану предприятий, организаций, в которых также циркулирует конфиденциальная информация (возможно составляющая государственную, коммерческую тайну).

Таким образом, система ИТЗИ представляет собой комплекс организационно – административной, правовой и технической систем защиты конфиденциальной (конфиденциальная, секретная…), ценной, информации в ИС.

Система ИТЗИ имеет свою особенную технологию защиты и защищает информационную технологию «человеко- машинных» систем.

1.Понятие технической защиты информации

Виды источников и носителей информации

С точки зрения защиты информации ее источниками являются субъекты и объекты, от которых информация может поступить к несанкционированному получателю (злоумышленнику). Очевидно, что ценность этой информации определяется информативностью источника. Основными источниками информации являются следующие:

— интеллектуальные средства обработки информации;

— черновики и отходы производства;

— материалы и технологическое оборудование.

Информативность людей как источников информации существенно различается. Наиболее информированы руководители организаций, их заместители и ведущие специалисты. Каждый сотрудник организации владеет конфиденциальной информацией в объеме, превышающем, как правило, необходимый для выполнения его функциональных обязанностей. Распространение конфиденциальной информации между сотрудниками организации является одним из проявлений процессов выравнивания тезаурусов. Например, в результате неформальных межличностных отношений (дружественных, приятельских) конфиденциальная информация может поступать к посторонним лицам, которые к сохранению «чужих» тайн относятся менее ответственно, чем к своим. Тщеславные люди непреднамеренно разглашают конфиденциальные сведения в публичных выступлениях и беседах с целью продемонстрировать свою эрудицию или заинтересовать собеседника и т. д. Кроме непреднамеренного разглашения конфиденциальной информации, часть сотрудников (по американской статистике — около 25%) по различным личным мотивам готовы продать известные им секреты и ищут контактов с зарубежной разведкой или представителями конкурента.

Поэтому служба безопасности в интересах локализации ценной информации должна постоянно помнить о достаточно объективных процессах распространения информации внутри и даже за ее пределами (через родственников, друзей и приятелей, через сотрудников налоговой полиции, муниципалитетов, префектур, в арбитражном суде и т. д.). Даже эффективная защита информации, но только в пределах организации, не гарантирует ее безопасность.

В [1] под документом понимается зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать. К документам относится служебная информация, научные публикации в открытой и закрытой печати, статьи в газетах и журналах о деятельности организации или ее сотрудников, реклама, отчеты сотрудников, конструкторская и технологическая документация и т. д.

Документы относятся к наиболее информативным источникам, так как они содержат, как правило, достоверную информацию в отработанном и сжатом виде, в особенности, если документы подписаны или утверждены. Информативность различных публикаций имеет широкий диапазон оценок: от очень высокой, когда описывается открытие, до преднамеренной или непреднамеренной дезинформации. К последней, например, относятся публикации с недостаточно проверенными и достоверными результатами.

Большинство технических средств сбора, обработки, хранения и передачи информации нельзя отнести к источникам информации, так как они представляют собой лишь инструмент для преобразования входной информации. Исключения составляют лишь датчики различных измерительных устройств и интеллектуальные средства обработки, генерирующие информацию, такие как, например, компьютер Deep Blue фирмы IBM, выигравший матч у чемпиона мира Г. Каспарова. Критерием отнесения технического средства к источникам информации может служить ответ на вопрос потребителя информации об ее источнике. Легко можно представить реакцию потребителя информации на ответ, что ее источник — телефонный аппарат в таком-то помещении или компьютер. Также некорректно рассматривать в качестве источников информации радио- или телевизионные приемники. Очевидно, что источники этой информации даже не дикторы, читающие текст, а редакции и конкретные люди, готовящие текст или высказывающие свое мнение.

Продукция (без документации) является источником информации о признаках. Ноу-хау нового изделия могут содержаться во внешнем виде, например, в форме автомобиля, расцветке ткани, моделях одежды, узле механизма, в параметрах излучаемых полей (сигналов радиостанции или радиолокатора), в составе и структуре материала (броневой стали, ракетного топлива, духов или лекарства). Для получения семантической информации о сущности ноу-хау с целью его использования производят изучение и исследование продукции путем разборки, расчленения, выделения отдельных составных частей и элементов, проведения физического и химического анализа и т. д.

Любой творческий и производственный процесс сопровождается отходами. Научные работники создают эскизы будущих изделий или пробы веществ, при производстве (опытном или промышленном) возможен брак или технологические газообразные, жидкие или твердые отходы. Даже при печатании на пишущей машинке остаются следы документов на копировальной бумаге и ленте, которые после использования неопытная или небдительная машинистка бросает в корзину для бумаг. Отходы производства в случае небрежного отношения с ними (сбрасывания на .свалку без предварительной селекции, сжигания или резки бумаги и т. д.) могут привести к утечке ценной информации. Для такой возможности существуют, кроме того, психологические предпосылки сотрудников, серьезно не воспринимающих отходы как источники секретной (конфиденциальной) информации.

Информативными могут быть не только продукция и отходы ее производства, но и исходные материалы и сырье, а также используемое оборудование. Если среди поставляемых фирме материалов и сырья появляются новые наименования, то специалисты конкурента могут определить по ним изменения в создаваемой продукции или технологических процессах.

Таким образом, источниками конфиденциальной информации могут быть как физические лица, так и различные объекты. При решении задач ее защиты нужно учитывать каждый источник информации и его информативность в конкретных условиях. В редких случаях информация от источника непосредственно передается получателю, т. е. источник сам переносит ее в пространстве к месту расположения получателя или получатель вступает в непосредственный контакт с источником, например, проникает в помещение, вскрывает сейф и забирает документ.

Как правило, для добывания информации между источником и получателем существует посредник — носитель информации, который позволяет органу разведки или злоумышленнику получать информацию дистанционно, в более безопасных условиях. Информация источника также содержится на носителе. Следовательно, носителями являются материальные объекты, обеспечивающие запись, хранение и передачу информации в пространстве и времени. Известны 4 вида носителей информации:

— материальные тела (макрочастицы);

— элементарные частицы (микрочастицы).

Человек как носитель информации ее запоминает и пересказывает получателю в письменном виде или устно. При этом он может полученную от источника информацию преобразовать в соответствии с собственным толкованием ее содержания, исказив смысл. Кроме того, человек может быть также носителем других носителей информации — документов, продукции и т. д.

Материальные тела являются носителями различных видов информации. Прежде всего, материальные тела содержат информацию о своем составе, структуре (строении), о воздействии на них других материальных тел. Например, по остаточным изменениям структуры бумаги восстанавливают подчищенные надписи, по изменению структуры металла двигателя определяют его заводской номер, перебитый автомобильными ворами.

1.Задачи и принципы и методы инженерно-технической защиты информации.

Задачи инженерно-технической защиты информации

Инженерно-техническая защита информации — одна из основных компонент комплекса мер по защите информации.

Инженерно-техническая защита информации включает комплекс организационных и технических мер по обеспечению безопасности информации техническими средствами. Она решает следующие задачи:

1. Предотвращение проникновения злоумышленника к источникам информации с целью ее уничтожения, хищения или изменения.

Техническая защита информации, данных, информационных систем

Компания «Интегрус» оказывает услуги по настройке систем технической защиты информации предприятий, помогая предотвратить утечку данных и (или) несанкционированный доступ к сведениям компании.

Техническая защита информации представляет собой целый комплекс работ: от оборудования помещений средствами ограничения доступа, шифрования данных, информирования коллектива и обнаружения предполагаемых каналов утечки до постоянного обновления средств и способов поддержания безопасности.

Техническая защита направлена на повышение сохранности технологических данных, ноу-хау, информации из патентов, собственных наработок или приобретенных методик, лицензий. Также методами и средствами технической защиты обеспечивается информационная безопасность сведений о финансовых операциях организации, кредитах, контрагентах, персональных данных (ПНд) сотрудников, руководства, клиентов и поставщиков.

Для построения эффективной технической защиты информации в информационных системах, базах данных, интернете, на предприятиях в целом все хранимые и обрабатываемые данные следует предварительно рассортировать по уровню ценности и их специфике. Объектами системы технической защиты информации являются:

  • базы данных (БД) с информацией о партнерах, клиентах (заказчиках), поставщиках (услуг, товаров, ресурсов);
  • документация в электронном виде (в том числе в системах электронного документооборота, ЭДО) и на бумажных носителях;
  • любые сведения, составляющие коммерческую тайну (обычно это финансовые данные: активы и пассивы предприятия, кредиты и дебиторская задолженность, размеры заработной платы ключевых сотрудников и т.д.);
  • технологическая, техническая и производственная информация – специфика производственных процессов, ноу-хау, состав оборудования и топология технологических цепочек.

Опасность для объектов технической защиты информации представляют:

  • внешние источники – конкуренты, злоумышленники;
  • собственные сотрудники (вплоть до руководства).

Сотрудники имеют доступ к объектам коммерческой информации и могут передать его посторонним (третьим) лицам. Руководители – не обращают должного внимания на обеспечение безопасности сведений, полагая угрозы ложными (мнимыми) или несущественными. Построение системы защиты данных начинается с разработки норм технического контроля защиты информации.

Как правило, организация контроля над действиями персонала является относительно простой задачей. Контроль за действиями руководства осуществить гораздо сложнее.

Защита информации по техническим каналам

Техническое обеспечение безопасности защиты конфиденциальной и коммерческой информации является совокупностью мероприятий, направленных на решение трех задач:

  1. Закрытость для посторонних лиц строений и помещений, где хранятся носители важных сведений.
  2. Исключение порчи или уничтожения информационных носителей как в результате действий злоумышленников, так и в случае стихийных бедствий.
  3. Безопасность хищения конфиденциальных сведений по техническим каналам.

Требования к оборудованию и средствам обеспечения защиты данных:

  1. Готовность 24/7 к атаке хакеров.
  2. Разноуровневые зоны контроля (степень охраны зависит от ценности данных).
  3. Использование нескольких видов обеспечения защиты единовременно.
  4. Своевременное обновление технических средств и каналов связи.

Каналами, по которым «сливается» информация, часто являются неэкранированные проводка, контуры, приборы, подверженные воздействию электромагнитных полей. Доступ к техническому каналу передачи информации означает ее беззащитность перед искажением, наведением помех, блокировкой либо несанкционированным использованием. С целью получения информации злоумышленники могут использовать импульсопередающие устройства, выводящие из строя инженерно-техническую защиту.

Методы защиты технических каналов утечки информации основываются на решениях службы безопасности и проектных организаций, лицензированных ФСТЭК. Выделяют три этапа работ:

  1. Подготовительный, оценивающий угрозы для помещений, определяющий категории защищаемых данных и бюджет на инженерно-технические разработки.
  2. Проектировочный, устанавливающий программное обеспечение и технические средства.
  3. Финальный, вводящий в эксплуатацию и определяющий дальнейшее сопровождение с обновлением систем безопасности.

Основными мероприятиями на пути к полноценной охране информации являются:

  • создание службы (отдела) безопасности;
  • использование специальных технических устройств;
  • мониторинг «слабого звена» для получения неконтролируемого доступа к информационным сигналам.

Разработка системы и методов по технической защите информации начинается с оценки рисков – наиболее проблемными зонами обычно являются:

  • возможности для несанкционированного доступа к охраняемой информации;
  • «дыры» для действия по копированию, изменению, уничтожению и иные преступным действиям с данными;
  • каналы утечки финансовой, коммерческой и технологической информации.

Разработка системы и выбор средств технической защиты информации на этапе оценки рисков включает в себя изучение действий персонала, категоризацию запросов на «свои» и «чужие», распределение доступов между доверенными лицами и рядовыми пользователями. Для выявления подозрительных (ненадежных) сотрудников помогает так называемый поведенческий анализ.

Технические средства защиты информации (СЗИ)

Существуют разные виды обеспечения безопасности технических средств и систем информационной защиты. Методы и средства выбираются исходя из оценки прогнозируемых рисков – вероятностей и степени опасности:

  • аппаратных сбоев в работе средств обработки, хранения, передачи, шифрования информации;
  • несанкционированного доступа со стороны персонала предприятия или «внешних» злоумышленников;
  • искажения, хищения, целенаправленного изменения информации посредством технических средств (посредством электромагнитного излучения, физического подключения к линиям связи, визуального или акустического наблюдения) или программного обеспечения

Программные средства защиты данных

Программные средства позволяют защитить техническую информацию, секретные данные, технологии. Для этой цели используются:

  • антивирусы;
  • программы, обеспечивающие безопасность на уровне каналов связи и предотвращающие несанкционированный доступ к ним;
  • программы-блокираторы доступа во всемирную сеть.

Использование специального программного обеспечения (ПО) эффективно контролирует способы обмена информацией, нуждающейся в защите, и ограничивает доступность к секретным данным. Категорически запрещается использовать на предприятиях программные продукты, не имеющие лицензии либо специальные сертификаты безопасности. Нелицензионное ПО чревато распространением вирусов, способных собирать и передавать информацию третьим лицам.

Аппаратные средства защиты информации

Аппаратные средства защиты данных представляют собой различные по принципу работы устройства, решающие задачи по пресечению разглашения, утечки информации, несанкционированному использованию конфиденциальных данных. К аппаратно-техническим средствам относят шумогенераторы, фильтры сети, сканирующие радиоприемники и другие устройства, способные:

  • проводить исследования на наличие вероятных каналов «слива» информации;
  • выявлять и перекрывать каналы утечки на объектах и в помещениях;
  • локализовывать места «пробоя»;
  • обнаруживать шпионские программы/приборы;
  • противодействовать стороннему доступу к конфиденциальным сведениям.

Аппаратные средства надежны, не зависят от субъективных обстоятельств, устойчивы к модификации. Их минусы – малая гибкость, объем и масса, большая стоимость. По функционалу различаются средства обнаружения, поиска, детализации измерений, активной / пассивной защиты.

Организационно-техническая защита информации

Организационно-техническая защита информации оперирует доступом к информации, подразумевая ограничение на работу с ней, разграничение полномочий лиц и контроль. Совокупность мер означает:

  • подбор, проверку, инструктаж персонала;
  • обеспечение программно-технических работ;
  • назначение лиц, отвечающих за конкретные участки (оборудование);
  • осуществление режимности (в т.ч. секретной);
  • физическую охрану объектов;
  • оборудование помещения металлическими решетками, дверями, замками.

Инженерно-технические средства защиты

Инженерно-технические СЗИ помимо физических, аппаратных и программных подразумевает наличие криптографических средств шифрования данных, позволяя сохранить тайну телефонных переговоров, телеметрических/компьютерных данных, сообщений. Математический метод преобразования передаваемой информации делает их нераспознаваемыми для сторонних лиц. Криптографическая защита бывает с открытым либо симметричным ключом.

Обычно на предприятиях устанавливается комбинированная система защиты, реализуемая в виде аппаратных, программных, физических и криптографических методов противодействия проникновению и похищению информации. Деление на группы условно. На практике методы образуют комплексы программно-аппаратных модулей с разными алгоритмами шифрования информации.

Требования по технической защите информации

Всевозможные вариации требований по технической защите и криптографической защите информации сформулированы в ГОСТах: 50922-2007, 51275-2007, 51624-2000, 52863-2007.

Разработка СЗИ осуществляется только организациями, имеющими лицензию ФСТЭК, во взаимодействии с отделом безопасности заказчика. Совместно вырабатываются конкретные требования, аналитику, определяют необходимый уровень СЗИ, согласовывают выбор аппаратуры и ПО, организуя работы с целью предупреждения и выявления целостности контуров защиты, а также аттестуя объекты информатизации.

Рекомендации по технической защите информации

Рекомендации по технической защите информации конкретизированы в СТР-К («Специальных требованиях и рекомендациях по технической защите конфиденциальной информации», приказ № 282 ГТК при Президенте РФ от 30.08.2002,) и зависят от категорийности защиты, уровня секретности, режима обработки данных. Дифференцированный подход считается достаточным для разработки и применения мер противодействия незаконному доступу к информации.

Лицензирование в области технической защиты информации

Особенностью технического обеспечения является обязательная сертификация средств защиты. Получение лицензии ФСТЭК для работы с информацией, представляющей коммерческую тайну, обязательно.

Вид лицензии (СЗКИ, ТЗКИ, ТЗИ ГТ, СЗИ ГТ, ПД ИТР) зависит от сферы деятельности компании (предприятия) и уровня задач, которые ставятся по обеспечению безопасности.

Для получения лицензии необходимо:

  • выполнить работы по соответствию требований закона;
  • обеспечить защиту, тестирование компьютерных систем и помещений;
  • разработать нормативные документы и ПО;
  • заказать экспертизу.

Получить лицензию можно за 45 дней с момента подачи документов.

Средства защиты информации от несанкционированного доступа

Тест на прочность: чему нас учат недостатки СЗИ?

Защитить информацию от несанкционированного доступа можно с помощью любого из популярных специализированных средств. Главное — знать его сильные и слабые стороны, чтобы в случае необходимости нейтрализовать негативные последствия. Мы провели эксперимент, чтобы посмотреть, как ведут себя различные решения в ситуации несанкционированного доступа.

Современный рынок средств защиты информации (СЗИ) представлен различными аппаратными, программными и комбинированными комплексами. Продукты различаются по цене, функциональности и настройкам. Прежде чем сделать выбор, IT-специалист должен все это хорошо изучить. Ведь ценность защищаемой информации не дает ему права на ошибку, а руководитель требует обосновать стоимость покупки конкретного СЗИ.

Цель нашего эксперимента — понять, какие дополнительные меры безопасности необходимо принять, чтобы обезопасить информацию от кражи.

Моделируемая ситуация: в компьютере финансового директора обрабатывается очень важная информация, интерес к которой имеет недовольный зарплатой сотрудник. В обеденный перерыв директор заблокировал свой компьютер и ушел. У злоумышленника есть только час на то, чтобы незаметно похитить нужную ему информацию.

Тестируемые средства

Наименование СЗИ Производитель Цена за одно автоматизированное рабочее место, руб.
Программные
1 Secret Net 7 (автономный) ООО «Код Безопасности» 7 000
2 «Аура 1.2.4» НИО ПИБ 3 000
3 Dallas Lock 8.0 — К
(для корпоративных заказчиков)		 ООО «Конфидент» 6 000
4 «Страж NT» (версия 3.0) ЗАО НПЦ «Модуль» 7 500
Программно-аппаратные
5 Аккорд-АМДЗ ОКБ САПР 12 589
6 Secret Net 7 +
Secret Net Card (плата PCI Express) — комплект с DS1992		 ООО «Код Безопасности» 7 000 + 3 610

Действия злоумышленника: Предположим, что на компьютере установлено одно из вышеуказанных СЗИ и шестизначный пароль, содержащий буквы разного регистра и спецсимволы. На подбор такого пароля потребуется много времени, поэтому злоумышленник, скорее всего, попробует обойти систему следующим образом:

  1. установит в BIOS загрузку с внешнего накопителя;
  2. загрузится с Live USB и скопирует всю нужную ему информацию;
  3. перезагрузит компьютер и покинет место преступления.

Совет № 1. Запретите загрузку с внешних носителей и используйте пароли на BIOS.

Программные СЗИ, к сожалению, оставляют возможность загрузиться в обход операционной системы и похитить ценную информацию. И в этом заключается их главный недостаток. Единственным программным СЗИ, которое не удалось обойти таким образом, оказался «Страж NT».

В СЗИ «Страж NT» идентификация и аутентификация пользователя производится до загрузки операционной системы, что позволяет исключить возможность получения доступа к информации, содержащейся на жестком диске компьютера без успешного прохождения процедуры аутентификации.

Программа идентификации и аутентификации содержится в главной загрузочной записи (MBR) жесткого диска и вызывается автоматически после прохождения процедуры POST BIOS: пользователю предлагается предъявить персональный идентификатор и ввести пароль.

Модификация главной загрузочной записи, выполняемая СЗИ при его инициализации, предотвращает попытки несанкционированного доступа при загрузке компьютера с внешнего носителя, так как любая операционная система «повиснет» при попытке монтирования раздела, на котором установлена СЗИ «Страж NT». Таким образом, для злоумышленника исключается несанкционированный доступ к содержимому жесткого диска, несмотря на гипотетическую возможность загрузки персонального компьютера с внешнего носителя или подключения жесткого диска к другому компьютеру.

Вне эксперимента нам удалось с помощью программы восстановления потерянных разделов TestDisk восстановить загрузочный сектор. Но на эту процедуру ушло больше часа.

При использовании остальных СЗИ рекомендуем в настройках BIOS выставить единственное загрузочное устройство — локальный жесткий диск. Необходимо установить пароль на BIOS. Можно установить ПАК «Соболь» или Secret Net Card, которые обеспечат доверенную загрузку.

Совет № 2. При использовании любых СЗИ, кроме «Страж NT», опечатывайте или опломбируйте корпус системного блока.

При тестировании программных СЗИ мы увидели, что добыть информацию можно и без физического вмешательства в системный блок. В случае с рассматриваемыми программно-аппаратными комплексами «Аккорд» и Secret Net способ загрузки в обход операционной системы не сработал из-за наличия установленной платы, которая не давала доступа к настройкам BIOS и не позволяла изменить источник первичной загрузки.

При настройке системы защиты в соответствии с требованиями законодательства, если системный блок не опломбировать или не закрыть на замок, злоумышленнику ничего не мешает на время своих злодеяний извлечь эту плату из системного блока. В этом состоит главный недостаток плат доверенной загрузки. Таким образом, мы настоятельно рекомендуем использовать такую меру защиты как опломбирование системных блоков и закрытие на ключ.

Совет № 3. Используйте встроенные или дополнительные средства шифрования данных.

Мы рассматриваем ситуацию, когда злоумышленник пытается незаметно похитить информацию. Если это условие убрать, то и установка пароля на BIOS, и опечатывание системного блока не помешают информации «сделать ноги». Поэтому общая рекомендация для всех рассмотренных средств защиты информации следующая — использовать средства шифрования данных. При таких условиях у злоумышленника не будет возможности получить доступ к информации описанными нами или любыми иными способами.

Так, например, в СЗИ Dallas Lock средство шифрования данных является встроенным, а для Secret Net есть возможность приобрести лицензию с возможностью сокрытия выбранных разделов на жестком диске. Для остальных СЗИ остается использовать только дополнительные средства шифрования от сторонних производителей.

Совет № 4. Используйте комплекс мер: дополняйте технические средства административными мерами.

Прежде чем принимать решение о применении того или иного средства защиты, необходимо продумать и смоделировать все возможные варианты утечки информации. В каждой конкретной ситуации это будут различные меры. В случае, описанном в начале статьи, мы бы порекомендовали не оставлять открытым помещение с важной информацией, установить системы видеонаблюдения. Для особо важной информации необходимо использовать средства защиты, позволяющие шифровать информацию «на лету» и т д.

Совет № 5. Не переплачивайте: стоимость средств защиты не должна превышать стоимость самой информации.

Если руководитель поручил защитить информацию на конкретных компьютерах, необходимо понять, какова ценность информации «в цифрах». И только после этого принимать решение о выборе СЗИ. Правда, есть один нюанс: для информации, охраняемой законодательством, это правило не работает — защищать придется даже информационные системы обработки персональных данных, содержащие сведения о пяти сотрудниках.

Вадим Галлямшин, руководитель проектов внедрения систем информационной безопасности «СКБ Контур».
Станислав Шиляев, руководитель группы технической защиты информации проекта «Контур-Безопасность»

Не пропустите новые публикации

Подпишитесь на рассылку, и мы поможем вам разобраться в требованиях законодательства, подскажем, что делать в спорных ситуациях, и научим больше зарабатывать.