«Государственное образовательное учреждение высшего профессионального образования Алтайский государственный технический университет им. И. И. Ползунова Ю. Н. Загинайлов ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ...»

в) интересы субъектов взаимодействия (партнёров) относительно активов (собственников (учредителей), инвесторы, заказчики и поставщики продукции и услуг ( в т.ч. лицензиары и правообладатели объектов интеллектуальной собственности), конфиденты коммерческой тайны 4. Продукция б) услуги (например, информационные, вычислительи услуги (например, услуг по совершению платежей).

5.Конфиденциальность и доверие при оказании услуг (например, услуг по совершению платежей).

6.Персонал организации (его интересы по соблюдению режима персональных данных, права на объекты интеллектуальной собственности и на доступ к информации и т.п.).

7.Правовой статус организации как объекта информационной сферы – юридического лица (права на объекты интеллектуальной собственности, на коммерческую тайну, на выполнение работ и оказание услуг, на доступ к общедоступной информации государственных органов, и т.п., а также обязанности по предоставлению в уполномоченные государственные органы сведений о результатах экономической деятельности, по предоставлению заинтересованным лицам документов в случае направления заявки на участие в конкурсах и аукционах и т.п.).

Интересы организации в информационной сфере определяются совокупностью интересов субъектов организации и субъектов взаимодействия (партнёров) относительно активов:

– собственников (учредителей);

– руководителей организации (директора, менеджеры и др);

– персонал организации;

– инвесторы;

– заказчики продукции и услуг;

– поставщики продукции и услуг ( в т.ч. лицензиары и правообладатели объектов интеллектуальной собственности);

– конфиденты коммерческой тайны.

Угрозы информационной безопасности организации. С понятием угрозы, на уровне организации, неразрывно связаны понятия: инцидент информационной безопасности, уязвимость, риск.

Угроза (T) – потенциальная причина инцидента, который может нанести ущерб системе или организации.

Инцидент информационной безопасности (I) – любое непредвиденное или нежелательное событие, которое может нарушить деятельность или информационную безопасность.

Уязвимость (V) – слабость одного или нескольких активов, которая может быть использована одной или несколькими угрозами.

Риск (R) – потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов.

4.3 Политика обеспечения информационной безопасности В качестве основы действенной безопасности системы ИТ организации должны быть сформулированы цели, стратегии и политика безопасности организации. Они содействуют деятельности организации и обеспечивают согласованность всех защитных мер.

В пределах организации соблюдается иерархия политик безопасности ( рисунок 4.2) от бизнес - политики организации в целом до политики безопасности конкретной ИТ.

Другие политики Рисунок 4.2 – Иерархия политик информационной безопасности Политика ИБ организации – это правила и процедуры (методы), которые следует соблюдать для достижения целей обеспечения информационной безопасности.

Цель: обеспечить управление и поддержку высшим руководством информационной безопасности в соответствии с целями деятельности организации (бизнеса), законами и нормативными актами.

Политика безопасности организации может состоять из принципов безопасности и директив для организации в целом. Политика безопасности организации должна отражать более широкий круг аспектов политики организации, включая аспекты, которые касаются прав личности, законодательных требований и стандартов. Должна быть оформлена документально.

Политика безопасности информационных (информационно – телекоммуникационных) технологий - правила, директивы, сложившаяся практика, которые определяют, как в пределах организации и ее информационных (информационно-телекоммуникационных) технологий управлять, защищать и распределять активы, в том числе критичную информацию.

Политика безопасности ИТ должна формироваться, исходя из согласованных целей и стратегий безопасности ИТ организации. Необходимо выработать и сохранять политику безопасности ИТ, соответствующую законодательству, требованиям регулирующих органов, политике в области бизнеса, безопасности и политике ИТ.

4.4 Система обеспечения информационной безопасности Понятие и структура системы обеспечения информационной безопасности организации. Система обеспечения информационной безопасности организации может быть определена как совокупность защитных мер направленных на исключение или снижение до приемлемого уровня рисков, связанных с угрозами конфиденциальности, целостности, доступности, неотказуемости, подотчетности, аутентичности и достоверности информации или средств ее обработки.

Состав компонентов системы обеспечения информационной безопасности организации приведен на рисунке 4. Защитная мера (S) – сложившаяся практика, процедура или механизм обработки риска. Защитные меры - это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента обеспечения информационной безопасности Система менеджмента информационной безопасности (СМИБ) организации Рисунок 4.3 – Система обеспечения информационной в системе безопасности, обнаружить инциденты и облегчить восстановление активов.

Защитная мера может выполнять много функций безопасности и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение, сдерживание, обнаружение, ограничение, исправление, восстановление, мониторинг, осведомление.

Области, в которых могут использоваться защитные меры, включают в себя: физическую среду; техническую среду (аппаратнопрограммное обеспечение,); персонал; администрирование.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация. Такими специфическими защитными мерами являются: политики и процедуры, механизмы контроля доступа, антивирусное программное обеспечение, шифрование, цифровая подпись, инструменты мониторинга и анализа, резервный источник питания, резервные копии информации.

Защитные меры связаны с работой аппаратных средств и механизмов, а также с процедурами, которые должны соблюдаться персоналом в организации.

Характеристика защитных мер. Всё множество мер разделяется на три группы (рисунок 4.3).

Организационные защитные меры. К ним относятся:

политика обеспечения безопасности ИТ организации (Политика обеспечения безопасности системы ИТ, управление безопасностью ИТ (учреждение комитета по безопасности ИТ и назначения лица (уполномоченного по безопасности ИТ), ответственного за безопасность каждой системы ИТ), распределение ответственности и полномочий, организация безопасности ИТ, идентификация и определение стоимости активов, одобрение систем ИТ);

– проверка соответствия безопасности установленным требованиям (соответствие политики обеспечения безопасности ИТ защитным мерам, соответствие законодательным и обязательным требованиям);

– обработка инцидента (отчет об инциденте безопасности, отчет о слабых местах при обеспечении безопасности, отчет о нарушениях в работе программного обеспечения, управление в случае возникновения инцидента);

– персонал (обязанности, соглашение о конфиденциальности, обучение, дисциплина, ответственность);

– эксплуатационные вопросы (оборудование ИТ и связанных с ним систем, управление резервами, документация, техобслуживание, мониторинг изменений, записи аудита и регистрация, Тестирование безопасности, управление носителями информации, обеспечение стирания памяти, распределение ответственности и полномочий, корректное использование программного обеспечения, управление изменениями программного обеспечения).

– планирование непрерывности бизнеса (стратегия непрерывности бизнеса, план непрерывности бизнеса, проверка и актуализация плана непрерывности бизнеса, дублирование).

Физические защитные меры. Эти меры должны применяться к зданиям, зонам безопасности, местам размещения ЭВМ и офисным помещениям. К физическим мерам относятся:

– материальная защита (защитные меры, применяемые для защиты здания, включают в себя заборы, управление физическим доступом (пропускные пункты), прочные стены, двери и окна);

– противопожарная защита ( средства обнаружение огня и дыма, охранной сигнализации и подавления очага возгорания);

– защита от воды/других жидкостей (защита в случае возникновения угрозы затопления);

– защита от стихийных бедствий (защищены от удара молнии и оснащены защитой от грозового разряда);

– защита от хищения (идентификация и инвентаризация ресурсов, проверка охраной и администраторами носителей конфиденциальной информации, выносимого оборудования, (например, съемных и сменных дисках, флэш-накопителях, оптических дисках, гибких дисках и др.)).

– энергоснабжение и вентиляция (альтернативный источник энергоснабжения и бесперебойного питания, поддержание допустимой температуры и влажности);

– прокладка кабелей ( защищены от перехвата информации, повреждения и перегрузки. Проложенные кабели должны быть защищены от случайного или преднамеренного повреждения).

Специальные защитные меры (меры технического характера).

Идентификация и аутентификация (на основе некоторой информации, известной пользователю (пароли), на основе того, чем владеет пользователь (карточки (жетоны), смарт-карты с запоминающим устройством (ЗУ) или микропроцессором) и персонального идентификационного номера - PIN кода), на основе использования биометрических характеристик пользователя (отпечатки пальцев, геометрия ладони, сетчатка глаз, а также тембр голоса и личная подпись).

Логическое управление и аудит доступа для:

– ограничения доступа к информации, компьютерам, сетям, приложениям, системным ресурсам, файлам и программам;

– регистрации подробного описания ошибок и действий пользователя в следе аудита и при анализе записей для обнаружения и исправления нарушений при обеспечении безопасности (политика управления доступом, управление доступом пользователя к ЭВМ, управление доступом пользователя к данным, услугам и приложениям, анализ и актуализация прав доступа, контрольные журналы).

Защита от злонамеренных кодов: (вирусы; черви; троянские кони (сканеры, проверки целостности, управление обращением съемных носителей, процедуры организации по защитным мерам (руководящие указания для пользователей и администраторов).

Управление сетью (операционные процедуры (документация операционных процедур и установление порядка действий для реагирования на значительные инциденты безопасности), системное планирование, конфигурация сети (документирование, межсетевая защита), разделение сетей (физическое и логическое), мониторинг сети, обнаружение вторжения.

Криптография (математический способ преобразования данных для обеспечения безопасности - помогает обеспечивать конфиденциальность и/или целостность данных, неотказуемость). С использование криптографии может осуществляться:

– защита конфиденциальности данных (с учётом законодательных и обязательных требований);

– защита целостности данных (хэш-функции, цифровые подписи и/или другие);

– неотказуемость;

– аутентичность данных;

– управление ключами (генерирование, регистрацию, сертификацию, распределение, установку, хранение, архивирование, отмену, извлечение и уничтожение ключей).

Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности.

Выделяется три основных способа выбора защитных мер:

– согласно типу и характеристикам системы ИТ;

– согласно общим оценкам проблем и угроз безопасности;

– в соответствии с результатами детального анализа рисков.

4.5 Модель безопасности системы информационных Безопасность системы информационных технологий организации – это многоплановая организация процессов защиты, которую можно рассматривать с различных точек зрения. Взаимосвязь компонентов безопасности, показывающая, как активы могут подвергаться воздействию нескольких угроз, одна из которых является основой для модели, представлена на рисунке 4.4.

R - риск; RR - остаточный риск; S - защитная мера; T - угроза;

Рисунок 4.4 – Взаимосвязь компонентов безопасности в Набор угроз постоянно меняется и, как правило, известен только частично. Также со временем меняется и окружающая среда, и эти изменения способны повлиять на природу угроз и вероятность их возникновения.

Модель безопасности отображает:

– окружающую среду, содержащую ограничения и угрозы, которые постоянно меняются и известны лишь частично;

– активы организации (А);

– уязвимости, присущие данным активам (V);

– меры для защиты активов (S);

– приемлемые для организации остаточные риски (RR);

– угрозы безопасности активам (Т);

– возможные сценарии (N).

На основе анализа взаимосвязи компонентов безопасности, представленной на рисунке 4.4, модель информационной безопасности может быть представлена пятью возможными сценариями. Эти сценарии приведены в таблице 4.2.

Таблица 4.2 – Возможные сценарии, описывающие модель безопасности снижения рисков R, связанных с угрозой T, способной использовать уязвимость актива V. Угроза может достичь цели, только если активы уязвимы для снижения риска, связанного с угрозой, использующей группу уязвимостей актива;

в снижении рисков, связанных с группой угроз, использующих уязвимость актива. Иногда требуется приемлемого уровня для получения допустимого остаточного риска RR реализуются даже в присутствии угроз и при наличии уязвимостей актива В качестве защитной меры может быть использован мониторинг угроз для того, чтобы убедиться, что угрозы, способные использовать уязвимость актива, не появились. Ограничения влияют на выбор защитных мер.

Любая ИТТ включает в себя активы (в первую очередь информацию, а также технические средства, программное обеспечение, связь и т.д.), важные для успешной деятельности организации.

Эти активы представляют для организации ценность, которая обычно определяется по их влиянию на бизнес-операции неавторизованного раскрытия информации, ее модификации или отказа от авторства, а также недоступностью или разрушением информации или услуг. Для того, чтобы точнее оценить реальное значение воздействия, вначале его определяют вне зависимости от угроз, которые могут его вызвать. Затем отвечают на вопрос о том, какие угрозы могут возникнуть и вызвать подобное воздействие, какова вероятность их появления и могут ли активы подвергаться нескольким угрозам. Далее изучают вопрос о том, какие уязвимости активов могут быть использованы угрозами для того, чтобы вызвать воздействие, т.е. могут ли угрозы использовать уязвимости, чтобы воздействовать на активы. Каждый из этих компонентов (ценности активов, угрозы и уязвимости) может создать риск. От оценки риска далее зависят общие требования безопасности, которые выполняются или достигаются реализацией защитных мер. В дальнейшем применение защитных мер снизит риск, защитит от воздействия угроз и уменьшит уязвимость активов.

Взаимосвязь защитных мер и риска, показывающая эффективность некоторых защитных мер в снижении риска, представлена на рисунке 4.5.

Приемлемый выработка плана безопасности ИТТ Рисунок 4.5 – Взаимосвязь защитных мер и риска Часто требуется применение нескольких защитных мер для снижения риска до приемлемого уровня. Если риск считается приемлемым, то реализация защитных мер не требуется.

Активы, включенные в установленные границы рассмотрения, должны быть обнаружены, и наоборот, - любые активы, выведенные за границы рассмотрения (независимо от того, по каким соображениям это было сделано), должны быть рассмотрены еще раз с тем, чтобы убедиться, что они не были забыты или упущены.

Для идентификации защитных мер полезно рассмотреть уязвимости системы, требующие защиты, и виды угроз, которые могут реализоваться при наличии этих уязвимостей. Существуют следующие возможности снижения уровня риска:

– избегать риска;

– уступить риск (например, путем страховки);

– снизить уровень угроз;

– снизить степень уязвимости системы ИТ;

– снизить возможность воздействия нежелательных событий;

– отслеживать появление нежелательных событий, реагировать на их появление и устранять их последствия.

Выбор защитных мер должен всегда включать в себя комбинацию организационных (не технических) и технических мер защиты. В качестве организационных, рассматриваются меры, обеспечивающие физическую, персональную и административную безопасность.

Для выбора соответствующих эффективных защитных мер, организация должна исследовать и оценить проблемы безопасности, связанные с коммерческой деятельностью, которую обслуживает рассматриваемая система ИТ. После идентификации проблем безопасности и с учетом соответствующих угроз можно выбирать защитные меры. Проблемы безопасности могут включать в себя потерю конфиденциальности, целостности, доступности, подотчетности, аутентичности, достоверности.

1. Какие стандарты следует считать основой знаний и практического опыта в области обеспечения информационной безопасности организации?

2. Какие компоненты включает в себя концептуальная модель информационной безопасности организации?

3. Как определяется понятие информационной безопасности с позиции безопасности системы ИТ, на которой основаны бизнеспроцессы организации.

4. Перечислите активы, которые могут быть объектами информационной безопасности организации.

5. Какие понятия связаны с понятием угрозы информационной безопасности организации и в чём их суть?

6. В чём заключается суть иерархии политик безопасности организации?

7. Что представляет собой политика безопасности информационных (информационно – телекоммуникационных) технологий организации?

8. Приведите понятие системы обеспечения информационной безопасности организации.

9. Что представляют собой защитные меры?

10. Приведите возможные сценарии, описывающие модель безопасности организации.

ЧАСТЬ II

МЕТОДОЛОГИЯ ЗАЩИТЫ ИНФОМАЦИИ

ПОНЯТИЕ И СУЩНОСТЬ ЗАЩИТЫ ИНФОРМАЦИИ

становится основополагающим (ключевым) понятием и рассматривается как процесс или деятельность, направленная на предотвращение утечки защищаемой информации, а также по предотвращению различного рода несанкционированных и непреднамеренных воздействий на информацию и ее носители.

С развитием конкуренции в среде свободного предпринимательства крупномасштабной задачей в области «защиты информации» становится борьба с промышленным и экономическим шпионажем, распространению которого способствует широкомасштабное применение для обработки информации средств вычислительной техники (особенно персональных ЭВМ), созданием вычислительных сетей, систем, баз данных, в том числе баз персональных данных, многочисленных средств передачи информации. Промышленный шпионаж ведется в основном с целью завоевания рынков сбыта, исключения технологических прорывов конкурентов, срыва переговоров по контрактам, перепродажи фирменных секретов и т.д. По мере ослабления противостояния между Россией и «Западом» промышленный шпионаж в работе многих разведок становится приоритетным направлением наряду с политической разведкой.

Значимость защиты информации увеличивается в связи с возрастанием возможностей разведок за счет совершенствования технических средств разведки, создания совместных предприятий и производств с зарубежными партнёрами, сокращения закрытых для иностранцев зон и городов.

Важность и значение защиты информации в обеспечении национальной безопасности страны в целом и в обеспечении информационной безопасности в частности раскрываются в нормативно – методических документах – Стратегии национальной безопасности России и Доктрине информационной безопасности России, в которых сформулирована политика государства в этой области.

В настоящее время основные вопросы защиты информации регламентированы законами Российской Федерации: «Об информации, информационных технологиях и о защите информации», «О государственной тайне», «О коммерческой тайне», «О персональных данных», «О техническом регулировании» и др., положениями о государственном лицензировании деятельности в области защиты информации, документами Федеральной службы по техническому и экспортному контролю, техническими регламентами и стандартами в области защиты информации.

В связи с многообразием вопросов связанных с защитой информации к настоящему времени сложилось несколько систем понятий применительно к этой области, которые в целом охватывают всю предметную область информационной безопасности. Значительная часть понятий, связанных с защитой информации, стандартизирована или содержится в специальных нормативных документах Федеральной службы по техническому и экспортному контролю. Основные системы понятий и их источники приведены в таблице 5.1.

Специалистам в области информационной безопасности сегодня невозможно обойтись без знаний соответствующих технических регламентов, стандартов и нормативных документов по защите информации. Роль этих документов для защиты информации объясняется следующими факторами:

– необходимость следования техническим регламентам и некоторым стандартам и нормативным документам закреплена законодательно;

– они создают основу для взаимодействия между производителями, потребителями и экспертами средств защиты информации;

– стандарты одна из форм накопления знаний, прежде всего о процедурном и программно-техническом уровнях защиты ИС;

Таблица 5.1 – Системы понятий в области защиты информации Понятия, правовым регулированием информации 5. «О техническом регулировании».

определяющие предметную область защиты 3. Р 50.1.053-2005 Рекомендации по стандартиинформации зации. Информационные технологии. Основные термины и определения в области технической защиты Понятия, Защита от несанкционированного доступа к инфорсвязанные с замации. Термины и определения. (утверждён в щитой информагоду).

ции от НСД в в области безосредства обеспечения безопасности. Часть 1.

пасности инГОСТ Р ИСО/МЭК 15408-1«Информационная формационных технология. Методы и средства обеспечения безопастехнологий ности. Критерии оценки безопасности информационных технологий».

– в них зафиксированы апробированные, высококачественные решения и методологии, разработанные наиболее квалифицированными специалистами;

– роль технических регламентов, стандартов и нормативных документов зафиксирована в основных положениях закона РФ «О техническом регулировании».

5.2 Понятие и сущность защиты информации как вида Понятие защиты информации. В настоящее время в научной и учебной литературе существуют различные подходы к определению понятия «защита информации». Однако, учитывая тот факт, что термин «защита информации» в России является стандартизированным термином, определение которого дано в ГОСТ Р 50922-2006 Защита информации. Основные термины и определения, а термины и их определения (понятия), установленные этим стандартом, обязательны для применения во всех видах документации и литературы по защите информации, в методологии защиты информации необходимо руководствоваться этим определением и понятиями этого стандарта.

Защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на защищаемую информацию.

С учётом характеристик безопасности информации, понятий, используемых в законодательстве, определение «защиты информации»

(в широком смысле) может быт сформулировано следующим образом:

защита информации – деятельность, направленная на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных воздействий на неё и включающая правовые, организационные и технические меры, обеспечивающие конфиденциальность, доступность и целостность защищаемой информации.

Сущность защиты информации. Сущность защиты информации раскрывается через её предметную область определяющую: виды, направления и соответствующие им способы, цели и задачи защиты информации.

Виды защиты информации:

– правовая защита информации;

– техническая защита информации;

– криптографическая защита информации;

– физическая защита информации.

Правовая защита информации – защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации – защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации - защита информации с помощью ее криптографического преобразования.

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

Направления и относящиеся к ним способы защиты информации.

Направления и относящиеся к ним способы защиты информации приведены на рисунке 5.1.

1.2 Защита информации от НСД Рисунок 5.1 – Направления и относящиеся к ним способы Направления и относящиеся к ним способы защиты информации включают:

- защита информации от утечки (защита информации от разглашения, защита информации от несанкционированного доступа (НСД), защита информации от [иностранной] разведки);

- защита информации от несанкционированного воздействия (НСВ);

- защита информации от непреднамеренного воздействия (НПДВ);

- защита информации от преднамеренного воздействия (ПДВ).

Защита информации от утечки – защита информации, направленная на предотвращение неконтролируемого распространения ЗИ в результате ее разглашения и НСД к ней, а также на исключение (затруднение) получения ЗИ [иностранными] разведками и другими заинтересованными субъектами. Заинтересованными субъектами могут быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

Защита информации от разглашения – защита информации, направленная на предотвращение несанкционированного доведения ЗИ до заинтересованных субъектов (потребителей), не имеющих права доступа к этой информации.

Защита информации от несанкционированного доступа (ЗИ от НСД) – защита информации, направленная на предотвращение получения ЗИ заинтересованными субъектами с нарушением установленных нормативными и правовыми документами (актами) или обладателями информации прав или правил разграничения доступа к защищаемой информации. Заинтересованными субъектами, осуществляющими НСД к ЗИ, могут быть: государство, юридическое лицо, группа физических лиц, в том числе общественная организация, отдельное физическое лицо.

Защита информации от [иностранной] разведки – защита информации, направленная на предотвращение получения защищаемой информации [иностранной] разведкой. Защита информации от разведки разделяется на защиту от агентурной разведки и технической разведки.

Защита информации от несанкционированного воздействия ( ЗИ от НСВ) – защита информации, направленная на предотвращение НСД и воздействия на ЗИ с нарушением установленных прав и (или) правил на изменение информации, приводящих к разрушению, уничтожению, искажению, сбою в работе, незаконному перехвату и копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от непреднамеренного воздействия (ЗИ от НПВ) – защита информации, направленная на предотвращение воздействия на ЗИ ошибок ее пользователя, сбоя технических и программных средств ИС, природных явлений или иных нецеленаправленных на изменение информации событий, приводящих к искажению, уничтожению, копированию, блокированию доступа к информации, а также к утрате, уничтожению или сбою функционирования носителя информации.

Защита информации от преднамеренного воздействия (ЗИ от ПДВ) – защита информации, направленная на предотвращение преднамеренного воздействия, в том числе электромагнитного и (или) воздействия другой физической природы, осуществляемого в террористических или криминальных целях.

Цели защиты информации. Целью защиты информации является заранее намеченный результат защиты информации. Результатом защиты информации может быть предотвращение ущерба обладателю информации из-за возможной утечки информации и (или) несанкционированного и непреднамеренного воздействия на информацию.

Общими целями защиты информации с учётом положений законодательства России являются:

1) обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

2) соблюдение конфиденциальности информации ограниченного доступа;

3) реализацию права на доступ к информации.

На конкретном объекте информатизации цели могут конкретизироваться. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 (обеспечение свойств целостности и доступности информации).

Задачи защиты информации. Задачи защиты информации в зависимости от целей защиты в случаях, установленных законодательством России обязаны выполнять обладатель информации или оператор информационной системы.

Задачи защиты информации:

1) предотвращение НСД к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов НСД к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

5.4 Концептуальная модель защиты информации Концептуальная модель защиты информации, так же как и модель обеспечения информационной безопасности, может быть представлена четырьмя основными компонентами, представленными на рисунке 5. Угрозы 1. Требования по защите информации (правовые и нормабезопасности ЗИ тивные документы, технические регламенты, стандарты).

и объектам 2. Замысел, цели, задачи, виды защиты информации 1. Угрозы безо- 4. Аудит информационной безопасности 2. Источники угинформация 3. Уязвимости тем обработки 3. Объекты интеллекСпособы ЗИ 1. Носители ЗИ.

2. Системы хранения, обработки, передачи Рисунок 5.2 – Концептуальная модель защиты информации Концептуальная модель защиты информации включает компоненты:

– объекты защиты информации;

– угрозы безопасности информации и объектам защиты;

– политику безопасности информации;

– систему защиты информации.

Элементами этих компонентов (компонентами второго уровня) являются термины, в совокупности определяющие предметную область защиты информации. Для того чтобы более полно и глубоко раскрыть сущность защиты информации необходимо ответить на следующие вопросы:

– что защищать?

– где защищать?

– когда защищать (только днём или круглосуточно, и т.п.) или на какой-то период (например на время секретного совещания)) ?

– от кого защищать?

– от чего защищать?

– как защищать?

– чем защищать?

– кто должен защищать?

Ответам на эти вопросы посвящены последующие главы настоящего пособия.

1. Сформулируйте общий контекст защиты информации.

2. Перечислите системы понятий, используемые в методологии защиты информации, и поясните, чем они обусловлены.

3. В чём заключена роль нормативных документов и стандартов в защите информации?

4. Понятия (термины и определения) какого стандарта обязательны для применения во всех видах документации и литературы по защите информации.

5. Сформулируйте понятие «защита информации» с учётом характеристик безопасности информации и понятий, используемых в законодательстве.

6. Приведите виды защиты информации и поясните их принципиальное отличие.

7. Приведите основные направления и соответствующие им способы защиты информации.

8. Каковы цели защиты информации с учётом положений законодательства России?

9. Каковы задачи защиты информации?

10. Какие компоненты и элементы составляют концептуальную модель защиты информации?

ТЕОРЕТИЧЕСКИЕ ОСНОВЫ

ЗАЩИТЫ ИНФОРМАЦИИ

В соответствии с определением, но в более развернутом виде, можно представить задачи теории защиты информации. Она должна:

– предоставлять полные и адекватные сведения о происхождении, сущности и развитии проблем защиты информации;

– полно и адекватно отображать структуру и содержание взаимосвязей с родственными и смежными областями знаний;

– аккумулировать опыт предшествующего развития исследований, разработок и практического решения задач защиты информации;

– ориентировать в направлении наиболее эффективного решения основных задач защиты и предоставлять необходимые для этого научно-методологические и инструментальные средства;

– формировать научно обоснованные перспективные направления развития теории и практики защиты информации.

В качестве составных частей теории защиты информации, в настоящее время, определяют:

– полные и систематизированные сведения о происхождении, сущности и содержании проблемы защиты информации;

– систематизированные результаты ретроспективного анализа развития теоретических исследований и разработок, а также опыта практического решения задач защиты, полно и адекватно отображающие наиболее устойчивые тенденции в этом развитии;

– научно обоснованная постановка задачи защиты информации в современных системах ее обработки, полно и адекватно учитывающая текущие и перспективные концепции построения систем и технологии обработки, потребности в защите информации и объективные предпосылки их удовлетворения;

– общие стратегические установки на организацию защиты информации, учитывающие все многообразие потенциально возможных условий защиты;

– методы, необходимые для адекватного и наиболее эффективного решения всех задач защиты и содержащие как общеметодологические подходы к решению, так и конкретные прикладные методы решения;

– методологическая и инструментальная база, содержащая необходимые методы и инструментальные средства решения любой совокупности задач защиты в рамках любой выбранной стратегической установки;

– научно обоснованные предложения по организации и обеспечению работ по защите информации;

– научно обоснованный прогноз перспективных направлений развития теории и практики защиты информации.

Приведенный перечень составных частей даже при таком очень общем представлении их содержания, предметно свидетельствует о большом объеме и многоаспектности теории защиты, что, естественно, порождает значительные трудности ее формирования. Эти трудности усугубляются еще тем, что проблема защиты информации относится к числу сравнительно новых, причем по мере развития исследований, разработок и практической их реализации появляются новые аспекты, защита информации представляется все более комплексной и все более масштабной проблемой. Существенное влияние оказывает также неординарность проблемы защиты, наиболее значимым фактором которой, является повышенное влияние на процессы защиты случайных трудно предсказуемых событий. Всем изложенным предопределяется настоятельная необходимость выбора и обоснования методологических принципов формирования самой теории защиты.

Особенности теории защиты информации. Безусловно, что в настоящее время, многие фундаментальные науки, как гуманитарные:

философия, история, экономика и другие, так и математические и естественно-научные: математика, физика, информатика и другие, имеют очень важное значение как базовые науки для всех сфер деятельности человека. Защита информации сегодня рассматривается как прикладная наука информационной сферы жизнедеятельности и как составляющая безопасности государства. Она достаточно глубоко включается в систему общественных отношений, поскольку информация является предметом и объектом собственности, что определяет в качестве первооснов теории защиты правовой базис информационных отношений. Защита информации носит с одной стороны ярко выраженный правовой характер. С другой стороны, конкретные системы защиты информации на различных объектах её использования имеют техническую основу. Всё это обуславливает ряд особенностей теории защиты информации, её отличие от фундаментальных и некоторых прикладных наук. Такими особенностями являются:

– объективная необходимость и общественная потребность в защите информации;

– включенность её в систему общественных отношений;

– зависимость защиты информации от политико-правовых, социально- экономических, военно-политических реальностей;

– тесная взаимосвязь с процессами информатизации общества;

– необходимость обеспечения баланса интересов личности, общества и государства при защите информации через правовое регулирование и взаимный контроль субъектов информационных отношений в сфере защиты информации.

6.2 Модели систем и процессов защиты информации Понятие модели и задачи моделирования. Модель (от лат. modulus – мера, аналог, образец) – отображение, копия, схема, макет, изображение, некоторый материальный или мысленно представляемый объект или явление, замещающий упрощением оригинальный объект или явление, сохраняя только некоторые важные его свойства, например, в процессе познания (созерцания, анализа и синтеза) или конструирования.

Другими словами, модель – это объект или явление, аналогичные, то есть, в достаточной степени повторяющие свойства моделируемого объекта или явления (прототипа), существенные для целей конкретного моделирования, и опускающие несущественные свойства, в которых они могут отличаться от прототипа.

Моделирование – это замещение одного объекта (оригинала) другим (моделью) и фиксация или изучение свойств оригинала путем исследования свойств модели. Замещение производится с целью упрощения, удешевления или изучения свойств оригинала. В общем случае объектом-оригиналом может быть любая естественная или искусственная, реальная или воображаемая система.

К моделям выдвигается ряд обязательных требований.

Во-первых, модель должна быть адекватной объекту, т. е. как можно более полно и правильно соответствовать ему с точки зрения выбранных для изучения свойств.

Во-вторых, модель должна быть полной. Это означает, что она должна давать принципиальную возможность с помощью соответствующих способов и методов изучения модели исследовать и сам объект, т. е. получить некоторые утверждения относительно его свойств, принципов работы, поведения в заданных условиях.

Таким образом, моделирование системы заключается в построении некоторого её образа, адекватного (с точностью до целей моделирования) исследуемой системе, и имитации на ней процессов функционирования реальной системы с целью получения характеристик реальной системы.

Выделяют следующие задачи моделирования систем и процессов защиты информации:

– оптимальное (или рациональное) распределение механизмов безопасности между организационными мерами, инженернотехническими средствами и программным обеспечением;

– проектирование структуры системы защиты информации с различной степенью абстракции (проекты высокого/низкого уровней) с целью обеспечения полноты охвата процедурами безопасности всех потоков информации, подлежащей защите;

– оптимизация процессов управления безопасностью;

– оценка технико-экономических показателей систем защиты информации на различных этапах жизненного цикла по мере уточнения требований к организационным, инженерно-техническим и программным мерам защиты, а также условий применения системы.

Классификация моделей. В общем случае классификацию моделей по масштабу, способам моделирования, характеру моделируемых систем можно представить следующим образом:

– масштаб моделей: частные, общие;

– способ моделирования: аналитический, статистический;

– характер моделируемых систем: детерминированные, стохастические (вероятностные).

Поскольку на процессы защиты информации подавляющее влияние оказывают случайные факторы, то, очевидно, все основные модели систем защиты информации неизбежно должны быть стохастическими. Хотя не следует исключать и детерминированный характер моделей хотя бы применительно к частным моделям.

Для описания процессов функционирования стохастических систем необходимы средства отображения влияния случайных факторов.

Общая модель процесса защиты информации. Общая модель процесса защиты информации может быть рассмотрена применительно к объекту информатизации, на котором информация в различных формах хранится, обрабатывается и передаётся с использованием технических систем. Графически модель представлена на рисунке 6.1., где {Yj} – j-я угроза (дестабилизирующий фактор) воздействия на объект защиты (информацию);

Оi – i-й объект защиты;

{Cn} – n-е средство защиты информации (объекта защиты);

P ijk – вероятность негативного воздействия j-й угрозы на i-й объект в k-м его состоянии (без применения средств защиты);

P ijnk – вероятность негативного воздействия с учётом нейтрализации воздействия j-й угрозы на i-й объект в k-м его состоянии применением n-го средства защиты;

Pi – вероятность надёжной защиты i-го объекта.

{Yj} Рисунок 6.1– Общая модель процесса защиты информации В соответствии с данной моделью обработка информации на объекте Оi осуществляется в условиях воздействия на информацию угроз (дестабилизирующих факторов) {Yj}. Для противодействия угрозам информации могут использоваться специальные средства защиты {Cn}, оказывающие нейтрализующее воздействие на дестабилизирующие факторы.

В общем случае имеется потенциальная опасность воздействия на объект защиты в любом его состоянии некоторой совокупности угроз, причём Pijk – есть вероятность негативного воздействия j-й угрозы на i-й объект в k-м его состоянии (без применения средств защиты), а Pijnk вероятность предупреждения (нейтрализации) воздействия j-й угрозы на i-й объект в k-м его состоянии применением n–го средства защиты.

При этом характер и уровень воздействия одних факторов не зависит от характера и уровня действия других. Однако могут быть и взаимозависимые факторы. Точно так же и средства защиты: могут быть независимые, могут быть взаимозависимые. Таким образом, при разработке моделей процессов защиты информации надо учитывать не только воздействие угроз и средств защиты, но и взаимное воздействие угроз и средств друг на друга.

Для простоты представления в общей модели взаимное влияние угроз и средств не учитывается.

С учетом обозначений, приведенных на Рисунке 6.1, можно вывести такие зависимости.

Здесь k есть доля k-го состояния (режима работы) АСОД в анализируемый период времени. Наиболее объективным будет представление его в виде доли интервала времени пребывания АСОД в k-м состоянии ( t k) в общей продолжительности оцениваемого интервала времени Т, т.е.

Для общего случая естественным будет предположить, что система защиты информации может быть неполной в том смысле, что в ней могут отсутствовать средства предупреждения воздействия некоторых дестабилизирующих факторов. Тогда где P'ik – вероятность защищенности информации на i-м объекте в k-м его состоянии (режиме работ) от совокупного воздействия всех тех дестабилизирующих факторов, для противодействия которым в системе защиты не предусмотрены средства защиты;

В свою очередь:

P''ik – то же для тех факторов, для противодействия которым в системе защиты имеются средства защиты. где j принимает значения номеров тех дестабилизирующих факторов, против которых отсутствуют средства защиты, а где j" – принимает значения номеров дестабилизирующих факторов, для противодействия которым в системе защиты предусмотрены средства;

" – значения номеров тех средств защиты информации, которые оказывают воздействие на дестабилизирующий фактор с номером j".

Вероятность надежной защиты информации в группе объектов определяется зависимостью:

Такой подход позволяет определить возможный ущерб U для ценной информации, выраженной в конкретной цене G.

Так, при ценности информации выраженной в цене G = 100000руб. и Р = 0,8, ущерб U составит 20000 руб. (U= (1руб.), что означает то, что в случае реализации каких-либо угроз потери организации (собственника) в финансовом выражении (риск) составят 20000 руб. Т.е риск организация рискует именно такой суммой. При этом предотвращённый ущерб составит 80000руб.

Частные модели защиты. Частные модели используются для исследования безопасности отдельных компонентов или процессов. К ним можно отнести частные модели для моделирования угроз безопасности (моделирование конкретной угрозы или некоторой совокупности), модели нарушителя, модель безопасности компьютерной системы, модели потоков информации на объекте информатизации.

При моделировании угроз используются как стохастические (вероятностные) модели, методы статистического анализа так и методы неформального анализа. Современные модели нарушителя характеризуются неформальным описанием, т.е все нарушители распределяются по уровню возможностей, для каждого уровня возможностей определяются возможные способы НСД и т.д. – неформальная модель нарушителя.

В теории компьютерной безопасности функционирование системы и её безопасность выражается политикой безопасности системы.

Описание функционирования системы и обеспечение её безопасности осуществляется с использованием модели безопасности. В рамках описания системы и доказательства её безопасности используются как неформальные методы (модели), так и формальные.

Неформальное описание используется в системах с дискреционной политикой безопасности. Уровень защищённости этих систем не высок. Неформальное описание политики безопасности в частности приводится в руководствах операционных систем семейства Windows.

Преимуществом формального описания является отсутствие противоречий в политике безопасности и возможность теоретического доказательства безопасности системы при соблюдении всех условий политики безопасности. Такое решение проблемы защищенности информации и проблемы построения системы защиты позволяет привлечь в теорию защиты точные математические методы. То есть доказывать, что данная система в заданных условиях поддерживает политику безопасности.

Частные модели позволяют определить экстремальные показатели с точки зрения безопасности информации и систем её обработки.

Такими показателями являются:

– наиболее ценная (важная) информация;

– наиболее уязвимые элементы систем обработки информации;

– наиболее опасная угроза;

– наиболее опасный злоумышленник;

– наименее надёжный механизм защиты;

– наиболее надёжная политика безопасности компьютерной системы.

1. Перечислите основные задачи теории защиты информации.

2. В чём заключаются особенности теории защиты информации?

3. Какие принципы общетеоретического характера положены в основу формирования теории защиты информации?

4. Что представляет собой моделирование системы защиты?

5. Как классифицируются модели по масштабу, способам моделирования, характеру моделируемых систем?

6. Какие показатели определяются с использованием общей модели процесса защиты информации?

7. Какие экстремальные показатели, с точки зрения безопасности информации и систем её обработки, позволяют определить частные модели?

СОСТАВ И ОСНОВНЫЕ СВОЙСТВА ЗАЩИЩАЕМОЙ

ИНФОРМАЦИИ

Информационные ресурсы включаются в состав имущества государства, юридических и физических лиц, и как любой другой ресурс, обладающий свойством товара, имеет свою товарную или потребительскую стоимость – ценность (цену).

Однако не всегда ценная информация может быть выражена в цене. Поэтому к ценной информации также относят информацию, являющуюся важной (значимой) для тех или иных субъектов.

Информация во внешнеполитической, военной, разведывательной, контрразведывательной и оперативно-розыскной деятельности, собственником которой является государство, имеет наивысшую ценность с точки зрения её важности. Например, информация о деятельности разведывательных служб не имеет цены, однако ущерб от разглашения такой информации общеизвестен – политический (моральный) ущерб для целого государства и его престижа. Поэтому сохранение этой информации в секрете – сохранение конфиденциальности, является важнейшей задачей предотвращения такого ущерба.

Или, например, личная и семейная тайна. Разглашение информации об усыновлении ребёнка может привести к тяжёлым последствиям (моральным), как для ребёнка, так и для приёмных родителей. Такая информация не имеет цены, но является важной, так как в результате наносится моральный ущерб. Сохранение в тайне этой информации – является условием поддержания прав личности на личную и семейную тайну, закреплённых в Конституции РФ и конституциях все демократических государств.

Для обеспечения ценности информации как объекта собственности и как товара, обладающего определёнными потребительскими свойствами, необходимо обеспечить такие свойства как конфиденциальность, целостность и доступность. Характеристика этих свойств приведена в главе 1.

Для реализации права собственности и использования информации в системе информационных отношений необходимо, чтобы информация имела объективную форму, т.е. могла быть воспринята другими индивидами и могла быть идентифицирована, могла быть включена в состав имущества (нематириальных активов) в виде информационных ресурсов, её необходимо документировать.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством случаях ее материальный носитель.

Таким образом, представление информации в виде документа, зафиксированного на материальном носителе, позволяет рассматривать объективную форму информации позволяющую измерить её количественно по объёму (например, по количеству знаков, страниц, байтов и т.д). Реквизиты позволяют определить время, место, производителя (автора) документа и другие данные об информации в документе. Основными реквизитами документированной информации являются:

– наименование документа;

– регистрационный номер;

– дата создания и регистрации;

– автор и (или) исполнитель (Ф.И.О);

– атрибуты учреждения;

– гриф секретности или конфиденциальности, если документ относится к таковым.

Значительная часть современной документированной информации создаётся в виде электронных документов путём её цифровой обработки, составляет информационные ресурсы и хранится и обрабатывается в информационных системах: индивидуальных, корпоративных, государственных.

Информационные ресурсы – отдельные документы и отдельные массивы документов, документы и массивы документов в информационных системах (библиотеках, архивах, фондах, банках данных, других информационных системах).

Свойства информации, являясь составляющими её ценности, одновременно являются и её «слабостями», которые могут быть использованы заинтересованными в этом субъектами для нанесения ущерба.

Эти слабости обуславливают введение для ценной информации статуса «защищаемой информации» на законодательном уровне.

7.2 Понятие и состав защищаемой информации. Принципы отнесения информации к защищаемой Понятие и состав защищаемой информации. Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации. Собственником информации может быть: государство, юридическое лицо, группа физических лиц, отдельное физическое лицо.

В соответствии с правовыми документами (законодательством России) к защищаемой информации могут быть отнесены (рисунок 7.1):

- информация с ограниченным доступом;

- общедоступная информация;

- объекты интеллектуальной собственности.

Рисунок 7.1 – Состав защищаемой информации Информация с ограниченным доступом. Перечень информации ограниченного доступа определяется на законодательном уровне. Для обозначения информации ограниченного доступа в законодательстве используется термин «тайна». Федеральный закон «Об информации, информационных технологиях и о защите информации» (ст.5) определяет в качестве информации ограниченного доступа: государственную тайну и другие виды тайны (коммерческая, служебная, профессиональная, персональные данные), которые относятся к информации конфиденциального характера.

В настоящее время общий перечень сведений конфиденциального характера определён в Указе Президента РФ №188 от 6.03.97г.

«Перечень сведений конфиденциального характера», Он включает в своей основе все виды тайны, за исключением государственной тайны. Собственниками сведений конфиденциального характера могут быть: государство, юридические лица (организации), физические лица (граждане).

Собственником сведений, составляющих государственную тайну, является государство.

В отношении информации ограниченного доступа защищаемыми свойствами являются конфиденциальность, целостность, доступность.

Общедоступная информация. К общедоступной информации относятся общеизвестные сведения и иная информация, доступ к которой не ограничен.

Общедоступная информация может использоваться любыми лицами по их усмотрению при соблюдении установленных федеральными законами ограничений в отношении распространения такой информации.

Общедоступная информация является общественно значимой информацией для граждан и общества. В первую очередь это относится к государственным информационным ресурсам, создаваемым специально для обеспечения государственной политики России и информирования граждан и общества по этим и другим вопросам. К ресурсам в частности относятся Интернет - порталы и интрнет - сайты федеральных органов государственной власти, министерств и ведомств, Государственной Думы, Федерального Собрания, органов государственной власти субъектов Российской Федерации, муниципальных органов. Её общественная значимость, важность, требует поддержания целостности (неискажённости) и постоянной доступности для граждан и организаций через информационно-телекоммуникационные сети общего пользования (Интернет).

В качестве примера можно привести сервер, на котором представлена информация о деятельности Государственной Думы РФ WWW.DUMA.GOV.RU, WWW.fips.ru – сервер федерального института промышленной собственности (Роспатент) на котором размещены данные о патентах, международные правовые акты и российское законодательство по охране объектов интеллектуальной собственности.

В состав общедоступной информации также входит информация, доступ к которой запрещено ограничивать по Конституции России и законодательству:

– сведения, которые запрещено относить к государственной тайне, в соответствии с законом «О государственной тайне»;

– информация, которую запрещено относить к информации ограниченного доступа, в соответствии с законом «Об информации, информационных технологиях и о защите информации»;

– сведения, которые запрещено относить к коммерческой тайне в соответствии с законом «О коммерческой тайне».

В отношении общедоступной информации защищаемыми свойствами являются целостность и доступность.

За ограничение доступа к такой информации введены различные виды правовой ответственности: административная, гражданскоправовая, уголовная.

Объекты интеллектуальной собственности. Значительная часть общедоступной информации (общедоступных информационных ресурсов) включает объекты интеллектуальной собственности, определённых в качестве таковых гражданским законодательством государства. И в первую очередь это объекты авторского и смежного права. К ним в частности относятся произведения науки, литературы и искусства, программы для ЭВМ и базы данных – объекты авторского права, объекты смежного права с авторским – исполнения, фонограммы, сообщение в эфир или по кабелю радио- или телепередач (вещание организаций эфирного или кабельного вещания), объекты патентного права – изобретения, полезные модели, промышленные образцы и др. Гражданский кодекс Российской Федерации, наряду с правовыми методами защиты объектов авторского и смежного права, предусматривает возможность защиты этих объектов техническими (программно-аппаратными) средствами, в том числе ограничение доступа в коммерческих целях.

В отношении объектов авторского и смежного права защищаемыми свойствами являются целостность и доступность, а также защита от нелегального (противоправного) тиражирования.

Отнесение сведений к защищаемой информации. Отнесение сведений к защищаемой информации - введение в предусмотренном законами порядке, ограничений на их распространение и на доступ к их носителям или реализации права на доступ, получение и предоставление достоверной информации из общедоступных источников, предназначенных для этих целей.

Отнесение информации к защищаемой осуществляется в соответствии с принципами законности, обоснованности и своевременности (рисунок 7.2).

Законность Обоснованность Своевременность Рисунок 7.2 – Принципы отнесения информации к защищаемой Законность отнесения информации к защищаемой заключается в соответствии информации законодательству о собственности на информационные ресурсы и информационные системы, законодательству об информации, информационных технологиях и о защите информации, законодательству об интеллектуальной собственности.

Обоснованность отнесения информации к защищаемой, заключается в установлении путем экспертной оценки целесообразности отнесения к конфиденциальным конкретных сведений или защищаемых в интересах обеспечения целостности и доступности сведений, вероятных экономических и иных (гражданско-правовых) последствий этого акта исходя из интересов бизнеса и баланса интересов государства, общества и граждан.

Своевременность отнесения информации к защищаемой, заключается в установлении статуса защищаемой информации для сведений (документированной информации) с момента их получения (разработки) или заблаговременно.

Понятие и классификация носителей защищаемой информации. Носителями защищаемой информации являются все виды и типы носителей информации – сведений, сообщений и данных.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Все носители защищаемой информации условно можно разделить на две группы.

Первая группа – это непосредственные (первичные) носители информации. Они являются таковыми по своей природе – как, например, человек, военные объекты, или специально созданы для целей хранения информации или передачи информации с помощью носителя. С помощью непосредственных носителей информация документируется. Непосредственным носителем информации является человек – в системе информационных отношений – физическое лицо.

Непосредственные носители информации являются конечными объектами защиты, так как несанкционированный доступ к ним может привести к нарушению конфиденциальности информации или нарушению её целостности и доступности.

Вторая группа – опосредованные (вторичные) носители информации. Такими носителями, являются средства и системы, используемые для обработки информации (оперативная память ПК, принтеры, сканеры плоттеры), представления (мониторы, экраны и др.), передачи по сети и др., опосредованными носителями являются излучения и электромагнитные поля (физические поля – электромагнитные и акустические) возникающие во время работы технических средств обработки информации или передачи. В опосредованных носителях информация не хранится.

Вариант классификации носителей защищаемой информации представлен на рисунке 7.3.

Непосредственные носители по их физической природе (материальной основе) подразделяются на следующие группы:

– на бумажной основе.

– фотоплёнка и фотодокументы.

– машинные (технические) носители.

Носители на бумажной основе. Носители на бумажной основе являются традиционными, так как много веков человечество использует бумагу для документирования информации. Современные архивы в своей основе содержат документы на бумажной основе. На бумажной основе основано современное делопроизводство. Документирование информации на бумажные носители для архивов в ближайшие десятилетия сохранится.

Бумажные носители используются для организации управленческой деятельности организаций, научной и производственной деятельности, бухгалтерской и финансовой отчётности и др.

НОСИТЕЛИ

ЗАЩИЩАЕМОЙ

ИНФОРМАЦИИ

мые для записи, хранения, обмена, документирования - на бумажной основе;

- фотодокументы (фотоплёнка и фотографии);

- машинные (технические) «Вещества» (материалы) носители (ЭВМ и др.);

- другие (те, которые могут -вещества, предназначенные быть источниками информа- для производства оружия Физическое поле, в котором информация находит свое отражение Электрические, магнитные, электромагнитные, акустические, радиационные поля Рисунок 7.3 – Классификация носителей защищаемой Отчёты о финансовой деятельности, кадровой, управленческой представляются в различные государственные органы: налоговую службу, органы государственной статистики, государственные архивы, органы социальной защиты, пенсионные фонды и др., органы прокуратуры и следствия. В современных государственных архивах России хранится огромное количество документов различной степени важности (секретности).

В общем случае бумажные носители в зависимости от формы представления информации можно разделить на текстовые, графические, картографические (геодезические).

Фотодокументы. Фотодокументы как носители защищаемой информации включают два типа носителей.

Первый тип это фотоплёнка с зафиксированными на ней событиями секретного характера, например съёмки испытаний секретного оружия, или, например, технология какого- либо производства продукции представляющая собой секрет фирмы.

Второй тип – фотографии. Например, фотографии новых секретных образцов техники, объектов вероятного противника, конкурента (иностранных государств и др.), секретных карт, мест добычи урановой руды, объектов местности приисков редкоземельных металлов, фотокопии различных бумажных и даже электронных документов.

Для несанкционированного доступа к носителям информации на бумажной основе и фотодокументам не требуется специальных средств для доступа. Их можно просмотреть и запомнить, сфотографировать, снять копию на ксероксе, отсканировать, выкрасть. Поэтому для предотвращения НСД к этим типам носителей и размещённой на них информации предусматривают регламентацию доступа, специальные хранилища (помещения) с ограниченным (регламентированным) доступом, сейфы различной конструкции и конфигурации для постоянного и временного хранения таких носителей.

Машинные (технические) носители. Основу машинных (технических) носителей информации составляют носители, используемые в средствах вычислительной техники. Всё множество носителей представлено основными группами:

– магнитные носители;

– магнитооптические;

– оптические;

Магнитные носители подразделяются на носители на магнитной ленте и магнитном диске.

Носители на магнитном диске подразделяются на съёмные (дискеты, флешь – накопители, стримеры и т.п.) и «несъёмные» - жёсткие.

Информация хранится на магнитных дорожках носителя. Для работы с электронными документами, хранимыми на носителе необходимо отобразить его содержание на экране монитора. В процессе представления информации происходит ёё излучение средствами обработки и доступа.

В числе носителей этой группы, следует выделить носители на магнитной ленте. Защищаемая информация может представлять собой видеозапись или аудиозапись каких либо событий или данных. Например, видеосюжет по новым видам вооружений для ограниченного круга лиц, ноу-хау технологий и другой деловой конфиденциальной информации. Носитель представляет собой видео или аудио кассету.

Оптические носители. На оптических носителях данные представлены в виде дорожек на пластиковом диске, информация считывается лазерным лучом. Это CD-ROM и DVD и их современные производные формы. Оптические носители съёмные.

Режим хранения и использования съёмных носителей защищаемой информации аналогичен режиму хранения и использования бумажных носителей. Однако при этом необходимо учитывать то, что магнитные носители подвержены размагничиванию, особенно под влиянием магнитного поля, не каждый сейф пригоден для хранения магнитных носителей, т.е. возможно размагничивание областей записи при длительном хранении в металлических сейфах имеющих магнитные поля.

Кроме рассмотренных носителей документированной информации, подлежащих защите, в качестве носителей конфиденциальной информации, требующих защитных мероприятий являются объекты, деятельность которых необходимо скрыть в интересах национальной безопасности, специальные изделия и вещества.

Объекты, изделия, вещества, как носители защищаемой информации. Эта группа носителей представляет интерес для иностранных разведок.. К ним относятся:

– «специальные объекты» – пункты управления государством и Вооруженными Силами России, а также другие объекты, обеспечивающие функционирование федеральных органов государственной власти и органов государственной власти субъектов России в военное время;

– «военные объекты» – боевые позиции войск, пункты управления, полигоны, узлы связи, базы, склады и другие сооружения военного назначения;

– «режимные объекты» – военные и специальные объекты, воинские части, предприятия, организации, учреждения, для функционирования которых установлены дополнительные меры безопасности;

– «объекты оборонной промышленности» – предприятия по разработке, производству и ремонту вооружения, военной техники или снаряжения;