WWW.DISUS.RU

БЕСПЛАТНАЯ НАУЧНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА - Авторефераты, диссертации, методички
 
<< ГЛАВНАЯ [ АВТОРЕФЕРАТЫ ] [ ДИССЕРТАЦИИ ] [ ДОКЛАДЫ ] [ ФОРУМЫ ] [ МЕТОДИЧКИ ] [ МОНОГРАФИИ ] [ ПРОЕКТЫ ] [ ПРОГРАММЫ ] КОНТАКТЫ
Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.

Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.

Главная  >>  Методички
[ СКАЧАТЬ ОРИГИНАЛ ДОКУМЕНТА .pdf ]
Pages:     | 1 | 2 |
3
| 4 | 5 |

«Государственное образовательное учреждение высшего профессионального образования Алтайский государственный технический университет им. И. И. Ползунова Ю. Н. Загинайлов ТЕОРИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ И МЕТОДОЛОГИЯ ...»

-- [ Страница 3 ] --

– «войска» – Вооруженные Силы России, другие войска, воинские формирования, органы и создаваемые на военное время специальные формирования, предусмотренные Федеральным законом «Об обороне».

– «объекты экономики Российской Федерации» – объекты экономики России, используемые в интересах обеспечения обороноспособности и безопасности государства.

Главной задачей защиты является скрытие деятельности объектов путём маскировки, легендирования, другими методами защиты таких объектов от иностранных разведок.

Специальные изделия. Специальные изделия – это изделия представляющие интерес для иностранных разведок и конкурентов в бизнесе. К ним относятся:

– «вооружение» – средства, предназначенные для поражения живой силы, техники, сооружений и других объектов противника, составные части этих средств и комплектующие изделия;

– «военная техника» – технические средства, предназначенные для боевого, технического и тылового обеспечения деятельности войск, а также оборудование и аппаратура для контроля и испытаний этих средств, составные части этих средств и комплектующие изделия;

- «оружие массового поражения» – ядерное, химическое, биологическое или иное оружие большой поражающей способности, применение которого вызывает массовые потери и (или) разрушения;

– « опытные образцы техники или технологий» негосударственных организаций имеющих высокую коммерческую ценность.

Вещества и материалы. Как носители защищаемой информации могут рассматриваться: вещества, предназначенные для производства ядерного или иного оружия большой поражающей способности, в том числе места добычи их компонентов, отходы производства, по которым разведки (конкуренты) могут получить информацию. Они обуславливают существование материально-вещественного канала утечки информации.

1. Что понимается под «документированием информации» и для чего оно необходимо?

2. Что включают и для чего необходимы реквизиты документа?

3. Приведите понятие «защищаемая информация».

4. Что представляет собой информация ограниченного доступа и чем определяется состав такой информации в России?

5. Что представляет собой «общедоступная информация», и какие её свойства необходимо защищать в соответствии с требованиями законодательства?

6. Что представляют собой объекты интеллектуальной собственности как защищаемая информация, и какие их свойства необходимо защищать?

7. Приведите основные принципы отнесения информации к защищаемой и поясните их суть.

8. Приведите понятие «носитель информации», используемое в стандартах по защите информации.

9. Как могут быть классифицированы носители информации, используемые для записи, хранения, обмена, документирования информации?

10.Какие физические поля могут быть носителями информации?

КЛАССИФИКАЦИЯ ИНФОРМАЦИИ ОГРАНИЧЕННОГО

ДОСТУПА ПО ВИДАМ ТАЙНЫ И СТЕПЕНЯМ

КОНФИДЕНЦИАЛЬНОСТИ

8.1 Показатели разделения информации ограниченного Для обозначения информации ограниченного доступа в российском законодательстве используется термин «тайна».

Слово «тайна» имеет древнерусское происхождение. Первоначально оно употреблялось в мужском роде – «тай». По В.И. Далю понятие «тайна» определяется как «кто чего не знает, то для него тайна;

всё скрытое, неизвестное, неведомое».

В самом широком толковании тайна – это сфера объективной реальности, скрытая от нашего понимания или восприятия. Из этого следуют две стороны понимания тайны.

С одной стороны, это всё то, что на данный момент не осознано человеческим интеллектом (тайна природы).

С другой стороны – это нечто уже известное, но с определённой целью скрытое от других людей (сведения, которые какой-либо субъект считает скрыть от других).

С точки зрения безопасности информации нам интересна вторая сторона. В системе российского законодательства выделяют правовые институты тайны. Правовой институт любого вида тайны имеет три составляющие:

– относимые к определённому виду тайны сведения, а также научно обоснованные принципы и критерии отнесения сведений к данному виду;

– механизм ограничения доступа к указанным сведениям (механизм защиты);

– правовые санкции за неправомерное получение и (или) разглашение указанных сведений.

Тайна слишком сложное, с правовой точки зрения, явление, чтобы можно было выработать единственный рецепт уровня нормативного регулирования её разновидностей.

Глубина проникновения государства в регулирование отдельных видов общественных отношений, связанных с тайной, рассматривается в системе информационного права и в рамках правовой защиты информации.

Современное законодательство включает следующие виды информации ограниченного доступа (рисунок 8.1):

Рисунок 8.1 – Виды информации ограниченного доступа – информация, составляющая государственную тайну (подлежит защите в соответствии с законодательством РФ о государственной тайне);

– информация, составляющая коммерческую тайну (подлежит защите в соответствие с федеральным законом РФ о коммерческой тайне);

– информация, составляющая служебную тайну (подлежит защите в соответствии с требованиями законодательства РФ о государственной и муниципальной службе, нормативными документами Президента и Правительства России), в том числе информация, составляющая налоговую тайну(имеет собственный институт);

– информация, составляющая профессиональную тайну (подлежит защите в случаях, если на лица, занимающиеся профессиональной деятельностью, и получающие такую информацию, федеральными законами возложены обязанности по соблюдению конфиденциальности такой информации), в том числе информация, составляющая банковскую тайну (имеет собственный институт);

– персональные данные (порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом «О персональных данных»).

Каждый вид тайны, закреплённый в законах, содержит свой перечень сведений или условия отнесения информации к соответствующему виду (институту) тайны.

В качестве показателей разделения информации ограниченного доступа на различные виды тайны выступает принадлежность информации к собственнику или определённому виду деятельности (служебная деятельность, профессиональная деятельность, коммерческая деятельность). Например, собственником государственной тайны является государство. Персональные данные человека – собственник человек (физическое лицо). Коммерческая тайна – вид деятельности коммерческая (собственниками могут быть юридические лица, физические лица), и т.д. Показатели разделения информации ограниченного доступа на тайны и родовые признаки соответствующих видов тайны приведены в таблице 8.1.

ИНФОРМАЦИЯ ОГРАНИЧЕННОГО ДОСТУПА

конфиденциального характера Понятие государственной тайны. В Российской империи существовали различные секреты. Были тайны у императорского двора, у армии, у полиции.

В Советском Союзе проблема определения государственной тайны на уровне закона, как это сделано в большинстве развитых стран не решалась. Однако такой тотальной секретности, как с начала 30-х годов ХХ-го века, в нашей стране никогда ранее не было. Система административного регулирования государственной тайны находилась на уровне правительственных решений. Причём в стране существовало параллельно две системы тайны: государственная и партийная, во многом совпадавшие, но партийная ценилась выше. Кроме того, существовала ещё и военная тайна, статус которой был аналогичен государственной.

Понятие «государственная тайна» является одним из важнейших в системе защиты государственных секретов в любой стране. От её правильного определения зависит и политика руководства страны в области защиты секретов Принятый в 1993 году, в России, закон «О государственной тайне» регулирует отношения, возникающие в связи с отнесением сведений к государственной тайне, их засекречиванием или рассекречиванием и защитой в интересах обеспечения безопасности. Он является основой правового института государственной тайны, и так определяет государственную тайну:

государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.

Перечень сведений, составляющих государственную тайну.

Перечень сведений, составляющих государственную тайну, приводится в законе. Перечень представляет собой совокупность категорий сведений, в соответствии с которыми сведения относятся к государственной тайне и засекречиваются на основаниях и в порядке, установленных федеральным законодательством.

Перечень описывает довольно широкие категории сведений объединенных одним или несколькими признаками в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью:

– сведения в военной области (6 категорий сведений);

– сведения в области экономики, науки и техники (5 категорий);

– сведения в области внешней политики и экономики (2 категории);

– сведения в области разведывательной, контрразведывательной и оперативно-розыскной деятельности (7 категорий).

В числе сведений в области разведывательной, контрразведывательной и оперативно-розыскной деятельности, есть категории связанные с защитой информации, это сведения:

– о методах и средствах защиты секретной информации;

– об организации и о фактическом состоянии защиты государственной тайны.

Не подлежат отнесению к государственной тайне и засекречиванию сведения (ст.7 Закона):

– о чрезвычайных происшествиях и катастрофах, угрожающих безопасности и здоровью граждан и их последствиях, а также о стихийных бедствиях, их официальных прогнозах и последствиях;

– о состоянии экологии, здравоохранения, санитарии, демографии, образования, культуры, сельского хозяйства, а также о состоянии преступности;

– о привилегиях, компенсациях и льготах, предоставляемых государством гражданам, должностным лицам, предприятиям, учреждениям и организациям;

– о фактах нарушения прав и свобод человека и гражданина;

– о размерах золотого запаса и государственных валютных резервах Российской Федерации;

– о состоянии здоровья высших должностных лиц Российской Федерации;

– о фактах нарушения законности органами государственной власти и их должностными лицами.

На основе перечня сведений, составляющих государственную тайну, представленного в законе «О государственной тайне», осуществляется отнесение сведений к государственной тайне и их засекречивание в различных федеральных органах государственной власти (министерствах и ведомствах), органах государственной власти субъектов РФ и организациях различных форм собственности.

Основания и организационно-правовые формы отнесения информации к государственной тайне. Отнесение сведений к государственной тайне и их засекречивание – введение в предусмотренном законом порядке ограничений на их распространение и на доступ к их носителям.

Отнесение сведений к государственной тайне и их засекречивание осуществляется в соответствии с принципами законности, обоснованности и своевременности (рисунок 8.2).

Рисунок 8.2 – Принципы отнесения сведений к государственной Законность отнесения сведений к государственной тайне и их засекречивание заключается в соответствии засекречиваемых сведений перечню сведений, составляющих государственную тайну (ст.5 закона «О государственной тайне») и законодательству РФ о государственной тайне, за исключением сведений, не подлежащих отнесению к государственной тайне и засекречиванию (ст.7 закона «О государственной тайне»).

Обоснованность отнесения сведений к государственной тайне и их засекречивание заключается в установлении путем экспертной оценки целесообразности засекречивания конкретных сведений, вероятных экономических и иных последствий этого акта исходя из баланса жизненно важных интересов государства, общества и граждан.

Своевременность отнесения сведений к государственной тайне и их засекречивание заключается в установлении ограничений на распространение этих сведений с момента их получения (разработки) или заблаговременно.

Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программноцелевой принадлежностью.

Порядок отнесения сведений к государственной тайне. Отнесение сведений к государственной тайне осуществляется в соответствии с их отраслевой, ведомственной или программно-целевой принадлежностью по следующей схеме.

1. Обоснование необходимости отнесения сведений к государственной тайне возлагается на органы государственной власти, предприятия, учреждения и организации, которыми эти сведения получены (разработаны).

2. Отнесение сведений к государственной тайне осуществляется руководителями федеральных органов государственной власти (министерств, ведомств), наделенных такими полномочиями распоряжением Президента РФ. Они руководствуются «Перечнем сведений, составляющих государственную тайну», определённым в законе. Разработанные перечни сведений отнесённых к государственной тайне представляются в межведомственную комиссию по защите государственной тайны (МВК).

3. МВК на основе представленных перечней, формирует «Перечень сведений, отнесенных к государственной тайне», в котором также указываются органы государственной власти, наделяемые полномочиями по распоряжению данными сведениями. Указанный Перечень утверждается Президентом РФ, подлежит открытому опубликованию и пересматривается по мере необходимости, но не реже чем один раз в пять лет.

4. Органами государственной власти (министерствами, ведомствами и другими), в соответствии с Перечнем сведений, отнесенных к государственной тайне, разрабатываются «Развернутые перечни сведений, подлежащих засекречиванию». В эти перечни включаются сведения, полномочиями по распоряжению которыми наделены указанные органы, и устанавливается степень их секретности. Степень секретности самих перечней устанавливается руководителями этих органов государственной власти.

5. Засекречивание сведений и их носителей в органах государственной власти (любого уровня), в организациях, учреждениях на предприятиях осуществляется в соответствии с «Перечнем сведений подлежащих засекречиванию» утвержденным для них.

Степени секретности сведений, отнесенных к государственной тайне. Степень секретности сведений, составляющих государственную тайну, должна соответствовать степени тяжести ущерба, который может быть нанесен безопасности РФ вследствие распространения указанных сведений.

Устанавливаются три степени секретности сведений, составляющих государственную тайну, и соответствующие этим степеням грифы секретности для носителей указанных сведений: «особой важности», «совершенно секретно» и «секретно».

Использование перечисленных грифов секретности для засекречивания сведений, не отнесенных к государственной тайне, не допускается.

Порядок определения размеров ущерба, который может быть нанесен безопасности Российской Федерации вследствие распространения сведений, составляющих государственную тайну, и правила отнесения указанных сведений к той или иной степени секретности устанавливаются Правительством РФ.

Степени секретности сведений представляют собой иерархию (структуру) ценности информации.

Соответствие степеней секретности и ущерба приведены в таблице 8.2.

Таблица 8.2 – Соответствие степеней секретности и ущербов Степень секКритерии отнесения к степени ретности Ущерб интересам России (в одной или неОсобой скольких областях деятельности: военной, внешневажности политической, экономической, научнотехнической, разведывательной, контрразведывательной, оперативно-розыскной ) Совершенно секретно или отрасли экономики РФ (в одной или нескольких из указанных областей деятельности) Секретно или организации в одной или нескольких из указанных областей или иные сведения (не подпадающие под другие степени секретности) При засекречивании этих сведений их носителям присваивается соответствующий гриф секретности.

На носители сведений, составляющих государственную тайну, наносятся реквизиты, включающие следующие данные:

– о степени секретности содержащихся в носителе сведений со ссылкой на соответствующий пункт действующего в данном органе государственной власти, на данном предприятии, в данных учреждении и организации перечня сведений, подлежащих засекречиванию;

– об органе государственной власти, о предприятии, об учреждении, организации, осуществивших засекречивание носителя;

– о регистрационном номере;

– о дате или условии рассекречивания сведений либо о событии, после наступления которого, сведения будут рассекречены.

При невозможности нанесения таких реквизитов на носитель сведений, составляющих государственную тайну, эти данные указываются в сопроводительной документации на этот носитель.

Если носитель содержит составные части с различными степенями секретности, каждой из этих составных частей присваивается соответствующий гриф секретности, а носителю в целом присваивается гриф секретности, соответствующий тому грифу секретности, который присваивается его составной части, имеющей высшую для данного носителя степень секретности сведений.

Носители подлежат строгому учёту. Конкретный порядок засекречивания и учёта носителей определён в соответствующей инструкции.

Основания для рассекречивания сведений. Рассекречивание сведений и их носителей – снятие ранее введенных ограничений на распространение сведений, составляющих государственную тайну, и на доступ к их носителям.

Срок засекречивания сведений, составляющих государственную тайну, не должен превышать 30 лет. В исключительных случаях этот срок может быть продлен по заключению межведомственной комиссии по защите государственной тайны.

Основаниями для рассекречивания сведений являются:

– взятие на себя РФ международных обязательств по открытому обмену сведениями, составляющими в РФ государственную тайну;

– изменение объективных обстоятельств, вследствие которого дальнейшая защита сведений, составляющих государственную тайну, является нецелесообразной.

Защита государственной тайны. Защита государственной тайны предусматривает:

– допуск предприятий, учреждений и организаций к проведению работ, связанных с использованием сведений, составляющих государственную тайну;

– допуск должностных лиц и граждан к государственной тайне;

– доступ должностных лиц и граждан к сведениям, составляющим государственную тайну;

– сертификацию средств защиты информации (аттестацию объектов информатизации);

– обеспечение режима секретности;

– нормы правовой ответственности за нарушение законодательства РФ «О государственной тайне».

Органы защиты государственной тайны. К органам защиты государственной тайны относятся:

– межведомственная комиссия по защите государственной тайны (МВК ЗГТ);

– федеральные органы исполнительной власти (и их территориальные органы), уполномоченные: в области обеспечения безопасности (ФСБ России), в области обороны (МО РФ), в области внешней разведки ( СВР России), в области противодействия техническим разведкам и технической защиты информации (ФСТЭК России);

– органы государственной власти, предприятия, учреждения и организации и их структурные подразделения по защите государственной тайны.

Коммерческая тайна – это один из старейших методов охраны интеллектуальной собственности.

В сложившейся к настоящему времени системе правоотношений, регулирующей порядок и условия ограничений на доступ к информации, институт коммерческой тайны занимает второе по значимости место после государственной тайны, а по ширине охвата и объёму информации её превосходит.

Понятия коммерческой тайны и информации, составляющей коммерческую тайну, определены в федеральном законе «О коммерческой тайне», который принят в России в 2004 году.

Коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду.

Информация, составляющая коммерческую тайну (секрет производства), – сведения любого характера (производственные, технические, экономические, организационные и другие), в том числе о результатах интеллектуальной деятельности в научно-технической сфере, а также сведения о способах осуществления профессиональной деятельности, которые имеют действительную или потенциальную коммерческую ценность в силу неизвестности их третьим лицам, к которым у третьих лиц нет свободного доступа на законном основании и в отношении которых обладателем таких сведений введен режим коммерческой тайны;

В отличие от государственной тайны состав сведений, которые составляют коммерческую тайну, определяется не нормативными актами, а самими обладателями информации. Виды информации, составляющие коммерческую тайну, определяются внутренними (локальными) нормативными актами организаций, гражданско-правовыми и трудовыми договорами.

Для признания информации, информацией составляющей коммерческую тайну и соответственно для ее правовой охраны закон называет следующие обязательные условия (критерии отнесения и условия правовой охраны):

1. Наличие у информации действительной или потенциальной коммерческой ценности в силу неизвестности её третьим лицам.

Словом "потенциальная", подчеркивается то, что информация может и не иметь сегодняшней цены ("действительной ценности"), а приобретет ее только в будущем ("потенциально"). Такая возможность как раз и определяется обладателем при отнесении информации к коммерческой тайне в настоящем. Секреты производства "(ноу-хау") остаются одним из основных видов коммерческой тайны.

Права на конфиденциальную информацию существуют и имеют какую-либо ценность только до тех пор, пока эта информация не стала известной. После разглашения информации (причем не важно, на каком основании - законном или нет) всякий смысл в сохранении ее конфиденциальности пропадает.

2. Отсутствие свободного доступа к информации на законном основании. Это означает, что информация не относится к сведениям обязательность раскрытия которых, или недопустимость ограничения доступа к которым, установлена федеральными законами (закон «Об информации, информационных технологиях и о защите информации», в.т.ч. сведения, которые не могут составлять коммерческую тайну в соответствии со ст.5 закона «О коммерческой тайне»).

3. Обладателем такой информации введен режим коммерческой тайны, предусматривающий меры установленные законом.

Отнесение информации к информации, составляющей коммерческую тайну. Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации с учетом положений закона о коммерческой тайне.

Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении такой информации режима коммерческой тайны.

Правовой статус коммерческой тайны закрепляется в «Перечне информации, составляющей коммерческую тайну организации». Перечень информации, составляющей коммерческую тайну, утверждается руководителем организации и вводится в действие его приказом.

Сведения, которые не могут составлять коммерческую тайну.

Режим коммерческой тайны не может быть установлен лицами, осуществляющими предпринимательскую деятельность, в отношении следующих сведений (ст.5. закона о коммерческой тайне):

1) содержащихся в учредительных документах юридического лица, документах, подтверждающих факт внесения записей о юридических лицах и об индивидуальных предпринимателях в соответствующие государственные реестры;

2) содержащихся в документах, дающих право на осуществление предпринимательской деятельности;

3) о составе имущества государственного или муниципального унитарного предприятия, государственного учреждения и об использовании ими средств соответствующих бюджетов;

4) о загрязнении окружающей среды, состоянии противопожарной безопасности, санитарно-эпидемиологической и радиационной обстановке, безопасности пищевых продуктов и других факторах, оказывающих негативное воздействие на обеспечение безопасного функционирования производственных объектов, безопасности каждого гражданина и безопасности населения в целом;

5) о численности, о составе работников, о системе оплаты труда, об условиях труда, в том числе об охране труда, о показателях производственного травматизма и профессиональной заболеваемости, и о наличии свободных рабочих мест;

6) о задолженности работодателей по выплате заработной платы и по иным социальным выплатам;

7) о нарушениях законодательства Российской Федерации и фактах привлечения к ответственности за совершение этих нарушений;

8) об условиях конкурсов или аукционов по приватизации объектов государственной или муниципальной собственности;

9) о размерах и структуре доходов некоммерческих организаций, о размерах и составе их имущества, об их расходах, о численности и об оплате труда их работников, об использовании безвозмездного труда граждан в деятельности некоммерческой организации;

10) о перечне лиц, имеющих право действовать без доверенности от имени юридического лица;

11) обязательность раскрытия которых или недопустимость ограничения доступа к которым, установлена иными федеральными законами.

В законодательстве Российской Федерации сегодня нет исчерпывающего перечня основных объектов коммерческой тайны (что было бы нереально в силу многообразия субъектов и универсальности объекта правоотношений), есть лишь отдельные указания на это. Так, в Федеральном законе «О бухгалтерском учете» (п. 4 ст. 10) установлено, что содержание регистров бухгалтерского учета и внутренней бухгалтерской отчетности является коммерческой тайной.

На материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, наносится гриф "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Защита коммерческой тайны. Защита коммерческой тайны в организации осуществляется установлением режима коммерческой тайны.

Режим коммерческой тайны включает, и считается установленным после принятия обладателем информации, составляющей коммерческую тайну, следующих мер:

1) определение перечня информации, составляющей коммерческую тайну;

2) ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля за соблюдением такого порядка;

3) учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана;

4) регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров;

5) нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа "Коммерческая тайна" с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства).

Наряду с указанными мерами, обладатель информации, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации, другие не противоречащие законодательству России меры.

Проблема защиты персональных данных в развитых странах стала актуальной в 70-х годах прошлого столетия, по мере развития автоматизированных систем обработки информации. Хотя это и послужило толчком для развития соответствующего законодательства, но основной внутренней причиной явилась необходимость дальнейшего совершенствования системы юридической защиты основных прав и свобод человека и гражданина. Поэтому персональные данные рассматриваются как особый институт права на «неприкосновенность частной жизни», «личную и семейную тайны», декларируемые Конституцией РФ. Часто такие данные называют «конфиденциальной информацией персонального характера» или «личной тайной».

Федеральный закон РФ «О персональных данных» приводит четыре правовые категории персональных данных, относительно которых регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации или без использования таких средств.

Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Специальные категории персональных данных. Они касаются расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни. Обработка специальных категорий персональных данных допускается только в отдельных случаях установленных законом.

Биометрические персональные данные. Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Грифа конфиденциальности для персональных данных законодательством не установлено.

Субъектами права в отношении персональных данных выступают:

а) субъекты персональных данных – лица, к которым относятся соответствующие данные, и их наследники (собственники);

б) операторы (держатели персональных данных) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Конфиденциальность и обеспечение безопасности информационных систем персональных данных. Персональные данные охраняются в режиме информации ограниченного доступа (конфиденциальной информации).

Правовой статус персональных данных как информации ограниченного доступа обязан установить оператор. Этот статус закрепляется перечнем персональных данных подлежащих защите.

Требования по обеспечению безопасности информационных систем персональных данных определяются Правительством России.

Федеральные органы, уполномоченные в области безопасности (ФСБ России) и в области технической защиты информации и противодействия техническим разведкам (ФСТЭК России) осуществляют контроль и надзор за выполнением требований по обеспечению безопасности ПД.

Контроль осуществляется на основе нормативно-методических документов утверждаемых Правительством РФ.

В Советском Союзе, в своё время сложилась определённая система защиты информации с ограниченным доступом, в которой выделяли три вида такой информации: государственная тайна (информация с грифами «особой важности», «совершенно секретно»), служебная тайна (информация с грифом «секретно») и информация «для служебного пользования». С принятием в 1993 году закона РФ «О государственной тайне» гриф «секретно» был отнесён к сведениям, составляющим государственную тайну, а новый правовой институт служебной тайны остался не определённым.

В настоящее время регулирование вопросов связанных с отнесением информации к служебной тайне осуществляется на основе «Положения о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти»

утверждённом Постановлением Правительства РФ от 3 ноября 1994 г.

№ 1233.

Служебная тайна – защищаемая по закону конфиденциальная информация, ставшая известной в государственных органах и органах местного самоуправления только на законных основаниях и в силу исполнения их представителями служебных обязанностей, а также служебная информация о деятельности государственных органов, доступ к которой ограничен федеральным законом или в силу служебной необходимости.

Служебная тайна имеет три основы образования.

Во-первых, к служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, ограничения на распространение которых, установлены законом.

К такой служебной информации относятся:

– тайна следствия (данные предварительного расследования либо следствия);

– судебная тайна (тайну совещания судей, содержание дискуссий и результатов голосования закрытого совещания Конституционного Суда РФ, материалы закрытого судебного заседания, тайну совещания присяжных заседателей);

– тайна о мерах безопасности (судьи, участников уголовного процесса, должностного лица правоохранительного или контролирующего органа);

– тайна усыновления;

– военная тайна.

Во - вторых, к служебной тайне могут быть отнесены сведения, содержащие служебную информацию о деятельности государственных органов, подведомственных им предприятий, учреждений и организаций, ограничения на распространение которых, диктуются служебной необходимостью.

В - третьих, к служебной тайне, могут быть отнесены сведения, являющиеся конфиденциальной информацией других лиц (собственников), но ставшие известными представителям государственных органов и органов местного самоуправления в силу исполнения ими служебных обязанностей.

К такой конфиденциальной информации относятся:

– коммерческая тайна;

– профессиональная тайна;

– банковская тайна;

– налоговая тайна;

– персональные данные.

Для служебной тайны используется гриф конфиденциальности (пометка) – для служебного пользования.

В действующем законодательстве приводится перечень сведений, которые не могут быть отнесены к служебной информации ограниченного распространения (постановление Правительства РФ от 3 ноября 1994г.№1233). По основному содержанию он совпадает с перечнем определённым в законе «Об информации, информационных технологиях и о защите информации».

Разновидностью служебной тайны является налоговая тайна, поскольку по основным признакам она совпадает с признаками служебной тайны. Состав сведений, отнесённых к налоговой тайне, закреплён в Налоговом Кодексе. По своему содержанию эти сведения в своей основе представляют персональные данные налогоплательщика.

Правовой статус служебной тайны закрепляется в «Перечне сведений ограниченного доступа» разрабатываемого на уровне органа государственной власти (министерства, ведомства), для государственной организации, предприятия, учреждения - при необходимости, и утверждается его (её) руководителем. Перечни сведений подведомственных организаций не должны противоречить ведомственным перечням, а лишь дополнять их с учётом специфики деятельности.

В современном законодательстве Российской Федерации не дано четкого определения профессиональной тайны. В то же время в Декларации прав и свобод человека и гражданина (1991 г.) прямо указывается, что охрана профессиональной тайны по закону может ограничивать право на поиск, получение и свободное распространение информации.

С учётом международной практики и положений законодательства РФ можно выделить следующие признаки отнесения информации к профессиональной тайне (критерии охраноспособности):

– доверена добровольно доверителем или стала известна лицу лишь в силу исполнения им своих профессиональных обязанностей;

– лицо, которому доверена информация, не состоит на государственной или муниципальной службе (в противном случае информация считается служебной тайной);

– запрет на распространение доверенной или ставшей известной информации, которое может нанести ущерб правам и законным интересам доверителя, установлен федеральным законом;

– информация не относится к сведениям, составляющим государственную и коммерческую тайну.

Таким образом, под профессиональной тайной можно понимать следующее:

профессиональная тайна – защищаемая по закону информация, доверенная или ставшая известной лицу (держателю) исключительно в силу исполнения им своих профессиональных обязанностей, не связанных с государственной или муниципальной службой, распространение которой может нанести ущерб правам и законным интересам другого лица (доверителя), доверившего эти сведения, и не являющаяся государственной или коммерческой тайной.

В соответствии с этими критериями можно выделить следующие подвиды профессиональной тайны, которые установлены законодательством РФ.

1. Врачебная тайна – информация, содержащая факты обращения за медицинской помощью, результаты обследования лица, о состоянии здоровья, диагнозе заболевания и иные сведения в медицинских документах гражданина.

2. Тайна связи – тайна переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений.

3. Нотариальная тайна – сведения, доверенные нотариусу в связи с совершением нотариальных действий.

4. Адвокатская тайна – сведения, сообщенные адвокату гражданином в связи с оказанием ему юридической помощи.

5. Тайна усыновления – сведения об усыновлении ребенка, доверенные на законном основании иным лицам, кроме судей, вынесших решение об усыновлении, и должностных лиц, осуществляющих государственную регистрацию этого усыновления.

6 Тайна страхования – сведения о страхователе, застрахованном лице и выгодоприобретателе, состоянии их здоровья, а также об имущественном положении этих лиц, полученные страховщиком в результате своей профессиональной деятельности.

7. Тайна исповеди – сведения, доверенные священнослужителю гражданином на исповеди.

8. Аудиторская тайна – сведения об операциях аудируемых лиц и лиц, которым оказывались сопутствующие аудиту услуги аудиторскими организациями и индивидуальными аудиторами.

Разновидностью профессиональной тайны является банковская тайна, которая имеет свой собственный правовой институт – институт банковской тайны.

Банковская тайна – защищаемые банками и иными кредитными организациями сведения о вкладах и счетах своих клиентов и корреспондентов, банковских операциях по счетам и сделкам в интересах клиентов, а также сведения о клиентах, разглашение которых может нарушить право последних на неприкосновенность частной жизни.

К сведениям, составляющим банковскую тайну отнесены:

– тайна банковского вклада (депозита);

– тайна банковского счета;

– тайна операций по банковскому счету – тайна частной жизни клиента.

Степеней конфиденциальности и грифов конфиденциальности носителей для профессиональной тайны, включая банковскую тайну, не установлено.

1. Какие виды тайны включает информация ограниченного доступа в соответствии с законодательством Российской Федерации?

2. Приведите показатели разделения информации ограниченного доступа на тайны и родовые признаки соответствующих видов тайны.

3. Что понимается под «государственной тайной», и каким законом регулируются все вопросы, связанные с её использованием и защитой в России?

4. Каковы принципы отнесения информации к государственной тайне и в чём их суть?

5. Какие степени секретности установлены в России для сведений составляющих государственную тайну и грифы секретности носителей? На чём они основаны?

6. Что понимается под «коммерческой тайной», и каким законом регулируются все вопросы, связанные с её использованием и защитой в России?

7. Что понимается под «информацией, составляющей коммерческую тайну», и каковы ограничения по отнесению сведений к этой информации?

8. Что представляют собой «персональные данные» как объект права и защиты, и каким законом регулируются вопросы обеспечения их безопасности в России?

9. Что понимается под «служебной тайной», какие объекты она включает и какие грифы конфиденциальности применяются для носителей?

10.Что понимается под «профессиональной тайной», какие объекты она включает?

ПОНЯТИЕ, КЛАССИФИКАЦИЯ И ОЦЕНКА УГРОЗ

БЕЗОПАСНОСТИ ИНФОРМАЦИИ

9.1 Понятие угрозы и её взаимосвязь с уязвимостью Понятие угрозы безопасности информации. Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба, чьим – либо интересам.

Применительно к безопасности информации понятие угрозы может быть сформулировано следующим образом:

угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации, или (что равнозначно), угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и/или несанкционированными и/или непреднамеренными воздействиями на нее.

Очевидно, что нарушение безопасности информации (конфиденциальности, целостности, доступности) в результате утечки информации и/или несанкционированных и/или непреднамеренных воздействий на нее, может привести к нанесению ущерба её собственнику, владельцу или пользователю.

Взаимосвязь угроз безопасности информации с источниками, уязвимостью и рисками. Угрозы безопасности информации не возникают сами по себе. Они всегда обусловлены уязвимостью информации, проявляющуюся через уязвимость носителей информации, уязвимость информационной системы в которой защищаемая информация обрабатывается и наличием источника угрозы (от чего или от кого угроза исходит).

Уязвимость (информационной системы); брешь – свойство информационной системы, обусловливающее возможность реализации угроз безопасности обрабатываемой в ней информации. Если уязвимость соответствует угрозе, то существует риск.

Источник угрозы безопасности информации – субъект (физическое лицо, материальный объект или физическое явление), являющийся непосредственной причиной возникновения угрозы безопасности информации.

На основе анализа угроз безопасности информации выполняется анализ и оценка степени риска, для принятия решения о том, какие контрмеры (функции защиты) применить для предотвращения угроз и противодействия дестабилизирующим воздействиям.

Риск – ожидаемые потери или возможный результат реализации угрозы при наличии уязвимости и определенных обстоятельств или событий, приводящих к реализации угрозы. Возможность того, что определенная угроза реализуется вследствие наличия определенной уязвимости системы.

Оценка степени риска отвечает на вопрос «сколько средств нужно затратить на систему защиты» и сопоставить стоимость системы защиты со стоимостью (ценой, важностью) защищаемой информацией для нахождения оптимального в экономическом отношении решения.

Существует ряд подходов к измерению рисков. В зарубежных методиках, рассчитанных на более высокие требования, используется модель оценки риска с тремя факторами: угроза, уязвимость, цена потери.

Вероятность происшествия, которая в данном подходе может быть объективной либо субъективной величиной, зависит от уровней (вероятностей) угроз и уязвимостей.

где R – степень (уровень) риска;

Pyг – вероятность реализации угрозы, при наличии уязвимости;

Pyязв – вероятность наличия уязвимости;

G – цена потери (стоимость активов).

Данное выражение можно рассматривать как математическую формулу, если используются количественные шкалы, либо как формулировку общей идеи (лингвистические переменные), если хотя бы одна из шкал — качественная. В последнем случае используются различного рода табличные методы для определения риска в зависимости от трех факторов. Существуют и более простые методики, в которых уязвимость учитывается сразу в вероятности реализации угрозы.

Структурно-логическая схема угрозы безопасности информации. Анализ негативных последствий реализации угроз в отношении информационной системы или другого технического средства обработки информации на объекте информатизации, предполагает обязательную идентификацию: уязвимостей, способствующих появлению и реализации угроз; возможных источников угроз; самих угроз, выражаемых через способы реализации угроз, связанных со злоумышленными действиями людей, или через каналы (среду) реализации способа, или результат воздействия.

Исходя из этого, можно представить общую структурно – логическую схему угрозы ( рисунок 9.1).

У Г Р О З А

2) несоблюдение требований по защите информаПроцессы зация контроля эффективности защиты информации защиты).

УЯЗВИМОСТЬ ИСТОЧНИК

УГРОЗЫ

Профиль субъективной преднамеренной угрозы Рисунок 9.1 – Структурно - логическая схема угрозы Угрозы, связанные со злоумышленными действиями людей всегда включают способ и средство реализации, а также канал (среду) через который осуществляется воздействие. С учётом этого все взаимосвязанные с такой угрозой элементы могут быть представлены в виде определённого профиля угрозы, представляющего собой кортеж: источник угрозы, способ реализации, канал реализации, уязвимость, риск.

Использование такой схемы угрозы позволяет производить достаточно полный анализ возможных угроз информации применительно к системам её хранения и обработки на объекте информатизации, разрабатывать модели угроз и на этой основе вырабатывать контрмеры и проектировать системы защиты информации.

9.2 Общая классификация угроз безопасности информации В современной теории и практике защиты информации существует несколько подходов к классификации угроз безопасности информации. Классификация всегда проводится по определённым классифицирующим признакам.

С учётом классификаций используемых в нормативно- методических документах, стандартах по защите информации, угрозы могут быть классифицированы по следующим признакам:

– по источнику угрозы: объективные (естественные), субъективные (искусственные);

– по отношению к объекту: внутренние, внешние;

– по степени преднамеренности (для субъективных угроз): преднамеренные, непреднамеренные;

– по цели действия: угрозы конфиденциальности, угрозы целостности, угрозы доступности, угрозы праву собственности (для объектов интеллектуальной собственности);

– по характеру воздействия: активные, пассивные;

– по характеру нанесённого ущерба: материальный (экономический), моральный (политический).

Общая классификация угроз безопасности информации и их краткая характеристика приводится в таблице 9.2.

Объективные (естественные) угрозы безопасности информации – это угрозы, источником которых являются объективные физических процессы (сбои и отказы оборудования ) или стихийные природные явления, независящие от человека (наводнение, ураган, землетрясение, пожар и т.п.).

Таблица 9.2 – Общая классификация угроз безопасности информации класса источнику (Естественные) угрозы отношению к объекту преднамевызванные целенаправленными дейстПреднамеренные ренности (для субъективных) Угроза праву собраспространение объектов интеллектуственности на характеру (атаки) воздействия нанесённого Субъективные (искусственные) угрозы безопасности информации – это угрозы, источником которых является деятельность человека. Среди них, исходя из мотивации действий, можно выделить: непреднамеренные т.е. неумышленные (случайные) и преднамеренные (умышленные) угрозы.

По отношению к объекту защиты угрозы могут быть внешними или внутренними. Источники внешних угроз – это источники, которые расположены вне контролируемой зоны. Контролируемая зона определяется периметром, в пределах которого невозможно неконтролируемое пребывание посторонних лиц (территория организации, этаж, периметр помещения объекта информатизации). Внутренние источники расположены внутри контролируемой зоны и разделяются на субъективные и объективные. К внутренним, субъективным источникам относится персонал организации.

В зависимости от целей действия злоумышленника выделяют четыре класса угроз:

– угрозы нарушения конфиденциальности информации;

– угрозы нарушения целостности данных и программного обеспечения (искажение, модификация, и т.д.);

– угрозы нарушения доступности информации;

– угрозы праву собственности на информацию (для объектов интеллектуальной собственности используемых в ИС).

Угроза нарушения конфиденциальности информации заключается в том, что информация становится известной тому, кто не располагает правом и полномочиями доступа к ней через разглашение, несанкционированный доступ, а также получение её разведками.

На современном этапе развития информационных технологий подсистемы или функции защиты являются неотъемлемой частью информационных систем. Информация не представляется «в чистом виде», на пути к ней имеется хотя бы какая-нибудь система защиты, и поэтому, чтобы угрожать, скажем, нарушением конфиденциальности, атакующая сторона должна преодолеть эту систему. Однако, не существует абсолютно стойкой системы защиты, вопрос лишь во времени и средствах, требующихся на ее преодоление. Исходя из данных условий, примем следующую модель: защита информационной системы считается преодоленной, если в ходе ее исследования определены все уязвимости системы. Поскольку преодоление защиты также представляет собой угрозу, для защищенных систем необходимо в рамках угроз конфиденциальности рассматривать угрозы раскрытия параметров ИС и её системы защиты.

С точки зрения практики любое проводимое мероприятие предваряется этапом разведки, в ходе которого определяются основные параметры системы, ее характеристики и т.п. Результатом этого этапа является уточнение поставленной задачи, а также выбор наиболее оптимального технического средства.

Угрозу раскрытия можно рассматривать как опосредованную.

Последствия ее реализации не причиняют какой-либо ущерб обрабатываемой информации, но дают возможность реализоваться первичным или непосредственным угрозам нарушения конфиденциальности, целостности или доступности информации в ИС.

Угроза нарушения целостности информации включает в себя любое умышленное изменение информации, хранящейся в информационной системе или передаваемой из одной системы в другую. Когда злоумышленники преднамеренно изменяют информацию, говорится, что целостность информации нарушена. Целостность также будет нарушена, если к несанкционированному изменению приводит случайная ошибка программного или аппаратного обеспечения. Санкционированными изменениями являются те, которые сделаны уполномоченными лицами с обоснованной целью (например, санкционированным изменением является периодическая запланированная коррекция некоторой базы данных).

Угроза нарушения доступности возникает всякий раз, когда в результате преднамеренных действий, предпринимаемых другим пользователем или злоумышленником, блокируется доступ к некоторому ресурсу информационной системы. Реально блокирование может быть постоянным - запрашиваемый ресурс никогда не будет получен, или оно может вызывать только задержку запрашиваемого ресурса, достаточно долгую для того, чтобы он стал бесполезным. В этих случаях говорят, что ресурс исчерпан.

9.3 Цели и задачи оценки угроз безопасности информации Оценка угроз защищаемой информации является одним из этапов проектирования системы защиты объекта информатизации и комплексной системы защиты информации на предприятии в целом. Ей предшествует обследование объекта информатизации и оценка состава, категорий и ценности защищаемой информации, а также систем хранения обработки и передачи информации.

В общем случае оценка угроз защищаемой информации и системам её обработки представляет собой анализ рисков – процесс определения угроз, уязвимостей, возможного ущерба, а также контрмер. Для этого разрабатывается модель угроз безопасности информации.

Модель угроз (безопасности информации) – физическое, математическое, описательное представление свойств или характеристик угроз безопасности информации.

При моделировании угроз используются как формальные методы оценки, так и неформальные. При этом анализируются все составляющие угрозы, приведенные на рисунке 9.1 и решаются частные задачи.

Частными задачами при моделировании и оценке угроз являются:

1) обоснование (выбор) системы показателей, необходимых для оценки уязвимости информации;

2) выбор (разработка) методики для проведения исследований и определения состава угроз;

3) определение и анализ множества видов уязвимости информации, носителей и систем её обработки;

4) определение и анализ источников угроз и дестабилизирующих факторов;

5) определение и анализ множества каналов несанкционированного воздействия на информацию и системы её обработки (каналов утечки информации и несанкционированного доступа );

6) определение возможных способов реализации угроз и способов атак на системы обработки (АС);

7) определение относительно полного множества реальных угроз и рисков, которые будут положены в основу для определения требований к системе защиты информации, с целью уменьшить или исключить риски.

Для формирования полного множества угроз может быть предложен алгоритм, приведенный на рисунке 9.2., который включает:

– формирование начальной структуры угроз;

– выявление множества угроз (факторов) методами структурно-логического анализа;

–уточнение и пополнение множества угроз (факторов) на основе опыта защиты и статистических данных;

– уточнение и пополнение множества угроз (факторов) экспертными оценками;

– уточнение и пополнение множества угроз (факторов) имитационным моделированием;

– уточнение и пополнение множества угроз (факторов) натурными экспериментами.

Формирование начальной структуры угроз (факторов, например по Выявление множества факторов методами структурно-логического Уточнение и пополнение множества факторов на основе опыта защиты и статистических данных Уточнение и пополнение множества факторов экспертными оценками Полное Уточнение и пополнение множества факторов 6 имитационным моделированием Уточнение и пополнение множества факторов натурными экспериментами 1. Как формулируется понятие угрозы применительно к безопасности информации?

2. Что понимается под уязвимостью информации, источником угрозы, риском в отношении безопасности информации?

3. Что включают в себя условия реализации угрозы?

4. Приведите группы факторов, воздействующих на информацию, как составляющие структурно-логической модели угрозы?

5. Какие элементы включает профиль субъективной преднамеренной угрозы?

6. Приведите признаки, по которым осуществляется общая классификация угроз безопасности информации.

7. Приведите виды угроз по цели действия и дайте им характеристику.

8. Что включают в себя цель и частные задачи при моделировании и оценке угроз?

9. Какие этапы включает обобщённый алгоритм оценки угроз?

ИСТОЧНИКИ И СПОСОБЫ РЕАЛИЗАЦИИ ГРОЗ

БЕЗОПАСНОСТИ ИНФОРМАЦИИ. УЯЗВИМОСТИ СИСТЕМ

ОБРАБОТКИ ИНФОРМАЦИИ

10.1 Источники угроз безопасности информации Основной причиной существования и реализации угроз безопасности информации являются источники угроз. В качестве источников угроз безопасности информации могут выступать как физические лица (группа физических лиц), так и объективные проявления: явления природного и техногенного характера, и процессы хранения, обработки и передачи информации. Источники угроз безопасности информации разделяются на два класса: объективные, субъективные. Каждый класс, включает два подкласса: внешние источники, внутренние источники.

Классификация источников угроз безопасности информации приведена на рисунке 10.1.

Источники угроз безопасности информации Рисунок 10.1 – Классификация источников угроз безопасности Объективные источники угроз безопасности информации.

Классификация объективных источников угроз безопасности представлена в таблице 10.1.

Таблица 10.1 – Объективные источники угроз безопасности информации Под класс внутренние го характера некачественные системы обеспедефекты, сбои, отка- чения ОИ (охраны, сигнализации, тезы, аварии) лефонии) го характера непреднамеренные электромагдефекты, сбои, отка- нитные облучения ОИ Объективные внутренние источники угроз. Подкласс этих источников угроз включает одну группу – источники техногенного характера. Источниками являются некачественные технические средства обработки информации, некачественное программное обеспечение, системы обеспечения ОИ (охраны, сигнализации, телефонии). Недостаточное качество (дефекты) могут привести к сбоям, отказам, авариям.

Дефекты, сбои, отказы, аварии технических средств и систем объекта информатизации. Исключить полностью эти явления достаточно сложно. Однако на случай проявления таких факторов должны быть предусмотрены специальные меры службами безопасности предприятия. Другим немаловажным средством предотвращения таких явлений является использование надёжных (сертифицированных) средств обработки и обеспечения ОИ. Результатом проявления этих факторов может быть утрата информации (потеря целостности, блокирование доступа к ней, выход из строя носителей информации).

Дефекты, сбои и отказы программного обеспечения объекта информатизации. Сбои программного обеспечения иногда более опасны, чем аварии ТС и систем ОИ, так как в результате информация может быть полностью уничтожена.

Объективные внешние источники угроз. Этот подкласс источников угроз включает явления техногенного и стихийного (природного) характера.

Стихийные источники угроз относятся к случайным, непреднамеренным источникам. Результатом воздействия является утрата (уничтожение или разрушение носителей ЗИ или блокирование доступа к ней). Они непосредственно не зависят от действия людей. В то же время предотвращение этих воздействий возлагается на специалистов организации, в рамках которой функционирует объект информатизации. Для предотвращения угроз вызванных этими источниками существуют определённые средства и методы (громоотводы, заземления, противопожарные системы и т.п.).

Предупреждение воздействия этих факторов является традиционным и связано не только с информационной безопасностью объекта, но и в целом с безопасностью организации.

Субъективные источники угроз безопасности информации.

Субъективные источники угроз безопасности информации разделяются на два подкласса: внутренние и внешние.

Субъективные внутренние источники включают группы:

- персонал, допущенный к защищаемой информации;

- лица, допущенные на ОИ, обслуживанию систем и средств обеспечения ОИ.

Состав источников приводится в таблице 10.2.

информации Под класс Внутренние обслуживанию систем - технический персонал (жизи средств обеспечения необеспечение, эксплуатация) Субъективные внешние источники угроз безопасности информации. Этот подкласс, включает группы нарушителей и злоумышленников.

10.2 Виды угроз безопасности информации и способы их реализации со стороны субъективных источников Основным вариантом классификации угроз безопасности информации и способов их реализации со стороны субъективных источников (субъективные угрозы) для объекта информатизации, следует считать вариант составленный на основе факторов воздействующих на информацию, приведенных в ГОСТ Р 51275-2006 Объект информатизации.

Факторы, воздействующие на информацию. Класс субъективных угроз включает два подкласса: внутренние и внешние.

Субъективные, внутренние угрозы безопасности информации и способы их реализации. Видами субъективных, внутренних угроз безопасности информации на объекте информатизации следует считать:

1) разглашение конфиденциальной информации лицами, имеющими к ней право доступа;

2) неправомерные действия со стороны лиц, имеющих право доступа к защищаемой (конфиденциальной и иной);

3) несанкционированный доступ к защищаемой информации;

4) блокирование доступа к защищаемой информации.

Виды внутренних, субъективных угроз безопасности информации на объекте информатизации и способы их реализации приведены в таблице 10.3.

Разглашение конфиденциальной информации лицами, имеющими к ней право доступа. Разглашение конфиденциальной информации лицами (персоналом), имеющими к ней доступ может быть реализовано различными способами. Эти способы просты и понятны и не требуют особенных комментариев. Они связаны с организацией защиты информации. Для предотвращения этого вида угроз применяются организационные и правовые способы защиты информации.

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации. Этот вид угроз, распространяется как на конфиденциальную информацию, так и на общедоступную, а также на объекты интеллектуальной собственности.

Несанкционированный доступ к защищаемой информации. Несанкционированный доступ к защищаемой информации – получение Таблица 10.3 – Виды угроз безопасности информации со стороны субъективных внутренних источников и способы их реализации субъективных, внутренних угроз 1. Разглашение конфиденциальной информации право доступа 1.4 Опубликование информации в открытой печати и других СМИ 1.5 Копирование информации на незарегистрированный носитель информации.

со стороны лиц, имеющих право ный доступ к ЗИ 3.5 Нарушение функционирования технических средств обработки информации 4.1 Блокирование доступа путём установБлокирование достуки специального программного обеспечения защищаемой информации заинтересованным субъектом с нарушением установленных правовыми документами или собственником, владельцем информации прав или правил доступа к защищаемой информации.

Этот вид угрозы может быть реализован следующими способами:

– подключением к техническим средствам и системам ОИ;

– использованием закладочных средств (устройств);

– использованием программного обеспечения технических средств объекта информатизации;

– хищением носителя защищаемой информации;

– нарушением функционирования ТС обработки информации.

Подключение к техническим средствам и системам ОИ может быть осуществлено с использованием штатного оборудования имеющегося на объекте информатизации с нарушением правил его использования или негласно внесённого и неучтённого типового оборудования.

Использование закладочных средств (устройств). Закладочное средство (устройство) - техническое средство (устройство) приема, передачи и обработки информации, преднамеренно устанавливаемое на объекте информатизации или в контролируемой зоне в целях перехвата информации или несанкционированного воздействия на информацию и (или) ресурсы автоматизированной информационной системы. Местами установки закладочных средств (устройств) на охраняемой территории могут быть любые элементы контролируемой зоны, например: ограждение, конструкции, оборудование, предметы интерьера, транспортные средства.

Закладочные устройства бывают различных видов. В них могут располагаться средства записи. Закладочные устройства могут снимать информацию и ретранслировать её на приёмник расположенный вблизи объекта информатизации. Основными закладочными устройствами следует считать средства съёма акустической информации (микрофонного типа) и видеоинформации (мини видеокамеры). Они могут записывать информацию на встроенные носители или ретранслировать её за пределы объекта.

Использование программного обеспечения технических средств объекта информатизации может быть осуществлено путём:

– «маскировки под зарегистрированного пользователя»;

– использованием дефектов программного обеспечения ОИ («люков» и др.) – использования программных закладок;

– применение вирусов или другого вредоносного программного кода (троянские программы, клавиатурные шпионы, активное содержимое документов).

Программная закладка - преднамеренно внесенный в программное обеспечение функциональный объект, который при определенных условиях инициирует реализацию недекларированных возможностей программного обеспечения. Программная закладка может быть реализована в виде вредоносной программы или программного кода.

Вредоносная программа- программа, используемая для осуществления несанкционированного доступа к информации и (или) воздействия на информацию или ресурсы автоматизированной информационной системы.

Компьютерный вирус - вредоносная программа, способная создавать свои копии и (или) другие вредоносные программы.

Подробно методы НСД к информации рассматриваются в следующей главе настоящего пособия.

Блокирование доступа к защищаемой информации путём установки специального программного обеспечения. Этот способ иногда применяется уволенными сотрудниками, которые самостоятельно разрабатывают вредоносные программы или берут их из сети Интернет.

Субъективные, внешние угрозы безопасности информации и способы их реализации. Видами субъективных, внешних угроз безопасности информации на объекте информатизации следует считать следующие виды:

1. Доступ и получение конфиденциальной информации с применением технических средств разведки и съёма информации.

2. Несанкционированный доступ к защищаемой информации.

3. Блокирование доступа к защищаемой информации.

4. Действия криминальных групп и отдельных преступных групп.

5. Искажение, уничтожение или блокирование информации с применением технических средств.

Виды субъективных, внешних угроз безопасности информации на объекте информатизации и способы их реализации приведены в таблице 10.4.

Доступ к информации ограниченного доступа с применением технических средств разведки. Способы доступа зависят от применяемых средств технической разведки. Они основаны на том, что технические средства обработки информации имеют уязвимости. Такими уязвимостями являются излучения технических средств обработки и обеспечения объекта информатизации, создающие информативные физические поля.

Таблица 10.4 – Виды угроз безопасности информации со стороны субъективных, внешних источников и способы их реализации Виды внешних, субъективных угроз 1. Доступ к ЗИ с применением тех- -средств фотографической разведки.

нических средств -средств визуально-оптической разведки нный доступ к ЗИ 2..2 Использование закладочных устройств путём 2..3 Использование программного обеспечения технических средств ОИ программного кода (троянские программы, клавиатурные шпионы, активное содержимое документов) 3. Блокирование доступа к ЗИ 3.2 Блокирование доступа путём установки специального программного обеспечения (программных вирусов и т.п.) 4. Действия кримиДиверсия в отношении элементов ОИ.

нальных групп и отдельных преступных групп 5. Искажение, уничтожение или 5.2 Преднамеренного силового воздействия различблокирование ин- ной физической природы;

формации с приме- 5..3 Использования программных или программноаппаратных средств при осуществлении: 1) компьютернением технических средств путем:

5.4 Воздействия программными средствами в комплексе с преднамеренным силовым электромагнитным Информативные физические поля создают:

– излучения, функционально присущие объекту информатизации;

– побочные электромагнитные излучения (ПЭМИ);

– паразитные излучения;

– наводки в цепях электропитания, заземления и т.п.

Доступ выполняются дистанционно, располагая средства разведки вблизи объекта информатизации на удалении позволяющем принимать излучённые сигналы. Информация может записываться на компактные носители информации, затем преобразовываться в текстовую или аудио информацию. Наибольший уровень ПЭМИ в компьютерных системах присущ устройствам отображения информации (мониторам).

Дальность удовлетворительного приёма таких сигналов (видеоимпульсов) при использовании дипольной антенны составляет около 50 метров. Использование направленной антенны приёмника увеличивает дальность до 1000м.

Наведенные в проводниках электрические сигналы могут выделяться и фиксироваться с помощью оборудования, подключаемого к этим проводникам на расстоянии в сотни метров от источника сигнала.

Несанкционированный доступ к защищаемой информации. Для внешнего нарушителя (в отличие от внутреннего) дополнительным способом НСД является несанкционированный физический доступ на объект.

Использование программного обеспечения технических средств ОИ может быть осуществлено теми же методами. Однако для этого злоумышленнику необходимо вначале осуществить несанкционированный физический доступ. В том случае если средства обработки (СВТ) объединены в локальную сеть в контуре одного помещения. Если в ИС имеются «незащищённые» участки линий связи, а также в случае подключения локальной вычислительной сети к сети общего пользования и к сети международного информационного обмена (Интернет), возможно воздействие через сеть Интернет или подключение на незащищённых или неконтролируемых участках компьютерной техники и использование программного обеспечения для НСД. Результатом НСД может быть утечка информации, нарушение её целостности.

Блокирование доступа к защищаемой информации. Блокирование доступа к ЗИ может осуществляться путём перегрузки технических средств обработки информации ложными заявками на её обработку, путём установки специального программного обеспечения (программных вирусов и т.п.). Однако это возможно только в том случае если ИС объекта информатизации имеет подключение к сети общего пользования или Интернет и отсутствует надёжное межсетевое экранирование.

Искажение, уничтожение или блокирование информации с применением технических средств путём преднамеренного силового электромагнитного воздействия может осуществляться:

1) по сети электропитания на порты электропитания постоянного и переменного тока;

2) по проводным линиям связи на порты ввода-вывода сигналов и порты связи;

3) по металлоконструкциям на порты заземления и порты корпуса;

4) посредством электромагнитного быстроизменяющегося поля на порты корпуса, порты ввода-вывода сигналов и порты связи.

Преднамеренное силовое электромагнитное воздействие на информацию – несанкционированное воздействие на информацию, осуществляемое путем применения источника электромагнитного поля для наведения (генерирования) в автоматизированных информационных системах электромагнитной энергии с уровнем, вызывающим нарушение нормального функционирования (сбой в работе) технических и программных средств этих систем.

10.3 Уязвимости систем обработки информации Угрозы безопасности информации, как возможные опасности совершения какого-либо действия, направленного против объекта защиты, проявляются не сами по себе, а через уязвимости, приводящие к нарушению безопасности информации на конкретном объекте информатизации.

Каждой угрозе могут быть сопоставлены различные уязвимости.

Для удобства анализа, уязвимости разделяют на классы, группы, подгруппы, а для идентификации используют различные обозначения (цифрами, буквами, буквенно-цифровые).

Выделяют три класса уязвимостей: объективные, субъективные, случайные. Зависимость каждого класса от условий и возможности по устранению, уязвимостей каждого класса приводятся в таблице 10.5.

Объективные уязвимости. Объективные уязвимости зависят от особенностей построения и технических характеристик оборудования объекта информатизации. Их происхождение обусловлено подверженностью технических средств и программного обеспечения сбоям, отказам, модификации и излучениями технических средств обработки и обеспечения объекта информатизации, создающими информативные физические поля.

Таблица 10.5 – Классы уязвимостей систем обработки информации и их характеристика Зависят от осо- Полное устранение этих уязвиОбъективные бенностей построе- мостей невозможно, но они могут ния и технических существенно ослабляться техничехарактеристик обо- скими и инженерно-техническими Зависят от дей- В основном устраняются органиСубъективные ствий сотрудников зационными и программноаппаратными методами Случайные жающей защищае- при проведении комплекса органимый ОИ среды, и зационных и инженернонепредвиденных об- технических мероприятий по протистоятельств водействию угрозам Факторами, обуславливающими появление информативных физических полей и объективных уязвимостей являются:

– передача сигналов по проводным линиям связи;

– передача сигналов по оптико-волоконным линиям связи;

– передача сигналов в диапазоне радиоволн и в оптическом диапазоне длин волн;

– излучения сигналов, функционально присущие техническим средствам (устройствам) объекта информатизации;

– побочные электромагнитные излучения;

– паразитное электромагнитное излучение;

– наличие акустоэлектрических преобразований в элементах технических средств объекта информатизации.

Передача сигналов по проводным линиям связи. Как процесс характеризуется тем, что информация, преобразованная в сигналы может быть получена злоумышленниками в случаях подключения к линиям связи, преобразована, прочитана или озвучена в зависимости от вида (текстовая или звуковая), или на пути следования к источнику получения уничтожена. Кроме того, возможна её подмена. Через линии связи возможно воздействие на программное обеспечение объекта информатизации. Наличие этого фактора требует защиты каналов связи реализуемых по проводным линиям связи для обмена информацией ограниченного доступа. Основным видом защиты информации при передаче информации по открытым каналам является криптографическая защита.

Излучения сигналов, функционально присущих ОИ. Выделяется две подгруппы таких сигналов:

– сопутствующие работе технических средств (устройств) обработки и передачи информации и произносимой или воспроизводимой техническими средствами речи;

– электромагнитные излучения (ЭМИ) и поля (излучения в радиодиапазоне и оптическом диапазоне). К таким сигналам относятся в первую очередь радиосигналы для организации радиоканала обмена информацией (сотовая связь, радиосвязь в различных диапазонах и др.). «Видовая» информации выдаваемая на экраны мониторов, электронных досок, экранов используемых с проектором и т.п.

Побочные электромагнитные излучения (ПЭМИ).

ПЭМИ – это излучение, присущее работе технических средств и не предназначенное для их функционирования. ПЭМИ – излучения технических средств обработки информации (СВТ, процессоры, мониторы, сканеры, принтеры, плоттеры и др.) возникающие как побочное явление и вызванные электрическими сигналами, действующими в их электрических и магнитных цепях. Несут информативный сигнал.

ПЭМИ, присущи буквально всем техническим средствам обработки информации. Диапазон ПЭМИ достаточно велик.

Выделяется две подгруппы ПЭМИ:

1. ПЭМИ сигналов (видеоимпульсов) от информационных цепей.

Например -монитор ПК.

2. ПЭМИ сигналов (радиоимпульсов) от всех электрических цепей технических средств ОИ. Выделяют два вида ПЭМИ сигналов (радиоимпульсов) от электрических цепей технических средств ОИ в зависимости от того какими видами сигналов они модулированы:

– модуляция ПЭМИ электромагнитными сигналами от информационных цепей;

– модуляция ПЭМИ акустическими сигналами.

Паразитное электромагнитное излучение. Паразитное электромагнитное излучение – электромагнитное излучение, являющееся результатом паразитной генерации в электрических цепях технических средств обработки информации.

Выделяют два вида паразитного электромагнитного излучения (аналогично ПЭМИ):

1) модуляция паразитного ЭМИ информационными сигналами;

2) модуляция паразитного ЭМИ акустическими сигналами.

Наводки (наведенный в токопроводящих линейных элементах технических средств сигнал) - токи и напряжения в токопроводящих элементах, вызванные электромагнитным излучением, емкостными и индуктивными связями. Выделяют две подгруппы наводок:

1) наводки в электрических цепях технических средств, имеющих выход за пределы ОИ;

2) наводки на технические средства, провода, кабели и иные токопроводящие коммуникации и конструкции, гальванически не связанные с техническими средствами ОИ, вызванные побочными и (или) паразитными электромагнитными излучениями, несущими информацию.

Электрическими цепями технических средств, имеющих выход за пределы ОИ являются:

– линии связи;

– цепи электропитания;

– цепи заземления.

Наводки в линиях связи. Наводки в линиях связи могут быть вызваны:

– ПЭМИ, несущими информацию;

– внутренними емкостными и (или) индуктивными связями.

Наводки в цепях электропитания. Наводки в цепях электропитания могут быть вызваны:

– ПЭМИ, несущими информацию;

– внутренними емкостными и (или) индуктивными связями;

– через блоки питания технических средств ОИ.

Наводки в цепях заземления. Наводки в цепях заземления могут быть вызваны (обусловлены):

– ПЭМИ, несущими информацию;

– внутренними емкостными и (или) индуктивными связями;

– гальванической связью схемной (рабочей) «земли» узлов и блоков технических средств ОИ.

Рассмотренные факторы не оказывают непосредственного дестабилизирующего воздействия на информацию и системы её обработки, однако они создают уязвимости и угрозу утечки информации в виде различных излучений, которые могут быть приняты специальными устройствами (техническими средствами разведки и съёма информации) способными записать информативные сигналы, восстановить информацию (как акустическую, так и текстовую) и использовать по своему усмотрению. Для получения «противником» информации за счёт излучения используются различные способы и средства. Объективные уязвимости обуславливают существование технических каналов утечки информации.

Классификация объективных уязвимостей. Классификация объективных уязвимостей приведена в таблице 10.6.

Таблица 10.6 – Классификация объективных уязвимостей Электромагнитные -ПЭМИ технических средств СопутстПЭМИ кабельных линий ТС вующие техизлучения на частотах работы генераторов ническим излучения Электрические -наводки ЭМИ на линии и проводники Активизизакладки -в сети электропитания руемые Определяедающие электро- -громкоговорители и микрофоны мые особенакустическими -катушки индуктивности ностями элементов вию электромаг- -нелинейные элементы подверженные ВЧ навязынитного поля ванию Организацией кана- -использование радиоканалов лов обмена инфор- -глобальных информационных сетей Продолжение таблицы 10. Местоположением -отсутствие контролируемой зоны Определяеобъекта -наличие прямой видимости объектов мые особенналичие удалённых и мобильных элементов объностями заекта щищаемого объекта Организацией ка- -использование радиоканалов налов обмена ин- -глобальных информационных сетей Основными средствами устранения рассмотренных уязвимостей являются технические средства защиты информации.

Субъективные уязвимости. Классификация субъективных уязвимостей приведена в таблице 10. Таблица10.7 – Классификация субъективных уязвимостей стей При подготовке и ис- -при разработке алгоритмов и ПО Ошибки граммного обеспече- -эксплуатации ПО При управлении -при использовании возможностей самообучесложными системами ния систем При эксплуатации ТС -при включении/выключении ТС Нарушения Режима эксплуатации -энергообеспечения Режима использова- -обработки и обмена информацией ния информации -хранения и уничтожения носителей информации Случайные уязвимости. Классификация случайных уязвимостей приведена в таблице 10.8.

Таблица 10.8 – Классификация случайных уязвимостей Отказы и неисправно- -обрабатывающих информацию Сбои и сти технических -обеспечивающих работоспособность средств отказы Старение и размагни- -дискет и съёмных носителей Сбои электроснабже- -оборудования, обрабатывающего информацию Жизнеобеспечиваю- -электро -, водо-, газо-,теплоснабжения, каналиПовреждещих коммуникаций зации Ограждающих конст- -внешних ограждений территорий 1. Как классифицируются источники угроз безопасности информации?

2. Какие источники относятся к объективным источникам угроз безопасности информации?

3. Какие источники относятся к субъективным источникам угроз безопасности информации.

4. Какие виды угроз включаются в состав субъективных, внутренних угроз безопасности информации.

5. Приведите способы реализации субъективных, внутренних угроз безопасности информации 6. Какие виды угроз включаются в состав субъективных, внешних угроз безопасности информации?

7. Приведите способы реализации субъективных, внутренних угроз безопасности информации.

8. Приведите классы уязвимостей систем обработки информации и поясните, от чего они зависят.

9. Приведите факторы, обуславливающие появление объективных уязвимостей систем обработки, хранения и передачи информации на объекте информатизации.

10.Какие группы и подгруппы включают субъективные уязвимости?

КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ И МЕТОДЫ

НЕСАНКЦИОНИРОВАННОГО ДОСТУПА

К КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

11.1 Каналы утечки информации ограниченного доступа Понятие и классификация каналов утечки информации ограниченного доступа. Любая угроза безопасности информации реализуется применением определённого способа воздействия, предусматривающего использование соответствующего этому способу средства.

Преднамеренные воздействия планируются. При этом злоумышленник (нарушитель) определяет цель воздействия на защищаемую информацию, носитель (источник) информации, алгоритм воздействия, путь от средства воздействия до носителя информации, средство и способ получения информации.

В случае с информацией ограниченного доступа основной целью воздействия является получение сведений конфиденциального характера или секретной информации, и злоумышленник определяет маршрут её получения или несанкционированного доступа, если невозможно получить её другим способом.

Известно, что информация вообще передаётся полем или веществом. Это либо акустическая волна (звук), либо электромагнитное излучение, либо лист бумаги с текстом, либо дискета с электронными документами и др. Исходя из физической природы, выделяют следующие средства переноса информации:

– электромагнитные волны (включая волны видимого диапазона световые лучи);

– звуковые волны;

– материалы и вещества;

В общем случае путь от источника информации ограниченного доступа к её незаконному получателю (злоумышленнику) называют каналом утечки информации. Канал – это маршрут передачи информации.

В современных источниках по защите информации существует множество определений канала утечки информации. Исходя из их анализа, наиболее полно (в широком смысле) это определение может быть выражено следующим образом:

Канал утечки информации – неконтролируемый физический путь от источника информации ограниченного доступа за пределы организации или круга лиц, обладающих охраняемыми сведениями, посредством которого возможно неправомерное овладение злоумышленниками конфиденциальной (секретной ) информацией.

Условно всю совокупность каналов утечки информации можно разделить на две группы: потенциально существующие и специально создаваемые.

Потенциально существующие каналы утечки (широковещательные) – незащищённые каналы передачи информации. Они имеют место всегда, когда отсутствуют системы и средства защиты информации, меры организационного и правового характера.

Потенциально существующие каналы утечки информации создают возможность несанкционированного доступа к конфиденциальной информации с применением технических средств разведки и получения её агентурной разведкой, а также разглашения. Их использование не требует принятия специальных мер для преодоления систем и рубежей защиты. Используются пассивные способы реализации угроз.

Специально создаваемые каналы утечки информации связаны с необходимостью несанкционированного доступа к информации ограниченного доступа. Их создание связано с нарушением систем защиты, функционирования средств защиты, а также правил и прав доступа.

Цель создания – несанкционированный доступ и получение информации. Специально создаваемые каналы, характеризуются внедрением агентов или подкупом персонала, использованием специальных закладочных устройств и ( или) программных закладок, программных вирусов и т.д. При их использовании осуществляется активное воздействие на персонал, системы защиты или системы передачи данных. Канал утечки информации является одной из составляющих угрозы безопасности информации ограниченного доступа. С использованием каналов утечки информации реализуются способы НСД к информации ограниченного доступа и получение её разведками.

Единого подхода к классификации каналов утечки информации в методологии защиты информации в настоящее время нет. В большинстве случаев классифицируются технические каналы утечки информации.

Исходя из существующих норм защиты информации, определённых в нормативных документах по защите информации, теории и практики защиты информации можно выделить следующие группы каналов утечки информации (рисунок 11.1):

– организационные каналы утечки информации (О-КУИ);

Рисунок 11.1 – Классификация каналов утечки информации – технические каналы утечки информации (Т-КУИ);

– инфо-телекоммуникационные каналы утечки информации (ИТК-КУИ);

– системно-программные каналы утечки информации (СП-КУИ);

– комбинированные каналы утечки информации (К-КУИ).

Организационные каналы утечки информации. Организационные каналы утечки информации образуются в результате действий внутренних (персонал) и внешних (разведки) источников угроз безопасности информации. Источниками информации ограниченного доступа для организационных каналов выступают:

– персонал, допущенный к ИОД;

– носители ИОД;

– технические средства обработки информации (экраны, мониторы и т.п);

– средства коммуникации, используемые для передачи ИОД (почта, секретная почта);

– передаваемые по каналам связи сообщения, содержащие ИОД.

Организационные каналы передачи ИОД, могут стать каналами утечки информации, при несоблюдении правил и регламентов по обеспечению конфиденциальности (секретности) информации со стороны персонала, связанного с обработкой этой информации. Организационными каналами передачи ИОД являются:

– конфиденциальное (секретное) делопроизводство;

– совместные работы с другими организациями с использованием ИОД;

– совещания конфиденциального (секретного) характера;

– рекламная и публикаторская деятельность;

– мероприятия в области сотрудничества с иностранными предприятиями;

– передача сведений в территориальные инспекторские и надзорные органы.

Технические каналы утечки информации. Технические каналы утечки информации – каналы, несанкционированный перенос информации в которых осуществляется с использованием технических средств.

Технический канал утечки информации (Т-КУИ)- совокупность источника информации, материального носителя или среды распространения несущего конфиденциальную информацию сигнала и средства выделения информации из сигнала или носителя.

Для образования технического канала утечки необходимы определенные пространственные, временные и энергетические условия и соответствующие средства приема, накопления и обработки информации на стороне злоумышленников.

Одним из основных свойств канала является месторасположение средства выделения информации из сигнала или носителя, которое может располагаться в пределах контролируемой зоны, охватывающей объект информатизации (объект защиты) или за её пределами.

Технические каналы утечки информации образуются в результате высокочастотного излучения при организации радиоканала на объекте информатизации (функциональный канал), побочных и паразитных электромагнитных излучений, наводок на цепи электропитания, заземления, линии связи и другие токопроводящие элементы, акустоэлектрических преобразований и акустических волн.

Технические каналы по диапазону частот и по физической природе носителя подразделяют на:

– радиоэлектронные (электромагнитный и электрический);

– оптические (визуально - оптический, фотографический, оптико - электронный (ИК));

– акустические (виброакустический, акустоэлектрический, гидро акустический);

– материально – вещественные (носителем являются материалы и вещества).

Характеристика технических каналов утечки информации по носителю информации приведена в таблице 11. Таблица 11.1 – Технические каналы утечки информации Носителем информации являются электричеРадиоэлектронские, магнитные и электромагнитные поля в радионый диапазоне, за счёт излучений функционально приэлектромагнитсущих ОИ, ПЭМИ а также наводок.

упругие акустические волны в инфразвуковом (меАкустический (свыше 20кГц) диапазонах частот, распространяющиеся в атмосфере, воде и твёрдой среде. Разделяется на виброакустический и акустоэлектрический.

Носителем информации является электромагнитное поле в диапазоне 0.46-0.76мкм (видимый Оптический свет) и 0.76-13мкм (инфракрасные излучения). Повизуально – опзволяет осуществить доступ с использованием тический) средств визуально – оптической, фотографической, Материально – вещественный В литературе встречаются иные названия каналов утечки информации и более детальная классификация. Так по носителю информации к техническим каналам относят информационные каналы и материально-вещественные.



Pages:     | 1 | 2 |
3
| 4 | 5 |
Главная  >>  Методички
[ СКАЧАТЬ ОРИГИНАЛ ДОКУМЕНТА .pdf ]


Похожие работы:

«Государственное образовательное учреждение среднего профессионального образования Архангельский медицинский колледж. Мурадеева Г.В., Серова С.С., Шандрагулина С.В. Основы лабораторной диагностики Учебно-методическое пособие Архангельск 2008 Рецензенты: Нечаева О.А. – преподаватель терапевтических дисциплин высшей категории ГОУ СПО Архангельский медицинский колледж. Юрьева Н.М. – главный внештатный специалист департамента здравоохранения Архангельской области по лабораторной диагностике, врач...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ РФ Алтайский государственный университет кафедра органической химии ПРОБЛЕМНО—МОДУЛЬНАЯ ТЕХНОЛОГИЯ ОБУЧЕНИЯ ОРГАНИЧЕСКАЯ ХИМИЯ МОДУЛЬНАЯ ПРОГРАММА Учебное методическое пособие для студентов 3 курса химического факультета. WWW — http://www.chem.asu.ru/org/ochem_chim/files/METpos.DOC Барнаул • Органическая химия. Модульная программа.: Учебно-методическое пособие для студентов 3-го курса химического факультета. -Барнаул: Издательство Алтайского университета, 2003. -34 с. В...»

«В.И. ПЕТРУШИН МУЗЫКАЛЬНАЯ ПСИХОТЕРАПИЯ Теория и практика Рекомендовано Министерством образования Российской Федерации в качестве учебного пособия для студентов высших учебных заведений, обучающихся по педагогическим специальностям Москва 1999 ББК 85.31 П30 Рецензенты: доктор медицинских наук, профессор А.Л. Гройсман; директор московского городского Центра реабилитации подростков Б.З. Драпкин Петрушин В.И. Музыкальная психотерапия: Теория и практика: Учеб. пособие П30 для студ. высш. учеб....»

«МБОУ Гимназия №5 г. Сосновый Бор Рассмотрена Рекомендована Утверждена Руководитель ШМО Методический совет МБОУ Директор МОУ Гимназия №5 Гимназия №5 г. Сосновый Бор г.Сосновый Бор _ Протокол №_ _О.Ю.Иванова от_ 2013 г. Протокол № _ Руководитель методического Приказ № _ от _2012 г совета от _2013 г. _Л.Н.Давыдова, заместитель директора по УВР РАБОЧАЯ ПРОГРАММА Учителя истории и обществознания Шуниной Раисы Викторовны По учебному предмету Обществознание 5 - 9 КЛАССЫ 2013-2014 учебный год...»

«№ Наименование Авторы Год издания Количество Методические указания для студентов инженерных специальностей. Якимов Ю.И. 1 2008 246 Эскизирование в машиностроении. Бледнов Ю.Г. Богатырев В.В. Методические указания для студентов инженерных специальностей Бледнов Ю.Г. 2 2008 102 Выполнение чертежа вала и его конструктивных элементов Якимов Ю.И. Кочубей С.Г. Методические указания для студентов инженерных специальностей Бледнов Ю.Г. 3 2008 Сопряжение и лекальные кривые Кочубей С.Г. Кузнецова Н.Н....»

«ГЕНЕРАЛЬНАЯ ПРОКУРАТУРА РОССИЙСКОЙ ФЕДЕРАЦИИ АКАДЕМИЯ ГЕНЕРАЛЬНОЙ ПРОКУРАТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ ГЕНЕРАЛЬНАЯ ПРОКУРАТУРА РОССИЙСКОЙ ФЕДЕРАЦИИ АКАДЕМИЯ ГЕНЕРАЛЬНОЙ ПРОКУРАТУРЫ РОССИЙСКОЙ ФЕДЕРАЦИИ Прокурорский надзор за соблюдением социальных прав граждан СБОРНИК МЕТОДИЧЕСКИХ МАТЕРИАЛОВ Москва 2013 УДК 347.962 ББК 67.721-91 П80 Руководитель авторского коллектива заведующий отделом проблем прокурорского надзора и укрепления законности в сфере конституционных прав и свобод человека и гражданина...»

«Министерство образования и науки Челябинской области государственное бюджетное образовательное учреждение среднего профессионального образования (среднее специальное учебное заведение) Южно-Уральский многопрофильный колледж ГБОУ СПО (ССУЗ) ЮУМК Вопросы к экзаменам и зачетам Задания для выполнения контрольных работ Вариант № 2 III курс правового заочного отделения Специальность: Право и организация социального обеспечения Челябинск 2013 г. 1 МЕТОДИЧЕСКИЕ УКАЗАНИЯ ПО ВЫПОЛНЕНИЮ КОНТРОЛЬНЫХ РАБОТ...»

«ЮГОРСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ Научная библиотека Серия Ученые Югорского государственного университета Булатов Валерий Иванович Биобиблиографический указатель Ханты-Мансийск 2010 Булатов Валерий Иванович : биобиблиографический указатель / сост. Е. Г. Громова ; ред. Н. И. Смирнова. – Ханты-Мансийск : ИИЦ ЮГУ, 2010. – 66 с. – (Ученые Югорского государственного университета). Ответственный за выпуск: директор научной библиотеки Н.И.Смирнова Содержание От составителя.3 О времени и о судьбе. 4...»

«ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ ВОРОНЕЖСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ КОНТРОЛЬНЫЕ РАБОТЫ ПО ДИСЦИПЛИНЕ БОТАНИКА УЧЕБНО-МЕТОДИЧЕСКОЕ ПОСОБИЕ для студентов 2 курса заочной формы обучения высшего профессионального образования специальности 060108 — Фармация Воронеж 2010 Утверждено научно-методическим советом фармацевтического факультета (2010 года) Составители: В.В. Негробов, В.А. Агафонов. Учебно-методическое пособие подготовлено на кафедре ботаники и микологии Воронежского...»

«Министерство образования и науки Украины Севастопольский национальный технический университет МЕТОДИЧЕСКИЕ УКАЗАНИЯ по выполнению контрольной работы по дисциплине Экономический риск для студентов специальности 7.050107 Экономика предприятия заочной формы обучения Севастополь 2009 Create PDF files without this message by purchasing novaPDF printer (http://www.novapdf.com) 2 УДК 33 Методические указания по выполнению контрольной работы по дисциплине Экономический риск для студентов специальности...»

«Федеральное агентство по образованию Государственное образовательное учреждение высшего профессионального образования Горно-Алтайский государственный университет Кафедра теории и методики физической культуры и спорта ТЕОРИЯ И МЕТОДИКА ФИЗИЧЕСКОЙ КУЛЬТУРЫ И СПОРТА Учебно-методический комплекс Часть 1 Для студентов, обучающихся по специальности 050720 Физическая культура Горно-Алтайск 2010 Печатается по решению Методического совета Горно-Алтайского госуниверситета УДК 7А(075.8) ББК Теория и...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ Федеральное государственное бюджетное образовательное учреждение высшего профессионального образования Российский государственный университет туризма и сервиса ФГБОУ ВПО РГУТиС Факультет сервисных технологий Утверждаю: Ректор ФГБОУ ВПО РГУТиС А.А. Федулин _ 201 г. ОСНОВНАЯ ПРОФЕССИОНАЛЬНАЯ ОБРАЗОВАТЕЛЬНАЯ ПРОГРАММА СРЕДНЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ БАЗОВОЙ ПОДГОТОВКИ ПО СПЕЦИАЛЬНОСТИ 080114 ЭКОНОМИКА И БУХГАЛТЕРСКИЙ УЧЕТ (ПО ОТРАСЛЯМ)...»

«Международный консорциум Электронный университет Московский государственный университет экономики, статистики и информатики Евразийский открытый институт В.С. Белов Информационноаналитические системы Основы проектирования и применения Учебно-практическое пособие Издание 2-ое, переработанное и дополненное Москва 2005 1 УДК 004.415 ББК 32.973.202 Б 435 Белов В.С. ИНФОРМАЦИОННО-АНАЛИТИЧЕСКИЕ СИСТЕМЫ. Основы проектирования и применения: учебное пособие, руководство, практикум / Московский...»

«Уважаемые выпускники! В перечисленных ниже изданиях содержатся методические рекомендации, которые помогут должным образом подготовить, оформить и успешно защитить выпускную квалификационную работу. Рыжков, И. Б. Основы научных исследований и изобретательства [Электронный ресурс] : [учебное пособие для студентов вузов, обучающихся по направлению подготовки (специальностям) 280400 — Природообустройство, 280300 — Водные ресурсы и водопользование] / И. Б. Рыжков.— Санкт-Петербург [и др.] : Лань,...»

«ПОЯСНИТЕЛЬНАЯ ЗАПИСКА Рабочая программа учебного курса Математика для 2 класса составлена на основе Примерной программы начального общего образования по математике образовательной области Математика и информатика (Стандарты второго поколения. – М.: Просвещение, 2011) и авторской программы курса Математикадля учащихся 1-4 классов общеобразовательных учреждений Истоминой Н.Б. (Истомина Н.Б. – Смоленск: Ассоциация 21 век, 2011 г.). Программа соответствует учебникам, рекомендованным Министерством...»

«МИНОБРНАУКИ РОССИИ Государственное образовательное учреждение высшего профессионального образования РОССИЙСКИЙ ГОСУДАРСТВЕННЫЙ ГУМАНИТАРНЫЙ УНИВЕРСИТЕТ (РГГУ) ИНСТИТУТ ФИЛОЛОГИИ И ИСТОРИИ Историко-филологический факультет Кафедра славистики и центральноевропейских исследований ИСТОРИЯ И КУЛЬТУРА ХОРВАТИИ Рабочая программа курса для бакалавриата по направлению 032700 – Филология Москва 2013 ИСТОРИЯ И КУЛЬТУРА ХОРВАТИИ Рабочая программа курса для бакалавриата по направлению 032700 – Филология...»

«МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ УКРАИНЫ ОДЕССКАЯ НАЦИОНАЛЬНАЯ АКАДЕМИЯ СВЯЗИ им. А.С. Попова ИНСТИТУТ ЭКОНОМИКИ И МЕНЕДЖМЕНТА Кафедра менеджмента и маркетинга Заборская Н.К., Бескровная Л.А., Жуковская Л.Э. УПРАВЛЕНИЕ ПОТОКОВЫМИ ПРОЦЕССАМИ В ЭКОНОМИКЕ Учебное пособие по курсу “Логистика” Для студентов всех форм обучения по направлениям: 6. 030504 – Экономика предприятия; 6. 030601 – Менеджмент Одесса – 2013 УДК 65.012.34 План УМИ 2013г. ББК 339.1/3.:658.7.9(075) З-12 Рецензент: Спильная Н.П. –...»

«Министерство здравоохранения Украины Национальный фармацевтический Университет Кафедра заводской технологии лекарств Методические указания к выполнению курсовых работ по промышленной технологии лекарственных средств для студентов IV курса Все цитаты, цифровой и фактический материал, библиографические сведения проверены, написание единиц соответствует стандартам Харьков 2014 2 УДК 615.451: 615.451.16: 615: 453 Авторы: Рубан Е.А. Хохлова Л.Н. Бобрицкая Л.А. Ковалевская И.В. Маслий Ю.С. Слипченко...»

«ПУБЛИЧНЫЙ ДОКЛАД государственного образовательного учреждения среднего профессионального образования Тульской области Тульский технико-экономический колледж имени А.Г.Рогова Содержание 1. Общая характеристика образовательного учреждения 3 2. Условия осуществления образовательного процесса 10 3. Особенности образовательного процесса 14 4. Результаты деятельности, качество образования. 24 5. Финансово-экономическая деятельность 32 6.Социальное, государственно-частное партнерство. 33 7. Решения,...»

«Класс: 9 Урок по теме Химия элементов - неметаллов Повторение пройденного материала по теме Химия элементов неметаллов. Подготовка к контрольной работе. Цель (цели): Образовательная Обобщить и систематизировать знание о химии элементов – неметаллов. Развивающая Развивать логическое мышление: учить выделять главное, сравнивать, обобщать, классифицировать. Воспитательная Формировать культуру общения коммуникативных качеств, умения общаться в процессе парного и группового взаимодействия Задачи:...»





наверх


 
<<  ГЛАВНАЯ   |    КОНТАКТЫ
2014 www.av.disus.ru - «Бесплатная электронная библиотека - Авторефераты, Диссертации, Монографии, Программы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.