Государственные предприятия, частные организации и отдельные категории граждан владеют информацией, которая является ценной не только для них, но и для злоумышленников, конкурентов или зарубежных разведчиков. Неважно, в каком виде сохраняется информация и по каким каналам осуществляется ее передача, потому что на всех этапах должна функционировать инженерно техническая защита информации. Это не только комплекс мер, которые будут препятствовать добыче ценных данных, но и отдельная область науки.

Техническая защита эффективна при тщательном изучении здания, в котором хранятся данные, состава персонала, возможных каналов утечки информации, современных способов и средств защиты и хищения. Руководителю предприятия следует четко определить масштабы проблемы и объемы необходимых затрат. Физические средства, техника, обучение сотрудников и создание специального органа повлекут за собой расходы (около 15% от прибыли предприятия). – это право каждого субъекта и собственника бороться с методами несанкционированной утечки данных, неконтролируемого распространения сведений и вмешательства в информационные процессы организации.

Понятие целостной системы

Защищать ценные сведения и организовывать работу контролирующей структуры может каждое физическое или юридическое лицо в зависимости от характера и уровня защиты информации и в соответствии с законами Российской Федерации. Разработка инженерно-технической системы и мероприятий проводится после изучения вопроса и определения необходимых мер по сохранности информации. Для этого ценные данные должны быть ограждены ото всех возможных каналов утечки, несанкционированного доступа и неосторожных (непреднамеренных) действий персонала организации.

Данные могут не просто украсть, а исказить путем дописывания недостоверных сведений, скопировать и выставить от своего имени и, что еще хуже, заблокировать доступ к ней. Любой носитель информации мошенники могут украсть, уничтожить или испортить. Но это не единственный источник опасности, такие же последствия могут произойти вследствие ошибочных непреднамеренных действий пользователя или же во время стихийного бедствия. Поэтому инженерно-техническая система действий и мероприятий должна быть направлена на защиту не только сведений, но и носителя информации, а также на весь информационный процесс работы с секретными данными.

Основные задачи системы

Создавая инженерно-техническую систему, предприятие вводит в действие комплекс организационных мероприятий и ряд технических мер, которые обезопасят ценную информацию. Можно выделить 3 основных задачи, над которыми работает система:

1. Обезопасить здание и помещение от проникновения посторонних субъектов с целью кражи, порчи или изменения сведений;
2. Предотвратить порчу или полное уничтожение информационных носителей от последствий природных катаклизмов и от воздействия воды при тушении пожара;
3. Закрыть доступ злоумышленникам ко всем техническим каналам, по которым может произойти утечка данных.

Инженерно-техническая защита должна отвечать современным требованиям:

• Постоянство и готовность к любым угрозам;
• Создание разных по уровню безопасности зон;
• Всегда опережать мошенников на 1 ход, быть в курсе технологических новинок;
• Уровень защиты информации должен быть соизмерим с важностью и ценностью сведений;
• Невозможность посторонним получить доступ к секретным данным;
• Не использовать один вид защиты, объединять разные меры и запускать в действие комплекс защитных средств;
• В первую очередь охранять самую важную информацию.

Вся территория предприятия должна разделяться на зоны, вход в которые производится по специальному допуску. Чем ближе зона к тайным сведениям, тем выше уровень контроля и уже количество лиц, которые могут туда пройти. Этого можно добиться с помощью установки постов или контрольно-пропускных пунктов. Такие меры принимаются для того, чтобы у возможного постороннего субъекта на пути его движения возникали препятствия в виде контрольных зон и рубежей, на которых можно было бы выявить факт кражи и задержать мошенника.

Вебинар по защите информации:

Как происходит утечка

В последнее время частные офисы арендуют помещения, которые находятся в жилых домах, где соседние помещения – квартиры обычных граждан. Стены у многоэтажных домов очень тонкие, и все, о чем говорится в соседней квартире, слышно на 98%. Таких технических каналов утечки много, каждый из них связан с физическим, химическим или биологическим полем или иными средствами разведки. Информация может быть снята в процессе ее передачи, обсуждения, создания или обработки. Канал утечки – это не только непосредственный путь движения данных, но и технические каналы, которые сопровождают работу других объектов.

Век новых технологий дает возможность мошенникам пользоваться данными с отраженных сигналов, с подслушивающих радиозакладных устройств, магнитными и электромагнитными полями секретного объекта. Посторонние лица используют заземление и сеть электрического питания для снятия информативного сигнала, проходящего через них. Даже такие простые предметы, как неэкранированные провода, трансформаторы, громкоговорители, разъемы или разомкнутые контуры, могут стать каналом утечки сигналов, которые будут сняты с помощью электромагнитных полей.

Если же субъекты используют один из технических каналов передачи информации и обработают ее, то они смогут не только изъять секретные данные, но и исказить или заблокировать их. Данные и информативные сигналы распространяются по воздуху, линиям передачи информации и электропитания. Поэтому подключиться к ним контактным или бесконтактным способом не составит труда. Для этого злоумышленники используют радиоустройства, которые передают сведения на расстояниях (устройства, подавляющие звуковые сигналы записывающей аппаратуры).

Целью мошенников может быть не только копирование или уничтожение данных, но и создание помех в работе устройств предприятия. А это приводит к тому, что некоторые системы инженерно-технической защиты будут работать не в полную силу или некачественно. В результате происходят многочисленные сбои в работе тех или иных процессов, а в крайних случаях происходят аварийные ситуации.

Способы и средства обезопасить данные

Инженерно техническая защита сведений предприятия начинается с ограничения доступа посторонних лиц на территорию путем создания контролируемых зон: периметр здания и близлежащей территории, все здания предприятия, отдельные кабинеты и помещения. Руководитель компании должен создать специальную службу безопасности. Инженерно-техническая группа будет проводить постоянный контроль и охрану всех зон.

Следующим этапом защиты информации станет закупка и установка технических средств, которые работают с конфиденциальными данными (телефония, разноуровневые системы связи, громкоговоритель, диспетчерская связь, звукозаписывающие и звуковоспроизводящие средства). Обезопасить компанию от воздействия прослушивающих технических средств, найти во всех контролируемых зонах слабые места, в которых злоумышленник сможет добраться до информативных акустических, электрических или магнитных сигналов. Выявить все возможные системы, к которым может быть совершен несанкционированный доступ (несекретная телефонная линия, пожарная или звуковая сигнализация, системы охранной сигнализации, средства наблюдения и другие). Выявленные слабые места по возможности устранить или уменьшить их количество.

Определить и разграничить помещения по группам важности и секретности (залы, переговорные помещения, кабинеты). На основе всех собранных данных комиссия, проводящая обследование компании, составляет протокол, по фактам которого формируется акт и утверждается руководителем компании. После проверки должен быть составлен план всего здания, его помещений, зон контроля. В кабинетах и других помещениях повышенного уровня безопасности производят ТЗИ (некриптографический способ защиты технических каналов от утечки информации).

Как надежно удалить информацию на носителе:

Аппаратные и программные средства

– техника, которая не дает возможности злоумышленникам скопировать, разгласить или несанкционированно добраться до информации. Техника делится на группы:

• Поиск каналов утечки;
• Средства обнаружения;
• Активное противодействие;
• Пассивное противодействие.

Существует еще одна подсистема ИТЗ (инженерно техническая защита) – программные средства, которые защищают данные на уровне программ (антивирусные программы, защита каналов связи от несанкционированного копирования или доступа). Это внедрение программ, которые осуществляют тщательную идентификацию пользователя, ограничивают доступ к защищенным сведениям и всячески контролируют способы взаимодействия других программ с защищенной информацией. Не разрешается использовать в работе компьютерных систем программ без лицензии или сертификата, так как за ними может скрываться вредоносная программа, которая собирает и передает секретные сведения.

На данный момент самыми безопасными способами шифрования данных являются криптографические средства. Это высокий уровень надежности и защиты информации от непрофессиональных мошенников. Для внедрения таких средств информация будет защищена криптосистемой с открытым ключом, электронной подписью или симметричными криптосистемами. Единственным моментом в их использовании станет удобство пользователя, который должен выбрать наиболее комфортный для него метод криптографии.

Инженерно техническая система после ввода в эксплуатацию всего комплекса технических средств и мероприятий должна постоянно контролироваться на правильное исполнение всех пунктов намеченного плана ТЗИ. С течением времени система потребует улучшения и модернизации, поэтому служба безопасности информации должна вовремя реагировать на новые средства технической защиты и качественно внедрять их.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.

подлоги . По данным газеты USA Today, еще в 1992 году в результате подобных противоправных действий с использованием персональных компьютеров американским организациям был нанесен общий ущерб в размере 882 миллионов долларов. Можно предположить, что реальный ущерб был намного больше, поскольку многие организации по понятным причинам скрывают такие инциденты; не вызывает сомнений, что в наши дни ущерб от такого рода действий вырос многократно.

В большинстве случаев виновниками оказывались штатные сотрудники организаций, хорошо знакомые с режимом работы и мерами защиты. Это еще раз подтверждает опасность внутренних угроз.

Ранее мы проводили различие между статической и динамической целостностью . С целью нарушения статической целостности злоумышленник (как правило, штатный сотрудник) может:

• ввести неверные данные;
• изменить данные.

Иногда изменяются содержательные данные, иногда - служебная информация. Заголовки электронного письма могут быть подделаны; письмо в целом может быть фальсифицировано лицом, знающим пароль отправителя (мы приводили соответствующие примеры). Отметим, что последнее возможно даже тогда, когда целостность контролируется криптографическими средствами. Здесь имеет место взаимодействие разных аспектов информационной безопасности: если нарушена конфиденциальность, может пострадать целостность.

Угрозой целостности является не только фальсификация или изменение данных, но и отказ от совершенных действий. Если нет средств обеспечить "неотказуемость", компьютерные данные не могут рассматриваться в качестве доказательства.

Потенциально уязвимы с точки зрения нарушения целостности не только данные , но и программы . Угрозами динамической целостности являются нарушение атомарности транзакций , переупорядочение, кража, дублирование данных или внесение дополнительных сообщений (сетевых пакетов и т.п.). Соответствующие действия в сетевой среде называются активным прослушиванием.

Основные угрозы конфиденциальности

Конфиденциальную информацию можно разделить на предметную и служебную. Служебная информация (например, пароли пользователей) не относится к определенной предметной области, в информационной системе она играет техническую роль, но ее раскрытие особенно опасно, поскольку оно чревато получением несанкционированного доступа ко всей информации, в том числе предметной.

Даже если информация хранится в компьютере или предназначена для компьютерного использования, угрозы ее конфиденциальности могут носить некомпьютерный и вообще нетехнический характер.

Многим людям приходится выступать в качестве пользователей не одной, а целого ряда систем (информационных сервисов). Если для доступа к таким системам используются многоразовые пароли или иная конфиденциальная информация, то наверняка эти данные будут храниться не только в голове, но и в записной книжке или на листках бумаги, которые пользователь часто оставляет на рабочем столе или теряет. И дело здесь не в неорганизованности людей, а в изначальной непригодности парольной схемы. Невозможно помнить много разных паролей; рекомендации по их регулярной (по возможности - частой) смене только усугубляют положение, заставляя применять несложные схемы чередования или вообще стараться свести дело к двум-трем легко запоминаемым (и столь же легко угадываемым) паролям.

Описанный класс уязвимых мест можно назвать размещением конфиденциальных данных в среде, где им не обеспечена (и часто не может быть обеспечена) необходимая защита. Помимо паролей, хранящихся в записных книжках пользователей, в этот класс попадает передача конфиденциальных данных в открытом виде (в разговоре, в письме, по сети), которая делает возможным их перехват. Для атаки могут использоваться разные технические средства (подслушивание или прослушивание разговоров, пассивное прослушивание сети и т. п.), но идея одна - осуществить доступ к данным в тот момент, когда они наименее защищены.

Угрозу перехвата данных следует принимать во внимание не только при начальном конфигурировании ИС, но и, что очень важно, при всех изменениях. Весьма опасной угрозой являются выставки, на которые многие организации отправляют оборудование из производственной сети со всеми хранящимися на них данными. Остаются прежними пароли, при удаленном доступе они продолжают передаваться в открытом виде.

Еще один пример изменения: хранение данных на резервных носителях. Для защиты данных на основных носителях применяются развитые системы управления доступом; копии же нередко просто лежат в шкафах, и получить доступ к ним могут многие.

Перехват данных - серьезная угроза, и если конфиденциальность действительно является критичной, а данные передаются по многим каналам, их защита может оказаться весьма сложной и дорогостоящей. Технические средства перехвата хорошо проработаны, доступны, просты в эксплуатации, а установить их, например, на кабельную сеть, может кто угодно, так что эта угроза существует не только для внешних, но и для внутренних коммуникаций.

Кражи оборудования являются угрозой не только для резервных носителей, но и для компьютеров, особенно портативных. Часто ноутбуки оставляют без присмотра на работе или в автомобиле, иногда просто теряют.

Опасной нетехнической угрозой конфиденциальности являются методы морально-психологического воздействия, такие как маскарад - выполнение действий под видом лица, обладающего полномочиями для доступа к данным.

К неприятным угрозам, от которых трудно защищаться, можно отнести злоупотребление полномочиями . На многих типах систем привилегированный пользователь (например системный администратор) способен прочитать любой (незашифрованный) файл, получить доступ к почте любого пользователя и т. д. Другой пример - нанесение ущерба при сервисном обслуживании. Обычно сервисный инженер получает неограниченный доступ к оборудованию и имеет возможность действовать в обход программных защитных механизмов.

Методы защиты

Существующие методы и средства защиты информации компьютерных систем (КС) можно подразделить на четыре основные группы:

• методы и средства организационно-правовой защиты информации;
• методы и средства инженерно-технической защиты информации;
• криптографические методы и средства защиты информации;
• программно-аппаратные методы и средства защиты информации.

Методы и средства организационно-правовой защиты информации

К методам и средствам организационной защиты информации относятся организационно-технические и организационно-правовые мероприятия, проводимые в процессе создания и эксплуатации КС для обеспечения защиты информации. Эти мероприятия должны проводиться при строительстве или ремонте помещений, в которых будет размещаться КС; проектировании системы, монтаже и наладке ее технических и программных средств; испытаниях и проверке работоспособности КС.

На этом уровне защиты информации рассматриваются международные договоры, подзаконные акты государства, государственные стандарты и локальные нормативные акты конкретной организации.

Методы и средства инженерно-технической защиты

Под инженерно-техническими средствами защиты информации понимают физические объекты, механические, электрические и электронные устройства, элементы конструкции зданий, средства пожаротушения и другие средства, обеспечивающие:

• защиту территории и помещений КС от проникновения нарушителей;
• защиту аппаратных средств КС и носителей информации от хищения;
• предотвращение возможности удаленного (из-за пределов охраняемой территории) видеонаблюдения (подслушивания) за работой персонала и функционированием технических средств КС;
• предотвращение возможности перехвата ПЭМИН (побочных электромагнитных излучений и наводок), вызванных работающими техническими средствами КС и линиями передачи данных;
• организацию доступа в помещения КС сотрудников;
• контроль над режимом работы персонала КС;
• контроль над перемещением сотрудников КС в различных производственных зонах;
• противопожарную защиту помещений КС;
• минимизацию материального ущерба от потерь информации, возникших в результате стихийных бедствий и техногенных аварий.

Важнейшей составной частью инженерно-технических средств защиты информации являются технические средства охраны, которые образуют первый рубеж защиты КС и являются необходимым, но недостаточным условием сохранения конфиденциальности и целостности информации в КС.

Криптографические методы защиты и шифрование

Шифрование является основным средством обеспечения конфиденциальности. Так, в случае обеспечения конфиденциальности данных на локальном компьютере применяют шифрование этих данных, а в случае сетевого взаимодействия - шифрованные каналы передачи данных.

Науку о защите информации с помощью шифрования называют криптографией (криптография в переводе означает загадочное письмо или тайнопись).

Криптография применяется:

• для защиты конфиденциальности информации, передаваемой по открытым каналам связи;
• для аутентификации (подтверждении подлинности) передаваемой информации;
• для защиты конфиденциальной информации при ее хранении на открытых носителях;
• для обеспечения целостности информации (защите информации от внесения несанкционированных изменений) при ее передаче по открытым каналам связи или хранении на открытых носителях;
• для обеспечения неоспоримости передаваемой по сети информации (предотвращения возможного отрицания факта отправки сообщения);
• для защиты программного обеспечения и других информационных ресурсов от несанкционированного использования и копирования.

Программные и программно-аппаратные методы и средства обеспечения информационной безопасности

К аппаратным средствам защиты информации относятся электронные и электронно-механические устройства, включаемые в состав технических средств КС и выполняющие (самостоятельно или в едином комплексе с программными средствами) некоторые функции обеспечения информационной безопасности. Критерием отнесения устройства к аппаратным, а не к инженерно-техническим средствам защиты является обязательное включение в состав технических средств КС.

К основным аппаратным средствам защиты информации относятся:

• устройства для ввода идентифицирующей пользователя информации (магнитных и пластиковых карт, отпечатков пальцев и т. п.);
• устройства для шифрования информации;
• устройства для воспрепятствования несанкционированному включению рабочих станций и серверов (электронные замки и блокираторы).

Примеры вспомогательных аппаратных средств защиты информации:

• устройства уничтожения информации на магнитных носителях;
• устройства сигнализации о попытках несанкционированных действий пользователей КС и др.

Под программными средствами защиты информации понимают специальные программы, включаемые в состав программного обеспечения КС исключительно для выполнения защитных функций. К основным программным средствам защиты информации относятся:

• программы идентификации и аутентификации пользователей КС;
• программы разграничения доступа пользователей к ресурсам КС;
• программы шифрования информации;
• программы защиты информационных ресурсов (системного и прикладного программного обеспечения, баз данных, компьютерных средств обучения и т. п.) от несанкционированного изменения, использования и копирования.

Заметим, что под идентификацией, применительно к обеспечению информационной безопасности КС, понимают однозначное распознавание уникального имени субъекта КС. Аутентификация означает подтверждение того, что предъявленное имя соответствует данному субъекту (подтверждение подлинности субъекта).

Примеры вспомогательных программных средств защиты информации:

• программы уничтожения остаточной информации (в блоках оперативной памяти, временных файлах и т. п.);
• программы аудита (ведения регистрационных журналов) событий, связанных с безопасностью КС, для обеспечения возможности восстановления и доказательства факта происшествия этих событий;
• программы имитации работы с нарушителем (отвлечения его на получение якобы конфиденциальной информации);
• программы тестового контроля защищенности КС и др.

Итоги

Поскольку потенциальные угрозы безопасности информации весьма многообразны, цели защиты информации могут быть достигнуты только путем создания комплексной системы защиты информации, под которой понимается совокупность методов и средств, объединенных единым целевым назначением и обеспечивающих необходимую эффективность защиты информации в КС.

Информацией являются любые данные, находящиеся в памяти вычислительной системы, любое сообщение, пересылаемое по сети, и любой файл, хранящийся на каком-либо носителе. Информацией является любой результат работы человеческого разума: идея, технология, программа, различные данные (медицинские, статистические, финансовые), независимо от формы их представления. Все, что не является физическим предметом и может быть использовано человеком, описывается одним словом - информация.

Информация:

Информация свободного доступа

Информация ограниченного доступа

1. Конфиденциальная информация

   Секретная информация

Конфиденциальная (confidential, частный) – служебная, профессиональная, промышленная, коммерческая или иная информация, правовой режим которой устанавливается ее собственником на основе законов о коммерческой, промышленной тайне и других законодательных актов. Собственник информации может самостоятельно установить ее статус как конфиденциальной (например, личная тайна). Требует безусловной защиты.

Служебная тайна - сведения, связанные с производственной, управленческой, финансовой или другой экономической деятельностью организации, разглашение (передача, утечка, хищение) которой может нанести ущерб ее интересам и не являющиеся государственными секретами. К таким сведениям относятся:

информация, содержащая сведения, используемые сотрудниками организации для работы в служебных целях;

данные, полученные в результате обработки служебной информации с помощью технических средств (оргтехники);

документы (носители), образующиеся в результате творческой деятельности сотрудников организации, включающие в себя сведения любого происхождения, вида и назначения, необходимые для нормального функционирования организации.

Информация секретная – информация, содержащая в соответствии с законом о Гос. Тайне сведения, составляющие таковую. Требует самой высокой степени защиты

Гос тайна – защищаемые государством сведения в области его военной, оборонной, внешнеполитической, экономической, разведывательной и т.п. деятельности, распространение которых может нанести ущерб безопасности государства. Распространение ГОС СЕКРЕТОВ регулируется государством и контролируется спецслужбами.

Виды информации ограниченного доступа

И нформационнаяб езопасность (ИБ) – это защищенность информации и поддерживающей ее инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанестинеприемлемый ущерб владельцам, и пользователям информации.

ЗАЩИТА ИНФОРМАЦИИ – это комплекс мероприятий, направленный на предотвращение утечки защищаемой информации, а также несанкционированных и непреднамеренных воздействий на эту информацию.

НСД - НеСанкционированный Доступ -unauthorizedaccessОдно из наиболее распространенных и разнообразных по форме нарушений безопасности компьютерной системы. Заключается в получении нарушителем доступа к ресурсу (объекту) в нарушение установленных в соответствии с политикой безопасности правил разграничения доступа. Для НСД используется любая ошибка в системе безопасности, и он может быть осуществлен как с помощью штатного ПО и средств ВТ, так и специально разработанными аппаратными и/или программными средствами.

ИБ должна обеспечивать:

целостность данных –под целостностью подразумевается актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.

2. конфиденциальность информации -это защита от несанкционированного доступа к информации ограниченного доступа, в том числе, защита от нелегального хищения, изменения или уничтожения. (ПРИМЕР с коммерческой и личной информацией, служебной, гос. тайной)

3. доступность для санкционированного доступа – это возможность за приемлемое время получить требуемую информацию.

Основные направления деятельности по защите информации

Принципы построения систем защиты информации (информационной безопасности)

Системность

Комплексность

Непрерывность защиты

Разумная достаточность

Гибкость управления и применения

Открытость алгоритмов и механизмов защиты

Простота применения защитных методов и средств

Кроме того, любые используемые средства и механизмы информационной безопасности не должны нарушать нормальную работу пользователя с автоматизированной информационной системой - резко снижать производительность, повышать сложность работы и т.п. СЗИ должна быть ориентирована на тактическое опережение возможных угроз, а также обладать механизмами восстановления нормальной работы КС в случае реализации угроз.

Принципы защиты информации от НСД

Закрытие каналов несанкционированного получения информации должно начинаться с контроля доступа пользователей к ресурсам ИС. Эта задача решается на основе ряда принципов:

Прицип обоснованности доступа заключается в обязательном выполнении следующего условия: пользователь должен иметь достаточную форму допуска для получения информации требуемого им уровня конфиденциальности с тем, чтобы выполнить заданные производственные функции. В качестве пользователей могут выступать активные программы и процессы, а также носители информации.

Принцип разграничения - для предупреждения нарушения безопасности информации, которое, например, может произойти при записи секретной информации на несекретные носители и в несекретные файлы, при передаче ее программам и процессам, не предназначенным для обработки секретной информации, а также при передаче секретной информации по незащищенным каналам и линиям связи, необходимо осуществлять соответствующее разграничение потоков информации и прав доступа к этой информации

Принцип чистоты ресурсов заключается в очистке ресурсов, содержащих конфиденциальную информацию, при их удалении или освобождении пользователем до перераспределения этих ресурсов другим пользователям.

Принцип персональной ответственности - каждый пользователь ИС должен нести персональную ответственность за свою деятельность в системе, включая любые операции с секретной информацией и возможные нарушения ее защиты – случайные или умышленные действия, которые приводят или могут привести к НСД или, наоборот делают такую информацию недоступной для законных пользователей

Принцип целостности средств защиты подразумевает, что средства защиты информации в ИС должны точно выполнять свои функции в соответствии с перечисленными принципами и быть изолированными от пользователей. С целью своего сопровождения средства защиты должны включать специальный защищенный интерфейс для средств контроля, сигнализации и фиксирования.

2. Методы и средства защиты информации

Методы защиты информации

препятствие – метод физического преграждения пути злоумышленнику к защищаемой информации

управление доступом – метод определения и распределения ресурсов системы санкционированным пользователям

шифрование - метод защиты информации в коммуникационных каналах путем ее криптографического закрытия. Этот метод защиты широко применяется как для обработки, так и для хранения информации. При передаче информации по коммуникационным каналам большой протяженности этот метод является единственно надежным.

регламентация – метод защиты информации, создающий специальные условия автоматизированной обработки, хранения и передачи защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.

принуждение - такой метод защиты информации, при котором пользователи и персонал системы вынуждены соблюдать правила обработки, передачи и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

побуждение - метод защиты информации, который стимулирует пользователя и персонал системы не нарушать установленных норм (высокая зарплата)

Средства

технические реализуются в виде электрических, электромеханических и электронных устройств. Вся совокупность технических средств делится нааппаратные ифизические .

Под аппаратными принято понимать встроенные электронные устройства. Из наиболее известных аппаратных средств можно назвать схемы контроля информации по четности, схемы защиты полей памяти по ключу и т. д.

Физические средства реализуются в виде автономных устройств и систем. Например, замки на дверях помещений с аппаратурой, решетки на окнах, охранная сигнализация, камеры видеонаблюдения.

Физические средства защиты:

обеспечивают безопасность помещений, где размещены серверы сети;

ограничение посторонним лицам физического доступа к серверам, концентраторам, коммутаторам, сетевым кабелям и другому оборудованию;

обеспечивают защиту от сбоев электросети.

программные средства представляют собой программное обеспечение, специально предназначенное для выполнения функций защиты информации.

Стандартные защищенные программные средства:

Средства защиты, использующие парольную идентификацию и ограничивающие доступ пользователей согласно назначенным правам - управление доступом и разграничение полномочий (идентификация+аутентификация+авторизация)

Идентификация позволяет субъекту (пользователю, процессу, действующему от имени определенного пользователя, или иному аппаратно-программному компоненту) назвать себя (сообщить свое имя). Посредством аутентификации вторая сторона убеждается, что субъект действительно тот, за кого он себя выдает. В качестве синонима слова "аутентификация " иногда используют словосочетание "проверка подлинности".

Регистрация и анализ событий, происходящих в системе - обеспечивает получение и анализ информации о состоянии ресурсов системы с помощью специальных средств контроля, а также регистрацию действий, признанных потенциально опасными для безопасности системы. Анализ собранной информации позволяет выявить средства и априорную информацию, использованные нарушителем при воздействии на систему и определить, как далеко зашло нарушение, подсказать метод его расследования и способы исправления ситуации;

Контроль целостности ресурсов системы предназначен для своевременного обнаружения их модификации. Это позволяет обеспечить правильность функционирования системы и целостность обрабатываемой информации.

Криптографическое закрытие информации

Защита от внешних вторжений - брандмауэры

Защита от компьютерных вирусов - антивирусные пакеты,антиспамовые фильтры

Средства резервного копирования и восстановления данных

аппаратно-программные средства защиты основаны на использовании различных электронных устройств и специальных программ, входящих в состав системы защиты информации и выполняющих такие (самостоятельно или в комплексе с другими средствами) функции защиты, как: идентификация и аутентификация пользователей, разграничение доступа к ресурсам, регистрация событий, криптографическое закрытие информации, обеспечение отказоустойчивости компонент и системы в целом и т.д.

Организационные средства защиты представляют собой организационно-технические и организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации специального ПО и аппаратных устройств для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы на всех этапах жизненного цикла защищаемой системы (создание охраняемого периметра, строительство помещений, проектирование системы в целом, монтаж и наладка оборудования, испытания и эксплуатация), а также кадровую политику и подбор персонала.

морально-этические средства защиты реализуются в виде норм, которые сложились традиционно или складываются по мере распространения ВТ и средств связи в данной стране или обществе. Эти нормы, как правило, не являются обязательными, как законодательные меры, однако несоблюдение их ведет к потере авторитета и престижа организации.

законодательные – средства защиты определяются законодательными актами страны. В них регламентируются правила использования, обработки и передачи информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

По сво­ему функ­ци­о­наль­но­му на­зна­че­нию ме­то­ды и сред­ст­ва ин­фор­ма­ци­он­ной бе­з­о­па­с­но­сти мо­ж­но раз­де­лить на следующие разновидности:

Методы и средства пре­ду­п­ре­ж­де­ния - пред­на­зна­че­ны для со­з­да­ния та­ких ус­ло­вий, при ко­то­рых воз­мо­ж­ность по­я­в­ле­ния и ре­а­ли­за­ции де­с­та­би­ли­зи­ру­ю­щих фа­к­то­ров (уг­роз) ис­к­лю­ча­ет­ся или сво­дит­ся к ми­ни­му­му;

Методы и средства об­на­ру­же­ния - пред­на­зна­че­ны для об­на­ру­же­ния по­я­вив­ших­ся уг­роз или воз­мо­ж­но­сти их по­я­в­ле­ния и сбо­ра до­по­л­ни­тель­ной ин­фор­ма­ции;

Методы и средства ней­т­ра­ли­за­ции - пред­на­зна­че­ны для ус­т­ра­не­ния по­я­вив­ших­ся уг­роз;

Методы и средства вос­ста­но­в­ле­ния - пред­на­зна­че­ны для вос­ста­но­в­ле­ния нор­маль­ной ра­бо­ты защищаемой системы (иногда и самой системы защиты).

Методы и средства защиты компьютерной информации представляют собой совокупность различных мер, технических и программных средств, морально-этических и правовых норм, которые направлены на то, чтобы противодействовать угрозам злоумышленников и свести к минимуму возможный ущерб владельцев системы и пользователей информации.

Рассмотрим следующие разновидности традиционных мер противодействия утечке информации с компьютера.

Технические методы и средства защиты информации

Сюда относятся:

• защита от несанкционированного доступа к компьютерной системе;
• резервирование всех важных компьютерных подсистем;
• организация сетей с последующей возможностью перераспределить ресурсы, если возникнет нарушение работоспособности отдельных сетевых звеньев;
• установка оборудования по обнаружению и ;
• установка оборудования по обнаружению воды;
• принятие комплекса мер по защите от хищений, диверсий, саботажа, взрывов;
• установка резервной системы электропитания;
• оснащение помещения замками;
• установка сигнализации и др.

Организационные методы и средства защиты информации

Сюда относятся:

• охрана серверов;
• тщательно организованный подбор персонала;
• исключение таких случаев, когда все особо важные работы выполняются одним человеком;
• разработка плана, как восстановить работоспособность сервера в ситуации, когда он выйдет из строя;
• универсальные средства защиты от любого пользователя (даже от высшего руководства).

Методы и способы защиты информации: аутентификация и идентификация

Идентификация представляет собой присвоение субъекту или объекту уникального образа или имени. А аутентификация представляет собой проверку того, является ли тот субъект/объект тем, за кого пытается себя выдать. Конечная цель обеих мер - это допуск субъекта/объекта к той информации, которая находится в ограниченном пользовании либо отказ в таком допуске. Подлинность объекта может осуществляться программой, аппаратным устройством или же человеком. Объектами/субъектами аутентификации и идентификации могут быть: технические средства (рабочие станции, мониторы, абонентские пункты), люди (операторы, пользователи), информация на мониторе, магнитные носители и др.

Методы и средства защиты информации: использование паролей

Пароль представляет собой совокупность символов (букв, цифр и т.п.), которая призвана определять объект/субъект. Когда стоит вопрос о том, какой пароль выбрать и установить, всегда возникает вопрос о его размере, способе применения стойкости к подбору злоумышленником. Логично, что чем длиннее пароль, тем более высокий уровень безопасности обеспечит он системе, поскольку потребуется гораздо больше усилий для того, чтобы его отгадать/подобрать комбинацию.

Но даже если его следует периодически менять на новый, чтобы снизить риск его перехвата при непосредственном хищении носителя либо снятии с носителя копии, либо путем насильственного принуждения пользователя сказать «волшебное» слово.