Виды информации и ее носители

В соответствии с терминологией Федерального закона РФ «Об информации, информационных технологиях и защите информации», принятом 27 июля 2006 года, информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.

По содержанию любая информация относится к семантической и признаковой.
Структурно классификацию информации можно представить в виде схемы:

Рис. 20. Классификация информации по ее содержанию.

Согласно ГОСТ Р 50922-96 «Защита информации. Основные термины и определения» защищаемая информация – это информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Защищаемая информация делиться на информацию открытого и ограниченного доступа:

Рис. 21. Классификация защищаемой информации.

Информация доступна человеку, если она содержится на материальном носителе. В соответствии с определением носителя информации – это люди, документы, выпускаемая продукция и изделия, ТС обработки информации с сопутствующими их работе информационными процессами, отходы производства в виде различного «мусора».

Журнал «Защита информации» предлагает следующую классификацию носителей информации: прямые и косвенные носители.

Угрозы

Под угрозой (вообще) обычно понимают потенциально возможное событие, действие (воздействие), процесс или явление, которое может привести к нанесению ущерба чьим-либо интересам. В силу особенностей современных АС в литературе предлагается следующая классификация видов угроз безопасности субъектов информационных отношений:

· стихийные бедствия и аварии,

· сбои и отказы оборудования АС,

· последствия ошибок проектирования и разработки компонентов АС,

· ошибки эксплуатации,

· преднамеренные действия нарушителей и злоумышленников,

По виду источника все угрозы БИ можно разделить на три основные группы:

· угрозы, обусловленные действиями субъектов (антропогенные угрозы),

· угрозы, обусловленные ТС (техногенные угрозы),

· угрозы, обусловленные стихийными источниками.

Все множество потенциальных угроз по природе их возникновения разделяется на два класса:

· естественные угрозы (объективные),

· искусственные угрозы (субъективные): непреднамеренные и преднамеренные.

Множество функций защиты

Множество функций ЗИ должно быть таким, чтобы надлежащим их осуществлением можно было оказывать желаемое воздействие на любую ситуацию, которая потенциально возможна в процессе организации и обеспечения ЗИ. ЗИ собственно и заключается в создании условий для благоприятного итогового события. Поэтому, для формирования полного множества функций необходимо выявить и систематизировать полный перечень таких событий. В соответствии с мероприятиями осуществляемыми в целях достижения перечня событий множество функций непосредственной ЗИ может быть представлено так:

Функция № 1 — предупреждение возникновения условий, благоприятных порождению (возникновению) ДФ.

Функция № 2 — предупреждение непосредственного проявления ДФ в конкретных условиях функционирования АС.

Функция № 3 — обнаружение проявившихся ДФ.

Функция № 4 — предупреждение воздействия ДФ на защищаемую информацию. С целью создания условий для надежной ЗИ в рамках функции № 4, должны быть предусмотрены мероприятия по предупреждению воздействия ДФ на информацию в любых условиях. С учетом этого функцию № 4 целесообразно разделить на две составные:

функция № 4а — предупреждение воздействия на информацию проявившихся и обнаруженных ДФ;

функция № 4б — предупреждение воздействия на информацию проявившихся, но не обнаруженных ДФ.

Функция № 5 — обнаружение воздействия ДФ на защищаемую информацию.

Функция № 6 — локализация воздействия ДФ на информацию. Аналогично функции № 4, рассматриваемую функцию также целесообразно разделить на две составные:

функция № 6а — локализация обнаруженного воздействия ДФ на информацию;

функция 6б — локализация необнаруженного воздействия.

Функция №7 — ликвидация последствий воздействия ДФ на защищаемую информацию. Эту функцию также целесообразно представить в виде двух составных:

функция 7а — ликвидация последствий обнаруженного и локализованного воздействия ДФ на защищаемую информацию;

функция 7б — ликвидация последствий локализованного, но не обнаруженного воздействия на информацию.

Полное множество функций второго вида определяется тем, что по своему содержанию они является частным случаем управления в системах организационно-технологического типа. В современной теории управления доказано, что для эффективного управления системой управления в общем случае должны регулярно осуществляться следующие функции:

1) планирование управляемых видов деятельности;

2) оперативно-диспетчерское управление быстротекущими процессами;

3) календарно-плановое руководство выполнением планов;

4) обеспечение повседневной деятельности органов управления.

2. ИНТЕГРАЦИЯ СРЕДСТВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
В ТЕХНОЛОГИЧЕСКУЮ СРЕДУ.
ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ
НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ

Анализ решения задач ЗИ

Системный анализ по решению задач ЗИ посредствам СрЗИ может иметь следующий вид:

СрЗИ
по классу решаемых задач:	по классу средств защиты:
Технические	Программные	Организационные	Криптографические
введение избыточности:	установка дополнительных каналов связи	создание дополнительных копий пакетов прикладных программ	введение дополнительной численности
резервирование	введение в резерв каналов связи	создание копий пакетов прикладных программ, находящихся в холодном резерве	введение в горячий резерв специалистов, обрабатывающих информации
регулирование доступа	ограждение территории, установка замков	программы поддержки автоматизированных контрольно-пропускных пунктов	разработка и внедрение системы доступа к элементам АС
регулирование использования	оснащение АС средствами, имеющими спец регистры граничных адресов запоминающих устройств	программы разграничения доступа к ТС по дням недели	разработка и внедрение системы разграничения доступа к ТС
защитные преобразования	аппаратура генерирования маскирующих излучений	программы кодирования – декодирования данных	разработка правил использования ключей	алгоритм шифрования
контроль	аппаратура контроля правильности работы ТС	программы тестовой проверки состояния аппаратуры АС	разработка правил контроля состояния элементов
регистрация	регистраторы состояния средств СЗИ	программы регистрации данных о нарушении ЗИ	ручное ведение регистрационных журналов
уничтожение	аппаратура уничтожения бумажных носителей	программы уничтожения остаточной информации в “памяти”	разработка и внедрение правил уничтожения информации
сигнализация	ТС звуковой сигнализации	программы генерирования звуковых сигналов	включение средств сигнализации
реагирование	устройства блокировки входа-выхода при попытке НСД на территорию	программы псевдоработы с нарушителями	разработка и внедрение мер пресечения злоумышленных действий нарушителей
самостоятельное решение задач ЗИ	решение задач ЗИ в комплексе с другими средствами	управление СрЗИ	обеспечение функционирования механизмов ЗИ
по функциональному назначению

Возможные варианты СЗИ

Системы защиты информации представляют собой действующие в единой совокупности законодательные, организационные, технические и другие способы и средства, обеспечивающие защиту важной информации от всех выявленных угроз и возможных каналов утечки. Вариант такой СЗИ представлен на рисунке:

Рис. 22. Вариант СЗИ.

3. ЭТАПЫ И ОСОБЕННОСТИ ПРОЕКТИРОВАНИЯ КСИБ
НА СОВРЕМЕННОМ УРОВНЕ И ТРЕБОВАНИЯ К НИМ.
ТИПОВАЯ СТРУКТУРА КОМПЛЕКСНОЙ СЗИ ОТ НСД

Общие рекомендации по формированию требований к ЗИ

Общие рекомендации по формированию требований к ЗИ в зависимости от характера обрабатываемой информации можно представить следующим образом:

Характер информации	Требования к защите
общедоступная	никаких специальных мер по защите от НСД не требуется
дсп	должен быть обеспечен свободный доступ пользователям учреждения-владельца этой информации по общему списку; доступ пользователей, не включенных в общий список, осуществляется по разовым санкциям
секретно	должно быть предусмотрено, во-первых, персональное разграничение – для каждого элемента информации составляется список имеющих доступ пользователей, во-вторых, коллективное разграничение – структура баз защищаемых данных формируется в соответствии со структурой подразделений, обрабатывающих защищаемую информацию
совершенно секретно	для каждого самостоятельного элемента информации составляется список лиц, имеющих право доступа, с указанием дней и времени доступа, а также перечня разрешенных процедур

Общие рекомендации по формированию требований к ЗИ в зависимости от этапов жизненного цикла АС можно представить следующим образом:

Этап жизненного цикла АС	Требования к защите
создание	должно быть обеспечено соответствие возможностей СЗИ требованиям к ЗИ, сформулированным в задании на проектирование, и исключено несанкционированное включение блоков в компоненты АС
функционирование в пассивном состоянии	должна быть обеспечена надежная ЗИ хранящейся в АС и исключены возможности несанкционированного изменения компонентов системы
функционирование в активном состоянии	кроме сформулированных выше требований, должна быть обеспечена надежная ЗИ во всех режимах ее автоматизированной обработки

Для формирования требований к ЗИ возможны следующие критерии:

· размещение объемов защищаемой информации:

только в ОЗУ

на одном внешнем носителе,

на нескольких внешних носителях,

на очень большом количестве носителей;

· время пребывания защищаемой информации в АС:

информация разового использования,

информация временного хранения,

информация длительного хранения;

· структура АС:

информация в терминалах пользователей,

в устройствах группового ввода-вывода,

в аппаратуре и линиях связи,

во внешнем запоминающем устройстве,

в хранилище носителей,

в устройстве подготовке данных;

· территориальная распределенность АС:

компактные АС (в одном помещении),

слабораспределенные АС,

сильнораспределенные АС.