Раздел 3. Методы и средства защиты.

В соответствии со статьей 8 Федерального закона от 28.12.2010 № 390-ФЗ «О безопасности»Президент Российской Федерации устанавливает компетенцию федеральных органов исполнительной власти в области обеспечения безопасности, руководство деятельностью которых он осуществляет и решает в соответствии с законодательством Российской Федерации вопросы, связанные с обеспечением защиты информации и государственной тайны.

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

Федеральная служба то техническому и экспортному контролю Российской Федерации (ФСТЭК России) - Указ Президента РФ от 16.08.2004 № 1085 «Вопросы Федеральной службы по техническому и экспортному контролю».

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

· противодействия иностранным техническим разведкам на территории Российской Федерации;

· обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Федеральная служба безопасности Российской Федерации (ФСБ России) - Указ Президента РФ от 11.08.2003 № 960 «Вопросы Федеральной службы безопасности Российской Федерации».

Основными задачами ФСБ России в области защиты информации являются:

· обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

· формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

· организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

В соответствии со статьей 12 федерального закона «О безопасности» органы государственной власти субъектов Российской Федерации и органы местного самоуправления в пределах своей компетенции обеспечивают исполнение законодательства Российской Федерации в области обеспечения безопасности.

Основным документом, определяющим порядок создания системы защиты информации и проведения контроля, является «Положение о государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утвержденное Постановлением Совета Министров - Правительства Российской Федерации от 15.09.1993 № 912-51.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

1. Информация, составляющая государственную тайну (Указ Президента РФ от 30.11.1995 № 1203 «Об утверждении Перечня сведений, отнесенных к государственной тайне»).

2. Конфиденциальная информация (Указ Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера»), которая в свою очередь делится на несколько составляющих, наиболее часто встречающихся в исполнительных органах власти:

· персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

· служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с федеральными законами (служебная тайна – сведения, содержащие информацию ограниченного доступа, документы с пометкой «Для служебного пользования»).

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

В соответствии со статьей 16 Федерального закона «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 г. № 149-ФЗ, обладатель информации, обязан обеспечить:

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

· защита информации при обработке сведений, составляющих государственную тайну;

· защита конфиденциальной информации (в т.ч. персональных данных);

· защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

Документы, определяющие порядок защиты конфиденциальной информации и защиты информации в ключевых системах информационной инфраструктуры имеют пометку «Для служебного пользования». Документы по технической защите информации, как правило, имеют гриф «секретно».

Защитные меры (см., например, ГОСТ ИСО/МЭК 13335) – это действия, процедуры и механизмы, способные обеспечить безопасность от возникновения угрозы, уменьшить уязвимость, ограничить воздействие инцидента в системе безопасности, обнаружить инциденты и облегчить восстановление активов.

Эффективная безопасность обычно требует комбинации различных защитных мер для обеспечения заданных уровней безопасности при защите активов. Например, механизмы контроля доступа, применяемые к вычислительным средствам, должны подкрепляться аудитом, определенным порядком действий персонала, его обучением, а также физической защитой. Часть защитных мер может быть обеспечена внешними условиями, свойствами актива или может уже существовать в системе или организации.

Порядок выбора защитных мер очень важен для правильного планирования и реализации программы информационной безопасности. Защитная мера может выполнять много функций безопасности, и, наоборот, одна функция безопасности может потребовать нескольких защитных мер. Защитные меры могут выполнять одну или несколько из следующих функций: предотвращение; сдерживание; обнаружение; ограничение; исправление; восстановление; мониторинг; осведомление.

Некоторые защитные меры могут характеризовать позицию организации в области информационной безопасности. В связи с этим важно выбирать специфические защитные меры, не причиняющие ущерба культурной и социальной среде, в которой функционирует организация. Примеры таких специфических защитных мер: политики и процедуры; механизмы контроля доступа; антивирусное программное обеспечение; шифрование; цифровая подпись; инструменты мониторинга и анализа; резервный источник питания; резервные копии информации.

Меры обеспечения ИБ (или меры контроля в понятиях ГОСТ Р ИСО/МЭК 27001, или защитные меры в терминах ISO 13335-1) имеют разветвленную сложную структуру и состоят из организационных и программно-технических мер на верхнем уровне.

В свою очередь, организационные меры включают законодательные, административные и процедурные меры обеспечения ИБ. Законодательные меры включают в себя законы, стандарты, регламенты и другие нормативные документы.

Основой административных мер, осуществляемых руководством организации, является политика безопасности.

Процедурные, то есть реализуемые людьми, меры безопасности включают меры по: управлению персоналом; физической защите; поддержке работоспособности; реагированию на нарушения режима безопасности; планированию восстановительных работ.

Способы защиты информации:

1) Препятствие - создание на пути угрозы преграды, преодоление которой сопряжено с возникновением сложностей для злоумышленника или дестабилизирующего фактора.

2) Управление - оказание управляющих воздействий на элементы защищаемой системы.

3) Маскировка - действия над защищаемой системой или информацией, приводящие к такому их преобразованию, которое делает их недоступными для злоумышленника. (Сюда можно, в частности, отнести криптографические методы защиты).

4) Регламентация - разработка и реализация комплекса мероприятий, создающих такие условия обработки информации, которые существенно затрудняют реализацию атак злоумышленника или воздействия других дестабилизирующих факторов.

5) Принуждение - метод заключается в создании условий, при которых пользователи и персонал вынуждены соблюдать условия обработки информации под угрозой ответственности (материальной, уголовной, административной)

6) Побуждение - метод заключается в создании условий, при которых пользователи и персонал соблюдают условия обработки информации по морально-этическим и психологическим соображениям.

Частные виды методов защиты информации:

1) Управление доступом – методы защиты информации регулированием использования всех ресурсов ИС и ИТ. Эти методы должны противостоять всем возможным путям несанкционированного доступа к информации.

Управление доступом включает следующие функции зашиты:

· идентификацию пользователей, персонала и ресурсов системы (присвоение каждому объекту персонального идентификатора);

· опознание (установление подлинности) объекта или субъекта по предъявленному им идентификатору;

· проверку полномочий (проверка соответствия дня недели, времени суток, запрашиваемых ресурсов и процедур установленному регламенту);

· разрешение и создание условий работы в пределах установленного регламента;

· регистрацию (протоколирование) обращений к защищаемым ресурсам;

· реагирование (сигнализация, отключение, задержка работ, отказ в запросе и т.п.) при попытках несанкционированных действий.

2) Механизмы шифрования – криптографическое закрытие информации. Эти методы защиты все шире применяются как при обработке, так и при хранении информации на магнитных носителях. При передаче информации по каналам связи большой протяженности этот метод является единственно надежным.

3) Противодействие атакам вредоносных программ предполагает комплекс разнообразных мер организационного характера и использование антивирусных программ. Цели принимаемых мер – это уменьшение вероятности инфицирования АИС, выявление фактов заражения системы; уменьшение последствий информационных инфекций, локализация или уничтожение вирусов; восстановление информации в ИС. Овладение этим комплексом мер и средств требует знакомства со специальной литературой.

Средства защиты информации:

1) Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и т. п. устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

2) Аппаратные средства - различные электронные и электронно-механические и т.п. устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач защиты информации.

3) Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения с целью решения задач защиты информации.

4) Организационные средства - организационно-технические мероприятия, специально предусматриваемые в технологии функционирования системы с целью решения задач защиты информации.

5) Законодательные средства - нормативно-правовые акты, с помощью которых регламентируются права и обязанности, а также устанавливается ответственность всех лиц и подразделений, имеющих отношение к функционированию системы, за нарушение правил обработки информации, следствием чего может быть нарушение ее защищенности.

6) Психологические (морально-этические средства) - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Рис.1.2. Классификация методов и средств защиты информации.

 

Требования по защите информации

(РД АС от НСД, СВТ от НСД, МЭ, НДВ)

На настоящее время защита информации на государственном уровне сконцентрирована вокруг вопросов обеспечения конфиденциальности информации. Тем не менее, современное развитие информатизации требует уделять больше внимания обеспечению таких свойств информации, как целостность и доступность. На практике же есть достаточно много форм деятельности, где доля конфиденциальной информации сравнительно мала. Например, для открытой информации приоритетными направлениями будет обеспечение целостности и доступности информации. Для платежных документов, отправляемых через системы дистанционного банковского обслуживания, наибольшую важность представляет целостность информации, так как если документ будет подделан, владелец может получить колоссальный финансовый ущерб. Следовательно, традиционный подход к защите информации с точки зрения обеспечения только конфиденциальности, требует существенной модернизации.

Требования по защите информации.

Классификация АС

Подавляющее большинство информации в современном мире обрабатывается в автоматизированных системах (АС). Следовательно, АС является «наиболее популярным» объектом защиты. Все действующие АС, обрабатывающие конфиденциальную информацию, соответственно, нуждающиеся в защите от НСД, классифицируются в соответствии с Руководящим документом Гостехкомиссиии России «Автоматизированные системы. Защита от НСД к информации. Классификация АС и требования по защите информации».

В соответствии с документом, классификация АС включает следующие этапы:

1. Разработка и анализ исходных данных.

2. Выявление основных признаков АС, необходимых для классификации.

3. Сравнение выявленных признаков АС с классифицируемыми.

4. Присвоение АС соответствующего класса защиты информации от НСД.

Исходными данными для классификации АС являются:

· Перечень защищаемых информационных ресурсов АС и их уровень конфиденциальности.

· Перечень лиц, имеющих доступ к штатным средствам АС, с указанием их уровня полномочий.

· Матрица доступа или полномочий субъектов доступа по отношению к защищаемым информационным ресурсам АС.

· Режим обработки данных в АС.

Выбор класса АС производится заказчиком и разработчиком с привлечением специалистов по защите информации.

К числу определяющих признаков классификации АС относится следующее:

Ø наличие в АС информации различного уровня конфиденциальности;

Ø уровень полномочий субъектов доступа АС на доступ к конфиденциальной информации;

режим обработки данных в АС - коллективный или индивидуальный.

Устанавливаются 9 классов защищённости АС от НСД к информации, каждый класс характеризуется определённой минимальной совокупностью требований по защите. Классы подразделяются на 3 группы: