Лекция 3. Определение состава защищаемой информации
3.1. Методика определения состава защищаемой информации
Определение состава защищаемой информации – это первый шаг на пути построения системы защиты. От того насколько он будет точно выполнен, зависит результат функционирования разрабатываемой системы. Общий подход состоит в том, что защите подлежит вся конфиденциальная информация, т.е. информация, составляющая государственную тайну (секретная информация), информация, составляющая коммерческую тайну и определяемая собственником(владельцем) часть открытой информации. При этом конфиденциальная информация должна защищаться от утечки и утраты, а открытая только от утраты.
Часто высказывается мнение, что любая открытая информация не может быть предметом защиты, а также не все согласны с включением информации, отнесенной к государственной тайне, в состав конфиденциальной.
Поэтому рассмотрим эти вопросы подробнее.
Защита открытой информации существовала всегда и производилась путем регистрации ее носителей, учета их движения и местонахождения, т.е. создавались безопасные условия хранения. Открытость информации не умаляет ее ценности, а ценная информация нуждается в защите от утраты. Эта защита не должна быть направлена на ограничение общедоступности информации, т.е. не может быть отказа в доступе к информации, но доступ должен осуществляться с соблюдением требований по ее сохранности в соответствии с требованиями обработки и использования (например, библиотека).
Теперь что касается разделения информации с ограниченным доступом на конфиденциальную и составляющую государственную тайну. Термин «конфиденциальный» переводится с латинского как «секретный», «доверительный». Но информацию, отнесенную к государственной тайне, принято называть секретной. Возможно, что разделение информации на секретную и конфиденциальную было вызвано стремлением вписаться в ранее принятые нормативные акты.
В «Конвенции о запрещении разработки, производства, накопления и применения химического оружия и его уничтожения», к которой присоединилась и Россия, речь идет об информации, составляющей государственную тайну, но она называется конфиденциальной.
В Законе «О международном информационном обмене» информация, отнесенная к государственной тайне, поставлена в один ряд с «иной конфиденциальной информацией» (ст. 8).
Таким образом, к конфиденциальной информации должна быть отнесена вся информация с ограниченным доступом, составляющая любой вид тайны.
Но изложенный общий подход устанавливает лишь границы защищаемой информации, в пределах которых должен определяться ее состав. При решении вопроса об отнесении конкретной информации к защищаемой нужно руководствоваться определенными критериями, т.е. признаками, при наличии которых информация может быть отнесена к защищаемой.
Очевидно, что общей основой для отнесения информации к защищаемой является ценность информации, поскольку именно ценность информации диктует необходимость ее защиты. Поэтому критерии отнесения информации к защищаемой являются по существу критериями определения ее ценности.
Применительно к открытой информации такими критериями могут быть:
1. необходимость информации для правового обеспечения деятельности предприятия. Это относится к документированной информации, регламентирующей статус предприятия, права, обязанности и ответственность его работников;
2. необходимость информации для производственной деятельности (это касается информации, относящейся к научно-исследовательской, проектной, конструкторской, технологической, торговой и другим сферам производственной деятельности);
3. необходимость информации для управленческой деятельности, сюда относится информация, требующая для принятия управленческих решений, а также для организации производственной деятельности и обеспечения ее функционирования;
4. необходимость информации для финансовой деятельности;
5. необходимость информации для обеспечения функционирования социальной сферы;
6. необходимость информации как доказательного источника на случай возникновения конфликтных ситуаций;
7. важность информации как исторического источника, раскрывающего направления и особенности деятельности предприятия.
Эти критерии обусловливают необходимость защиты открытой информации от утраты. Они же вызывают потребность в защите от утраты и конфиденциальной информации. Однако основным, определяющим критерием отнесения информации к конфиденциальной и защиты ее от утечки является возможность получения преимуществ от использования информации за счет неизвестности ее третьим лицам. Этот критерий имеет как бы две составляющие: неизвестность информации третьим лицам и получение преимуществ в силу этой неизвестности. Данные составляющие взаимосвязаны и взаимообусловлены, поскольку, с одной стороны, неизвестность информации третьим лицам сама по себе ничего не значит, если не обеспечивает получение преимуществ, с другой – преимущества можно получить только за счет такой неизвестности информации. Преимущества от использования информации, не известной третьим лицам, могут состоять в получении выгоды или предотвращении ущерба, иметь, в зависимости от областей и видов деятельности, политические, военные, экономические, моральные и другие характеристики, выражаться количественными и качественными показателями.
3.2. Классификация информации по видам тайны и степеням конфиденциальности
Понятие государственной тайны является одним из важнейших в системе защиты государственных секретов в любой стране. От ее правильного определения зависит и политика руководства страны в области защиты секретов.
Государственная тайна – защищаемые государством сведения в области его военной, внешнеполитической, экономической, разведывательной, контрразведыва-тельной и оперативно-розыскной деятельности, распространение которых может нанести ущерб безопасности Российской Федерации.
В соответствии с Указом Президента РФ от 30.11.1995 г. № 1203 к государственной тайне относят «сведения в области военной, внешнеполитической, экономической, разведывательной, контрразведывательной и оперативно-розыскной деятельности государства, распространение которых может нанести ущерб безопасности Российской Федерации, а также наименования федеральных органов исполнительной власти и других организаций (далее именуются государственными органами), наделенных полномочиями по распоряжению этими сведениями».
Главный документ, в соответствии с которым осуществляется работа по защите государственной тайне, - это Закон о государственной тайне.
В соответствии с Указом Президента РФ от 06.03.1997 г. № 118 в перечень сведений конфиденциального характера включены:
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях;
2. Сведения, составляющие тайну следствия и судопроизводства;
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.);
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.
Коммерческая тайна – конфиденциальность информации, позволяющая ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду; информация, составляющая коммерческую тайну – научно-техническая, технологическая, производственная, финансово-экономическая или иная информация (в том числе составляющая секреты производства (ноу-хау)), которая имеет действительную или потенциальную коммерческую ценность в силу неизвестности ее третьим лицам, к которой нет свободного доступа на законном основании и в отношении которой обладателем такой информации введен режим коммерческой тайны.
Таким образом:
- сведения, составляющие коммерческую тайну, могут быть в любой сфере экономической деятельности;
- состав сведений, относимых к коммерческой тайне, должен определяться обладателем коммерческой тайны или, согласно договору, конфидентом коммерческой тайны;
- защита информации, составляющей коммерческую тайну, должна осуществляться ее обладателем.
3.3. Определение объектов защиты
Информация не существует сама по себе, она фиксируется в определенных материальных объектах, которые могут ее сохранять, накапливать, передавать с их же помощью осуществляется и использование информации. Эти материальные объекты выступают в роли носителей информации.
Носителями информации могут быть физическое лицо или другие материальные объекты, в том числе физическое поле, в которых информация находит свое отображение в виде символов, образов, сигналов, технических решений и процессов, создавая тем самым возможность для ее накопления, хранения, передачи и использования.
Как видим, материальные объекты – это не только то, что можно увидеть и пощупать, но и физические поля (электромагнитное поле, оптическое, ультрафиолетовое, инфракрасное, рентгеновское и др.), которые являются формой материи.
Информация отображается не только символами, например, программы, но и образами в виде рисунков, графиков, карт, чертежей, схем и других знаковых моделей, а также техническими решениями в изделиях, технологическими процессами при изготовлении продукции.
Для записи секретной и несекретной информации используются одни и те же носители.
Как правило, носители секретной и конфиденциальной информации охраняются собственником этой информации.
Носители защищаемой информации можно классифицировать по следующим признакам: документы письменные и электронные; изделия или предметы; вещества и материалы; различные виды поля и излучения (электромагнитные поля, тепловые излучения, радиационные поля, акустические и другие виды излучения и поля).
Но особым носителем информации – является человек, мозг которого представляет исключительно сложную систему, хранящую и перерабатывающую информацию, поступающую из внешнего мира. Свойство мозга отражать и познавать внешний мир, накапливать в памяти колоссальные объемы информации ставят человека на особое место как носителя информации. Человек обладает возможностью генерировать новую информацию. И как носитель информации он может иметь позитивные и негативные черты.
Позитивные, т.е. положительные черты - без согласия человека, как носителя защищаемой информации из его памяти, как правило, никакая информация не может быть извлечена. Он может оценивать важность имеющейся у него информации. Может ранжировать и потребителей защищаемой информации, т.е. знать, кому и какую информацию он может доверить.
Негативные, т.е. отрицательные черты – он может заблуждаться в отношении истинности потребителя защищаемой информации или умышленно не сохранять доверенную ему информацию: измена или просто разболтать.
Раскроем смысл перечисленных выше видов носителей защищаемой информации.
Документ – зафиксированная на материальном носителе информация с реквизитами, позволяющими его идентифицировать. По форме документы могут быть разные: бумага, кинофотопленка, магнитные ленты, диски, дискеты, флэшки и т.д.
На документе-носителе защищаемой информации указывается гриф секретности. Недостатком документа как носителя защищаемой информации является: документом может воспользоваться любой человек, в том числе и недобросовестный потребитель, документ может быть утрачен: похищен, или уничтожен, испорчен и т.д.
Следующим видом носителя информации является выпускаемая продукция, т.е. конкретные изделия, предметы. Здесь информация отображается в виде технических решений, например, в виде образцов вооружения, военной и др. техники; оборудования; приборов; комплектующих элементов и т.п. Эти изделия выполняют свое прямое назначение и являются носителем защищаемой информации.
Носителями информации являются также технологические процессы, отражающие в себе технологию производства продукции и применяемые при ее изготовлении компоненты (средства производства): оборудование, приборы, материалы, вещества, сырье, топливо, термостойкие покрытия космических кораблей и другое. Информация отображается в виде технических процессов (первая составляющая) и технических решений (вторая составляющая).
К веществам, которые могут нести информацию, относятся отходы предприятий, а также вода, воздух (радиационный фон), пробы грунта (химический состав) и т.п.
Следующим видом носителей являются магнитные носители: аудиокассеты (аудиопленки) для магнитофонов и диктофонов; видеокассеты (видеопленки) для видеомагнитофонов и некоторых видеокамер; жесткие (твердые) диски, дискеты, магнитные ленты для ЭВМ. В этих носителях информация фиксируется (наносится) с помощью магнитного накопления (записи сигналов), осуществляемого магнитным устройством, а отображается в виде символов. Воспроизведение (считывание) информации осуществляется также магнитным устройством посредством восстановления сигналов.
Магнитооптические и оптические носители (лазерные диски, компакт-диски). Запись данных в них выполняется лазерным лучом (в магнитооптических и магнитным полем), информация отображается в виде символов, а ее считывание (воспроизведение) осуществляется посредством лазерного луча.
3.4. Хранилища носителей информации как объект защиты
Объектами хранения носителей защищаемой информации являются:
1. хранилища письменных и видовых носителей информации;
2. средства транспортировки письменных и видовых носителей информации;
3. средства обработки и передачи информации;
4. системы обеспечения производственной деятельности;
5. технические средства защиты информации;
6. здания, территория внутри и по периметру предприятия.
К хранилищам письменных и видовых носителей информации относятся:
а) помещения службы защиты информации, в которых постоянно хранятся и обрабатываются носители информации (документы, изделия). Эти помещения должны обязательно защищаться от несанкционированного физического проникновения в них;
б) помещения, в которых работает персонал с носителями информации. Сюда же относятся помещения для проведения закрытых мероприятий, производственные участки по выпуску продукции. Эти помещения во время нахождения в них носителей должны защищаться не только от несанкционированного физического проникновения к носителям, но и от визуального наблюдения. Кроме того, комнаты исполнителей, как и помещения для проведения закрытых заседаний должны защищаться от прослушивания информации.
Следующий объект защиты это средства транспортировки письменных и видовых носителей информации, которые одновременно могут рассматриваться и как временное хранилище информации. Например, автомобиль, поезд, самолет. Они должны защищаться от физического проникновения к носителям или от их уничтожения.
Объектами защиты информации во время её обработки и передачи техническими средствами должны быть:
а) ЭВМ, которые должны защищаться от несанкционированного подключения, заражения вирусом, визуального наблюдения, вывода из строя и нарушения режима работы;
б) электрические и автоматические пишущие машинки и копировально-множительная техника (ксероксы). Они также должны защищаться от визуального наблюдения во время обработки информации;
в) средства видео-, звукозаписывающей и воспроизводящей техники - должны защищаться от прослушивания и визуального наблюдения;
г)средства радио и кабельной связи, радиовещания и телевидения - защищаются от прослушивания, вывода из строя, нарушения режима работы.
Технические средства защиты информации и контроля за ними. Защищаются от визуального наблюдения (злоумышленник не должен видеть аппаратуру) и от несанкционированного физического доступа к ним.
Здания предприятий, их территория внутри и по периметру предприятия.
Защищаются от несанкционированного физического проникновения в них. Здание является уязвимым, прежде всего из-за наличия дверей, окон, световых окон в потолке и других проёмов. Эти части здания в наибольшей степени нуждаются в установке сигнализации, предупреждающей о проникновении. Кроме этого, все окна и другие проёмы должны быть оборудованы металлическими запорами, в первую очередь решетками. Окна, желательно, делать непроницаемыми для обозрения. Периметр должен быть оснащен такой системой сигнализации, которая позволяла бы охране мгновенно реагировать на попытку его преодоления. Стены здания, которые частично или полностью являются периметром или линией защиты в случае наличия ограды, подлежат оснащению системной сигнализацией.
3.5. Методы оценки защищенности предприятия
В настоящее время существует ряд методик, позволяющих провести оценку защищенности объекта. Среди них можно отметить следующие пять:
1) анализ анкет-опросников (анкетный метод);
2) экспертная оценка отдельных составляющих системы защиты (экспертный метод);
3) проведение испытаний с использованием специального оборудования и аппаратуры (метод испытаний);
4) использование методик современной психологии и психофизиологии;
5) моделирование на объекте угрожающей ситуации.
При использовании анкетного метода привлекаются несколько руководителей предприятия. Заполненные анкеты обрабатываются на ЭВМ с использованием специальных программ. На основе полученных результатов готовятся развернутое заключение и конкретные рекомендации по совершенствованию системы безопасности как предприятия, так и его руководителей.
Второй метод (экспертный метод) предполагает проведения оценки качества системы безопасности путем анализа ее отдельных составляющих, а именно:
· правильность построения системы охраны;
· стойкость объекта против проникновения со взломом;
· возможность вывода из строя или нейтрализации охранной сигнализации и контрольных устройств;
· определение «мертвых зон» в системе наблюдения;
· правильность построения защиты от пожара и других стихийных бедствий.
Третий метод с использованием специальной аппаратуры является достаточно трудоемким и требует наличия сложной аппаратуры. Однако его следует применять, когда необходимо:
· определить максимальное расстояние, с которого возможен устойчивый перехват информации с экрана ПЭВМ, расположенной на указанном месте;
· проверить наличие подслушивающих устройств в конкретных помещениях после проведения в них ремонтно-строительных работ;
· определить, возможен ли съем речевой информации с оконных стекол конкретного кабинета из точек, расположенных вне здания на расстоянии прямой видимости;
· проверить подозрения, не заложены ли средства негласного наблюдения и передачи видеоинформации из здания в какой-нибудь пункт, расположенный поблизости.
Однако при проведении таких работ необходимо соблюдать требования Указа Президента РФ № 21 от 9 января 1996 г. и постановления Правительства РФ № 770 от 1 июля 1996 г., определяющего, кто и как может выполнять подобную работу.
Четвертый метод касается проверки обслуживающего персонала на его лояльность и способность выполнять возложенные функции. Здесь используются методики психологии и психофизиологии. Они оказываются эффективными в тех случаях, когда:
· необходимо дать оценку надежности и лояльности персонала;
· определить степень правдивости показаний при расследовании происшествий;
· проверить сотрудника при приеме его на работу;
· определить способность должностного лица выполнять предписанные ему функции в различных ситуациях.
В настоящее время такие методы разработаны на достаточно хорошем уровне.
В качестве примера можно привести систему: аппаратно-програмный комплекс компьютерного психосемантического анализа. Время тестирования – 15 минут. Суть тестирования состоит в маскированном предъявлении тестовых стимулов (слов), записи времен реакций в ответ на предъявление стимулов и математической обработке результатов с выдачей конечного протокола. Система реализована на базе ПК.
Пятый метод моделирования является весьма эффективным и позволяет выявить слабые места в системе защиты. Для его проведения необходимо разработать модель операции, условно угрожающей жизнедеятельности объекта (вооруженное нападение, проникновение со взломом, тайное проникновение с нейтрализацией средств защиты, внедрение на объекты «закладок» и др.).
Дата добавления: 2015-12-16; просмотров: 1204;