Технический контроль эффективности мер защиты информации реферат

Обновлено: 07.07.2024

Технический контроль эффективности защиты информации осуществляется с помощью специальных технических средств, что и определяет его название. Технический контроль выполнения требований ЗИ от утечки информации по техническим каналам является обязательным условием обеспечения надежной ЗИ /1,24,25/ и заключается в определении соответствия характеристик объекта информатизации заданным требованиям (нормам и допущениям, приведенным в нормативных методических документах). При техническом контроле характеристики ОИ определяются путем проверок и исследований, проводимых на основе:

- анализа его параметров и данных о нем, приведенных в эксплуатационных документах и технических паспортах ОИ и ТСОИ, а также средств защиты информации, применяемых на данном ОИ.

- анализа его параметров и данных о нем, полученных в результате оценки реальных условий размещения и эксплуатации ОИ, используемых ТСОИ и средств защиты, входящих в состав ОИ.

Причинами, обуславливающими возможность утечки информации по техническим каналам, наряду с использованием неисправных средств ЗИ могут быть физические явления возникновения этих каналов /9,25/. Для контроля выполнения этих требований необходимо периодическое последовательное решение ряда задач. К задачам контроля обеспечения защиты информации относятся:

- проведение документальной проверки с целью выявления предпосылок к нарушению и самих фактов нарушения ОТТ при защите информации;

- проведение специальных проверок, включающих в себя поиск преднамеренно внедренных закладных устройств;

- проведение технического контроля (исследований), предназначенных для оценки возможностей утечки информации по техническим каналам.

Последовательность решения этих задач включает в себя алгоритм контроля обеспечения защиты информации, который является алгоритмом комплексного контроля. Данный алгоритм представлен на рис. 4.2.

Контроль ЗИ на ОИ осуществляется периодически согласно требованиям руководящих документов по безопасности информации /26/. Документальная проверка в соответствующем объеме проводится на каждом конкретном ОИ. При этом проверяются следующие исходные данные и документация:

- техническое задание на ОИ;

- технический паспорт на ОИ;

- акты категорирования и классификации;

- состав технических средств ОИ;

- планы размещения ОТСС и ВТСС;

- состав и схемы размещения СЗИ;

- план контролируемой зоны;

- схемы прокладки линий передачи данных;

- схемы и характеристики систем электропитания и заземления;

- инструкции по эксплуатации;

- предписания на эксплуатацию технических средств и систем;

- протоколы специальных исследований средств и систем;

- акты (заключения) специальных проверок;





нет да













Рис. 4.2. Алгоритм комплексного контроля


сертификаты соответствия требований безопасности информации на средства и системы передачи данных, используемых СЗИ;

- документация по уровню подготовки кадров, обеспечивающих ЗИ;

- документация о техническом обеспечении средствами контроля эффективности ЗИ и их проверке;

- нормативная и методическая документация по ЗИ и контролю ее эффективности;

- прочая документация на ОИ.

Перечисленные задачи, решаемые при контроле ЗИ, включают ряд подзадач.

Задачи контроля, предмет проверки, а также необходимое обеспечение и аппаратура для проведения контроля систематизированы и представлены в табл. 4.1.

Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
Подзадачи специальных проверок: - обследование ОИ в целях поиска закладных устройств, возможно размещенных конструкциях, оборудовании, предметах обихода, радиоэлектронной аппаратуре; - ведение радиоконтроля; - проверка проводных линий в целях поиска закладных устройств, размещенных на них Подзадачи специальных исследований: - измерение характеристик информативных акустических сигналов; - виброакустические,частотно-энергетические, видовые и прочие характеристики закладных устройств; - частотно-энергетические характеристики, электромагнитные излучения активных и активизированных закладных устройств; - частотно-энергетические, акустические, видовые и прочие характеристики закладных устройств - измерение характеристик информативных акустических сигналов; - нормативно-методическое обеспечение по проведению специальных проверок радиоэлектронной и спец. аппаратуры; - нормативно-методическое обеспечение по проведению радиоконтроля, спец. аппаратура радиоконтроля; - нормативно-методическое обеспечение по проведению контроля проводных линий, спец. аппаратура контроля проводных линий -нормативно-методическое обеспечение по проведению измерений характеристик информативных акустических сигналов, генератор акустических колебаний, шумомер с набором микрофонов;


Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
- измерение характеристик информативных виброакустических сигналов; - обнаружение и измерение частот и энергетических характеристик побочных излучений и наводок ТСОИ; -частотно-энергетические характеристики информативных виброакустических сигналов; -частотно-энергетические характеристики информативных сигналов полей рассеивания ТСОИ, токов и напряжений информативных сигналов в цепях питания и заземления ТСОИ, характеристики модуляции электромагнитных излучений на частотах паразитной модуляции; - -нормативно-методическое обеспечение по проведению измерений характеристик информативных виброакустических сигналов; -нормативно-методическое обеспечение по проведению измерений частотно-энергетических характеристик ПЭМИН ТСОИ, измерительные приемники с набором антенн и устройств и устройств сопряжения с токопроводными линиями, средства обработки измерений;


Продолжение табл. 4.1

Задачи контроля Предмет проверки и исследования Необходимое обеспечение и аппаратура
- измерение характеристик акустоэлектрических преобразований; - измерение характеристик ТСОИ при определении восприимчивости к воздействию ВЧ-навязывания; - измерение характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей -частотно-энергетические характеристики информативных сигналов и характеристики модуляции электромагнитных излучений, токов и напряжений, возникающих в цепях ТСОИ под воздействием акустических сигналов; -частотно-энергетические характеристики информативных сигналов под воздействием наведенного ВЧ-сигнала; - частотно-энергетические характеристики информативных сигналов под воздействием наведенных электрических и магнитных полей - нормативно-методическое обеспечение по проведению измерений характеристик акустоэлектрических преобразований, измерительные приемники с набором антенн и устройствами сопряжения с токопроводными линиями, датчик акустического сигнала, средства обработки результатов измерения; - нормативно-методическое обеспечение по проведению измерений определения восприимчивости к ВЧ-навязыванию, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, источники ВЧ-сигнала; - нормативно-методическое обеспечение по проведению измерений характеристик восприимчивости ТСОИ к воздействию электрических и магнитных полей, измерительные приемники с набором антенн и устройств сопряжения с токопроводными линиями, устройства обработки результатов измерения


Технический контроль может осуществляться тремя методами:

- инструментальным, когда в ходе контроля используются технические измерительные средства и моделируются реальные условия работы средств разведки;

- инструментально-расчетным, когда измерения проводятся в непосредственной близости от объекта контроля, а затем результаты пересчитываются к условиям предполагаемого средства разведки;

- расчетным, когда эффективность защиты оценивается путем расчета, исходя из реальных условий размещения и возможностей средств разведки и известных характеристик объекта контроля.

В организационную структуру системы входят:

  • руководитель – несет персональную ответственность за обеспечение информационной безопасности (устав организации, положение об органе);
  • заместитель руководителя, курирующий вопросы информационно-технической безопасности (должностной регламент);
  • постоянно действующий коллегиальный орган, вырабатывающий предложения по решению проблемных вопросов в области защиты информации; (положение о комиссии);
  • подразделение или специалист, ответственные за реализацию мероприятий по технической защите информации (положение о подразделении, должностная инструкция или регламент специалиста).

Задачи, решаемые системой защиты информации:

  • исключение неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
  • исключение неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
  • исключение неправомерного блокирования информации (обеспечение доступности информации).

Жизненный цикл системы защиты информации (СЗИ) объекта обработки информации состоит из стадии создания системы и стадии эксплуатации.

Стадию создания осуществляет (организует) обладатель информации, заказчик; стадию эксплуатации СЗИ осуществляет оператор.

Жизненный цикл системы защиты информации объекта информатизации - совокупность взаимоувязанных процессов последовательного изменения состояния системы защиты информации конкретного объекта от принятия решения о необходимости защиты обрабатываемой на нем информации до окончания его эксплуатации.

Стадия (этап) жизненного цикла – часть жизненного цикла, характеризующаяся определенным состоянием системы защиты информации, совокупностью видов предусмотренных работ с их конечными результатами.

Обладатель информации – лицо, создавшее информацию и (или) имеющее право разрешать или ограничивать доступ к информации.

Заказчик – лицо, заключившее контракт на создание объекта обработки информации.

Оператор – лицо, эксплуатирующее объект, в том числе непосредственно осуществляющее обработку содержащейся в нем информации.

Уполномоченное лицо – лицо, осуществляющее на договорной основе с заказчиком или оператором обработку информационного ресурса и (или) предоставляющее для этих целей вычислительные ресурсы.

Поставщик информации – лицо, наделенное полномочиями по предоставлению сведений для их внесения в базу данных объекта.

Этапы стадии создания системы защиты информации

  1. Этап 1. Формирование требований к системе защиты информации (предпроектный этап).
  2. Этап 2. Разработка системы защиты информации (этап проектирования).
  3. Этап 3. Внедрение системы защиты информации (этап установки, настройки, испытаний).
  4. Этап 4. Подтверждение соответствия системы защиты информации (этап оценки).

Формирование требований к системе защиты информации

Этап 1 осуществляется обладателем информации (заказчиком).

Перечень работ на этапе 1:

  1. Принятие решения о необходимости защиты обрабатываемой информации.
  2. Классификация объекта по требованиям защиты информации (установление уровня защищенности обрабатываемой информации).
  3. Определение угроз безопасности информации, реализация которых может привести к нарушению безопасности обрабатываемой информации.
  4. 4. Определение требований к системе защиты информации.

Решение о необходимости создания системы защиты информации принимается на основе анализа стоящих задач, обрабатываемой информации и нормативной базы. В ходе анализа определяются структурно-функциональные характеристики объекта и режим обработки информации:

  • статус (принадлежность) объекта (государственный, муниципальный, иной);
  • структура объекта (локальный или распределенный);
  • масштаб объекта (федеральный, региональный, объектовый);
  • наличие подключений к сторонним сетям, в том числе сетям общего пользования (имеются или отсутствуют);
  • режим обработки информации (одно или многопользовательский);
  • уровень доступа (с разграничением или без разграничения);
  • перечень технологических операций (чтение, поиск, запись, удаление, сортировка, модификация, передача, голосовой ввод,);
  • используемые информационные технологии (беспроводный, удаленный доступ, виртуализация, мобильные объекты, туннелирование и пр.),

Категория информации, подлежащей защите, и свойства ее безопасности:

  • информация ограниченного доступа (конфиденциальность, целостность, доступность);
  • общедоступная информация (целостность, доступность),

Нормативная правовая база по информационно-технической безопасности выделяет разные задачи по защите информации:

  • защита информации, составляющей государственную тайну;
  • защита государственного информационного ресурса, не отнесенного к государственной тайне;
  • обеспечение безопасности персональных данных в иных информационных системах;
  • обеспечение безопасности критической информационной инфраструктуры;
  • обеспечение безопасности информации в информационных системах общего пользования.

Более подробно правовое сопровождение защиты информации рассмотрено в разделе экономических и правовых аспектов защиты информации.

Актуальным на этом этапе видится формулирование целей и задач защиты информации.

Цель защиты информации - минимизировать (предотвратить) ущерб обладателю информации из-за возможных нарушений свойств ее безопасности.

Задача защиты информации - обеспечить необходимый уровень защищенности информации от нарушений ее целостности, доступности, конфиденциальности.

Решение оформляется локальным нормативным правовым актом, в котором отражаются цели и задачи защиты информации, этапы и сроки создания системы защиты информации, функционал и ответственность обладателя информации, заказчика и оператора.

Основные документы, формируемые по результатам исполнения работ на этапе формирования требований к системе защиты информации:

Действие Документ
1. Принятие решения о необходимости защиты информации Локальный нормативный правовой акт, определяющий необходимость создания системы защиты информации
2. Классификация по требованиям защиты информации (по уровню защищенности информации) Акт классификации по требованиям безопасности информации
3.Определение актуальных угроз безопасности информации Частная модель угроз безопасности информации
4. Определение требований к системе защиты информации ТЗ на создание системы защиты информации с указанием требований к мерам и средствам защиты информации

Разработка системы защиты информации

Этап 2 - разработка системы защиты информации – организуется обладателем информации (заказчиком).

Перечень работ на этапе 2:

  1. Проектирование системы защиты информации.
  2. Разработка эксплуатационной документации на систему защиты информации.

работы и услуги по аттестационным испытаниям и аттестации на соответствие требованиям по защите информации, а также работы и услуги по проектированию в защищенном исполнении:

  • средств и систем информатизации;
  • помещений со средствами (системами) информатизации, подлежащими защите;
  • защищаемых помещений.

Основные документы, формируемые по результатам исполнения работ на этапе разработки системы защиты информации:


Действие Документ
1.Проектирование системы защиты информации Технический проект (рабочая документация) на создание системы защиты информации
2.Разработка эксплуатационной документации на систему защиты информации Описание структуры системы защиты информации. Технический паспорт с указанием наименования, состава и мест установки аппаратных и программных средств.
Перечень параметров настройки средств защиты информации. Правила эксплуатации средств защиты информации.

Примерный состав эксплуатационной документации, разрабатываемой на этапе проектирования системы защиты информации

  1. Технический паспорт с указанием состава и мест установки ее технических и программных средств.
  2. Описание технологического процесса обработки информации.
  3. Описание параметров и порядка настройки средств защиты информации.
  4. Описание организационной структуры системы защиты информации, с указанием функциональных обязанностей ее элементов.
  5. Ведомость и журнал учета применяемых машинных носителей информации.
  6. Правила эксплуатации системы защиты информации.

Внедрение системы защиты информации

Этап 3 - Внедрение системы защиты информации – организуется обладателем информации (заказчиком) с привлечением оператора. Перечень работ на этапе 3:

  1. Установка и настройка средств защиты информации.
  2. Внедрение организационных мер защиты информации, в том числе, разработка документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в ходе эксплуатации объекта.
  3. Выявление и анализ уязвимостей программных и технических средств, принятие мер по их устранению;
  4. Испытания и опытная эксплуатации системы защиты информации.

Основные документы, формируемые по результатам исполнения работ на этапе внедрения системы защиты информации:

Действие Документ
1. Установка и настройка средств защиты информации Акт установки средств защиты информации
2.Внедрение организационных мер, разработка организационно-распорядительных документов Документы по регламентации правил по эксплуатации и вывода из эксплуатации системы защиты информации
3.Выявление и анализ уязвимостей Протокол контроля уязвимостей программного обеспечения и технических средств
4.Испытания и опытная эксплуатации системы защиты информации Протоколы контроля оценки эффективности средств и оценки защищенности информации

Состав обязательных организационно-распорядительных документов, разрабатываемых на этапе внедрения системы защиты информации:

  1. Порядок администрирования системой защиты информации.
  2. Порядок выявления инцидентов, которые могут привести к возникновению угроз безопасности информации и реагирования на них.
  3. Порядок управления конфигурацией объекта и его системы защиты информации.
  4. Порядок контроля за обеспечением уровня защиты обрабатываемой информации.
  5. Порядок защиты информации при выводе из эксплуатации объекта.

Подтверждение соответствия системы защиты информации

Этап 4 - подтверждение соответствия системы защиты информации – организуется обладателем информации (заказчиком) или оператором. Перечень работ на этапе 4 определяется в Программе и методиках аттестационных испытаний, разрабатываемой до их начала. Документ формируется исполнителем работ и согласовывается с заявителем.

Аттестация – комплекс организационных и технических мероприятий, в результате которых подтверждается соответствие системы защиты информации объекта информатизации (информационной системы) требованиям безопасности информации.

Аттестация объектов информатизации делится на обязательную и добровольную.

Обязательная аттестация проводится в принятых законодательством случаях для определения соответствия системы защиты информации объекта исключительно требованиям, установленным федеральными нормативными правовыми актами.

Добровольная аттестация проводится по инициативе заявителя для определения соответствия системы защиты информации объекта требованиям, установленным национальными стандартами, владельцем информации или владельцем объекта.

Обязательной аттестации подлежат государственные (муниципальные) информационные системы и их сегменты, содержащие информацию ограниченного доступа, добровольной – все иные информационные системы.

Порядок проведения аттестации информационных систем по требованиям безопасности информации:

  1. Подача и рассмотрение заявки на аттестацию.
  2. Предварительное ознакомление с аттестуемым объектом (при необходимости).
  3. Разработка программы и методики аттестационных испытаний.
  4. Проведение аттестационных испытаний объекта.
  5. Оформление, регистрация и выдача аттестата соответствия.

Подача и рассмотрение заявки на аттестацию объекта информатизации:

  1. Заявителем выбирается исполнитель работ по аттестации объекта информатизации (организация-лицензиат по технической защите конфиденциальной информации).
  2. Заявителем направляется исполнителю заявка на проведение аттестации с исходными данными на аттестуемый объект.
  3. Исполнителем рассматривается заявка, принимается решение о порядке аттестации, готовятся договорные документы на оказание услуг по аттестации объекта информатизации.

При недостаточности исходных данных в порядок аттестации включаются работы исполнителя по предварительному ознакомлению с аттестуемым объектом.

Аттестуемая распределенная информационно-телекоммуникационная система


Основные документы, формируемые по результатам исполнения работ на этапе подтверждения соответствия системы защиты информации:


Действие Документ
1.Аттестационные испытания системы защиты информации Протоколы и заключение по результатам аттестационных испытаний
2.Оформление результатов аттестационных испытаний Рекомендации по обеспечению защищенности информации на аттестуемом объекте и Аттестат соответствия

После подтверждения соответствия системы защиты информации осуществляется переход на другую стадию жизненного цикла – стадию эксплуатации.

Этапы стадии эксплуатации системы защиты информации

  • Этап 5. Ввод системы защиты информации в постоянную эксплуатацию.
  • Этап 6. Промышленная эксплуатация системы защиты информации.
  • Этап 7. Вывод из эксплуатации системы защиты информации.

Этап 5 - ввод системы защиты информации в постоянную эксплуатацию – осуществляется оператором.

Решение о вводе оформляется локальным нормативным правовым актом, в котором определяются должностные лица, ответственные за эксплуатацию и сопровождение системы защиты информации: начальник объекта, системные администраторы, администраторы информационной безопасности.

Этап 6 - промышленная эксплуатация системы защиты информации – осуществляется оператором.

Также оператор осуществляет администрирование системы защиты информации, выявление инцидентов и реагирование на них, управление конфигурацией объекта и его системой защиты информации, контроль за обеспечение необходимого уровня защищенности информации.

  • осуществляют эксплуатацию объекта информатизации в соответствии с требованиями безопасности информации, а также условиями и ограничениями, установленными эксплуатационной документацией на систему защиты информации, и аттестатом соответствия;
  • извещают орган по аттестации (организацию), выдавший аттестат соответствия, о всех изменениях в информационных технологиях, составе и размещении средств и систем, условиях их эксплуатации, которые могут повлиять на эффективность системы защиты информации;
  • предоставляют необходимые документы и условия для осуществления контроля и надзора за соблюдением порядка аттестации и за эксплуатацией аттестованного объекта информатизации.

Органы по аттестации:

  • отменяют и приостанавливают действие выданных этим органом (организацией) аттестатов соответствия;
  • проводят на договорной основе оценку эффективности средств защиты информации и оценку защищенности информации от несанкционированного доступа.

Повторная аттестация ГИС осуществляется вслучае окончания срока действия аттестата соответствия или повышения класса защищенности информационной системы.

При увеличении состава угроз безопасности информации или изменении проектных решений, реализованных при создании системы защиты информации ГИС, проводятся дополнительные аттестационные испытания в рамках действующего аттестата соответствия.

Продление срока действия сертификата организацией, эксплуатирующей СЗИ:

Организация, эксплуатирующая средство защиты информации, заблаговременно , но не позднее чем за три месяца до окончания срока действия сертификата соответствия, связывается с организацией – первичным заявителем, с целью получения информации о проводимых работах по продлению сроков действия сертификата соответствия и о порядке получения копии продленного сертификата.

В случае получения информации об отсутствии намерений первичного заявителя продлевать сроки действия сертификата соответствия эксплуатирующая организация самостоятельно направляет в Федеральный орган по сертификации (ФСТЭК России) соответствующую заявку установленного образца (не позднее, чем за один месяц до окончания срока действия сертификата).


Этап 7 - вывод системы защиты информации из эксплуатации - осуществляется оператором.

На этом этапе производится архивирование информации, уничтожение или стирание данных и остаточной информации с машинных носителей информации, уничтожение машинных носителей информации.

Как работаем и отдыхаем в 2022 году ?

Информационная безопасность (ИБ) – это защищенность данных от негативных воздействий, которые могут нанести урон. Для обеспечения ИБ применяются методы защиты информации.

Вопрос: Как отразить в учете организации (пользователя) приобретение неисключительных прав на использование программы для ЭВМ (средств криптографической защиты информации) на условиях простой (неисключительной) лицензии? Лицензионный договор с лицензиаром (правообладателем) заключен в виде договора присоединения.
Посмотреть ответ

Базовые элементы информационной безопасности

Рассмотрим основные составляющие информационной безопасности:

  • Доступность. Предполагает доступ субъектов к необходимой информации. Под субъектами понимаются компании, которые имеют право на доступ к соответствующим данным.
  • Целостность. Сведения должны быть защищены от незаконного видоизменения, порчи.
  • Конфиденциальность. Предполагает защищенность от несанкционированного доступа к данным.

Категории относятся как к самой информации, так и к инфраструктуре, с помощью которой хранятся сведения.

Разновидности угроз информационной безопасности

Угроза – это то, что может нанести урон ИБ. Ситуация, предполагающая угрозу, называется атакой. Лицо, которое наносит атаку ИБ, – это злоумышленник. Также существуют потенциальные злоумышленники. Это лица, от которых может исходить угроза.

Угрозы доступности

Частая угроза доступности – это непредумышленные ошибки лиц, работающих с информационной системой. К примеру, это может быть введение неверных данных, системные ошибки. Случайные действия сотрудников могут привести к потенциальной угрозе. То есть из-за них формируются уязвимые места, привлекательные для злоумышленников. Это наиболее распространенная угроза информационной безопасности. Методами защиты являются автоматизация и административный контроль.

Рассмотрим подробнее источники угроз доступности:

  • Нежелание обучаться работе с информационными системами.
  • Отсутствие у сотрудника необходимой подготовки.
  • Отсутствие техподдержки, что приводит к сложностям с работой.
  • Умышленное или неумышленное нарушение правил работы.
  • Выход поддерживающей инфраструктуры из обычного режима (к этому может привести, к примеру, превышение числа запросов).
  • Ошибки при переконфигурировании.
  • Отказ ПО.
  • Нанесение вреда различным частям инфраструктуры (к примеру, проводам, ПК).

Большая часть угроз относится к самим сведениям. Однако вред может быть также нанесен инфраструктуре. К примеру, это могут быть сбои в работе связи, систем кондиционирования, нанесение вреда помещениям.

Угрозы целостности

Центральная угроза целостности – это воровство и подлоги. Возникают они вследствие действий сотрудников компании. Согласно данным издания USA Today, в 1992 году вследствие рассматриваемых причин был нанесен совокупный ущерб в размере 882 000 000 долларов. Рассмотрим примеры источников угроз:

  1. Ввод неправильных данных.
  2. Изменение сведений.
  3. Подделка заголовка.
  4. Подделка всего текста письма.
  5. Отказ от исполненных действий.
  6. Дублирование информации.
  7. Внесение дополнительных сведений.

Внимание! Угроза нарушения целостности касается и данных, и самих программ.

Базовые угрозы конфиденциальности

Базовая угроза конфиденциальности – это использование паролей злоумышленниками. Благодаря знанию паролей заинтересованные лица могут получить доступ к конфиденциальным сведениям. Источники угрозы конфиденциальности:

  1. Использование многоразовых паролей с сохранением их на источниках, к которым могут получить доступ злоумышленники.
  2. Использование одних и тех же паролей в различных системах.
  3. Размещение информации в среде, которая не обеспечивает конфиденциальность.
  4. Использование злоумышленниками технических средств. К примеру, прослушивающие устройства, специальные программы, фиксирующие введенный пароль.
  5. Выставки, на которых презентуется оборудование с конфиденциальными сведениями.
  6. Хранение сведений на резервных носителях.
  7. Распространение информации по множеству источников, что приводит к перехвату сведений.
  8. Оставление ноутбуков без присмотра.
  9. Злоупотребление полномочиями (возможно при обслуживании инфраструктуры системным администратором).

Суть угрозы конфиденциальности кроется в том, что злоумышленник получает доступ к данным в момент наибольшей их неуязвимости.

Методы защиты информации

Методы защиты, как правило, используются в совокупности.

Инструменты организационно-правовой защиты

Основным инструментом организационно-правовой защиты являются различные организационные мероприятия, осуществляемые в процессе формирования инфраструктуры, с помощью которой хранится информация. Данные инструменты применяются на этапе возведения зданий, их ремонта, проектирования систем. К инструментам организационно-правовой защиты относятся международные договоры, различные официальные стандарты.

Инструменты инженерно-технической защиты

Инженерно-технические средства – это различные объекты, обеспечивающие безопасность. Их наличие обязательно нужно предусмотреть при строительстве здания, аренде помещения. Инженерно-технические инструменты обеспечивают такие преимущества, как:

  • Защита помещения компании от действий злоумышленников.
  • Защита хранилищ информации от действий заинтересованных лиц.
  • Защита от удаленного видеонаблюдения, прослушивания.
  • Предотвращение перехвата сведений.
  • Создание доступа сотрудников в помещение компании.
  • Контроль над деятельностью сотрудников.
  • Контроль над перемещением работников на территории компании.
  • Защита от пожаров.
  • Превентивные меры против последствий стихийных бедствий, катаклизмов.

Все это – базовые меры безопасности. Они не обеспечат полную конфиденциальность, однако без них невозможна полноценная защита.

Криптографические инструменты защиты

Шифрование – базовый метод защиты. При хранении сведений в компьютере используется шифрование. Если данные передаются на другое устройство, применяются шифрованные каналы. Криптография – это направление, в рамках которого используется шифрование. Криптография используется в следующих целях:

КСТАТИ! Криптография – это более продвинутый метод обеспечения защиты сведений.

Программно-аппаратные инструменты для защиты сведений

Программно-аппаратные инструменты включены в состав технических средств. К примеру, это могут быть:

  • Инструменты для ввода сведений, нужных для идентификации (идентификация по отпечаткам пальцев, магнитные и пластиковые карты доступа).
  • Инструменты для шифрования данных.
  • Оборудование, предупреждающее несанкционированное использование систем (к примеру, электронные звонки, блокираторы).
  • Инструменты для уничтожения сведений на носителях.
  • Сигнализация, срабатывающая при попытках несанкционированных манипуляций.

В качестве этих инструментов могут выбираться разные программы. Предназначаются они для идентификации пользователей, ограничения доступа, шифрования. Для полноценной защиты применяются и аппаратные, и программные инструменты. Комплекс мер обеспечивает наивысшую степень защиты. Однако руководитель должен помнить, что добиться стопроцентной защиты невозможно. Всегда остаются слабые места, которые нужно выявлять.

Соответствующими указами Президентом определены федеральные органы исполнительной власти, реализующие полномочия по защите информации:

ФСТЭК России является федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности по вопросам:

обеспечения безопасности критической информационной инфраструктуры Российской Федерации;

противодействия иностранным техническим разведкам на территории Российской Федерации;

обеспечения защиты (некриптографическими методами) информации, содержащей сведения, составляющие государственную тайну, иной информации с ограниченным доступом, предотвращения ее утечки по техническим каналам, несанкционированного доступа к ней, специальных воздействий на информацию (носители информации) в целях ее добывания, уничтожения, искажения и блокирования доступа к ней на территории Российской Федерации;

защиты информации при разработке, производстве, эксплуатации и утилизации неинформационных излучающих комплексов, систем и устройств;

осуществления экспортного контроля.

Нормативные правовые акты и методические документы, изданные по вопросам деятельности ФСТЭК России, обязательны для исполнения государственными органами и организациями.

ФСТЭК России осуществляет методическое руководство деятельностью государственных органов и организаций в области обеспечения безопасности информации в ключевых системах информационной инфраструктуры, противодействия техническим разведкам и технической защиты информации.

Основными задачами ФСБ России в области защиты информации являются:

обеспечение в пределах своих полномочий защиты сведений, составляющих государственную тайну, и противодействия иностранным организациям, осуществляющим техническую разведку;

формирование и реализация в пределах своих полномочий государственной и научно-технической политики в области обеспечения информационной безопасности;

организация в пределах своих полномочий обеспечения криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, а также систем шифрованной, засекреченной и иных видов специальной связи в Российской Федерации и ее учреждениях за рубежом.

Различие компетенций вышеперечисленных органов исполнительной власти заключается в следующем:

ФСТЭК России формирует требования и производит контроль мероприятий по защите информации некриптографическими методами (разграничение прав пользователей, защита информации от побочных электромагнитных излучений, защита речевой информации и др.);

ФСБ России формирует требования и производит контроль мероприятий по защите информации криптографическими методами (защита каналов связи, электронная подпись).

Защита информации некриптографическими методами является наиболее массовым видом при создании защищенных информационных систем.

2. Нормативно-правовая база защиты информации

Основой для формирования государственной политики и развития общественных отношений в области обеспечения информационной безопасности, а также для выработки мер по совершенствованию системы обеспечения информационной безопасности является Доктрина информационной безопасности Российской Федерации, утвержденная Указом Президента РФ от 5 декабря 2016 г. № 646.

Организация работ по защите информации в органах исполнительной власти осуществляется их руководителями. Для организации и проведения работы по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

В органах исполнительной власти субъекта может циркулировать два вида информации подлежащей обязательной защите в соответствии с действующим законодательством:

персональные данные (любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу);

Для вышеперечисленных видов информации должны в обязательном порядке применяться меры по защите информации.

Защита сведений, отнесенных к государственной тайне, осуществляется в соответствии с законом РФ от 21.07.1993 N 5485-1 (ред. от 29.07.2018) "О государственной тайне" и инструкцией по обеспечению режима секретности в РФ от 05.01.2004 3-1.

Одна из основных целей защиты информации – это предотвращение ее утечки по техническим каналам.

1) предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременное обнаружение фактов несанкционированного доступа к информации;

3) предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянный контроль за обеспечением уровня защищенности информации.

3. Требования по защите информации

Конкретные требования по защите информации, которые должен обеспечить обладатель информации, отражены в руководящих документах ФСТЭК и ФСБ России. Документы также делятся на ряд направлений:

защита информации при обработке сведений, составляющих государственную тайну;

защита конфиденциальной информации (в т.ч. персональных данных);

защита информации в ключевых системах информационной инфраструктуры.

Конкретные требования по защите информации определены в руководящих документах ФСТЭК России.

При создании и эксплуатации государственных информационных систем (а это все информационные системы областных органов исполнительной власти) методы и способы защиты информации должны соответствовать требованиям ФСТЭК и ФСБ России.

4. Аттестация объектов информатизации

Основной единицей в терминах защиты информации принято считать объект информатизации – совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров (если упрощенно, объекты информатизации – это автоматизированные системы, на которых обрабатывается защищаемая информация и защищаемые помещения, в которых ведутся конфиденциальные переговоры).

Обязательной аттестации подлежат объекты информатизации, предназначенные для обработки конфиденциальной информации, информации, составляющей государственную тайну, управления экологически опасными объектами, ведения секретных переговоров.

Пpи аттестации объекта информатизации подтверждается его соответствие требованиям по защите информации от несанкционированного доступа, в том числе от компьютерных вирусов, от утечки за счет побочных электромагнитных излучений и наводок пpи специальных воздействиях на объект (высокочастотное навязывание и облучение, электромагнитное и радиационное воздействие), от утечки или воздействия на нее за счет специальных устройств, встроенных в объекты информатизации.

Аттестация проводится органом по аттестации (организация, имеющая лицензии ФСТЭК России).

Расходы по проведению всех видов работ и услуг по аттестации объектов информатизации оплачивают заявители.

Для проведения аттестации объектов информатизации, на которых обрабатывается:

информация, содержащая сведения, составляющие государственную тайну, требуется лицензия ФСТЭК России на право осуществления мероприятий и (или) оказания услуг в области защиты государственной тайны (в части технической защиты информации);

конфиденциальная информация требуется лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Органы по аттестации объектов информатизации несут ответственность за выполнение возложенных на них функций, обеспечение сохранности государственных и коммерческих секретов, а также за соблюдение авторских прав pазpаботчиков аттестуемых объектов информатизации и их компонент.

5. Сертификация средств защиты информации

Указанные средства подлежат обязательной сертификации, которая проводится в рамках систем сертификации средств защиты информации. При этом криптографические (шифровальные) средства должны быть отечественного производства и выполнены на основе криптографических алгоритмов, рекомендованных ФСБ России.

На аттестованных объектах информатизации должны применяться сертифицированные по требованиям безопасности информации средства защиты информации. Сертификация средств защиты осуществляется испытательными лабораториями.

Федеральными органами по сертификации являются ФСТЭК России и ФСБ России в части:

разработки и производства средств защиты информации, составляющей государственную тайну;

разработки и производства средств защиты конфиденциальной информации.

6. Построение системы защиты информации в организации

Вопросы создания и непосредственного руководства подразделениями по защите информации в органах государственной власти возлагаются на руководителей органов государственной власти или их заместителей.

Для организации и проведения работ по защите информации создаются специальные подразделения по защите информации (или штатные специалисты).

7. Контроль состояния защиты информации

Контроль состояния защиты информации (далее - контроль) осуществляется с целью своевременного выявления и предотвращения утечки информации по техническим каналам, несанкционированного доступа к ней, преднамеренных программно-технических воздействий на информацию и оценки защиты ее от иностранных технических разведок.

Контроль заключается в проверке выполнения актов законодательства Российской Федерации по вопросам защиты информации, решений ФСТЭК России, а также в оценке обоснованности и эффективности принятых мер защиты для обеспечения выполнения утвержденных требований и норм по защите информации.

Контроль организуется ФСТЭК России, ФСБ России, другими органами государственной власти, входящими в государственную систему защиты информации, и предприятиями в соответствии с их компетенцией.

ФСТЭК России организует контроль силами центрального аппарата и территориальных Управлений ФСТЭК России.

Центральный аппарат ФСТЭК России осуществляет в пределах своей компетенции контроль в органах государственной власти и на предприятиях, обеспечивает методическое руководство работами по контролю.

Территориальные управления ФСТЭК России, в пределах своей компетенции осуществляют контроль в органах государственной власти и на предприятиях, расположенных в зонах ответственности этих управлений.

Органы государственной власти организуют и осуществляют контроль на подчиненных им предприятиях через свои подразделения по защите информации. Повседневный контроль за состоянием защиты информации на предприятиях проводится силами их подразделений по защите информации.

Контроль на предприятиях негосударственного сектора при выполнении работ с использованием сведений, отнесенных к государственной или служебной тайнам, осуществляется органами государственной власти, ФСТЭК России, ФСБ России и заказчиком работ в соответствии с их компетенцией.

Защита информации считается эффективной, если принимаемые меры соответствуют установленным требованиям или нормам.

Несоответствие мер установленным требованиям или нормам по защите информации является нарушением.

Читайте также: