§ 11 Методологические подходы к защите информации

1. Определение требований к защищенности информации

Любой отдельный функционально законченный документ (некоторую совокупность знаков), содержащий определенные сведения, вне зависимости от вида носителя, на котором он находится, будем называть информационным пакетом.

К одному типу будем относить информационные пакеты (типовые документы), имеющие сходство по некоторым признакам (по структуре, технологии обработки, типу сведений и т.п.).

Задача состоит в определении реальных уровней заинтересованности (высокая, средняя, низкая, отсутствует) субъектов в обеспечении требований к защищенности каждого из свойств различных типов информационных пакетов, циркулирующих в АС.

Примерный порядок определения требований к защищенности циркулирующей в системе информации представлен ниже:

1. Составляется перечень типов информационных пакетов (документов, таблиц и т.п.). Для этого с учетом предметной области системы пакеты информации разделяются на типы по тематике, функциональному назначению, сходности технологии обработки и т.п. признакам.

На последующих этапах первоначальное разбиение информации (данных) на типы пакетов может уточняться с учетом требований к их защищенности.

2. Затем для каждого типа пакетов, выделенного на первом шаге, и каждого критического свойства информации (доступности, целостности, конфиденциальности) определяются (например, методом экспертных оценок):

• перечень и важность (значимость по отдельной шкале) субъектов, интересы которых затрагиваются при нарушении данного свойства информации;

• уровень наносимого им при этом ущерба (незначительный, малый, средний, большой, очень большой и т.п.) и соответствующий уровень требований к защищенности.

При определении уровня наносимого ущерба необходимо учитывать:

• стоимость возможных потерь при получении информации конкурентом;

• стоимость восстановления информации при ее утрате;

• затраты на восстановление нормального процесса функционирования АС и т.д.

3. Для каждого типа информационных пакетов с учетом значимости субъектов и уровней наносимого им ущерба устанавливается степень необходимой защищенности по каждому из свойств информации (при равенстве значимости субъектов выбирается максимальное значение уровня).

Пример оценки требований к защищенности некоторого типа информационных пакетов приведен в таблице.

2.Факторы, влияющие на требуемый уровень защиты информации.

Систематизированы в ГОСТ Р 51275-2006.

Факторы, которые  воздействуют или могут воздействовать на безопасность защищаемой информации и подлежащие учету при организации защиты информации, по признаку отношения к природе возникновения подразделяют на классы: объективные и субъективные.

1 Перечень объективных факторов, воздействующих на безопасность защищаемой информации

Внутренние  факторы

1. Передача сигналов:

а) по проводным линиям связи;

б) по оптико-волоконным линиям связи;

в) в диапазоне радиоволн и в  оптическом диапазоне длин волн.

2. Излучения сигналов, функционально присущие техническим средствам [устройствам] (далее -ТС) ОИ:

излучения акустических сигналов:

1)сопутствующие работе технических  средств [устройств] обработки  и передачи информации (далее  - ТС ОП И);

2) сопутствующие произносимой или воспроизводимой ТС речи;

электромагнитные излучения и поля:

1) излучения в радиодиапазоне;

2) излучения в оптическом диапазоне.

3. Побочные электромагнитные излучения:

а) элементов (устройств) ТС ОПИ;

б) на частотах работы высокочастотных генераторов устройств, входящих в состав ТС ОПИ:

• модуляция побочных электромагнитных  излучений информативным сигналом, сопровождающим работу ТС ОПИ;

• модуляция побочных электромагнитных  излучений акустическим сигналом, сопровождающим работу ТС ОПИ;

в) на частотах самовозбуждения усилителей, входящих в состав ТС ОПИ.

4. Паразитное электромагнитное излучение: модуляция паразитного электромагнитного  излучения информационными /акустическими сигналами;

5. Наводка:

а) в электрических цепях ТС, имеющих  выход за пределы ОИ;

б) в линиях связи:

• вызванная побочными и (или)  паразитными электромагнитными излучениями, несущими информацию;

• вызванная внутренними емкостными  и (или) индуктивными связями;

в) в цепях электропитания:

• вызванная  побочными и (или)  паразитными электромагнитными  излучениями, несущими информацию;

• вызванная внутренними емкостными  и (или) индуктивными связями;

• через блоки питания ТС ОИ;

г) в цепях заземления:

• вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию;

• вызванная внутренними емкостными  и (или) индуктивными связями;

• обусловленная гальванической связью  схемной (рабочей) «земли» узлов  и бло-ков ТС ОИ;

д) в технических средствах, проводах, кабелях и иных токопроводящих коммуникациях и конструкциях, гальванически не связанных с ТС ОИ, вызванная побочными и (или) паразитными электромагнитными излучениями, несущими информацию.

6. Наличие акустоэлектрических преобразователей в элементах ТС ОИ.

7. Дефекты, сбои и отказы, аварии ТС и систем ОИ.

8. Дефекты, сбои и отказы программного обеспечения ОИ.

Внешние факторы

1. Явления техногенного характера:

• непреднамеренные электромагнитные облучения  ОИ;

• радиационные облучения ОИ;

• сбои, отказы и аварии систем обеспечения  ОИ.

2. Природные явления, стихийные бедствия:

• термические факторы (пожары и т.д.);

• климатические факторы (наводнения и т.д.);

• механические факторы (землетрясения  и т.д.);

• электромагнитные факторы (грозовые разряды и т.д.);

• биологические факторы (микробы, грызуны  и т.д.);

• химические факторы (химически агрессивные  среды и т.д.).