- •Защита информации Защита информации как деятельность
- •Виды защиты информации
- •Цели и направления защиты информации Цели защиты информации
- •Направления защиты информации
- •Объекты защиты информации Определение понятия «объект защиты информации»
- •Информация как объект защиты Сущность и определение понятия информации как объекта защиты
- •Свойства информации как объекта защиты
- •Информация как объект правовых отношений
- •Часть 1 статьи 7 названного фз устанавливает:
- •Носитель информации как объект защиты
- •Информационный процесс как средство защиты информации
- •Автоматизированная система как комплексный объект защиты информации
- •Условия в которых существует информация Термины и определения
- •Вредоносное воздействие на информацию и их классификация.
Виды защиты информации
В зависимости от того, какие методы, способы и средства используются для защиты информации, различают следующие четыре вида защиты:
-
Правовая
-
Техническая
-
Криптографическая
-
Физическая
В подразделе 2.2 ГОСТ Р 50922-2006 «Защита информации. Основные термины и определения» установлены следующие определения перечисленных типов защиты информации:
«Правовая защита информации: Защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а так же надзор и контроль над их исполнением»
«Техническая защита информации; ТЗР: Защита информации, заключающаяся в обеспечении не криптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством с применением технических, программных и программно-технических средств»
«Криптографическая защита информация: Защита информации с помощью её криптографического преобразования»
«Физическая защита информации: Защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты»
Субъекты по защите информации, указанные в определении правовой защиты информации относятся к субъектам информационной сферы. В соответствие с приведенным определением понятие правовой защиты информации, этот вид защиты информации обеспечивается разработкой законодательных и правовых актов, регулирующих отношение субъектов информационный сферы в области защиты информации, применением этих актов, а так же принятие системных мер, направленных на надзор и контроль за их исполнением. К законодательным документам относятся:
-
Конституция РФ
-
Федеральные конституционные законы
-
Федеральные законы
-
Законы субъектов РФ
Нормативно-правовые акты, регулирующие отношения субъектов информационной сферы в области защиты информации разделяются на нормативно-правовые акты федерального уровня и уровня субъекта РФ. Нормативно-правовыми актами федерального уровня являются указы и распоряжения президента РФ, постановления и распоряжения правительства РФ, а так же другие документы, утвержденные президентом или правительством. К нормативно-правовым актам уровня субъекта относятся распоряжения и указы губернаторов или руководителей субъектов РФ, а так же постановления и распоряжения правительств РФ.
Техническая защита информации, криптографическая защита информации и физическая защита информации обеспечиваются применением средств защиты информации, названный ГОСТ в подразделе 2.7 устанавливает следующие определения понятия «средства защиты информации»:
«Средства защиты информации - техническое, программное, программно-техническое средство, вещество и (или) материал, предназначенные или используемые для защиты информации»
В соответствие с приведённым определением технической защиты информации – этот вид защиты информации обеспечивается применением технических (аппаратных), программных и программно-технических (программно-аппаратных) средств защиты информации, не использующих криптографические преобразования информации.
Криптографическая защита информации обеспечивается использованием ее криптографического преобразования, реализуемого средствами криптографической защиты информации. Средства криптографической защиты информации в технической литературе нормативно-правовых актов, руководящий и методических документов по защите информации часто называют шифровальными средствами.
Средства криптографической защиты информации (шифровальные средства) – средства защиты информации, реализующее алгоритм (алгоритмы) криптографического преобразования информации. К шифровальным средствам относят:
-
Средства Шифрования – аппаратные, программные и аппаратно-программные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты информацииот несанкционированного доступа при её передаче по каналам связи и (или) при её обработке.
-
Средства имитозащиты – аппаратные, программные, программно-аппаратные средства, системы и комплексы, реализующие алгоритмы криптографического преобразования информации и предназначенные для защиты от навязывания ложной информации.
-
Средства электронной подписи – аппаратные, программные, программно-аппаратные средства, обеспечивающие на основе криптографического преобразования информации реализацию хотя бы одной из следующий функций:
-
Создание электронной подписи с использованием закрытого ключа
-
Подтверждение с использованием открытого ключа подлинности с использованием электронной подписи.
-
Создание закрытого и открытого ключей электронной подписи
-
-
Средства кодирования – средства, реализующие алгоритмы криптографического преобразования с выполнением части преобразований путем ручных операций или с использованием автоматизированных средств на основе таких операций
-
Средства изготовления ключевых документов
-
Ключевые документы
Криптографическое преобразование информации в соответствии с терминами и определениями, приведенными в приложении 1 кГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритмы криптографического преобразования» можно определить следующим образом: криптографическое преобразовании информации – преобразование информации при помощи шифрования и (или) выработки имито-вставки.
Термины, входящие в это определение в соответствии с приведенными в названном приложении 1 терминами и их определениями можно определить следующим образом:
-
Шифрование информации – процесс преобразования при помощи шифра открытых данных в зашифрованные или зашифрованных данных в открытые
-
Эмито-вставка – данные фиксированной длины, полученные по определённому правилу из открытых данных и ключей шифрования и добавленные к зашифрованным данным для обеспечения защиты от навязывания ложной информации.
Термины «шифр» и «ключ шифрования» можно определить следующим образом:
-
Шифр – совокупность обратимых преобразований множества возможных открытых данных на множество возможных закрытых (зашифрованных) данных, осуществленных по определенным правилам с примением ключей шифрования.
-
Ключ шифрования – конкретное значение некоторых параметров алгоритма преобразования данных, обеспечивающее выбор одного преобразования из совокупности всех возможных для данного алгоритма преобразования
В соответствие с приведенным определением понятия «физическая защита информации» этот вид защиты информации обеспечивается путем применения организационных мероприятий и (или) совокупности средств физической защиты информации, создающих препятствия для проникновения или несанкционированного доступа неуполномоченных субъектов (физических лиц) к объектам защиты. Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объектов защиты. Объектами защиты могут являться
-
Охраняемая территория
-
Здания или сооружения
-
Помещения
-
Средства и системы обработки и защиты информации
Организационные мероприятия – это пропускной режим в помещения, здания, на территорию, где размещены объекты защиты, а так же охрана названных помещений, зданий и территорий. Совокупности средств, создающий препятствия для проникновения или несанкционированного доступа к объектам защиты в соответствии с ГОСТ Р 51241-98 «Средства и системы контроля и управления доступом. Классификация. Общие технические требования. Методы испытания» называют системой контроля и управления доступом. В разделе 3 названный ГОСТ устанавливает следующие термины и их определения в области физической защиты информации:
-
Доступ – перемещение людей, транспорта и других объектов в (из) помещение, здания, зоны и территории
-
Несанкционированный доступ – доступ людей или объектов, не имеющий право доступа.
-
Санкционированный доступ – доступ людей и объектов, имеющий право доступа
-
Контроль и управление доступом – комплекс мероприятий, направленных на ограничение и санкционирование доступа людей, транспорта и других объектов в (из) помещения, здания, зоны и территории.
-
Средства контроля и управления доступом – механические, электромеханические, электрические, электронные устройства, конструкции и программные средства, обеспечивающие реализацию контроля и управления доступом.
-
Система контроля и управления доступом – совокупность средств контроля и управления доступом, обладающих технической, информационный, программной и эксплуатационной совместимостью.
-
Устройства преграждающие управляемые – устройства, обеспечивающие физическое препятствие доступу людей, транспорта и других объектов и оборудованные исполнительными устройствами для управления их состоянием (двери, турникеты, шлюзы, проходные кабины и т.п.)
-
Устройства исполнительные – устройства и механизмы, обеспечивающие приведение в открытое или закрытое состояние устройств преграждающих, управляемых (электромеханические замки, защелки, механизмы привода шлюзов, ворот, турникетов и т.д.)