- •2.5 Требования, предъявляемые к ксзи
- •2.5.1 Требования к организационной и технической составляющим ксзи
- •2.5.2 Требования по безопасности, предъявляемые к изделиям ит
- •2.5.2.1. Порядок задания требований
- •2.5.2.2. Разработка изделия ит
- •2.5.2.3. Обеспечение поддержки доверия к безопасности изделия ит при эксплуатации
- •2.5.2.4 Подтверждение соответствия изделий ит требованиям безопасности информации
- •2.5.2.5. Поставка и ввод в действие. Эксплуатация изделия
- •2.6 Этапы разработки ксзи
- •3. Факторы, влияющие на организацию ксзи
- •3.1 Влияние формы собственности на особенности защиты информации ограниченного доступа
- •3.2 Влияние организационно-правовой формы предприятия на особенности защиты информации ограниченного доступа
- •Юридические лица, являющиеся коммерческими организациями
- •3.3 Характер основной деятельности предприятия
- •3.4 Состав, объекты и степень конфиденциальности защищаемой информации
- •3.5 Структура и территориальное расположение предприятия
- •3.6 Режим функционирования предприятия
- •3.7 Конструктивные особенности предприятия
- •3.8 Количественные и качественные показатели ресурсообеспечения
- •3.9 Степень автоматизации основных процедур обработки защищаемой информации
- •4. Определение и нормативное закрепление состава защищаемой информации
- •4.1 Классификация информации по видам тайны и степеням конфиденциальности
- •4.2 Нормативно-правовые аспекты определения состава защищаемой информации
- •4.2.1. Решение Задачи 1
- •4.2.2 Решение задачи 2
- •4.2.3 Определение состава защищаемой информации, отнесенной к коммерческой тайне предприятия
- •4.3 Методика определения состава защищаемой информации
- •4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
- •5. Определение объектов защиты
- •5.1 Значение носителей защищаемой информации, как объектов защиты
- •5.2 Методика выявления состава носителей защищаемой информации
- •5.4 Особенности взаимоотношений с контрагентами, как объект защиты информации ограниченного доступа
- •5.5 Факторы, определяющие необходимость защиты периметра и здания предприятия
- •5.6 Особенности помещений для работы с защищаемой информацией, как объектов защиты
- •Основные принципы оборудования сигнализацией
- •5.7 Транспортные средства и особенности транспортировки
- •5.8 Состав средств обеспечения, подлежащих защите
- •6. Дестабилизирующие воздействия на информацию и их нейтрализация
- •6.1 Факторы и угрозы информационной безопасности. Последствия реализации угроз
- •6.2 Угрозы безопасности информации
- •6.3 Модели нарушителей безопасности ас
- •6.4 Подходы к оценке ущерба от нарушений иб
- •6.5 Обеспечение безопасности информации в непредвиденных ситуациях
- •6.6 Реагирование на инциденты иб
- •6.7 Резервирование информации и отказоустойчивость
4.4 Порядок внедрения Перечня сведений, составляющих кт, внесение в него изменений и дополнений
В соответствии со статьей 4 Закона Российской Федерации «О коммерческой тайне» «Право на отнесение информации к информации, составляющей коммерческую тайну, и на определение перечня и состава такой информации принадлежит обладателю такой информации…»
Таким образом, исходя из положений закона и формы собственности предприятия, Перечень утверждается и вводится в действие собственником предприятия (частным предпринимателем, собранием акционеров и т.п.). Перечень доводится до сотрудников предприятия в полном объеме либо в виде выписки.
Руководитель предприятия организует проведение систематической работы по анализу и обобщению практики применения Перечня.
По мере необходимости этот Перечень должен пересматриваться, изменяться и дополняться. В Перечне может указываться срок, на который те или иные сведения отнесены к коммерческой тайне.
Пересмотр Перечня производится при выявлении новых объектов защиты или в связи с наступлением обстоятельств, при которых дальнейшая защита КТ нецелесообразна (появление нового образца, утечка информации и т.п.), в порядке, предусмотренном для формирования Перечня.
Таким образом:
1. Информационные ресурсы в Российской Федерации являются открытыми и общедоступными, за исключением случаев, установленных соответствующими законами. Законодательством Российской Федерации напрямую запрещено отнесение к защищаемой информации ряд категорий сведений, связанных с обеспечением прав и безопасности граждан, общества и государства.
2. Определение информации, составляющей государственную тайну, на предприятии осуществляется в соответствии с развернутыми перечнями сведений, подлежащих засекречиванию, утверждаемых руководителями органов государственной власти, наделенных соответствующими полномочиями.
3. Непосредственно на предприятии в соответствии с законодательством формируется только перечень сведений, составляющих коммерческую тайну.
5. Определение объектов защиты
5.1 Значение носителей защищаемой информации, как объектов защиты
В предыдущей главе мы ответили на вопрос «Что защищать?» с точки зрения содержания информации, относимой к категории защищаемой.
Учитывая, что «информация – это сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления», в настоящей главе под объектами защиты информации мы будем рассматривать материальные объекты, могущие служить источником защищаемой информации.
Носители информации - материальные объекты, в том числе, физические поля, в которых сведения находят свое отображение в виде символов, образов, сигналов, технических решений и процессов*.
К носителям информации могут быть отнесены:
люди (особенности человека, как носителя информации, будут рассмотрены нами в разделе 5.4);
материальные тела – документы, изделия, материалы и т.п.;
машинные носители информации - магнитные, полупроводниковые, оптические и др.
поля - акустические, электрические, магнитные и электромагнитные (в диапазоне видимого и инфракрасного света, в радиодиапазоне);
элементарные частицы.
Носители информации, как объект правовых отношений
В зависимости от вида тайны, носители информации, как объекты правовых отношений, должны быть соответствующим образом обозначены. Так, в соответствии со статьей 8 Закона «О государственной тайне» для обозначения носителей сведений, составляющих государственную тайну, применяются грифы секретности «особой важности», «совершенно секретно» и «секретно». При этом «гриф секретности - реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него», использовать которые для засекречивания сведений, не отнесенных к государственной тайне, не допускается.
Федеральный закон Российской Федерации «О коммерческой тайне» вменяет в обязанность обладателя коммерческой тайны «нанесение на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну, грифа «Коммерческая тайна» с указанием обладателя этой информации (для юридических лиц - полное наименование и место нахождения, для индивидуальных предпринимателей - фамилия, имя, отчество гражданина, являющегося индивидуальным предпринимателем, и место жительства)». Более того, нанесение указанного грифа является необходимым условием для признания достаточным установленного режима коммерческой тайны.
Аналогично, Положением о порядке обращения со служебной информацией ограниченного распространения в федеральных органах исполнительной власти, утвержденным Постановлением Правительства Российской Федерации от 3 ноября 1994 г. N 1233, определено, что «На документах (в необходимых случаях и на их проектах), содержащих служебную информацию ограниченного распространения, проставляется пометка «Для служебного пользования».
Нанесение на носители информации ограниченного доступа специальных реквизитов (грифов, пометок, учетных номеров и т.п.) производится в целях:
отличия таких носителей от носителей открытой информации;
информирования персонала о виде тайны, содержащейся в носителе, категории секретности информации (т.е. о порядке обращения с ним);
идентификации носителя (учетный номер и номер экземпляра, кому принадлежит, за кем персонально закреплен и т.п.);
защита носителя от подмены.
Носители информации, как возможный источник ее утечки
С точки зрения защиты информации носители можно разделить на две группы. Первичные - специально созданные человеком в целях фиксации, использования по назначению, обработки, хранения и транспортирования информации, вторичные – носители, возникающие в ходе перечисленных процессов, как результат их физических свойств. Очевидно, что возникновение вторичных носителей информации является нежелательным, но неизбежным явлением.
Физическая природа носителя информации имеет основополагающее значение при определении мер по ее защите, так как возникающие при их использовании вторичные носители формируют каналы утечки информации.
Информация, в зависимости от физической природы носителя, может распространяться в различных средах. Физические параметры среды определяют условия распространения вторичного носителя информации, и, следовательно, возможный выбор средств защиты.
Основными такими параметрами среды являются:
физические препятствия для перемещения носителя;
мера ослабления энергии сигнала на единицу расстояния;
частотная характеристика (неравномерность ослабления частотных составляющих спектра сигнала);
вид и мощность помех для сигнала.
Примеры носителей информации (в том числе вторичных):
оптические – электромагнитные волны в диапазоне 0,46-0,76 мкм (видимый свет) и 0,76-13 мкм (ИК-излучения);
акустические - упругие акустические волны в инфразвуковом (менее 16 Гц), звуковом (16 Гц - 20 кГц) и ультразвуковом (свыше 20 кГц) диапазонах частот;
радиоэлектронные - электрические, магнитные и электромагнитные поля в радиодиапазоне, а также электрический ток.
материально-вещественные - вещественные носители с защищаемой информацией.
Для примера рассмотрим акустические колебания. Их источниками являются:
механические колебательные системы, способные при внешнем воздействии перейти в состояние возвратно-поступательного движения своих элементов и генерировать механические колебания, в т.ч. органы речи человека;
преобразователи акустических колебаний в электрические и обратно - пьезоэлементы, микрофоны, телефоны, громкоговорители и др.).
В зависимости от вида генерации акустические колебания могут быть:
механическими - колебания связанной механической системы или вибрация твердых упругих тел;
аэродинамическими - возмущение воздушной среды движением твердых тел или потоком жидкости;
газодинамическими - возмущение воздушной или жидкой среды турбулентным потоком (истечением) газа;
гидродинамическими - возмущение жидкой среды движением твердых тел, потоком жидкости, истечением газа, кавитацией.
Различные среды распространения акустических колебаний определяют степень ослабления сигналов, и, как следствие, возможный выбор материалов используемых для создания защищенных объектов.
Прохождение звука через различные типовые конструкции зданий, например, характеризуется ухудшением разборчивости речи*:
Таблица 5.1
Тип конструкции |
Ожидаемая разборчивость слогов, % |
Кирпичная стена |
25 |
Бетонная стена |
88 |
Дверь обычная |
100 |
Дверь двойная |
95 |
Стекло с одним стеклом 3 мм |
90 |
Трубопровод |
87 - 95 |
Как видим, помещение с такими характеристиками ослабления разборчивости речи не является надежно защищенным от утечки информации по акустическим каналам и требует принятия мер, связанных с применением звукоизолирующих и звукопоглощающих материалов, виброакустических средств зашумления и т.п.
Возможности по перехвату звуковых волн злоумышленником ограничены, ввиду их значительного затухания во всех среда. Более опасными каналами утечки информации характеризуются носители информации, при работе с которыми возникают побочные электромагнитные излучения и наводки (ПЭМИН), самовозбуждение усилителей в электронных средствах обработки информации, устройства, к которым может быть применено высокочастотное навязывание и т.п.
Таким образом, конкретные носители информации обладают набором характеристик, связанных с возникающими при их использовании каналами утечки информации, которые необходимо знать, исследовать и учитывать при проектировании помещений, в которых осуществляются работы с ними, выборе и использовании средств защиты информации, обучении персонала безопасным методам работы.