К основным средствам защиты информации относят. Средства защиты информации

Приложение 1 к Положению о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну (система сертификации СЗИ-ГТ), утвержденному приказом ФСБ РФ от 13 ноября 1999 г. № 564 «Об утверждении положений о системе сертификации средств защиты информации по требованиям безопасности для сведений, составляющих государственную тайну, и о ее знаках соответствия»

Виды средств защиты информации,

подлежащих сертификации

в системе сертификации СЗИ-ГТ

1. Технические средства защиты информации, включая средства контроля эффективности принятых мер защиты информации:

1.1. Средства защиты информации от перехвата оптических сигналов (изображений) в видимом, инфракрасном и ультрафиолетовом диапазонах волн.

1.2. Средства защиты информации от перехвата акустических сигналов, распространяющихся в воздушной, водной, твердой средах.

1.3. Средства защиты информации от перехвата электромагнитных сигналов, в том числе от перехвата побочных электромагнитных излучений и наводок (ПЭМИН), возникающих при работе технических средств регистрации, хранения, обработки и документирования информации.

1.4. Средства защиты информации от перехвата электрических сигналов, возникающих в токопроводящих коммуникациях:

За счет ПЭМИН при работе технических средств регистрации, хранения, обработки и документирования информации;

Вследствие эффекта электроакустического преобразования сигналов вспомогательными техническими средствами и системами.

1.5. Средства защиты информации от деятельности радиационной разведки по получению сведений за счет изменения естественного радиационного фона окружающей среды, возникающего при функционировании объекта защиты.

1.6. Средства защиты информации от деятельности химической разведки по получению сведений за счет изменения химического состава окружающей среды, возникающего при функционировании объекта защиты.

1.7. Средства защиты информации от возможности получения сведений магнитометрической разведкой за счет изменения локальной структуры магнитного поля Земли, возникающего вследствие деятельности объекта защиты.

1.8 Технические средства обнаружения и выявления специальных технических средств, предназначенных для негласного получения информации, устанавливаемых в конструкциях зданий и объектов (помещения, транспортные средства), инженерно-технических коммуникациях, интерьере, в бытовой технике, в технических средствах регистрации, хранения, обработки и документирования информации, системах связи и на открытой территории.

2. Технические средства и системы в защищенном исполнении, в том числе:

2.1. Средства скремблирования, маскирования или шифрования телематической информации, передаваемой по каналам связи.

2.2. Аппаратура передачи видеоинформации по оптическому каналу.

3. Технические средства защиты специальных оперативно-технических мероприятий (специальных технических средств, предназначенных для негласного получения информации).

4. Технические средства защиты информации от несанкционированного доступа (НСД):

4.1. Средства защиты, в том числе:

Замки (механические, электромеханические, электронные);

Пломбы;

Замки разового пользования;

Защитные липкие ленты;

Защитные и голографические этикетки;

Специальные защитные упаковки;

Электрические датчики разных типов;

Телевизионные системы охраны и контроля;

Лазерные системы;

Оптические и инфракрасные системы;

Устройства идентификации;

Пластиковые идентификационные карточки;

Ограждения;

Средства обнаружения нарушителя или нарушающего воздействия;

Специальные средства для транспортировки и хранения физических носителей информации (кассеты стриммеров, магнитные и оптические диски и т.п.)

4.2. Специальные средства защиты от подделки документов на основе оптико-химических технологий, в том числе:

Средства защиты документов от ксерокопирования;

Средства защиты документов от подделки (подмены) с помощью химических идентификационных препаратов;

Средства защиты информации с помощью тайнописи.

4.3. Специальные пиротехнические средства для транспортировки, хранения и экстренного уничтожения физических носителей информации (бумага, фотопленка, аудио- и видеокассеты, лазерные диски).

5. Программные средства защиты информации от НСД и программных закладок:

5.1. Программы, обеспечивающие разграничение доступа к информации.

5.2. Программы идентификации и аутентификации терминалов и пользователей по различным признакам (пароль, дополнительное кодовое слово, биометрические данные и т.п.), в том числе программы повышения достоверности идентификации (аутентификации).

5.3. Программы проверки функционирования системы защиты информации и контроля целостности средства защиты от НСД.

5.4. Программы защиты различного вспомогательного назначения, в том числе антивирусные программы.

5.5. Программы защиты операционных систем ПЭВМ (модульная программная интерпретация и т.п.).

5.6. Программы контроля целостности общесистемного и прикладного программного обеспечения.

5.7. Программы, сигнализирующие о нарушении использования ресурсов.

5.8. Программы уничтожения остаточной информации в запоминающих устройствах (оперативная память, видеопамять и т.п.) после завершения ее использования.

5.9. Программы контроля и восстановления файловой структуры данных.

5.10. Программы имитации работы системы или ее блокировки при обнаружении фактов НСД.

5.11. Программы определения фактов НСД и сигнализации (передачи сообщений) об их обнаружении.

6. Защищенные программные средства обработки информации:

6.1. Пакеты прикладных программ автоматизированных рабочих мест (АРМ).

6.2. Базы данных вычислительных сетей.

6.3. Программные средства автоматизированных систем управления (АСУ).

6.4. Программные средства идентификации изготовителя программного (информационного) продукта, включая средства идентификации авторского права.

7. Программно-технические средства защиты информации:

7.1 Программно-технические средства защиты информации от несанкционированного копирования, в том числе:

Средства защиты носителей данных;

Средства предотвращения копирования программного обеспечения, установленного на ПЭВМ.

7.2. Программно-технические средства криптографической и стенографической защиты информации (включая средства маскирования информации) при ее хранении на носителях данных и при передаче по каналам связи.

7.3. Программно-технические средства прерывания работы программы пользователя при нарушении им правил доступа, в том числе:

Принудительное завершение работы программы;

Блокировка компьютера.

7.4. Программно-технические средства стирания данных, в том числе:

Стирание остаточной информации, возникающей в процессе обработки секретных данных в оперативной памяти и на магнитных носителях;

Надежное стирание устаревшей информации с магнитных носителей.

7.5. Программно-технические средства выдачи сигнала тревоги при попытке несанкционированного доступа к информации, в том числе:

Средства регистрации некорректных обращений пользователей к защищаемой информации;

Средства организации контроля за действиями пользователей ПЭВМ.

7.6. Программно-технические средства обнаружения и локализации действия программных и программно-технических закладок.

8. Специальные средства защиты от идентификации личности:

8.1. Средства защиты от фонографической экспертизы речевых сигналов.

8.2. Средства защиты от дактилоскопической экспертизы.

9. Программно-аппаратные средства защиты от несанкционированного доступа к системам оперативно-розыскных мероприятий (СОРМ) на линиях связи:

9.1. В проводных системах связи.

9.2. В сотовых системах связи.

Виды защиты информации, сферы их действия.

Классификация методов защиты информации. Универсальные методы защиты информации, области их применения. Области применения организационных, криптографических и инженерно-технических методов защиты информации.

Понятие и классификация средств защиты информации. Назначение программных, криптографических и технических средств защиты.

Под видом ЗИ понимается относительно обособленная область ЗИ, включающая присущие в основном ей методы, средства и мероприятия по обеспечению безопасности информации.

Правовая защита – вид защиты, включающий совокупность установленных и охраняемых государством правил, регламентирующих защиту информации.

Правовая защита информации регламентирует:

1) определяет вид тайны; состав сведений, которые относятся и могут быть отнесены к каждому виду тайны, кроме коммерческой; и порядок отнесения сведений к различным видам тайны;

3) устанавливает права и обязанности собственников защищаемой информации;

4) устанавливает основные правила (нормы) работы с защищаемой информацией, кроме составляющей коммерческую тайну;

5) устанавливает уголовную, административную и материальную ответственность за незаконное покушение на защищаемую информацию, а также её утрату и разглашение вследствие чего наступили или могли наступить негативные последствия для собственника или владельца информации.

Часть из этих вопросов должна регулироваться только законом, другая часть законами, так и подзаконными актами.

Организационная защита информации – это вид защиты, включающий совокупность организационно-распорядительных документов, организационных методов и мероприятий, регламентирующих и обеспечивающих организацию, технологию и контроль защиты информации.

Организационная защита информации является важнейшим видом защиты информации, это обусловлено тем, что она многофункциональна и в отличие от других видов защиты в состоянии автономно (самостоятельно) обеспечивать отдельные направления защиты, и в тоже время сопровождать другие виды защиты, так как не один из них не может обеспечить то или иное направление защиты без осуществления необходимых организационных мероприятий.

Применительно к сферам деятельности можно выделить пять областей применения организационной защиты:

1. Обеспечение выполнения установленных правовых норм защиты информации. Это направление осуществляется путём такой регламентации деятельности предприятия и его сотрудников, которая позволяет, обязывает или заставляет выполнять требования правовых норм защиты информации. С этой целью правовые нормы либо закладываются (переносятся) в нормативные документы предприятия, регулирующие организацию и технологию выполнения работ, взаимоотношения служащих, условия приёма и увольнения сотрудников, правила трудового распорядка и тому подобное, либо трансформируются в специальных нормативных документах по защите информации. При этом одно не исключает другое: часть вопросов может находить отражение в общих документах, часть в специальных документах.

2. Обеспечение реализации криптографической, программно-аппаратной и инженерно-технической защиты информации. Это направление осуществляется путём разработки нормативно-методических и организационно-технических документов, а также проведения необходимых организационных мероприятий, обеспечивающих реализацию и функционирование методов и средств этих видов защиты.

3. Обеспечение защиты отдельных направлений самостоятельно только организационными методами и мероприятиями. Оно позволяет решить только организационными методами следующие вопросы:

Определение носителей защищаемой информации;

Установление сферы обращения защищаемой информации;

Обеспечение дифференцированного подхода к защите информации (особенность защиты тайн, специфика защиты информации);

Установление круга лиц, допускаемых к защищаемой информации;

Обеспечение выполнения правил работы с информацией её пользователями;

Предупреждение использования защищаемой информации при проведении открытых работ и мероприятий, в том числе при подготовке материалов для средств массовой информации, демонстрации на открытых выставках, в выступлениях на открытых мероприятиях, ведении несекретного делопроизводства и так далее.

4. Обеспечение защиты отдельных направлений в сочетание с другими видами защиты. Это направление позволяет в совокупности с другими видами защиты:

Выявить источники, виды и способы дестабилизирующего воздействия на информацию;

Определить причины, обстоятельства и условия реализации дестабилизирующего воздействия на информацию;

Выявить каналы и методы несанкционированного доступа к защищаемой информации;

Определить методы защиты информации;

Установить порядок обращения с защищаемой информацией;

Установить систему доступа к защищаемой информации;

Обеспечить защиту информации: в процессе её изготовления, обработки и хранения; при её передачи по линиям связи и при физической передачи сторонним организациям; при работе с ней пользователей; при проведении закрытых конференций, совещаний, семинаров, выставок; при проведении закрытого учебного процесса и защиты диссертации; при осуществлении международного сотрудничества; при возникновении чрезвычайных ситуаций.

5. Данное направление представляет собой объединение в единую систему всех видов, методов и средств защиты информации. Оно реализуется путём разработки и внедрения нормативно-методических документов по организации локальных систем и комплексной защиты информации, организационного сопровождения функционирования систем, а также путём обеспечения контроля надёжности систем.

Основу криптографической защиты информации составляет криптография, которая расшифровывается как тайнопись, система изменения информации с целью сделать её непонятной для непосвящённых лиц, поэтому криптографическая защита информации определяется как вид защиты, осуществляемый путём преобразования (закрытия) информации методами шифрования, кодирования или иными специальными методами.

Цели криптографии менялись на протяжении всей истории. Сначала она служила больше для обеспечения секретности, чтобы препятствовать несанкционированному раскрытию информации, передаваемой по военной и дипломатической связи. С началом информационного века обнаружилась потребность применения криптографии и в частном секторе. Количество конфиденциальной информации огромно - истории болезней, юридические, финансовые документы. Последние достижения криптографии позволили использовать её не только для обеспечения подлинности и целостности информации. Для сохранения тайны сообщения помимо криптографических способов применяются физическая защита и стеганография. Как показала практика, наиболее эффективная защита информации обеспечивается на основе криптографических способов и, как правило, в сочетании с другими способами. Важным понятием криптографии является стойкость – это способность противостоять попыткам хорошо вооружённого современной техникой и знаниями криптоаналитика дешифровать перехваченное сообщение, раскрыть ключи шифра или нарушить целостность и/или подлинность информации.

Современная криптографическая защита реализуется совокупностью математических, программных, организационных методов и средств. Она используется не только и не столько для закрытия информации при её хранении и обработки, сколько при её передачи, как традиционными способами, так и особенно по каналам радио - и кабельной связи.

Программно-аппаратная защита информации – вид защиты информации, включающий специальные программы защиты, функционирующие автономно, либо реализовано в программных средствах обработки информации или технических устройствах защиты информации.

Программно-аппаратных методов защиты информации не существует, таким образом, защита информации осуществляется только средствами защиты информации.

Информатизация многих направлений деятельности общества (оборона, политика, финансы и банки, экологически опасные производства, здравоохранение и другие) приводит к использованию вычислительных средств при проведении работ, связанных с обработкой и хранением конфиденциальной информации и требующих гарантированной достоверности результатов и самой обрабатываемой информации. В качестве вычислительных средств чаще всего используются универсальные ЭВМ и программное обеспечение. Это заставляет разрабатывать и применять дополнительные средства защиты информации при создании защищённых автоматизированных систем и защищённых информационных технологий.

Таким образом, программно-аппаратная защита предназначена для защиты информационных технологий и технических средств обработки информации.

Для решения проблемы защиты информации основными средствами, используемыми для создания механизмов защиты, принято считать:

  • 1. Технические средства реализуются в виде электрических, электромеханических, электронных устройств. Всю совокупность технических средств принято делить на:
    • - аппаратные - устройства, встраиваемые непосредственно в аппаратуру, или устройства, которые сопрягаются с аппаратурой СОД по стандартному интерфейсу (схемы контроля информации по четности, схемы защиты полей памяти по ключу, специальные регистры);
    • - физические - реализуются в виде автономных устройств и систем (электронно-механическое оборудование охранной сигнализации и наблюдения, замки на дверях, решетки на окнах).
  • 2. Программные средства - программы, специально предназначенные для выполнения функций, связанных с защитой информации.

В ходе развития концепции защиты информации специалисты пришли к выводу, что использование какого-либо одного из выше указанных способов защиты, не обеспечивает надежного сохранения информации. Необходим комплексный подход к использованию и развитию всех средств и способов защиты информации (рис. 1).

Рис. 1.

В результате были созданы следующие способы защиты информации:

  • 1. Препятствие - физически преграждает злоумышленнику путь к защищаемой информации (на территорию и в помещения с аппаратурой, носителями информации).
  • 2. Управление доступом - способ защиты информации регулированием использования всех ресурсов системы (технических, программных средств, элементов данных).
  • 3. Кодирование информации - способ защиты информации в СОД путем ее криптографического закрытия. При передаче информации по линиям связи большой протяженности криптографическое закрытие является единственным способом надежной ее защиты.
  • 4. Регламентация - заключается в разработке и реализации в процессе функционирования СОД комплексов мероприятий, создающих такие условия автоматизированной обработки и хранения в СОД защищаемой информации, при которых возможности несанкционированного доступа к ней сводились бы к минимуму.
  • 5. Принуждение - пользователи и персонал СОД вынуждены соблюдать правила обработки и использования защищаемой информации под угрозой материальной, административной или уголовной ответственности.

Рассмотренные способы защиты информации реализуются применением различных средств защиты, причем различают технические, программные, организационные, законодательные и морально-этические средства.

Организационными средствами защиты называются организационно-правовые мероприятия, осуществляемые в процессе создания и эксплуатации СОД для обеспечения защиты информации. Организационные мероприятия охватывают все структурные элементы СОД на всех этапах: строительство помещений, проектирование системы, монтаж и наладка оборудования, испытания и проверки, эксплуатация.

К законодательным средствам защиты относятся законодательные акты страны, которыми регламентируются правила использования и обработки информации ограниченного доступа и устанавливаются меры ответственности за нарушение этих правил.

К морально-этическим средствам защиты относятся всевозможные нормы, которые сложились традиционно или складываются по мере распространения вычислительных средств в данной стране или обществе. Эти нормы большей частью не являются обязательными, как законодательные меры, однако несоблюдение их ведет обычно к потере авторитета, престижа человека или группы лиц.

Все рассмотренные средства защиты делятся на:

  • 1. Формальные - выполняющие защитные функции строго по заранее предусмотренной процедуре и без непосредственного участия человека.
  • 2. Неформальные - такие средства, которые либо определяются целенаправленной деятельностью людей, либо регламентируют эту деятельность.

Все средства защиты можно разделить на две группы - формальные и неформальные. К формальным относятся такие средства, которые выполняют свои функции по защите информации формально, то есть преимущественно без участия человека. К неформальным относятся средства, основу которых составляет целенаправленная деятельность людей. Формальные средства делятся на технические (физические, аппаратные) и программные.

Технические средства защиты - это средства, в которых основная защитная функция реализуется некоторым техническим устройством (комплексом, системой).

К несомненным достоинствам технических средств относятся широкий круг задач, достаточно высокая надежность, возможность создания развитых комплексных систем защиты, гибкое реагирование на попытки несанкционированных действий, традиционность используемых методов осуществления защитных функций.

Основными недостатками являются высокая стоимость многих средств, необходимость регулярного проведения регламентированных работ и контроля, возможность подачи ложных тревог.

Системную классификацию технических средств защиты удобно провести по следующей совокупности показателей:

  • 1) функциональное назначение, то есть основные задачи защиты объекта, которые могут быть решены с их применением;
  • 2) сопряженность средств защиты с другими средствами объекта обработки информации (ООИ);
  • 3) сложность средства защиты и практического его использования;
  • 4) тип средства защиты, указывающий на принципы работы их элементов;
  • 5) стоимость приобретения, установки и эксплуатации.

В зависимости от цели и места применения, выполняемых функций и физической реализуемости технические средства можно условно разделить на физические и аппаратные:

Физические средства - механические, электрические, электромеханические, электронные, электронно-механические и тому подобные устройства и системы, которые функционируют автономно, создавая различного рода препятствия на пути дестабилизирующих факторов.

  • 1. внешняя защита - защита от воздействия дестабилизирующих факторов, проявляющихся за пределами основных средств объекта (физическая изоляция сооружений, в которых устанавливается аппаратура автоматизированной системы, от других сооружений);
  • 2. внутренняя защита - защита от воздействия дестабилизирующих факторов, проявляющихся непосредственно в средствах обработки информации (ограждение территории вычислительных центров заборами на таких расстояниях, которые достаточны для исключения эффективной регистрации электромагнитных излучений, и организации систематического контроля этих территорий);
  • 3. опознавание - специфическая группа средств, предназначенная для опознавания людей и идентификации технических средств по различным индивидуальным характеристикам (организация контрольно-пропускных пунктов у входов в помещения вычислительных центров или оборудованных входных дверей специальными замками, позволяющими регулировать доступ в помещения).

Аппаратные средства - различные электронные, электронно-механические и тому подобные устройства, схемно встраиваемые в аппаратуру системы обработки данных или сопрягаемые с ней специально для решения задач по защите информации. Например, для защиты от утечки по техническим каналам используются генераторы шума.

  • 1. нейтрализация технических каналов утечки информации (ТКУИ) выполняет функцию защиты информации от ее утечки по техническим каналам;
  • 2. поиск закладных устройств - защита от использования злоумышленником закладных устройств съема информации;
  • 3 маскировка сигнала, содержащего конфиденциальную информацию, - защита информации от обнаружения ее носителей (стенографические методы) и защита содержания информации от раскрытия (криптографические методы).

Особую и получающую наибольшее распространение группу аппаратных средств защиты составляют устройства для шифрования информации (криптографические методы).

Программные средства - специальные пакеты программ или отдельные программы, включаемые в состав программного обеспечения автоматизированных систем с целью решения задач по защите информации. Это могут быть различные программы по криптографическому преобразованию данных, контролю доступа, защите от вирусов и др. Программная защита является наиболее распространенным видом защиты, чему способствуют такие положительные свойства данного средства, как универсальность, гибкость, простота реализации, практически неограниченные возможности изменения и развития и т.п. По функциональному назначению их можно разделить на следующие группы:

  • 1. идентификация технических средств (терминалов, устройств группового управления вводом-выводом, ЭВМ, носителей информации), задач и пользователей,
  • 2. определение прав технических средств (дни и время работы, разрешенные к использованию задачи) и пользователей,
  • 3. контроль работы технических средств и пользователей,
  • 4. регистрация работы технических средств и пользователей при обработке информации ограниченного использования,
  • 5. уничтожения информации в ЗУ после использования,
  • 6. сигнализации при несанкционированных действиях,
  • 7. вспомогательные программы различного назначения: контроля работы механизма защиты, проставления грифа секретности на выдаваемых документах.

Неформальные средства делятся на организационные, законодательные и морально-этические.

Организационные средства - специально предусматриваемые в технологии функционирования объекта организационно-технические мероприятия для решения задач по защите информации, осуществляемые в виде целенаправленной деятельности людей.

Организационные мероприятия играют большую роль в создании надежного механизма защиты информации. Причины, по которым организационные мероприятия играют повышенную роль в механизме защиты, заключается в том, что возможности несанкционированного использования информации в значительной мере обуславливаются нетехническими аспектами: злоумышленными действиями, нерадивостью или небрежностью пользователей или персонала систем обработки данных. Влияние этих аспектов практически невозможно избежать или локализовать с помощью выше рассмотренных аппаратных и программных средств и физических мер защиты. Для этого необходима совокупность организационных, организационно-технических и организационно-правовых мероприятий, которая исключала бы возможность возникновения опасности утечки информации подобным образом.

Основными мероприятиями являются следующие:

Обязательные

  • 1) Мероприятия, осуществляемые при проектировании, строительстве и оборудовании вычислительных центров.
  • 2) Мероприятия, осуществляемые при подборе и подготовки персонала вычислительного центра (проверка принимаемых на работу, создание условий, при которых персонал не хотел бы лишиться работы, ознакомление с мерами ответственности за нарушение правил защиты).
  • 3) Организация надежного пропускного режима.
  • 4) Контроль внесения изменений в математическое и программное обеспечение.
  • 5) Ознакомление всех сотрудников с принципами защиты информации и принципами работы средств хранения и обработки информации. Представляя себе хотя бы на качественном уровне, что происходит при тех или иных операциях, сотрудник избежит явных ошибок.
  • 6) Чёткая классификация всей информации по степени её закрытости и введение правил обращения с документами ограниченного распространения.
  • 7) Обязать сотрудников исполнять требования по защите информации, подкрепив это соответствующими организационными и дисциплинарными мерами.

Желательные

  • 1) Заставить всех сотрудников изучить современные средства защиты информации и сдать по ним зачёт.
  • 2)Иметь в штате специалиста, профессионально разбирающегося в проблемах защиты информации.
  • 3) Не использовать в работе программное обеспечение, в отношении которого не имеется чёткой уверенности, что оно не совершает несанкционированных действий с обрабатываемой информацией, таких, например, как самовольное создание копий, сбор информации о компьютере, отсылка по Интернету сведений изготовителю программного обеспечения.
  • 4) Приобрести сертифицированные средства защиты информации.
  • 5) Запретить сотрудникам (кроме уполномоченных специалистов) инсталлировать какое-либо новое программное обеспечение. При получении любых исполняемых файлов по электронной почте стирать их, не разбираясь.

Дополнительные

  • 1) Разработать комплексную стратегию защиты информации на вашем предприятии. Лучше поручить такую задачу сторонним специалистам.
  • 2) Провести «испытание» имеющихся у вас средств защиты информации, поручив стороннему специалисту испробовать на прочность вашу защиту.

Одно из важнейших организационных мероприятий - содержание в вычислительном центре специальной штатной службы защиты информации, численность и состав которой обеспечивали бы создание надежной системы защиты и регулярное ее функционирование.

Законодательные средства - существующие в стране или специально издаваемые нормативно-правовые акты, с помощью которых регламентируются права и обязанности, связанные с обеспечением защиты информации, всех лиц и подразделений, имеющих отношение к функционированию системы, а также устанавливается ответственность за нарушение правил обработки информации, следствием чего может быть нарушение защищенности информации.

Морально-этические нормы - сложившиеся в обществе или данном коллективе моральные нормы или этические правила, соблюдение которых способствует защите информации, а нарушение их приравнивается к несоблюдению правил поведения в обществе или коллективе.

Морально-нравственные способы защиты информации предполагают, прежде всего, воспитание сотрудника, допущенного к секретам, то есть проведение специальной работы, направленной на формирование у него системы определенных качеств, взглядов и убеждений (патриотизма, понимания важности и полезности защиты информации и для него лично), и обучение сотрудника, осведомленного о сведениях, составляющих охраняемую тайну, правилам и методам защиты информации, привитие ему навыков работы с носителями секретной и конфиденциальной информации.

Основными организационными и техническими методами, используемыми в защите государственной тайны, являются: скрытие, ранжирование, дробление, учет, дезинформация, морально-нравственные меры, кодирование и шифрование.

Скрытие как метод защиты информации является в основе своей реализации на практике одним из основных организационных принципов защиты информации - максимального ограничения числа лиц, допускаемых к секретам. Реализация этого метода достигается обычно путем:

  • 1. засекречивания информации, т.е. отнесения ее к секретной или конфиденциальной информации различной степени секретности и ограничения в связи с этим доступа к этой информации в зависимости от ее важности для собственника, что проявляется в проставляемом на носителе этой информации грифе секретности;
  • 2. устранения или ослабления технических демаскирующих признаков объектов защиты и технических каналов утечки сведений о них.

Скрытие - один из наиболее общих и широко применяемых методов защиты информации.

Ранжирование как метод защиты информации включает, во-первых, деление засекречиваемой информации по степени секретности и, во-вторых, регламентацию допуска и разграничение доступа к защищаемой информации: предоставление индивидуальных прав отдельным пользователям на доступ к необходимой им конкретной информации и на выполнение отдельных операций.

Ранжирование как метод защиты информации является частным случаем метода скрытия: пользователь не допускается к информации, которая ему не нужна для выполнения его служебных функций, и тем самым эта информация скрывается от него и всех остальных (посторонних) лиц.

Дезинформация - один из методов защиты информации, заключающийся в распространении заведомо ложных сведений относительно истинного назначения каких-то объектов и изделий, действительного состояния какой-то области государственной деятельности.

Дезинформация обычно проводится путем распространения ложной информации по различным каналам, имитацией или искажением признаков и свойств отдельных элементов объектов защиты, создания ложных объектов, по внешнему виду или проявлениям похожих на интересующие соперника объекты, и др.

Дробление (расчленение) информации на части с таким условием, что знание какой-то одной части информации (например, знание одной операции технологии производства какого-то продукта) не позволяет восстановить всю картину, всю технологию в целом.

Применяется достаточно широко при производстве средств: вооружения и военной техники, а также при производстве товаров народного потребления.

Учет (аудит) также является одним из важнейших методов защиты информации, обеспечивающих возможность получения в любое время данных о любом носителе защищаемой информации, о количестве и местонахождении всех носителей засекреченной информации, а также данные о всех пользователях этой информации. Без учета решать проблемы было бы невозможно, особенно когда количество носителей превышает какой-то минимальный объем.

Кодирование - метод защиты информации, преследующий цель скрыть от нарушителя содержание защищаемой информации и заключающийся в преобразовании с помощью кодов открытого текста в условный при передаче информации по каналам связи, направлении письменного сообщения, когда есть угроза, что оно может попасть в чужие руки, а также при обработке и хранении информации в средствах вычислительной техники (СВТ).

Для кодирования используются обычно совокупность знаков (символов, цифр и др.) и система определенных правил, при помощи которых информация может быть преобразована (закодирована) таким образом, что прочесть ее можно будет, только если пользователь располагает соответствующим ключом (кодом) для ее раскодирования.

Шифрование - метод защиты информации, используемый чаще при передаче сообщений с помощью различной радиоаппаратуры, направлении письменных сообщений и в других случаях, когда есть опасность перехвата этих сообщений. Шифрование заключается в преобразовании открытой информации в вид, исключающий понимание его содержания, если перехвативший не имеет сведений (ключа) для раскрытия шифра.

Знание возможностей приведенных методов позволяет активно и комплексно применять их при рассмотрении и использовании правовых, организационных и инженерно-технических мер защиты секретной информации.

В требованиях по безопасности информации при проектировании информационных систем указываются признаки, характеризующие применяемые средства защиты информации. Они определены различными актами регуляторов в области обеспечения информационной безопасности, в частности - ФСТЭК и ФСБ России. Какие классы защищенности бывают, типы и виды средств защиты, а также где об этом узнать подробнее, отражено в статье.

Введение

Сегодня вопросы обеспечения информационной безопасности являются предметом пристального внимания, поскольку внедряемые повсеместно технологии без обеспечения информационной безопасности становятся источником новых серьезных проблем.

О серьезности ситуации сообщает ФСБ России: сумма ущерба, нанесенная злоумышленниками за несколько лет по всему миру составила от $300 млрд до $1 трлн. По сведениям, представленным Генеральным прокурором РФ, только за первое полугодие 2017 г. в России количество преступлений в сфере высоких технологий увеличилось в шесть раз, общая сумма ущерба превысила $ 18 млн. Рост целевых атак в промышленном секторе в 2017 г. отмечен по всему миру. В частности, в России прирост числа атак по отношению к 2016 г. составил 22 %.

Информационные технологии стали применяться в качестве оружия в военно-политических, террористических целях, для вмешательства во внутренние дела суверенных государств, а также для совершения иных преступлений. Российская Федерация выступает за создание системы международной информационной безопасности.

На территории Российской Федерации обладатели информации и операторы информационных систем обязаны блокировать попытки несанкционированного доступа к информации, а также осуществлять мониторинг состояния защищенности ИТ-инфраструктуры на постоянной основе. При этом защита информации обеспечивается за счет принятия различных мер, включая технические.

Средства защиты информации, или СЗИ обеспечивают защиту информации в информационных системах, по сути представляющих собой совокупность хранимой в базах данных информации, информационных технологий, обеспечивающих ее обработку, и технических средств.

Для современных информационных систем характерно использование различных аппаратно-программных платформ, территориальная распределенность компонентов, а также взаимодействие с открытыми сетями передачи данных.

Как защитить информацию в таких условиях? Соответствующие требования предъявляют уполномоченные органы, в частности, ФСТЭК и ФСБ России. В рамках статьи постараемся отразить основные подходы к классификации СЗИ с учетом требований указанных регуляторов. Иные способы описания классификации СЗИ, отраженные в нормативных документах российских ведомств, а также зарубежных организаций и агентств, выходят за рамки настоящей статьи и далее не рассматриваются.

Статья может быть полезна начинающим специалистам в области информационной безопасности в качестве источника структурированной информации о способах классификации СЗИ на основании требований ФСТЭК России (в большей степени) и, кратко, ФСБ России.

Структурой, определяющей порядок и координирующей действия обеспечения некриптографическими методами ИБ, является ФСТЭК России (ранее - Государственная техническая комиссия при Президенте Российской Федерации, Гостехкомиссия).

Если читателю приходилось видеть Государственный реестр сертифицированных средств защиты информации , который формирует ФСТЭК России, то он безусловно обращал внимание на наличие в описательной части предназначения СЗИ таких фраз, как «класс РД СВТ», «уровень отсутствия НДВ» и пр. (рисунок 1).

Рисунок 1. Фрагмент реестра сертифицированных СЗИ

Классификация криптографических средств защиты информации

ФСБ России определены классы криптографических СЗИ: КС1, КС2, КС3, КВ и КА.

К основным особенностям СЗИ класса КС1 относится их возможность противостоять атакам, проводимым из-за пределов контролируемой зоны. При этом подразумевается, что создание способов атак, их подготовка и проведение осуществляется без участия специалистов в области разработки и анализа криптографических СЗИ. Предполагается, что информация о системе, в которой применяются указанные СЗИ, может быть получена из открытых источников.

Если криптографическое СЗИ может противостоять атакам, блокируемым средствами класса КС1, а также проводимым в пределах контролируемой зоны, то такое СЗИ соответствует классу КС2. При этом допускается, например, что при подготовке атаки могла стать доступной информация о физических мерах защиты информационных систем, обеспечении контролируемой зоны и пр.

В случае возможности противостоять атакам при наличии физического доступа к средствам вычислительной техники с установленными криптографическими СЗИ говорят о соответствии таких средств классу КС3.

Если криптографическое СЗИ противостоит атакам, при создании которых участвовали специалисты в области разработки и анализа указанных средств, в том числе научно-исследовательские центры, была возможность проведения лабораторных исследований средств защиты, то речь идет о соответствии классу КВ.

Если к разработке способов атак привлекались специалисты в области использования НДВ системного программного обеспечения, была доступна соответствующая конструкторская документация и был доступ к любым аппаратным компонентам криптографических СЗИ, то защиту от таких атак могут обеспечивать средства класса КА.

Классификация средств защиты электронной подписи

Средства электронной подписи в зависимости от способностей противостоять атакам принято сопоставлять со следующими классами: КС1, КС2, КС3, КВ1, КВ2 и КА1. Эта классификация аналогична рассмотренной выше в отношении криптографических СЗИ.

Выводы

В статье были рассмотрены некоторые способы классификации СЗИ в России, основу которых составляет нормативная база регуляторов в области защиты информации. Рассмотренные варианты классификации не являются исчерпывающими. Тем не менее надеемся, что представленная сводная информация позволит быстрее ориентироваться начинающему специалисту в области обеспечения ИБ.