Цели и задачи технической защиты информации

1. Цели и задачи технической защиты информации

2. Основные понятия термины и определения в области технической защиты информации

Прежде, чем говорить о защите информации,
необходимо определиться с понятием самой
информации.
Существует
множество
определений информации, которые варьируются
в зависимости от контекста. В контексте защиты
информации
целесообразно
использовать определение из Федерального
закона № 149 от 27.07.2006 "Об информации,
информационных технологиях и о защите
информации":
Информация - сведения (сообщения, данные)
независимо от формы их представления.

3. Основные понятия термины и определения в области технической защиты информации

В соответствии с законодательством Российской
Федерации защите подлежит конфиденциальная
информация и секретная информация, к которой
относится государственная тайна.
Под
конфиденциальной
информацией
подразумевается информация ограниченного
доступа, не содержащая государственную тайну.
Категорирование информации в соответствии с ФЗ №149 от
27.07.2006

4. Основные понятия термины и определения в области технической защиты информации

Защита информации
деятельность по предотвращению утечки защищаемой информации,
несанкционированных и непреднамеренных воздействий на защищаемую
информацию.
Цель защиты
информации
это желаемый результат защиты информации. Целью защиты информации может быть
предотвращение нанесения ущерба собственнику, владельцу, пользователю информации в
результате возможной утечки информации и/или несанкционированного и непреднамеренного
воздействия на информацию.

5. Основные понятия термины и определения в области технической защиты информации

Эффективность
защиты информации
степень соответствия результатов защиты информации поставленной цели.
Информационные
технологии
процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения
информации и способы осуществления таких процессов и методов.
Информационная
система
совокупность содержащейся в базах данных информации и обеспечивающих ее обработку
информационных технологий и технических средств.

6. Основные понятия термины и определения в области технической защиты информации

Информационно телекоммуникационна
я сеть
технологическая
система,
предназначенная
для
передачи
по
линиям
связи
информации, доступ к которой осуществляется с использованием средств вычислительной
техники.
Обладатель
информации
лицо, самостоятельно создавшее информацию либо получившее на основании закона или
договора право разрешать или ограничивать доступ к информации, определяемой по какимлибо признакам.
Доступ к информации
возможность получения информации и ее использования.

7. Основные понятия термины и определения в области технической защиты информации

Предоставление
информации
действия, направленные на получение информации определенным кругом лиц или передачу
информации определенному кругу лиц.
Распространение
информации
действия, направленные на получение информации неопределенным кругом лиц или передачу
информации неопределенному кругу лиц.
Объект
информатизации
совокупность информационных ресурсов, средств и систем обработки информации,
используемых в соответствии с заданной информационной технологией, средств обеспечения
объекта информатизации, помещений или объектов (зданий, сооружений, технических
средств), в которых они установлены, или помещения и объекты, предназначенные для
ведения конфиденциальных переговоров.

8. Основные понятия термины и определения в области технической защиты информации

Автоматизированная
система
система, состоящая из персонала и комплекса средств автоматизации его деятельности,
реализующая информационную технологию выполнения установленных функций.
Основные
технические средства
и системы
технические средства и системы, а также их коммуникации, используемые для обработки,
хранения и передачи информации ограниченного доступа. Эти средства и системы также
называют техническими средствами приёма, обработки и хранения информации (ТСПИ)
Вспомогательные
технические средства
и системы
технические средства и системы, не предназначенные для передачи, обработки и хранения
информации ограниченного доступа, устанавливаемые совместно с основными техническими
средствами и системами или в защищаемых помещениях.

9. Основные понятия термины и определения в области технической защиты информации

Защищаемые
помещения
помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально
предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений,
конференций, переговоров и т.п.).
Контролируемая зона
пространство (территория, здание, часть здания, помещение), в котором исключено
неконтролируемое пребывание посторонних лиц, а также транспортных, технических и иных
материальных средств.

10. Основные понятия термины и определения в области технической защиты информации

В общем случае защита информации представляет собой противостояние обладателя информации и
злоумышленника. Злоумышленник - это субъект, который незаконным путем пытается добыть,
изменить или уничтожить информацию.
Защита информации является слабоформализуемой задачей, то есть не имеет формальных методов
решения, и характеризуется следующим:
• большое количество факторов, влияющих на построение эффективной защиты;
• отсутствие точных исходных входных данных;
• отсутствие математических методов получения оптимальных результатов по совокупности исходных
данных.
В основе решения слабоформализуемых задач лежит системный подход. То есть для решения задачи
защиты информации необходимо построить систему защиты информации, представляющую собой
совокупность элементов, функционирование которых направлено на обеспечение безопасности
информации.

11. Основные понятия термины и определения в области технической защиты информации

Понятие информационной безопасности не менее многогранно, чем понятие самой информации, и зависит от контекста, в котором
применяется. Под информационной безопасностью мы будем понимать защищенность информации и поддерживающей
инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, которые могут нанести
неприемлемый ущерб субъектам информационных отношений, в том числе владельцам и пользователям информации и
поддерживающей инфраструктуры. То есть информационная безопасность - это безопасность не только информации, но и
поддерживающей инфраструктуры. Более детально цели защиты информации перечислены в Федеральном законе №149
27.07.2006 "Об информации, информатизации и о защите информации":
предотвращение утечки, хищения, утраты, искажения, подделки информации;
предотвращение угроз безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию
информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение
правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в
информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных
систем, технологий и средств их обеспечения.

12. Основные понятия термины и определения в области технической защиты информации

Определение безопасности информации из ГОСТ Р ИСО/МЭК 177992005:
Безопасность информации - состояние защищенности информации,
при котором обеспечиваются ее конфиденциальность, доступность и
целостность.
Конфиденциальность, доступность и целостность представляют собой
три наиболее важных свойства информации в рамках обеспечения ее
безопасности:
конфиденциальность информации - состояние информации, при
котором доступ к ней осуществляют только субъекты, имеющие на
него право;
целостность информации - состояние информации, при котором
отсутствует любое ее изменение либо изменение осуществляется
только преднамеренно субъектами, имеющими на него право;
доступность информации - состояние информации, при котором
субъекты, имеющие права доступа, могут реализовать их
беспрепятственно.

13. Меры защиты информации

Меры защиты информации подразделяются на: правовые; криптографические; физические; технические (аппаратные и программные).

14. Меры защиты информации

К правовым мерам защиты относятся законы РФ, указы и другие
нормативно-правовые акты. На законодательном уровне происходит
регламентация правил обращения с информацией, определяются
участники информационных отношений, их права и обязанности, а также
ответственность в случае нарушения требований законодательства. В
некотором роде эту группу мер можно отнести к профилактическим. Одной
из их функций является упреждение потенциальных злоумышленников,
ведь в большинстве случаев именно страх наказания останавливает от
совершения преступления. Достоинством правовых мер защиты является
их универсальность в плане применения ко всем способам незаконной
добычи информации. Более того, в некоторых случаях они являются
единственно применимыми, как, например, при защите авторского права
от незаконного тиражирования.
Физическая защита представляет собой совокупность средств,
препятствующих
физическому
проникновению
потенциального
злоумышленника в контролируемую зону. Ими могут быть механические,
электро- или электронно-механические устройства различного типа. Чаще
всего, именно с построения физической защиты начинается обеспечение
безопасности в организации, в том числе информационной.

15. Меры защиты информации

Криптографические методы защиты информации - это
специальные методы шифрования, кодирования или иного
преобразования информации, в результате которого ее
содержание становится недоступным для потенциального
злоумышленника. Регулятором в области криптографических мер
защиты является Федеральная служба безопасности Российской
Федерации.
Техническая защита информации - защита информации,
заключающаяся в обеспечении некриптографическими методами
безопасности информации (данных), подлежащей (подлежащих)
защите в соответствии с действующим законодательством, с
применением
технических,
программных
и
программнотехнических средств. Цель технической защиты информации обеспечение целостности, конфиденциальности и доступности
защищаемой информации.

16. Задачи и объекты технической защиты информации

Основные задачи технической защиты информации:
предотвращение утечки информации через технические каналы утечки информации;
предотвращение несанкционированного доступа к информации.
Регулятором в области обеспечения технической защиты информации является Федеральная служба по техническому и
экспортному контролю Российской Федерации.
Объектами технической защиты информации могут быть:
объект информатизации;
информационная система/автоматизированная система;
ресурсы информационной системы/автоматизированной системы;
информационная технология;
программные средства;
сети связи.

17. Принципы технической защиты информации

С позиции системного подхода система защиты информации
должна удовлетворять ряду принципов, основными из которых
являются:
1.
Непрерывность. Если на какое-то время защита ослабевает
или
прекращается
вовсе,
злоумышленник
может
воспользоваться этим.
2.
Целенаправленность и конкретность - имеется в виду
необходимость защиты от наиболее опасных атак и четкая
формулировка целей.
3.
Надежность, универсальность и комплексность.
Правильное сочетание и использование перечисленных выше
мер является необходимым условием для обеспечения
требуемого уровня защиты информации. Важно понимать, что ни
одна из систем защиты информации не может обеспечить
стопроцентную защиту. Построение системы защиты это всегда
поиск
компромисса
между затратами
на обеспечение
информационной безопасности, требованиями регуляторов и
уровнем риска, который обладатель информации готов принять.

18. Защищаемая информация и информационные ресурсы

В соответствии с Федеральным законом №149 "Об информации, информатизации и защите информации" от 27.07.2006 информация
делится на две категории:
Общедоступная информация - общеизвестные сведения, доступ к которым не ограничен;
Информация ограниченного доступа - информация, доступ к которой ограничен в соответствии с федеральными законами в целях
защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны
и безопасности государства.
Установлены категории информации, доступ к которым нельзя ограничить в соответствии с федеральным законодательством (ст.8 ФЗ
№149):
• нормативным правовым актам, затрагивающим права, свободы и обязанности человека и гражданина, а также устанавливающим
правовое положение организаций и полномочия государственных органов, органов местного самоуправления;
• информации о состоянии окружающей среды;
• информации о деятельности государственных органов и органов местного самоуправления, а также об использовании бюджетных
средств (за исключением сведений, составляющих государственную или служебную тайну);
• информации, накапливаемой в открытых фондах библиотек, музеев и архивов, а также в государственных, муниципальных и иных
информационных системах, созданных или предназначенных для обеспечения граждан (физических лиц) и организаций такой
информацией;
• иной информации, недопустимость ограничения доступа к которой установлена федеральными законами.

19. Защищаемая информация и информационные ресурсы

Информация ограниченного доступа в свою очередь подразделяется на
два типа - государственная тайна и конфиденциальная информация.
Государственная тайна - защищаемые государством сведения в
области
его
военной,
внешнеполитической,
экономической,
разведывательной, контрразведывательной и оперативно-розыскной
деятельности, распространение которых может нанести ущерб
безопасности Российской Федерации.
В статье 5 Федерального закона "О государственной тайне" определен
перечень сведений, составляющих государственную тайну. Они разбиты
на следующие категории:
сведения в военной области;
сведения в области экономики, науки и техники;
сведения в области внешней политики и экономики;
сведения в области разведывательной, контрразведывательной,
оперативно-розыскной
деятельности,
а
также
в
области
противодействия терроризму и в области обеспечения безопасности
лиц, в отношении которых принято решение о применении мер
государственной защиты.

20. Защищаемая информация и информационные ресурсы

Перечень сведений, относящихся к конфиденциальной информации, определен в Указе Президента РФ от 6 марта 1997 г. N 188
"Об утверждении перечня сведений конфиденциального характера":
Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность
(персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в
установленных федеральными законами случаях.
Сведения, составляющие тайну следствия и судопроизводства, а также сведения о защищаемых лицах и мерах государственной
защиты, осуществляемой в соответствии с Федеральным законом от 20 августа 2004 г. N 119-ФЗ "О государственной защите
потерпевших, свидетелей и иных участников уголовного судопроизводства" и другими нормативными правовыми актами
Российской Федерации.
Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (служебная тайна).
Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской
Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных
переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее).
Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом
Российской Федерации и федеральными законами (коммерческая тайна).
Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о
них.

21. Коммерческая тайна

Коммерческая тайна - режим конфиденциальности информации,
позволяющий ее обладателю при существующих или возможных
обстоятельствах увеличить доходы, избежать неоправданных
расходов, сохранить положение на рынке товаров, работ, услуг или
получить иную коммерческую выгоду.
Информация, составляющая коммерческую тайну, - сведения
любого характера (производственные, технические, экономические,
организационные и другие), в том числе о результатах
интеллектуальной деятельности в научно-технической сфере, а также
сведения о способах осуществления профессиональной деятельности,
которые имеют действительную или потенциальную коммерческую
ценность в силу неизвестности их третьим лицам, к которым у третьих
лиц нет свободного доступа на законном основании и в отношении
которых обладателем таких сведений введен режим коммерческой
тайны.

22. Коммерческая тайна

В определении коммерческой тайны виден упор на то, что это информация, позволяющая получить выгоду ее обладателю. На практике в
крупных организациях на уровне руководства и службы безопасности определяется перечень информации, относящейся к коммерческой
тайне и положение по работе с коммерческой тайной. Чтобы ввести режим "коммерческая тайна" обладатель информации должен
сделать следующее:
• определить перечень информации, относящейся к коммерческой тайне;
• реализовать ограничение доступа к коммерческой тайне;
• вести учет лиц, допущенных до работы с коммерческой тайной;
• уведомить под расписку сотрудников о вводе данной категории информации и о наказании за ее разглашение;
• регулировать отношения по использованию информации, составляющей коммерческую тайну. Это достигается путем внесения
соответствующих пунктов о неразглашении в трудовые договора и гражданско-правовые договора с контрагентами. Также на
практике в настоящее время широко применяется так называемое соглашение о неразглашении (англ. non-disclosure agreement,
NDA), в котором прописывается перечень сведений, которые сторона или стороны обязуются не разглашать, и обязанности по
компенсации убытков в случае разглашения.
• использовать гриф "коммерческая тайна" на носителях с информацией.
Нарушение режима коммерческой тайны влечет за собой дисциплинарную, гражданско-правовую, административную или
уголовную ответственность в соответствии с законодательством Российской Федерации. Следует отметить, что несоблюдение даже
одного из вышеперечисленных пунктов работодателем может стать причиной ненаказуемости сотрудника, разгласившего коммерческую
тайну. В соответствии с п.4 ст.14 Федерального Закона лицо, которое не имело достаточных оснований считать информацию
коммерческой тайной, не может быть привлечено в ответственности за ее использование.

23. Другие виды тайн

Банковская тайна - сведения об операциях, счетах и вкладах
клиентов и корреспондентов кредитной организации, а также об
иных сведениях, устанавливаемых кредитной организацией,
если это не противоречит федеральному закону.
Служебная тайна - служебные сведения, доступ к которым
ограничен органами государственной власти в соответствии с
Гражданским
кодексом
Российской
Федерации
и
федеральными законами.
Тайна
кредитной
истории
информация,
которая
характеризует исполнение заемщиком принятых на себя
обязательств по договорам займа (кредита) и хранится в бюро
кредитных историй.
Профессиональная тайна - сведения, связанные с
профессиональной деятельностью, доступ к которым ограничен
в соответствии с Конституцией Российской Федерации и
федеральными
законами
(врачебная,
нотариальная,
адвокатская тайна и т.п.).