Реализация на предприятии различных видов защиты информации

А это значит, что не может  быть челябинской или московской государственной тайны. Существует единая для всего государства  государственная тайна.

Наряду с Конституцией РФ, правовую основу защиты государственной  тайны составляет Закон РФ от 5 мая 1992 г. «О безопасности». Этот Закон закрепляет правовые основы обеспечения безопасности личности, общества и государства, определяет систему безопасности и ее функции, устанавливает порядок организации  и финансирования органов обеспечения  безопасности, а также контроля и  надзора за законностью их деятельности.

Закон «О безопасности» носит  концептуальный характер и вводит целый  ряд понятий, который получили развитие и конкретизацию в других законах, касающихся вопросов обеспечения безопасности, в частности - «О государственной  тайне», «Об органах федеральной  службы безопасности в Российской Федерации», «Об информации, информатизации и  защите информации» и других. К  таким понятиям относятся:

• безопасность;
• объекты и субъекты обеспечения безопасности;
• угрозы безопасности;
• принципы обеспечения безопасности;
• система безопасности РФ;
• разграничение полномочий органов  власти  в системе безопасности;
• силы и средства обеспечения безопасности.

Рассмотрим эти понятия  более подробно, так как они  важны для понимания концепции  защиты государственной тайны.

Безопасность - состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз. Более «техническим» определением этого термина, которое позволяет перейти к количественной оценке уровня безопасности,  может быть следующее.

Безопасность - это состояние, при котором отсутствует недопустимый риск нанесения неприемлемого ущерба кому-либо. В таком определении  учтены два фактора, определяющие безопасность. Во-первых, безопасность не может быть абсолютной. Всегда существует определенный риск (вероятность) возникновения угроз  и нанесения некоторого ущерба. Во-вторых, уровень безопасности зависит от величины возможного ущерба. Таким  образом, состояние безопасности определяется двумя показателями: риском (вероятностью) возникновения ущерба и величиной  этого ущерба в том или ином измерении.

Под безопасностью  государства следует понимать состояние защищенности его политических, экономических, военных, научно-технических и других интересов от внутренних и внешних угроз.

Жизненно важные интересы - совокупность потребностей, удовлетворение которых надежно обеспечивает существование и возможности прогрессивного развития личности, общества и государства.

К основным объектам безопасности относятся: личность - ее права и свободы; общество - его материальные и духовные ценности; государство - его конституционный строй, суверенитет и территориальная целостность

Основным субъектом  обеспечения безопасности является государство, осуществляющее функции в этой области через органы законодательной, исполнительной и судебной властей.

Полномочия субъектов  обеспечения защиты государственной  тайны. Государство не берет на себя всей полноты ответственности  по защите государственной тайны, оно лишь обеспечивает создание необходимых и достаточных  условий эффективной защиты государственной тайны. Предприятия, учреждения, организации, граждане непосредственно обеспечивают ее защиту  в соответствии с действующими законами и утвержденными полномочными органами требованиями.

 

4 УГРОЗЫ БЕЗОПАСНОСТИ  ИНФОРМАЦИИ НА ПРЕДПРИЯТИИ

4.1 Угроза безопасности  государственной тайны

 

Угроза безопасности - совокупность условий и факторов, создающих опасность жизненно важным интересам личности, общества и государства.

Реальная и потенциальная  угроза объектам безопасности, исходящая  от внутренних и внешних источников опасности, определяет содержание деятельности по обеспечению внутренней и внешней  безопасности.

Угрозы безопасности государства могут существовать в различных сферах его жизнедеятельности.

1. Угрозы, влияющие на  политический потенциал государства.
2. Угрозы, влияющие на экономический потенциал государства.
3. Угрозы, влияющие на научно-технический потенциал государства.
4. Угрозы, влияющие на оборонный потенциал государства.
5. Угрозы, влияющие на военный потенциал государства.

Закон «О безопасности» определяет состав сил обеспечения безопасности, которые,  в частности,  включают в себя службы обеспечения безопасности средств связи и информации, таможни природоохранительные органы, органы охраны здоровья населения и другие государственные органы обеспечения безопасности, действующие на основании законодательства. Это положение Закона определяет правовую базу создания подразделений защиты государственной тайны в органах государственной власти, местного самоуправления, на предприятиях и организациях.

«Концепция защиты государственной  тайны в Российской Федерации» представляет собой систему взглядов на проблему  защиты государственной тайны, определяет основную идею и пути ее  решения  в различных сферах деятельности государства.

Положения Концепции используются при определении политики  государства  в рассматриваемой области защиты информации, при планировании и выполнении конкретных мероприятий по защите государственной  тайны.

В Концепции излагаются существующие проблемы в области защиты государственной  тайны, цели и задачи защиты, основные принципы организации и осуществления  защиты государственной тайны, а  также направления совершенствования  системы защиты государственной  тайны.

Полное содержание Концепции, как правило, не может быть изложено в одном официальном документе, а представлено в нескольких взаимосвязанных  документах. Применительно к вопросу  защиты государственной тайны такими документами являются Конституция  РФ, Закон РФ, «О безопасности», Концепция  национальной безопасности, Закон «О государственной тайне».

 

2. Виды угроз информации

 

Общая классификация угроз  выглядит следующим образом:

 

Угрозы конфиденциальности данных и программ. Реализуются при  несанкционированном доступе к  данным (например, к сведениям о  состоянии счетов клиентов банка), программам или каналам связи.

 

Информация, обрабатываемая на компьютерах или передаваемая по локальным сетям передачи данных, может быть снята через технические  каналы утечки. При этом используется аппаратура, осуществляющая анализ электромагнитных излучений, возникающих при работе компьютера.

Такой съем информации представляет собой сложную техническую задачу и требует привлечения квалифицированных  специалистов. С помощью приемного  устройства, выполненного на базе стандартного телевизора, можно перехватывать  информацию, выводимую на экраны дисплеев компьютеров с расстояния в тысячу и более метров. Определенные сведения о работе компьютерной системы извлекаются  даже в том случае, когда ведется  наблюдение за процессом обмена сообщениями  без доступа к их содержанию.

Угрозы целостности данных, программ, аппаратуры. Целостность  данных и программ нарушается при  несанкционированном уничтожении, добавлении лишних элементов и модификации  записей о состоянии счетов, изменении  порядка расположения данных, формировании фальсифицированных платежных документов в ответ на законные запросы, при  активной ретрансляции сообщений с  их задержкой.

Несанкционированная модификация  информации о безопасности системы  может привести к несанкционированным  действиям (неверной маршрутизации  или утрате передаваемых данных) или  искажению смысла передаваемых сообщений. Целостность аппаратуры нарушается при ее повреждении, похищении или  незаконном изменении алгоритмов работы.

Угрозы доступности данных. Возникают в том случае, когда  объект (пользователь или процесс) не получает доступа к законно выделенным ему службам или ресурсам. Эта  угроза реализуется захватом всех ресурсов, блокированием линий связи несанкционированным  объектом в результате передачи по ним своей информации или исключением  необходимой системной информации.

 

Эта угроза может привести к ненадежности или плохому качеству обслуживания в системе и, следовательно, потенциально будет влиять на достоверность  и своевременность доставки платежных  документов.

Угрозы отказа от выполнения трансакций. Возникают в том случае, когда легальный пользователь передает или принимает платежные документы, а потом отрицает это, чтобы снять  с себя ответственность.

Оценка уязвимости системы защиты информации и построение модели воздействий предполагают изучение всех вариантов реализации перечисленных выше угроз и выявление последствий, к которым они приводят.

Угрозы могут быть обусловлены:

- естественными факторами (стихийные бедствия - пожар, наводнение, ураган, молния и другие причины);

- человеческими факторами, которые в свою очередь подразделяются на:

• пассивные угрозы (угрозы, вызванные деятельностью, носящей случайный, неумышленный характер). Это угрозы, связанные с ошибками процесса подготовки, обработки и передачи информации (научно-техническая, коммерческая, валютно-финансовая документация); с нецеленаправленной "утечкой умов", знаний, информации (например, в связи с миграцией населения, выездом в другие страны для воссоединения с семьей и т. п.);
• активные угрозы (угрозы, обусловленные умышленными, преднамеренными действиями людей). Это угрозы, связанные с передачей, искажением и уничтожением научных открытий, изобретений, секретов производства, новых технологий по корыстным и другим антиобщественным мотивам (документация, чертежи, описания открытий и изобретений и другие материалы); просмотром и передачей различной документации, просмотром "мусора"; подслушиванием и передачей служебных и других научно-технических и коммерческих разговоров; с целенаправленной "утечкой умов", знаний, информации (например, в связи с получением другого гражданства по корыстным мотивам);

- человеко-машинными и  машинными факторами, подразделяющимися  на:

• пассивные угрозы. Это угрозы, связанные с ошибками процесса проектирования, разработки и изготовления систем и их компонентов (здания, сооружения, помещения, компьютеры, средства связи, операционные системы, прикладные программы и др.); с ошибками в работе аппаратуры из-за некачественного ее изготовления; с ошибками процесса подготовки и обработки информации (ошибки программистов и пользователей из-за недостаточной квалификации и некачественного обслуживания, ошибки операторов при подготовке, вводе и выводе данных, корректировке и обработке информации);
• активные угрозы. Это угрозы, связанные с несанкционированным доступом к ресурсам автоматизированной информационной системы (внесение технических изменений в средства вычислительной техники и средства связи, подключение к средствам вычислительной техники и каналам связи, хищение различных видов носителей информации: дискет, описаний, распечаток и других материалов, просмотр вводимых данных, распечаток, просмотр "мусора"); угрозы, реализуемые бесконтактным способом (сбор электромагнитных излучений, перехват сигналов, наводимых в цепях (токопроводящие коммуникации), визуально-оптические способы добычи информации, подслушивание служебных и научно-технических разговоров и т. п.).

 

3. Пути утечки информации

 

Основными типовыми путями утечки информации и несанкционированного доступа к автоматизированным информационным системам, в том числе через каналы телекоммуникации, являются следующие:

• перехват электронных излучений;
• принудительное электромагнитное облучение (подсветка) линий связи с целью получения паразитной модуляции несущей;
• применение подслушивающих устройств (закладок);
• дистанционное фотографирование;
• перехват акустических излучений и восстановление текста принтера;
• хищение носителей информации и производственных отходов;
• считывание данных в массивах других пользователей;
• чтение остаточной информации в памяти системы после выполнения санкционированных запросов;
• копирование носителей информации с преодолением мер зашиты;
• маскировка под зарегистрированного пользователя;
• мистификация (маскировка под запросы системы);
• незаконное подключение к аппаратуре и линиям связи;
• злоумышленный вывод из строя механизмов защиты;
• использование "программных ловушек".