ГЛАВА 1. ОСНОВЫ ОБЕСПЕЧЕНИЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНОЙ ИНФОРМАЦИИ, ХРАНИМОЙ НА СЪЕМНОМ НОСИТЕЛЕ ИНФОРМАЦИИ
-
Понятие конфиденциальной информации
С точки зрения законодательства РФ понятию «критически важная информации» наиболее близко «конфиденциальная информация». Согласно Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», информация подразделяется на общедоступную информацию и информацию, доступ к которой ограничивается. Ограничение доступа к информации устанавливается федеральными законами.
Информацией ограниченного доступа является информация представляющая ценность для ее владельца, доступ к которой ограничивается на законном основании. В свою очередь информация ограниченного доступа подразделяется на информацию составляющею государственную тайну и информацию, соблюдение конфиденциальности которой установлено федеральным законом.
Понятие конфиденциальности информации раскрывает Федеральный закон «Об информации, информационных технологиях и о защите информации»: «конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя».
Организация работы с конфиденциальной информацией регулируется рядом законов. В понятие конфиденциальной информации входят различные виды информации, перечень которых установлен Указом Президента РФ от 06.03.1997 № 188 «Об утверждении Перечня сведений конфиденциального характера» (в ред. от 23.09.2005)).
1. Сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные), за исключением сведений, подлежащих распространению в средствах массовой информации в установленных федеральными законами случаях.
2. Сведения, составляющие тайну следствия и судопроизводства.
3. Служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна).
4. Сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и т.д.).
5. Сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна).
6. Сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них [11].
-
Нарушитель информационной безопасности
Для обеспечения информационной безопасности в автоматизированных системах и в их компонентах, построения эффективной системы защиты информации, не достаточно выявить каналы утечки информации, проанализировать возможные угрозы, последствия их реализации и оценить потери. Нужно еще хорошо представлять облик нарушителя.
Нарушитель информационной безопасности - это лицо, предпринявшее попытку выполнения запрещенных операций по ошибке, незнанию или, осознанно использующее для этого различные возможности, методы и средства.
Любой нарушитель для реализации своих замыслов руководствуется определенной мотивацией и намерениями, владеет совокупностью знаний, умений и навыков (способов) совершения противоправных действий с применением технических средств, обладающих соответствующим потенциалом. Только совокупность знаний обо всех элементах облика нарушителя позволит адекватно отреагировать на возможные угрозы, и, в конце концов, выбрать соответствующие средства защиты.
Описание нарушителя информационной безопасности
Классификация нарушителя информационной безопасности в отношение информации, для которой критично свойство конфиденциальности, и которая хранится на съемном носителе.
По уровню знаний об информационном ресурсе:
нарушитель знает функциональные особенности информационного ресурса;
обладает высоким уровнем знаний и опытом работы с техническими средствами системы и их обслуживанием;
обладает высокими умениями в области программирования и вычислительной техники;
знает структуру, функции и механизм действия средств защиты, а также их сильные и слабые стороны.
По уровню возможностей (по использованным методам и средствам):
использует только агентурные методы получения сведений;
применяет пассивные средства, т.е. технические средства перехвата без модификации компонентов системы;
использует только штатные средства самой системы и недостатки систем защиты для её преодоления, иными словами НСД с использованием разрешенных средств, а также использует компактные оптические или магнитные носители информации, которые могут быть скрытно пронесены через посты охраны;
применяет методы и средства активного воздействия. Возможна модификация существующих или подключенных дополнительных технических средств, подключение к каналам передачи данных. Внедрение программы закладок или использование специальных инструментальных и технологических программ.
По времени действия:
в процессе функционирования системы;
в период неактивности компонентов системы (в нерабочее время, во время плановых перерывов, во время перерывов для технического обслуживания);
как в процессе функционирования системы, так и в период неактивности компонентов системы.
Угроза информационной безопасности
Под угрозой в информационной безопасности понимается потенциально существующая возможность случайного или преднамеренного действия (бездействия), в результате которого могут быть нарушены основные свойства информации и систем ее обработки: доступность, целостность и конфиденциальность. Если говорить простым языком, то угроза информационной безопасности — это потенциально возможное событие, действие, процесс или явление, которое может привести к ущербу чьим-либо интересам.
Естественные угрозы— это угрозы, вызванные воздействием на автоматизированную систему или ее компоненты стихийных природных явлений, не зависящих от человека.
Естественные делятся на:
природные, к ним можно отнести: магнитные бури, стихийные бедствия, радиоактивное излучение, осадки;
технические, они связаны с надежностью технических средств, обработки информации и систем обеспечения.
Искусственные бывают:
непреднамеренные (случайные), это те угрозы, что совершены по незнанию и без злого умысла, например, из любопытности или халатности;
преднамеренные.
Каналы проникновения в систему и их классификация:
По способу:
По типу основного средства для реализации угрозы:
человек;
аппаратура;
программа.
По способу получения информации:
физический;
электромагнитный;
информационный.
При разработке модели нарушителя определяют:
предположение о категории лиц, к которым может принадлежать нарушитель;
предположение о мотивах действий нарушителя;
предположение о квалификации нарушителя и его технической оснащённости;
ограничения и предположения о характере возможных действий нарушителя;
по отношению к АС, все нарушители могут быть либо внутренними, либо внешними.
Внутренние:
пользователи;
персонал, обслуживающий технические средства и сотрудники отделов разработки и сопровождения ПО;
технический персонал, обслуживающий здания;
сотрудники службы безопасности АС;
руководители различных уровней должностной иерархии.
Внешние:
клиенты;
посетители;
представители организаций, взаимодействующих по вопросам обеспечения жизнедеятельности предприятия (энерго-, водо- и теплоснабжение);
представители конкурирующих организаций или лица, действующие по их заданию;
лица, случайно или намеренно нарушившие пропускной режим;
любые лица за пределами контролируемой территории.
С точки зрения выделения мотивов нарушений принято выделять 3 мотива:
безответственность (некомпетентность, небрежность);
самоутверждение;
корыстный интерес.
Знание спектра потенциальных угроз защищаемой информации, умение квалифицированно и объективно оценить возможность их реализации и степень опасности каждой из них, является важным этапом сложного процесса организации и обеспечения защиты информации. Определение полного множества угроз информационной безопасности практически невозможно, но относительно полное описание их, применительно к рассматриваемому объекту, может быть достигнуто при детальном составлении модели угроз. Классификационные признаки объектов защиты и угроз безопасности автоматизированным системам:
Основная угроза информационной безопасности, которая применима к разрабатываемому в данной дипломной работе прототипу Устройства, эта угроза несанкционированного доступа к информации (НСД).
Угроза несанкционированного доступа к информации подразумевает под собой доступ к информации, нарушающий правила разграничения доступа с использованием штатных средств, предоставляемых средствами вычислительной техники (СВТ) или автоматизированными системами (АС).
Анализ модели вычислительной системы с безопасной обработкой информации позволяет рассматривать вычислительную систему как объект, в котором имеется некоторое множество возможных каналов несанкционированного доступа к предмету защиты информации. Для построения защиты информации в системе на каждом возможном канале несанкционированного доступа (ВКНСД), а если возможно, сразу на нескольких установить соответствующую преграду. Чем большее количество ВКНСД перекрыто средствами защиты и выше вероятность их преодоления нарушителем, тем выше безопасность информации. Структура защиты будет носить многозвенный и многоуровневый характер. Количество перекрываемых ВКНСД при этом будет зависеть от заданной квалификации нарушителя.
На основании вышеописанного для Устройства была составлена частная модель угроз разрабатываемого прототипа Устройства, представленная в Таблице 1.
Таблица . Частная модель угроз для разрабатываемого прототипа Устройства
Наименование угрозы
|
Объект воздействия
|
Меры по противодействию угрозе
|
Угрозы несанкционированного доступа к информации
|
|
Хищения носителя информации
|
Носитель информации
|
Ограничение доступа к памяти с помощью Pin-кода;
Отсутствие демаскирующих признаков во внешнем виде Устройства.
|
Физическое воздействие на пользователя обладающего знанием Pin-кода
|
Пользователь
|
Уничтожение данных путем ввода Pin-кода, предназначенного для уничтожения данных.
|
Считывание информации непосредственно с внутренней памяти Устройства с использованием специальных Устройств (считыватели памяти).
|
Информация
|
Аппаратное шифрование данных;
Заливка платы эпоксидной смолой.
|
Подбор Pin-кода
|
Носитель информации
|
Ограничение количества попыток неправильного ввода Pin-кода.
|
|
