Защита информации. Классификация каналов утечки информации презентация

Думой 25 января 1995 года, формулирует как цели защиты информации (ст. 20), так и объекты (ст. 21).
Закон направлен на регулирование отношений, возникающих при формировании и использовании информационных технологий и ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации, а также защите информации, прав субъектов, участвующих в информационных процессах и информатизации.

безопасности личности, общества, государства;
предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
предотвращение других форм незаконного вмешательства в информационные ресурсы и информационные системы, обеспечение правового режима документированной информации как объекта собственности;
защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
сохранение государственной тайны, конфиденциальности документированной информации в соответствии с законодательством;
обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.

ущерб ее собственнику, владельцу, пользователю и иному лицу.
Режимы защиты информации устанавливаются
в отношении сведений, отнесенных к государственной тайне,- уполномоченными органами на основании Закона Российской Федерации «О государственной тайне»;
в отношении конфиденциальной документированной информации - собственником информационных ресурсов или уполномоченным лицом на основании настоящего федерального закона;
в отношении персональных данных — Федеральным законом.

обеспечению конфиденциальности, целостности и доступности информации.
Конфиденциальность - это защита от несанкционированного доступа к информации.
Целостность - актуальность и непротиворечивость информации, ее защищенность от разрушения и несанкционированного изменения.
Доступность - это возможность за приемлемое время получить требуемую информационную услугу.

КАНАЛЫ УТЕЧКИ ИНФОРМАЦИИ ОБРАБАТЫВАЕМОЙ ТСПИ

ТЕХНИЧЕСКИЕ КАНАЛЫ УТЕЧКИ ВИДОВОЙ ИНФОРМАЦИИ

ЭЛЕКТРОМАГНИТНЫЕ

ЭЛЕКТРИЧЕСКИЕ

ИНДУКЦИОННЫЙ

АКУСТИЧЕСКИЕ

ПАРАМЕТРИЧЕСКИЕ

АКУСТОЭЛЕКТРИЧЕСКИЕ

ОПТИКО-ЭЛЕКТРОННЫЙ (ЛАЗЕРНЫЙ)

ВИБРОАКУСТИЧЕСКИЕ

ЭЛЕКТРИЧЕСКИЕ

ВИБРОАКУСТИЧЕСКИЕ

ПАРАМЕТРИЧЕСКИЕ

ЭЛЕКТРОМАГНИТНЫЕ

СЪЕМКА ДОКУМЕНТОВ

СЪЕМКА ОБЪЕКТОВ

НАБЛЮДЕНИЕ
ЗА ОБЪЕКТАМИ

радио-, радиорелейной связи

ЭЛЕКТРОМАГНИТНЫЙ перехват ЭМИ на частотах работы передатчиков систем и средств связи

Съем информации, передаваемой по кабельным линиям связи

ЭЛЕКТРИЧЕСКИЙ съем информации путем контактного подключения к кабельным линиям связи

ИНДУКЦИОННЫЙ бесконтактный съем информации с кабельных линий связи

речи. Оптико-электронный (лазерный)

ПРОВОДАМ СИСТЕМЫ ОХРАННОЙ И ПОЖАРНОЙ СИГНАЛИЗАЦИИ

СЪЕМ ИНФОРМАЦИИ ПО ВИБРОКАНАЛУ

ПОДПИТКА ТОКАМИ ВЫСОКОЙ ЧАСТОТЫ

ТЕЛЕФОННАЯ СЕТЬ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО ПРОВОДАМ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО РАДИОКАНАЛУ

ПЕРЕДАЧА ИНФОРМАЦИИ ПО РАДИОКАНАЛУ

СЪЕМ ИНФОРМАЦИИ ПО ВИБРОКАНАЛУ

самом простом случае - поименованы.
В более сложном - за каждым объектом и субъектом закрепляется присущий именно ему идентификационный код. Например: паспорт, отпечаток пальца, сетчатка глаза, и т.п.;
• доступ субъектов к объектам осуществляется на основании определенных правил, которые формируются и утверждаются во внешнем контуре.
Например, руководством предприятия в виде допуска сотрудников к определенной информации.

возможная информация классифицирована по уровням значимости, секретности.
каждому объекту присвоен уровень, определяющий максимальный уровень значимости информации, которая присуща данному объекту.
каждому субъекту присвоен уровень доступа, определяющий его возможности по доступу к объектам, содержащим информацию соответствующего уровня значимости.

возможные потоки данных между объектами;
все потоки данных разделены на два непересекающихся множества: множество благоприятных информационных потоков и множество неблагоприятных.

понятие «роль». Между элементами множества ролей и множества объектов установлено соответствие;
каждому субъекту присвоена та или иная роль. При этом в зависимости от решаемой субъектом задачи его роль может быть изменена.

список функций, которые могут исполнять субъекты, в том числе функции по доступу к объектам. При этом функции списка не позволяют модифицировать существующую систему обеспечения безопасности;
сформулирован список субъектов;
за каждым субъектом из списка субъектов закреплены конкретные функции из списка функций;
осуществляется жесткий контроль, чтобы в системе могли функционировать только субъекты из списка и выполнять только закрепленные за ними функции

может взаимодействовать с сотрудниками организации за пределами территории организации.
Потенциальный нарушитель может кратковременно находиться на территории и в помещениях организации (на совещаниях, конференциях, деловых встречах).
Потенциальный нарушитель знает структуру организации.
Потенциальный нарушитель может являться сотрудником конкурирующей организации.
Потенциальный нарушитель может быть нанят конкурирующей организацией
Потенциальный нарушитель может действовать самостоятельно с целью получения материалов для последующей реализации.
Потенциальный нарушитель может являться профессионалом в решении задач по скрытому съему (похищению, добыванию) информации.

Модель № 2,
Потенциальный нарушитель не является сотрудником организации.
Потенциальный нарушитель может взаимодействовать с сотрудниками организации за пределами территории организации.
Потенциальный нарушитель не может даже кратковременно находиться на территории и в помещениях организации.
Потенциальный нарушитель знает структуру организации.
Потенциальный нарушитель может являться сотрудником конкурирующей организации.
6. Потенциальный нарушитель может быть нанят конкурирую­щей организацией.
7. Потенциальный нарушитель может действовать самостоятель­но с целью получения материалов для последующей реализации.
8. Потенциальный нарушитель может являться профессиона­лом в решении задач по скрытому съему (похищению, добыванию) информации

возможностей утечки информации по аудио-, видео и радиоканалам;
постоянная работа с персоналом: тестирование, обучение методам и средствам защиты информации;
кадровые проверки персонала;
контроль посетителей;
поиск закладных устройств в помещениях; проверка и организация проведения специальных исследований техники, которая используется для работы с наиболее ценной информацией;
корректирование политики безопасности в зависимости от решаемых в организации задач; управление правилами разграничения доступа как в помещениях, так и в вычислительных средствах коллективною пользования;
формирование и ведение таблиц имен, паролей, правил доступа, ролей, ключей криптографического преобразования данных;
соблюдение режима хранения и выдачи ключей от помещений, а так же правил посещения режимных зон сотрудниками и гостями;
защита сведений в ходе естественного документооборота в организации;
регулярные проверки состояния защищенности информации в организации, включающие проверку выполнения требований политики безопасности.

защиту информации;
разработка внутренних организационно-распорядительных документов по защите информации;
планирование работ по защите информации;
категорирование объектов информатизации;
защита объектов информатизации от утечки информации по техническим каналам;
контроль состояния защиты.

в соответствии с законодательством Российской Федерации.
Уровень технической защиты конфиденциальной информации, а так же перечень необходимых мер защиты определяется дифференцированно по результатам обследования объекта информатизации с учётом соотношения затрат на организацию защиты информации и величины ущерба, который может быть нанесён собственнику информационных ресурсов.

СТР-К

в соответствии с заданной информационной технологией, средств обеспечения объектов информатизации, помещений или объектов (зданий, сооружений, технических средств), в которых они установлены, или помещения или объекты, предназначенные для ведения конфиденциальных переговоров.

ВП

ОВТ

ЗП

АС

Защищаемые помещения (ЗП) - помещения (служебные кабинеты, актовые, конференц-залы и т.д.), специально предназначенные для проведения конфиденциальных мероприятий (совещаний, обсуждений, конференций, переговоров и т.п.).

СТР-К

информации

от утечки по техническим каналам, НСД, программно-технических воздействий с целью нарушения целостности (модификации, уничтожения) и доступности информации в процессе её обработки, передачи и хранения, а так же работоспособности технических средств

СТР-К

Разработка мер и обеспечение ЗИ осуществляются подразделениями по защите информации (службами безопасности) или отдельными специалистами, назначаемыми руководством организаций для проведения таких работ.
Разработка мер защиты информации может осуществляться также сторонними организациями, имеющими лицензии на право проведения соответствующих работ.

с нормативными документами Гостехкомиссии России и требованиями СТР-К.
Ответственность за обеспечение требований по технической защите конфиденциальной информации возлагается на руководителей организаций, эксплуатирующих объекты информатизации.

Для защиты конфиденциальной информации используются сертифицированные по требованиям безопасности информации технические средства защиты информации.

СТР-К

осуществляющих разработку проектов объектов информатизации и их эксплуатацию.
Методическое руководство и контроль за эффективностью предусмотренных мер защиты информации возлагается на руководителей подразделений по защите информации (служб безопасности) организации.
Научно-техническое руководство и непосредственную организацию работ по созданию (модернизации) СЗИ объекта информатизации осуществляет его главный конструктор или другое должностное лицо, обеспечивающее научно-техническое руководство созданием объекта информатизации.

СТР-К

вид деятельности

Организация - заказчик

Определяются подразделения (отдельные специалисты), ответственные за организацию и проведение мероприятий по ЗИ

Разработчик СЗИ

Служба безопасности

Осуществляет методическое руководство и участвует в разработке конкретных требований по защите информации, аналитическом обосновании необходимости создания СЗИ, согласовании выбора средств вычислительной техники и связи, технических и программных средств защиты, организации работ по выявлению возможных каналов утечки информации или воздействий на неё и предупреждению утечки и нарушения целостности защищаемой информации, в аттестации объектов информатизации.

определяется в разрабатываемом

СТР-К

"Положении о порядке организации и проведения работ
по защите конфиденциальной информации"
или в приложении к
"Руководству по защите информации от
утечки по техническим каналам на объекте"

и должна предусматривать:

порядок определения защищаемой информации;
порядок привлечения подразделений организации, специализированных сторонних организаций к разработке и эксплуатации объектов информатизации и СЗИ, их задачи и функции на различных стадиях создания и эксплуатации объекта информатизации;
порядок взаимодействия всех занятых в этой работе организаций, подразделений и специалистов;
порядок разработки, ввода в действие и эксплуатацию объектов информатизации;
ответственность должностных лиц за своевременность и качество формирования требований по технической защите информации, за качество и научно-технический уровень разработки СЗИ.

СЗИ

разработка технического (частного технического) задания на создание СЗИ

1

Стадия проектирования

2

разработка СЗИ в составе объекта информатизации

Стадия ввода в действие СЗИ

3

опытная эксплуатация

приемо-сдаточные испытания средств ЗИ

аттестация объекта информатизации на соответствие
требованиям
безопасности информации

информации на данном объекте информатизации;
определяется перечень сведений конфиденциального характера, подлежащих защите от утечки по техническим каналам;
определяются (уточняются) угрозы безопасности информации и модель вероятного нарушителя применительно к конкретным условиям функционирования объекта;
определяются условия расположения объектов информатизации относительно границ КЗ;
определяются конфигурация и топология АС и систем связи в целом и их отдельных компонент, физические, функциональные и технологические связи как внутри этих систем, так и с другими системами различного уровня и назначения;

и системах связи, условия их расположения, общесистемные и прикладные программные средства, имеющиеся на рынке и предлагаемые к разработке;
определяются режимы обработки информации в АС в целом и в отдельных компонентах;
определяется класс защищенности АС;
определяется степень участия персонала в обработке (обсуждении, передаче, хранении) информации, характер их взаимодействия между собой и со службой безопасности;
определяются мероприятия по обеспечению конфиденциальности информации в процессе проектирования объекта информатизации.

СТР-К

основе действующих нормативных правовых актов и методических документов по защите конфиденциальной информации, с учетом установленного класса защищенности АС задаются конкретные требования по защите информации, включаемые в техническое (частное техническое) задание на разработку СЗИ.
Предпроектное обследование в части определения защищаемой информации должно базироваться на документально оформленных перечнях сведений конфиденциального характера.
Перечень сведений конфиденциального характера составляется заказчиком объекта информатизации и оформляется за подписью соответствующего руководителя.

СТР-К

и в этом случае анализ информационного обеспечения в части защищаемой информации целесообразно выполнять представителям предприятия-заказчика при методической помощи специализированной организации.
Ознакомление специалистов этой организации с защищаемыми сведениями осуществляется в установленном на предприятии-заказчике порядке.

СТР-К

объекта информатизации;
характеристику комплекса основных и вспомогательных технических средств, программного обеспечения, режимов работы, технологического процесса обработки информации;
возможные каналы утечки информации и перечень мероприятий по их устранению и ограничению;
перечень предлагаемых к использованию сертифицированных средств защиты информации;
обоснование необходимости привлечения специализированных организаций, имеющих необходимые лицензии на право проведения работ по защите информации;

СТР-К

сроки разработки и внедрения СЗИ;
перечень мероприятий по обеспечению конфиденциальности информации на стадии проектирования объекта информатизации.

СТР-К

Аналитическое обоснование
подписывается руководителем предпроектного обследования,
согласовывается с главным конструктором (должностным лицом, обеспечивающим научно-техническое руководство создания объекта информатизации), руководителем службы безопасности
утверждается руководителем предприятия-заказчика.

данные создаваемого (модернизируемого) объекта информатизации в техническом, программном, информационном и организационном аспектах;
класс защищенности АС;
ссылку на нормативно-методические документы, с учетом которых будет разрабатываться СЗИ и приниматься в эксплуатацию объект информатизации;
требования к СЗИ на основе нормативно-методических документов и установленного класса защищенности АС;
перечень предполагаемых к использованию сертифицированных средств защиты информации;

СТР-К

имеющихся на рынке сертифицированных средств защиты информации;
состав, содержание и сроки проведения работ по этапам разработки и внедрения;
перечень подрядных организаций-исполнителей видов работ;
перечень предъявляемой заказчику научно-технической продукции и документации.

СТР-К

Техническое (частное техническое) задание на разработку СЗИ
подписывается разработчиком,
согласовывается со службой безопасности предприятия-заказчика, подрядными организациями
утверждается заказчиком.

составе на основе предъявляемых требований и заданных заказчиком ограничений на финансовые, материальные, трудовые и временные ресурсы осуществляются:

разработка задания и проекта на строительные, строительно-монтажные работы (или реконструкцию) объекта информатизации в соответствии с требованиями технического (частного технического) задания на разработку СЗИ;
разработка раздела технического проекта на объект информатизации в части защиты информации;
строительно-монтажные работы в соответствии с проектной документацией, утвержденной заказчиком, размещением и монтажом технических средств и систем;
разработка организационно-технических мероприятий по защите информации в соответствии с предъявляемыми требованиями;

СТР-К

обработки, передачи и хранения информации, либо их сертификация;
закупка сертифицированных технических, программных и программно-технических (в т.ч. криптографических) средств защиты информации и их установка;
разработка (доработка) или закупка и последующая сертификация по требованиям безопасности информации программных средств защиты информации в случае, когда на рынке отсутствуют требуемые сертифицированные программные средства;
организация охраны и физической защиты помещений объекта информатизации, исключающих несанкционированный доступ к техническим средствам обработки, хранения и передачи информации, их хищение и нарушение работоспособности, хищение носителей информации;

СТР-К

обрабатываемой (обсуждаемой) на объекте информатизации информации;
определение заказчиком подразделений и лиц, ответственных за эксплуатацию средств и мер защиты информации, обучение назначенных лиц специфике работ по защите информации на стадии эксплуатации объекта информатизации;
выполнение генерации пакета прикладных программ в комплексе с программными средствами защиты информации;
разработка эксплуатационной документации на объект информатизации и средства защиты информации, а также организационно-распорядительной документации по защите информации (приказов, инструкций и других документов);
выполнение других мероприятий, специфичных для конкретных объектов информатизации и направлений защиты информации.

СТР-К

проектной организацией, службой (специалистом) безопасности предприятия-заказчика в части достаточности мер по технической защите информации и
утверждается заказчиком.

СТР-К

Мероприятия по защите информации от утечки по техническим каналам являются основным элементом проектных решений, закладываемых в соответствующие разделы проекта, и разрабатываются одновременно с ними.

(в том числе криптографическим) средствам обеспечения безопасности информации, состава средств защиты информации с указанием их соответствия требованиям ТЗ;
описания технического, программного, информационного обеспечения и технологии обработки (передачи) информации;
плана организационно-технических мероприятий по подготовке объекта информатизации к внедрению средств и мер защиты информации;
технического паспорта объекта информатизации (форма технического паспорта на АС приведена в приложении № 5);
инструкций и руководств по эксплуатации технических и программных средств защиты для пользователей, администраторов системы, а также для работников службы безопасности.

СТР-К

На стадии проектирования и создания объекта информатизации оформляются также технический (техно-рабочий) проект и эксплуатационная документация СЗИ, состоящие из следующих документов:

схемами и чертежами

Техно - рабочий проект

Если для системы защиты информации в защищаемом помещении разработан только комплект рабочей документации по монтажу и настройке систем защиты

Рабочий проект

средств защиты информации в комплексе с другими техническими и программными средствами в целях проверки их работоспособности в составе объекта информатизации и отработки технологического процесса обработки (передачи) информации;
приемо-сдаточные испытания средств защиты информации по результатам опытной эксплуатации с оформлением приемо-сдаточного акта, подписываемого разработчиком (поставщиком) и заказчиком;
аттестация объекта информатизации по требованиям безопасности информации.

СТР-К

средств защиты информации по результатам их приемо-сдаточных испытаний;
Протоколы аттестационных испытаний и заключение по их результатам;
Аттестат соответствия объекта информатизации по требованиям безопасности информации

СТР-К

Кроме вышеуказанной документации в организации оформляются приказы, указания и решения:
на проектировании объекта информатизации и назначение ответственных исполнителей;
на проведение работ по защите информации;
о назначении лиц, ответственных за эксплуатацию объекта информатизации;
на обработку в АС (обсуждения в защищаемом помещении) конфиденциальной информации.