Общие организационные мероприятия по защите информации


Угрозы информационной безопасности


Основными угрозами информационной безопасности являются:

Целью нарушителя информационной безопасности является нанесение материального, морального и иного ущерба собственникам информации в результате нарушения конфиденциальности, доступности и целостности информации.

Угрозы информационной безопасности реализуются через каналы утечки информации:

  1. акустический:
  2. виброакустический:
  3. акустоэлектрический:
  4. оптико-электронный (лазерный):

  5. параметрический.


  1. электромагнитный:

  2. параметрический:

  3. электрический:

  4. виброакустический:


  1. электрический:

  2. электромагнитный:

  3. индукционный:

Объект информатизации по ГОСТ Р 51275-2006 – это совокупность информационных ресурсов, средств и систем обработки информации, используемых в соответствии с заданной информационной технологией, а также средств их обеспечения, помещений или объектов (зданий, сооружений, технических средств), в которых эти средства и системы установлены, или помещений и объектов, предназначенных для ведения конфиденциальных переговоров.

Защита информации заключается в:

  1. Обеспечение безопасности информации, составляющей государственную тайну.
  2. Обеспечение безопасности информации ограниченного доступа, не составляющей государственную тайну (государственный информационный ресурс).
  3. Обеспечение безопасности ПДн в иных информационных системах.
  4. Обеспечение безопасности информации в ключевых системах информационной инфраструктуры.
  5. Обеспечение безопасности информации в информационных системах общего пользования.

Видами защиты информации по ГОСТ Р 50922-2006 являются правовая, техническая, криптографическая и физическая.

Согласно закону Российской Федерации «О государственной тайне» к средствам технической защиты информации относятся технические, криптографические, программные и другие средства, предназначенные для защиты сведений, составляющих государственную тайну, средства, в которых они реализованы, а также средства контроля эффективности защиты информации.

Правовая защита информации - защита информации правовыми методами, включающая в себя разработку законодательных и нормативных правовых документов (актов), регулирующих отношения субъектов по защите информации, применение этих документов (актов), а также надзор и контроль за их исполнением.

Техническая защита информации (ТЗИ) - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

Криптографическая защита информации - защита информации с помощью ее криптографического преобразования.

Физическая защита информации - защита информации путем применения организационных мероприятий и совокупности средств, создающих препятствия для проникновения или доступа неуполномоченных физических лиц к объекту защиты.

Организационные мероприятия по обеспечению физической защиты информации предусматривают установление режимных, временных, территориальных, пространственных ограничений на условия использования и распорядок работы объекта защиты.

К объектам защиты информации могут быть отнесены: охраняемая территория, здание (сооружение), выделенное помещение, информация и (или) информационные ресурсы объекта информатизации.


Правовая защита информации


Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации"


Разработка законопроекта была направлена на достижение следующих целей:

Правовое регулирование отношений, возникающих в сфере информации, информационных технологий и защиты информации, основывается на следующих принципах:

  1. Свобода поиска, получения, передачи, производства и распространения информации любым законным способом.
  2. Установление ограничений доступа к информации только федеральными законами.
  3. Открытость информации о деятельности государственных органов и органов местного самоуправления и свободный доступ к такой информации, кроме случаев, установленных федеральными законами.
  4. Равноправие языков народов Российской Федерации при создании информационных систем и их эксплуатации.
  5. Обеспечение безопасности Российской Федерации при создании информационных систем, их эксплуатации и защите содержащейся в них информации.
  6. Достоверность информации и своевременность ее предоставления.
  7. Неприкосновенность частной жизни, недопустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия.
  8. Недопустимость установления нормативными правовыми актами каких-либо преимуществ применения одних информационных технологий перед другими, если только обязательность применения определенных информационных технологий для создания и эксплуатации государственных информационных систем не установлена федеральными законами.

Информация - сведения (сообщения, данные) независимо от формы их представления;

Информационная система - совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;

Обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам;

Оператор информационной системы - гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.

Информация в зависимости от категории доступа к ней подразделяется на общедоступную информацию, а также на информацию, доступ к которой ограничен федеральными законами (информация ограниченного доступа).

Ограничение доступа к информации устанавливается федеральными законами в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

Федеральными законами устанавливаются условия отнесения информации к сведениям, составляющим коммерческую тайну, служебную тайну и иную тайну, обязательность соблюдения конфиденциальности такой информации, а также ответственность за ее разглашение.

Порядок доступа к персональным данным граждан (физических лиц) устанавливается федеральным законом о персональных данных


Статья 16. Защита информации Федеральный закон от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации":

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

  1. Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации.
  2. Соблюдение конфиденциальности информации ограниченного доступа.
  3. Реализацию права на доступ к информации.

Положение «О Государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам (утв. Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г. № 912-51)


Положение определяет структуру государственной системы защиты информации в Российской Федерации, ее задачи и функции, основы организации защиты сведений, отнесенных в установленном порядке к государственной или служебной тайне, от иностранных технических разведок и от ее утечки по техническим каналам (далее именуется – защита информации). Работы по защите информации в органах государственной власти и на предприятиях проводятся на основе актов законодательства Российской Федерации.

Постановлением Правительства РФ от 15 мая 2010 г. № 330 - утверждено «Положение об особенностях оценки соответствия продукции (работ, услуг), используемой в целях защиты сведений, отнесенных к охраняемой в соответствии с законодательством РФ информации ограниченного доступа, не содержащей сведения, составляющие «гостайну…».

Документ интересен тем, что:

К нормативным документам, регулирующим защиту информации, относятся также:

Организационные и технические меры защиты информации, реализуемые в информационной системе в рамках ее системы защиты информации, в зависимости от угроз безопасности информации, используемых информационных технологий и структурно-функциональных характеристик информационной системы должны обеспечивать:


Специальные требования и рекомендации по технической защите информации (СТР-К)


Требования и рекомендации настоящего документа распространяются на защиту:

Защите подлежит речевая информация и информация, обрабатываемая техническими средствами, а также представленные в виде информативных электрических сигналов, физических полей, носителей на бумажной, магнитной, магнитно – оптической основе (СТР-К, 2002 г.).

Документ также определяет объекты защиты информации и каналы утечки информации и источники угроз безопасности информации.

Организация работ по созданию и эксплуатации ОИ и их СЗИ определяется в разрабатываемом «Положении о порядке организации и проведения работ по защите конфиденциальной информации» или в Приложении к «Руководству по защите информации от утечки по техническим каналам на объекте»

При ведении переговоров и использовании технических средств для обработки и передачи информации возможны следующие каналы утечки и источники угроз безопасности информации:

Рекомендуемые стадии создания СЗИ:


Техническая защита информации


Техническая защита информации (ТЗИ) - защита информации, заключающаяся в обеспечении некриптографическими методами безопасности информации (данных), подлежащей (подлежащих) защите в соответствии с действующим законодательством, с применением технических, программных и программно-технических средств.

В целом можно выделить такие технические каналы утечки и воздействия на информацию при обработке ее техническими средствами:

Технические мероприятия по защите информации:

  1. Для устойчивого функционирования сети рекомендуется применять компьютеры одного класса, в идеале одной конфигурации.
  2. На всех компьютерах применять парольную защиту.
  3. Всем сотрудникам, имеющим автоматизированное рабочее место (компьютер) выдать электронные ключи идентификации.
  4. Экраны мониторов компьютеров, на которых обрабатывается конфиденциальная информация (в том числе бухгалтерская) оснастить поляризационными экранами.
  5. Устанавливать только лицензионные программные продукты.
  6. Осуществлять периодическое техническое обслуживание оргтехники.
  7. Закрепить за каждой единицей оргтехники ответственного пользователя.
  8. Завести технические карточки на каждую единицу оргтехники.
  9. Установить программные средства контроля за состоянием компьютеров.
  10. Установить антивирусную защиту.
  11. Приобрести и использовать блоки бесперебойного питания.
  12. Выполнять периодическое резервное копирование.
  13. Установить программные средства аудита за функционированием сети.
  14. Передачу всей информации осуществить только в зашифрованном виде.
  15. Установить программы защиты электронной почты.
  16. Установить аппаратную защиту жестких дисков компьютеров, обрабатывающих конфиденциальную информацию, с возможностью ее мгновенного уничтожения в случае опасности.
  17. Определить, что уничтожение конфиденциальной информации на магнитных носителях должно осуществляться специальными программами, гарантирующими дальнейшее невосстановление информации.
  18. На компьютерах, обрабатывающих конфиденциальную информацию установить программное обеспечение, стирающее данные в файле подкачки.

Средства защиты информации от утечки по техническим каналам:

  1. Используемые информационные технологии в информационной системе:
  2. - защищенные ОС – RedHat Enterprise Linux, QNX, MCBC 3.0.

    - системы обнаружения вторжений и компьютерных атак – ФОРПОСТ, ProventiaNetwork.

    - шлюзы безопасности – CSP VPNGate, CSP RVPN.

  3. Средства защиты речевой информации – Барон, ЛГШ-402(403), SEL SP-21B1 Баррикада, Шорох-2, Соната-АВ, Шторм-105 и т.д.
  4. Средства защиты информации, представленной в виде информативных электрических сигналов, физических полей – Гном-3, ГШ-1000, ГШ-1000К, ГШ-2500, Октава-РС1, Гром-ЗИ-4Б, МП-2, МП-3, МП-5, ЛФС-10-Ф.
  5. Средства защиты носителей информации на бумажной, магнитной, магнитооптической и иной основе – eToken PRO64k, eToken NG-OTP, SecretDisk
  6. Защита от программно-технических воздействий на технические средства обработки персональных данных:
  7. - антивирусные средства, программное обеспечение, сертифицированное на отсутствие незадекларированных возможностей.

  8. Средства защиты информации от несанкционированного доступа – Блокхост-сеть, Аккорд-Рубеж, Аккорд –NT/2000, Secret Net 5.0, Соболь, Dallas Lock 7.0, Лабиринт-М, Страж-NT.
  9. Шифровальные (криптографические) средства защиты информации.
  10. Межсетевые экраны – Cisco, Z-2, WatchGuard, Firebox.

План мероприятий по технической защите конфиденциальной информации включает в себя:


Криптографическая защита информации


Согласно Положению «О государственной системе защиты информации в Российской Федерации от иностранных технических разведок и от ее утечки по техническим каналам», утверждённому Постановлением Совета Министров – Правительства РФ от 15 сентября 1993 г. № 912-51, предотвращение перехвата техническими средствами информации, передаваемой по каналам связи, достигается применением криптографических и иных методов и средств защиты, а также проведением организационно-технических и режимных мероприятий.

Криптографическая защита информации – это защита информации с помощью ее криптографического преобразования.

Канал связи - совокупность технических устройств, обеспечивающих передачу сигнала от источника к получателю.

Линия связи – совокупность средств связи и канала связи, посредством которых осуществляется передача информации от источника к приемнику.

Передача информации - физический процесс, посредством которого осуществляется перемещение информации в пространстве. Данный процесс характеризуется наличием следующих компонентов: источник информации, приёмник информации, носитель информации, среда передачи.



Криптография (от др.-греч. κρυπτός — скрытый и γράφω — пишу) — наука о методах обеспечения конфиденциальности (невозможности прочтения информации посторонним), целостности данных (невозможности незаметного изменения информации), аутентификации (проверки подлинности авторства или иных свойств объекта), а также невозможности отказа от авторства.

Шифрование бывает симметричным (с использованием одного ключа) и ассиметричным (с использованием пары ключей – открытого и личного).

Инфраструктура открытых ключей представляет собой комплексную систему, сервисы которой реализуются и предоставляются с использованием технологии открытых ключей.

Цель PKI состоит в управлении ключами и сертификатами, посредством которого корпорация может поддерживать надежную сетевую среду. PKI позволяет использовать сервисы шифрования и выработки цифровой подписи согласованно с широким кругом приложений, функционирующих в среде открытых ключей.

Основными компонентами эффективной PKI являются:

В составе PKI должны функционировать подсистемы выпуска и аннулирования сертификатов, создания резервных копий и восстановления ключей, выполнения криптографических операций, управления жизненным циклом сертификатов и ключей.

Клиентское программное обеспечение пользователей должно взаимодействовать со всеми этими подсистемами безопасным, согласованным и надежным способом.

Удостоверяющий центр - главный управляющий компонент PKI - выполняет следующие основные функции:


Организация и проведение мероприятий по защите информации при создании сегмента государственной информационной системы


(на примере ИС «Электронный бюджет»)

Финансовый орган субъекта РФ и МО, орган, осуществляющий полномочия учредителя:

Шаг 1

Шаг 2

УФК:

Шаг 3

Шаг 4

Предоставление специальных программных средств (СКЗИ): Выдача дистрибутивов СКЗИ и лицензионных ключей ответственному сотруднику, на которого оформлена доверенность на получение СКЗИ.

Финансовый орган субъекта РФ и МО, орган, осуществляющий полномочия учредителя:

Шаг 5

Схема представления документов:



Требования по обеспечению информационной безопасности

В целях защиты программного и аппаратного обеспечения необходимо обеспечить:

Детальное описание требований по обеспечению информационной безопасности приведено в приложении к письму Минфина России. Реализацию данных требований обеспечивает администратор информационной безопасности организации.

Организация работ по защите от НСД

Средства защиты от НСД

Средства межсетевого экранирования

Средства обнаружения вторжений

Требования по обращению со средствами криптографической защиты информации.

Лицензия ФСТЭК России - разрешение, выдаваемое на оказание услуг, касающиеся технической защиты любых сведений ограниченного доступа, в том числе конфиденциальной информации Документ, регламентирующий и одобряющий производство или научную разработку СЗИ, способных в полной мере обеспечить защиту информации.

Основные и наиболее часто востребованные лицензии ФСТЭК:


Деятельность по технической защите конфиденциальной информации


Деятельность по технической защите конфиденциальной информации это:

  1. Средствах и системах информатизации.
  2. Технических средствах (системах), не обрабатывающих конфиденциальную информацию, но размещенных в помещениях, где она обрабатывается.
  3. Помещениях со средствами (системами), подлежащими защите.
  4. Помещениях, предназначенных для ведения конфиденциальных переговоров (защищаемых помещениях).
  1. Средств и систем информатизации.
  2. Помещений со средствами (системами) информатизации, подлежащими защите.
  3. Защищаемых помещений.

Проектирование в защищенном исполнении:

  1. Средств и систем информатизации.
  2. Помещений со средствами (системами) информатизации, подлежащими защите.
  3. Защищаемых помещений.

Деятельность по разработке и производству средств защиты конфиденциальной информации это:

  1. технических средств защиты информации;
  2. защищенность технических средств обработки информации;
  3. технических средств контроля эффективности мер защиты информации;
  4. программных (программно-технических) средств защиты информации;
  5. защищенных программных (программно-технических) средств обработки информации;
  6. программных (программно-технических) средств контроля защищенности информации.
  1. технических средств защиты информации;
  2. защищенных технических средств обработки информации;
  3. технических средств контроля эффективности мер защиты информации;
  4. программных (программно-технических) средств защиты информации;
  5. защищенных программных (программно-технических) средств обработки информации;
  6. программных (программно-технических) средств контроля защищенности информации.

Осуществление мероприятий или оказание услуг в области защиты государственной тайны:

* Для данных лицензий необходимо иметь действующую лицензию ФСБ на осуществление работ с использованием сведений, составляющих государственную тайну.

Вся необходимая информация о порядке предоставления лицензий на деятельность по технической защите конфиденциальной информации и на деятельность по разработке и производству средств защиты конфиденциальной информации размещена на официальном сайте ФСТЭК России www.fstec.ru в разделе «Лицензирование» (информационное сообщение ФСТЭК России от 26 марта 2015 г. №240/13/1139).

Консультирование (информирование) по вопросам предоставления, переоформления, продления срока действия, приостановления, возобновления или аннулирования лицензии на деятельность по технической защиты конфиденциальной информации в устной форме осуществляется по вторникам и четвергам с 10.00 до 12.00 (время местное) по всем Управлениям в федеральных округах